A Lei Geral de Proteção de Dados (LGPD) veio para estabelecer regras para a coleta e tratamento de dados pessoais de indivíduos por empresas e instituições públicas no Brasil. Dentre as inovações trazidas pela lei, muito inspirada na General Data Protection Regulation, ou GDPR, a lei de proteção de dados da União Europeia, trouxe uma série de direitos aos titulares dos dados, rol elencado no capítulo III da Lei.
Como primeiro e primordial direito, se tem a possibilidade do titular confirmar com o controlador[1] se seus dados estão sendo tratados[2], mediante o envio de um simples requerimento, conforme disposto no art. 18, I da LGPD[3]. Além disso, também é conferido ao titular o direito de acessar completamente seus dados, se confirmado o tratamento - podendo inclusive retificar, complementar ou excluí-los, garantido mais autonomia ao titular em relação aos dados pessoais. Ainda na linha de propiciar mais controle ao titular, também é possível a revogação a qualquer momento do consentimento antes oferecido pelo titular, vedando, portanto, o tratamento aos dados.
Além da atenção com a autonomia, a LGPD também se preocupa com a transparência no tratamento dos dados, como exemplo se tem a possibilidade de solicitar do controlador informações claras acerca dos critérios e procedimentos utilizados nas decisões automatizadas que envolvam os dados. Também no sentido de informar o titular, há a obrigação do controlador em notificar a autoridade nacional e o titular no caso de vazamento de dados (incidente de segurança), que possa acarretar risco ou dano relevante[4].
Ainda alinhada com a ideia de envolver mais o titular na relação com seus dados, a LGPD, como medida de segurança aplicada ao tratamento, permite que o titular peticione contra o controlador diretamente a autoridade nacional de proteção de dados[5].
Dentre as inovações trazidas pela lei, a criação da Autoridade Nacional de Proteção de Dados é uma delas. A agência reguladora, vinculada à Presidência da República, o que levanta dúvidas sobre sua independência técnica, terá como principal função fiscalizar o cumprimento da legislação sobre a proteção de dados.
Assim, a ANPD será responsável por elaborar as diretrizes para uma Política Nacional de Proteção de Dados Pessoais e Privacidade, bem como fiscalizar e aplicar sanções cabíveis diante de violações. Além disso, deverá promover o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e as medidas de segurança entre a população, além da promoção de ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.
Terá, ainda, poder de polícia no que se refere à não conformidade aos termos da Lei Geral de Proteção de Dados Pessoais. Caso constate qualquer irregularidade em alguma atividade de tratamento, a autoridade pode aplicar uma série de sanções, entre as quais está prevista multa de até 2% do faturamento da empresa envolvida, com limite de R$ 50 milhões, o bloqueio ou eliminação dos dados tratados de maneira irregular e a suspensão ou proibição do banco de dados ou da atividade de tratamento.
Contudo, o crescimento do debate nacional sobre uma legislação específica para a Proteção dos Dados Pessoais tem sua base ideológica na já conhecida General Data Protection Regulation[6], ou GDPR. Uma das pioneiras no tema, a GDPR traz regulamentações específicas de Proteção de Dados para toda União Europeia.
Desta forma, legislação europeia de PD determinou que todos os Estados-membros possuam pelo menos um cargo de autoridade supervisora para proteção de dados pessoais, com poderes para monitorar a aplicação das suas normas dentro do território do país.
As Autoridades Supervisoras devem ser consultadas sempre que necessária a adoção de alguma medida administrativa ou elaboração de algum regulamento sobre o tema, além de estarem investidas de poderes como o de intervenção em empresas, determinando a cessação de alguma atividade de processamento de informações pessoais, para notificar o controlador dos dados ou ainda comunicar outras autoridades legislativas ou instituições públicas, para adoção de outras medidas.
Essas Autoridades devem ter poder de investigação interna e, ainda, trabalhar em cooperação com as autoridades de outros países, na extensão que for necessária para atingir seus objetivos institucionais, e suas decisões só podem ser contestadas na via judicial.
