NOME: FÁBIO BÖCKMANN SCHNEIDER
A Lei Geral de Proteção de Dados (LGPD), e suas repercussões nas Instituições.
INTRODUÇÃO:
Uma nova realidade foi criada com a consolidação do ambiente virtual, e suas redes que habitam na rede internacional de computadores, a internet. Esse ambiente é recente em termos históricos, são poucas décadas. Ainda existe um número importante de pessoas que não participam dele, os “excluídos digitais”. Por outro lado, a maioria da população global dele participa, e muitos fazem desse ambiente a sua principal atividade diária, seja trabalhando e/ou outras atividades, estudos, compras, lazer.
É inegável a importância exponencial do ambiente virtual, que ficou totalmente evidente nesse ano 2020, o ano do vírus letal e pandêmico, denominado pela OMS, de COVID – 19. No momento da feitura desse artigo, os cuidados com a higiene e a saúde, as restrições ao convívio presencial humano, ainda são necessários, e a vacina ainda é uma promessa.
Está ocorrendo a utilização dos meios virtuais nas mais diversas atividades, exigindo adaptações de bilhões de pessoas em todo o mundo, para evitar que a pandemia tivesse consequências ainda mais terríveis do que as centenas de milhares de mortes, o caos econômico, e o empobrecimento de grandes parcelas das populações.
A atividade das pessoas no ambiente virtual deixa registros, que podem ser minerados, classificados, e utilizados das mais diversas formas lícitas, e ilícitas, para a obtenção de vantagens, proveitos sejam econômicos, financeiros, políticos, estratégicos, militares. Somente para exemplificar a extensão, gravidade, e o potencial da utilização dos dados/informações digitais, cita – se, o caso NSA, National Security Agency, – Edward Snowden , e o caso da Cambrigde Analytica, Christopher Wylie, [i]
Configurada a relevância do ambiente virtual, e dos dados/informações existentes nele, e a inexistência de legislação específica para fazer incidir o direito nessas relações, vários países recentemente promulgaram legislações especificas sobre o tema. O Brasil promulgou sua legislação geral para a proteção de dados em 14.08 2018, Lei n° 13.709, que teve um vacatio legis, longo, haja vista que a sua vigência somente se deu em 18.09. 2020.
Vale referir que a LGPD, normatiza aspectos do Marco Civil da Internet no Brasil, a Lei Federal nº. 12.965/2014, que combinados com outras legislações incidentes, regulamentam o ambiente virtual no Brasil.
No âmbito da LGPD, constam os seus fundamentos dispostos no artigo 2°, o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Tramita no Congresso Nacional, projeto de lei – PEC, projeto de emenda constitucional[ii], que pretende alçar a proteção dos dados individuais, á condição de direito humano fundamental, por todas essas razões, e ainda muitas outras que poderiam ser elencadas, fica demonstrada a atualidade e importância do tema.
Passamos no tópico seguinte a abordar alguns aspectos relevantes da LGPD, que repercutem nas Instituições em geral, sem a pretensão de esgotar o tema.
ASPECTOS DA LEGISLAÇÃO GERAL DE PROTEÇÃO DE DADOS BRASILEIRA
No artigo 1° da LGPD, consta o seu propósito, qual seja, dispor sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade, e de privacidade, e o livre desenvolvimento da personalidade da pessoa natural.
Para um melhor entendimento cumpre referir os conceitos legais de dados, que são três, e estão expostos no artigo 5°, dado pessoal: informação relacionada a pessoa natural identificada ou identificável; dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Existem exceções previstas na legislação para sua incidência que são objeto de controvérsias, dentre as quais a localização/nacionalidade do operador do tratamento dos dados. Apesar das controvérsias, a lei dispõe da seguinte maneira diversas exceções, em seu artigo 4°, afirmando que a lei não se aplica ao tratamento de dados pessoais, realizado por pessoa natural para fins exclusivamente particulares e não econômicos; e/ou realizado para fins exclusivamente, jornalísticos, artístico, e acadêmico.
Também está excepcionada a proteção, do tratamento dos dados para fins de segurança pública; defesa nacional; segurança do Estado; e/ou atividades de investigação e repressão de infrações penais.