No tocante aos direitos dos titulares, a GDPR dispõe os mesmos preceitos mencionados acima ao tratar da LGPD, estando inseridos entre os artigos 12 a 23 da referida Lei, isso porque, como já esclarecido, a fonte de inspiração da LGPD foi principalmente na lei da União Europeia. Em muitos aspectos, parece até mesmo que a LGPD ‘resumiu’ os artigos da GDPR. Em comparação, a Lei de Proteção de Dados da União Europeia consta um rol muito mais extenso e explicativo dos casos em que os direitos dos titulares são aplicáveis e suas exceções – com isso, fica muito mais claro ao titular quais são os limites do seu direito e, consequentemente, também facilita ao controlador apontando expressamente seus deveres e obrigações. Um exemplo disso pode ser observado no direito de acesso do titular, presente em ambas as leis, a orientação é de que o controlador deve ser o máximo transparente com o titular, devendo informar a origem dos dados tratados - enquanto a LGPD faz uma referência de passagem ao assunto[7], a GPDR dedica dois longos artigos (13 e 14) apenas para diferenciar como os dados deverão ser entregues se os dados foram coletados diretamente do titular ou não.
No que se refere aos EUA, não chega a ser exatamente uma surpresa que o país ainda não possua uma lei geral de proteção de dados em âmbito federal, principalmente porque as maiores empresas coletoras de dados pessoais estão localizadas no país e por conta do massivo sistema de vigilância global imposto pelo Governo, e bem exposto por Edward Snowden alguns anos atrás.
O que se tem até o momento é uma legislação fragmentada, em que algumas leis esparsas tratam da coleta e armazenamento de dados de forma indireta ou específica, como o Privacy Act, uma lei direcionada para as agências federais do país, fixando as diretrizes de coleta, armazenamento, uso e disseminação de dados.
No estado da Califórnia, o pioneiro em Proteção de dados no país, entrou em vigor a California Consumer Privacy Act, ou simplesmente CCPA, em janeiro de 2020. Ainda que também tenha suas similaridades com a GDPR, a CCPA não é tão abrangente no que tange os direitos dos titulares. Em primeiro lugar, somente se aplica a empresas que coletam[8] informações pessoais de residentes da Califórnia, considerados como consumidores. Em linhas gerais, os titulares carlifonianos, possuem o direito de confirmação se seus dados pessoais estão sendo coletados, bem como de acesso aos dados. Na contramão da GDPR e LGPD, a Lei não permite que os consumidores retifiquem ou alterem seus dados, sendo apenas possível a exclusão. De maneira inovadora no Estados Unidos, a lei californiana introduz o direito do consumidor em se opor à venda dos dados pessoais, também como conhecido por right to opt-out[9]. Ainda que tenha muito a evoluir em comparação a outras leis de proteção de dados, a lei californiana foi uma imensa evolução do tema no Estados Unidos.
A autoridade responsável pela aplicação e fiscalização da lei é o procurador geral (Attorney General) do estado da Califórnia – somente ele é autorizado a processar empresas pelo descumprimento e não compliance. Além de poder promover ações judiciais, o Attorney General é o responsável por adotar orientações e criar normas regulamentadoras complementares.
Quanto ao seu país vizinho, Canadá, existe a Comissão de Privacidade do Canadá (Privacy Commissioner of Canada – OPC)[10], uma agência independente do governo, mas que ainda responde diretamente ao Parlamento. A autoridade foi estabelecida em 1983, logo após a criação do Privacy Act, uma lei similar ao Privacy Act do Estados Unidos, focada somente no uso e proteção de dados pessoais operados pelas agências e departamentos federais. A partir da criação da Personal Information Protection and Electronic Documents Act (PIPEDA), os poderes do OPC foram estendidos para também fiscalizar e reforçar a aplicação da nova lei. O OPC desempenha um papel semelhante ao do Attorney General do Estados Unidos, sendo responsável por investigar reclamações, conduzir auditorias e promover ações judiciais contra aqueles que violam ambas as leis federais – Privacy Act e PIPEDA.
De maneira geral, a PIPEDA se assemelha muita a GPDR ao tratar dos direitos dos titulares. Na mesma linha de garantir autonomia ao titular com seus dados, é assegurado ao titular o direito de confirmar se seus dados estão sendo tratados e seu integral acesso viabilizado através do envio de requisição ao controlador. Como uma das maiores diferenças, no Canadá não é possível que o titular exclua, altere ou retifique seus dados – contudo, em atenção ao princípio da minimização, é disposto que todas os dados não mais necessários para finalidade do controlador, devem ser apagados, destruídos ou anonimizados. Quanto ao consentimento, a lei canadense exige permite sua revogação a qualquer momento, um lado negativo é que os controladores não precisam do consentimento do titular para o tratamento de dados que disponíveis de maneira pública.
De forma similar a autoridade nacional do Canadá, foi criada o Office of the Australian Privacy Commissioner Counsel em 1989 na Austrália, responsável por fiscalizar a aplicação da lei federal australiana Privacy Act de 1988.
Em 2010, na Austrália, a partir da Freedom of Information Amendment (Reform) Act, houve uma grande mudança legislativa federal acerca da proteção de dados pessoais, transformando o Office of the Australian Privacy Commissioner Counsel no Office of the Australian Information Commissioner (OAIC)[11]. Diferente do OPC (agência canadense), a OAIC é uma agência governamental vinculada ao procurador geral (Attorney General), sendo responsável por promover a privacidade e o direito de acesso à informação, bem como fiscalizar agências e organizações governamentais e outras organizações privadas, recebendo reclamações e conduzindo investigações acerca de violações à lei de proteção de dados.
Acerca dos direitos dos titulares, como a maioria das leis de proteção de dados, o Privacy Act também garante o direito do titular de confirmação e acesso aos seus dados. Contudo, assim como no Canadá, o titular não pode alterar/retificar ou excluir seus dados sendo tratados – apesar disso, também é exigido que controlador (APP entitites) exclua os dados pessoais quando não mais necessários. Negativamente, a lei australiana não menciona nada acerca do tema das decisões automatizadas, tampouco garante ao titular a possibilidade de se opor ao tratamento de dados, apenas autoriza que se oponha a comunicações diretas de marketing.
No Japão, existe a Comissão de Proteção de Informações Pessoais - PIPC, autoridade central do Act of the Protection of Personal Information - APPI, ficando sob o comando do primeiro ministro do país. Embora centralizada, a PIPC tem autoridade para delegar seus poderes para as outras autoridades reguladoras. Seu presidente e membros exercem suas autoridades independentemente (Art.62). No seu exercício de autonomia, a PIPC exerce seus poderes e promovendo política básica de proteção de dados.
Sob a lei japonesa de proteção de dados, os titulares também possuem o direito de acesso aos seus dados, bem como de requerer sua retificação, alteração ou exclusão. Embora a Lei mencione o consentimento do titular apenas nas hipóteses de transferências de dados para terceiros e não para o tratamento, aos titulares é garantido o direito de se oporem ao tratamento nos seguintes casos: os dados tenham sido adquiridos de forma fraudulenta/ilegal, se a finalidade do controlador já se perdeu ou se seus direitos estiverem sendo infringidos.
Voltando para América Latina, o Uruguai foi o primeiro país não europeu a ser convidado a aderir à Convenção 108 do Conselho da Europa, cuja adesão se deu através da Lei n° 19.030 em 7 de janeiro de 2013. O papel de Autoridade de Nacional de Proteção de Dados no país recai sobre a Unidade Reguladora de Controle de Dados Pessoais.
Tal autoridade foi criada como órgão descentralizado da Agência para o Desenvolvimento de Governo de Gerenciamento Eletrônico e da Sociedade da Informação e do Conhecimento do Uruguai, dispondo sobre a proteção de dados pessoais. Assim, a Autoridade Nacional de Controle de Proteção de Dados consegue assistir devidamente os dados processados no país e garantir a execução das prerrogativas nacionais e internacionais de proteção de dados.
O Uruguai surpreende positivamente por ter uma lei de proteção de dados publicada há mais de uma década atrás em 2008 que ainda se mantém atual[12]. Os titulares dos dados têm o direito de acessar todas as informações que lhes dizem respeito, o direito de retificar todos os dados imprecisos e o direito de atualizar, incluir e excluir seus dados. Além disso, os titulares também têm o direito de recorrer à justiça em caso de violação dos seus direitos (artigos 13.º a 17.º e 37.º a 45.º da lei e artigos 9.º a 14.º do decreto). Não ficando para trás, a lei continua sendo revitalizada, no começo de 2020 foi publicado o decreto n. 64/020 que prevê a obrigação do controlador em notificar a autoridade nacional de proteção de dados no caso de incidentes de segurança relacionada aos dados (similar ao Brasil), mas não prevê a notificação do titular[13].