Essa proteção dos dados, e a utilização desses dados será regida por legislação específica, baseada nos princípios da existência somente das medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal.
No aspecto da competência territorial, estão excluídos da incidência da legislação os provenientes de fora do território nacional, e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na legislação Brasileira.
Além do objeto da LGPD, e das suas exceções, também é necessário referir os conceitos expostos na lei, as partes que se utilizam dos dados:
O controlador que é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
O operador pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Tanto o controlador como o operador, são considerados agentes de tratamento de dados.
O encarregado pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados, e a Autoridade Nacional de Proteção de Dados (ANPD). A extensão da responsabilização no tratamento indevido dos dados pode variar, mas a regra geral é da solidariedade entre os agentes.
Em linha com o exposto impende referir o conceito legal de tratamento de dados, toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
O conceito legal de banco de dados, que é o conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
Exsurge nesse momento a questão nodal da novel legislação, qual a principal alteração para os usuários do ambiente virtual, sejam os titulares dos dados, ou para os usuários dos dados de terceiros?
A necessidade do consentimento do titular dos dados, que deverá ser outorgado ao controlador, e/ou operador, e/ou encarregado do tratamento dos dados. A forma do consentimento está prevista na lei, e caberá a quem utiliza os dados de terceiro, comprovar a existência do consentimento do titular dos dados.
O conceito legal do consentimento; prevê que é uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
No aspecto da caracterização, validade, e extensão do consentimento também se vislumbram interpretações jurídicas, e possíveis quezílias judiciais. Conforme já referido, na hipótese de incidir uma das exceções previstas na legislação p. ex, utilização para fins jornalísticos, ainda assim na utilização e tratamento dos dados será necessário seguir os princípios da legislação.
Dentre eles, destaca – se, a finalidade, qual seja, a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular. A adequação, que é a compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
A necessidade da utilização estritamente vinculada às finalidades do tratamento de dados; A existência do livre acesso aos titulares, dos seus dados, A garantia da qualidade dos dados dos titulares, da transparência das informações, sobre o tratamento, e os agentes de tratamento.
A segurança na utilização e na proteção dos dados pessoais de acessos não autorizados, e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
A prevenção, a existência da prova do usuário de dados de terceiro, da adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; A não discriminação, vedação do tratamento para fins discriminatórios ilícitos ou abusivos;
E ao final dos princípios a existência da responsabilização, e da prestação de contas, por parte do agente/usuário de dados de terceiro, de que não foi omisso, imperito e/ou negligente no uso, guarda, transferência e tratamento dos dados de terceiros.
Repete – se, o ônus da prova tanto do consentimento do titular dos dados, quanto do uso, guarda e compartilhamento dos dados de boa – fé, e dentro dos princípios, e disposições das legislações incidentes, cabe ao agente que se utiliza dos dados de terceiro. No próximo tópico, serão expostas em breves linhas as repercussões para as Instituições em geral, dentre elas as Potências Maçônicas, Lojas, Instituições Para-maçônicas, dentre elas as Academias de Letras.
ALGUMAS REPERCUSSÕES DA LGPD NAS INSTITUIÇÕES
Partimos do conceito clássico de instituição, qual seja; são organizações, e/ou estruturas, e/ ou mecanismos informais, e/ou formais/legais de ordem social, que regulam o comportamento de um conjunto de indivíduos dentro de uma determinada comunidade, identificadas com uma função social, que transcende os indivíduos, e as suas intenções, mediando/impondo as regras que governam as ações, e o comportamento humano.
Fica claro que as Instituições que possuírem banco de dados, e/ou efetuarem o tratamento de dados, ou ainda utilizarem/compartilharem dados de terceiros estão abrangidas na legislação, e são responsáveis pelas ações e pelos agentes, pela higidez e qualidade desses dados, e necessitam possuir uma política do tratamento/utilização desses dados, assim como necessitam da autorização de cada um dos titulares de dados, sejam pessoais, sensíveis ou anonimizado.
Nesse momento vale referir algumas sanções, sejam administrativas, civis, e/ou penais previstas na LGPD, em caso de descumprimento da lei, previstas no artigo 52; que vão desde a advertência, com indicação de prazo para adoção de medidas corretivas; a aplicação de multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; ou multa diária, observado o limite total a que se refere o inciso II; e ainda a publicização da infração após devidamente apurada e confirmada a sua ocorrência.