Em contraste ao Uruguai, na Argentina, a Lei de Proteccionn de los Datos Personales (Ley 25.326) parece ter ficado parada no tempo desde sua publicação em 2000, passando por pouquíssimas modificações desde então. Considerada inovadora na época, a lei prevê o direito dos titulares de terem acesso aos seus dados tratados, bem como garante a possibilidade de retificação, alteração e exclusão. Ainda que expressamente disponha que os dados somente poderão ser tratados com o consentimento prévio do titular[14], somente é mencionada na argentina a possibilidade de revogar o consentimento de transferência (cesión) dos dados entre controladores.
A autoridade nacional de proteção de dados da Argentina é a Agencia de Acceso a la Información Pública - AAIP, sendo o órgão responsável pela garantia e cumprimento da Ley de Acceso a la Información Pública, Protección de Datos Personales y el Registro Nacional. Sua natureza é de ente de poder autárquico, com autonomia funcional no âmbito da chefia de gabinete de ministros do país. A AAIP possui um diretor cujo mandato é de cinco anos, podendo ser renovável pelo mesmo período. A diretoria da autoridade é a mesma responsável pelo Conselho Federal da transparência O Conselho é um órgão interjurisdicional de caráter permanente, cujo objeto é a cooperação técnica e o acordo sobre políticas em matéria de transparência e acesso à informação pública.
Por fim, no que se refere à autoridade brasileira, indo na contramão dos países mencionados, somente no dia 27 de setembro, em decreto publicado no Diário Oficial da União, o governo federal aprovou a estrutura regimental e o quadro de cargos para a efetiva criação da ANPD. De acordo com o regimento, o Conselho Diretor do órgão será composto por cinco membros indicados pelo ministro-chefe da Casa Civil e nomeados pelo presidente da República, após aprovação pelo Senado Federal.
A ANPD será constituída ainda por um órgão consultivo, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, e outros órgãos de assistência direta e imediata ao Conselho Diretor, órgão seccional, como Corregedoria, Ouvidoria e Assessoria Jurídica e órgãos específicos singulares de coordenação. A criação e regulamentação da ANPD é um marco fundamental para a efetiva aplicação das normas de privacidade e proteção de dados no Brasil, colocando o país no debate internacional sobre o tema.
Tendo em vista que a LGPD é considerada uma norma principiológica, ou seja, uma norma que fixa preceitos gerais, ter um órgão que estabeleça bases e diretrizes gerais para o seu cumprimento contribui para maior eficiência da sua implementação.
Notas e Referências
[1] LGPD, art. 5º, VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
[2] LGPD, X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
[3]LGPD, Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
[4] LGDP, Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
[5] LGPD. Art. 18, § 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
[6] UNIÃO EUROPEIA. General Data Protection Regulation 2016/679 de 27 de abril de 2016. Parlamento Europeu e Conselho da União Europeia. Disponível em: <https://gdpr-info.eu/>. Acesso em 15 de fev. 2020.
[7] Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
I - em formato simplificado, imediatamente; ou
II - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
[8] A CCPA entende coleta como comprar, alugar, coletar, obter, receber ou acessar qualquer informação pessoal pertencente a um consumidor por qualquer meio. Isso inclui receber informações do consumidor, de forma ativa ou passiva, ou observando o comportamento do consumidor. 1798.140 (e).
[9] CPPA, 1798.120. (a) A consumer shall have the right, at any time, to direct a business that sells personal information about the consumer to third parties not to sell the consumer’s personal information. This right may be referred to as the right to opt-out.
[10] Disponível em: https://www.priv.gc.ca/en/about-the-opc/. Acesso em 20 de fevereiro de 2020.
[11] Disponível em: https://www.oaic.gov.au/about-us/. Acesso em 20 de fevereiro de 2020.
[12] Ley n. 18331 - LEY DE PROTECCION DE DATOS PERSONALES
[13] Decreto 64/020. Artículo 4. Comunicación de vulneraciones de seguridad. El responsable del tratamiento, una vez que constate la ocurrencia de alguna vulneración de seguridad que incida en la protección de datos, deberá comunicarlo a la Unidad Reguladora y de Control de Datos Personales en un plazo máximo de 72 horas de conocida la vulneración.
[14] Ley 25.326. Articulo 5º (Consentimiento) 1. El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias.
Imagem Ilustrativa do Post: CORRESPONDENTE JURÍDICO - MT/ RJ // Foto de: JusCorrespondente // Sem alterações
Disponível em: https://www.flickr.com/photos/juscorrespondente/4359766301
Licença de uso: https://creativecommons.org/licenses/by-sa/2.0/