Vale refletir sobre a publicização da infração, haja vista que essa publicização traz danos importantes à reputação da Instituição infratora, podendo em alguns casos gerar danos irreparáveis para sua atividade, ou em casos extremos levar até a sua extinção.
A LGPD, prevê a possibilidade da suspensão das atividades por tempo determinado, seja a suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.
Ou ainda, a suspensão total do exercício da atividade de tratamento dos dados pessoais a que se refere a infração, pelo período máximo de 6 (seis) meses, prorrogável por igual período; e/ou a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
De maneira objetiva, a Instituição que infringir a LGPD, assume o risco de ser sancionada administrativamente, pagar multas milionárias, sofrer persecução civil e penal, e ainda pode ser excluída do ambiente virtual.
A aplicação, e a dosimetria da aplicação das penalidades leva em consideração a gravidade e a natureza das infrações, a relevância e natureza dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência; o grau do dano; a cooperação do infrator; e a adoção reiterada e demonstrada de mecanismos, e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e a proporcionalidade entre a gravidade da falta, e a intensidade da sanção.
Cabe a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República, processar e julgar os procedimentos administrativos decorrentes da incidência da LGPD, e que possui um corolário de competências previstas no artigo 55 – J, as quais denotam a alta complexidade, e o grau de celeridade e especialidade que podem ser determinantes para o cumprimento da legislação, ou não.
Dentre as competências, estão zelar pela proteção dos dados pessoais, pela observância dos segredos comercial e industrial, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação; promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança.
E ainda, promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional. Ao encetar o derradeiro tópico, no qual são expostas algumas conclusões acerca desse tema, e especificamente no que refere as repercussões nas Instituições, impende mais uma vez referir que o presente artigo visa propiciar o debate e o conhecimento desse tema relevante, instigante e poderoso na sua influência social, institucional, econômica, política e jurídica.
CONCLUSÕES
O sistema legal jurídico institucional adotado no Brasil, para a proteção de dados, possui aspectos que merecem aperfeiçoamentos, que possivelmente virão, haja vista que a legislação é nova/recentíssima, e o processo dialético histórico não poupará as instituições, os legisladores, os agentes políticos, e a população em geral dessa necessidade/possibilidade.
Na análise preliminar efetuada para a elaboração desse artigo, pode – se afirmar que alguns aspectos da legislação merecem cautela, dentre eles a ausência de uma maior integração com as outras instituições fiscalizadoras, sejam no âmbito governamental, e principalmente da sociedade civil organizada.
Fica claro que, e podemos citar o CDC como exemplo, o Código de Defesa do Consumidor Brasileiro, promulgado em 11. 09 1990, e na data de sua promulgação, foi referido por juristas como “a legislação consumerista mais avançada do mundo”, ocorre que passados mais de 20 anos da sua promulgação, estamos em outubro de 2020, o desrespeito aos direitos do consumidor, infelizmente ainda grassa nesse país.
Diversas são razões, dentre elas a inoperância dos órgãos fiscalizadores, a inexistência da aplicação de multas que cumpram com a finalidade pedagógica, inclusive para inviabilizar economicamente a continuidade de uma mesma infração em nível exponencial, que prejudicam milhares de consumidores. E o problema mais grave, a ausência das atividades culturais para a conscientização da população, para consolidar a cultura. A centralização, e o excesso de competências da ANPD, não são um bom indicativo para a eficácia e eficiência na aplicação da lei. Assim como a existência de conceitos excessivamente abertos na legislação. É preciso ter esperança, de que mais do que a evolução da sociedade, e do ambiente virtual, ocorra o progresso baseado em valores que beneficiem a maioria da população.
[i] https://www1.folha.uol.com.br/mundo/2018/03/empresa-que-ajudou-trump-roubou-dados-de-50-milhoes-de-usuarios-do-facebook.shtml.
[ii] https://www.camara.leg.br/noticias/565439-PEC-TRANSFORMA-PROTECAO-DE-DADOS-PESSOAIS-EM-DIREITO-FUNDAMENTAL
Comentários