A Lei Geral de Proteção de Dados (LPGD), Lei Federal no 13.709, de 14 de agosto de 2018, dispõe, já no seu art. 1o, que o seu objetivo é o de proteger o tratamento de dados pessoais, visando a garantia dos direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural. A proteção, esclarece-se, deve ser respeitada por qualquer pessoa jurídica – de direito privado ou público – e pessoa natural, em meios digitais ou físicos.
Em complemento ao dispositivo do caput, a lei informa, no parágrafo único do art. 1o, que todas as disposições contidas na normativa são de interesse nacional e devem ser respeitadas por todos os entes federativos, sem exceção.
Ao fundamentar a criação da lei, o legislador – demonstrando a seriedade dos direitos tratados e garantidos – designou artigo específico para pontuar a estrutura da norma e suas determinações. O art. 2o, da LGPD, em clara correspondência ao art. 5o, da Constituição Federal de 1988, traz sete incisos contendo alguns dos direitos fundamentais assegurados a todos os homens e mulheres, garantidos à brasileiros e estrangeiros residentes no país.
Em se tratando de matéria nova, com terminologia específica, a lei é clara em afirmar, em seu art. 5o, inciso I, o que deve ser entendido por “dados pessoais”, que dizem respeito a informação relacionada a pessoa natural identificada ou identificável. Curioso observar que a lei protege dados de pessoas físicas, não estendendo tal proteção a pessoas jurídicas.
Segundo Goldschmidt, Passos e Bezerra:
Os dados […] podem ser interpretados como itens elementares, captados e armazenados por recursos da Tecnologia da Informação. São cadeias de símbolos e não possuem semântica (i.e., significado). Seu propósito é expressar fatos do mundo real de forma a serem tratados no contexto computacional. (GOLDSCHMIDT, Ronaldo; PASSOS, Emmanuel; BEZERRA, Eduardo. Data mining: conceitos, técnicas, algoritmos, orientações e aplicações. 2. ed. Rio de Janeiro: Elsevier, 2015.)
No âmbito dos chamados dados pessoais, a lei cria uma qualificação elegível a uma proteção distinta, e em seu inciso II, art. 5o, dispõe acerca dos chamados “dados pessoais sensíveis”, como sendo o “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.
Assim, em relação a distinção trazida entre os dados pessoais e os dados pessoais sensíveis esclarece Bruno Feigelson e Antonio Henrique Albani Siqueira:
A diferenciação no tratamento de dados pessoais sensíveis em relação aos dados pessoais não sensíveis torna-se destaque na Lei em comento […] porque há uma preocupação especial no que diz respeito a assegurar a privacidade, assim como assegurar que tais dados não possam ser utilizados contra os titulares, trazendo-lhes restrições ao acesso a bens, serviços e ao exercício de direitos. (FEIGELSON, Bruno; SIQUEIRA, Antonio Henrique Albani (Coords.). Comentários à Lei Geral de Proteção de Dados: Lei 13.709/2018. São Paulo: Editora Revista dos Tribunais, 2019.)
Em complemento, no inciso X, art. 5o, explica-se o que deve ser entendido por “tratamento”, como sendo “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
É suficiente para o presente artigo a breve digressão feita acerca das três terminologias constantes nos incisos I, II e X do art. 5oda LGPD, porém cumpre reforçar que ao longo de dezenove incisos a lei não deixa margem para dúvida, ao explicar de forma minuciosa todos os termos que possam trazer questionamento ao seu intérprete.
Compreendida essa terminologia, imperiosa a apreciação das disposições constantes dos art. 3o e 4o, da LGPD, previamente à análise da questão objeto do presente estudo.
A LGPD, em seu art. 3º, traz a determinação de que é aplicável a qualquer operação de tratamento de dado – nos termos do art. 1o –, independente do país da sede ou do país onde os dados estão localizados, desde que: a operação do tratamento seja realizada no Brasil, o tratamento tenha como objetivo oferta de bens ou serviços dentro do território nacional e/ou os dados tenham sido coletados nacionalmente.
Ainda no art. 3º, §1º, verifica-se a preocupação do legislador em garantir que o objetivo principal da norma seja atingido, ao explicitar que se consideram dados pessoais coletados no território nacional, qualquer informação cujo titular aqui esteja no momento de sua distribuição. Essa disposição é extremamente interessante, na medida em que não limita a aplicação da lei a pessoa natural ou jurídica brasileira, mais a qualquer um que exija o informe de dados pessoais em seu cadastro por meio digital, desde que se encaixe nas demais disposição previstas no artigo.
Tal qual o cuidado verificado no artigo anterior, o art. 4º tem como função informar quando a lei não se aplica ao tratamento de dados pessoais, por exemplo, quando são informados por pessoa natural para finalidade particular, sem fins econômicos.
Importante esclarecer que o direito a proteção dos dados pessoais não é absoluto, podendo e devendo ser relaxado em situações que a sua proteção não seja necessária ou não faça sentido ao interesse nacional – seja no caso da segurança do Estado, atividades de investigação ou outras situações que atendam aos incisos do art. 4º. Ainda assim, a não aplicabilidade deve ser considerada de forma cautelosa, na medida em que os parágrafos do referido artigo são complementares à exceção, e devem ser considerados com extremo cuidado.
Da mesma forma, a lei não se aplica quando o dado é proveniente de fora do território nacional, não passa por tratamento de agente brasileiro, e o país da proveniência proporcione proteção aos dados pessoais.
A Lei Geral de Proteção de Dados surgiu da preocupação latente dos legisladores em gerenciar um mundo que cada vez mais digitalizado, sendo as informações facilmente acessadas e a sua circulação cada vez mais ágil, graças à internet, conforme cita SAGAN: (…) criamos uma civilização global em que elementos cruciais – como as comunicações, o comércio, a educação e até a instituição democrática do voto – dependem profundamente da ciência e da tecnologia. (SAGAN, 1997, p. 37).
É comum que ao acessar um site, o visitante seja obrigado a fornecer algum dado, seja sua localização geográfica, até números de documentos de identificação, como o Cadastro de Pessoa Física – CPF.
Em dezembro de 2018, o Jornal “O Globo” noticiou pela primeira vez o compartilhamento maciço de dados pessoais pelo Facebook a gigantes da tecnologia. De acordo com o New York Times, a rede social teria compartilhado os dados de seus usuários com cerca de 150 empresas de tecnologia, dentre elas Microsoft, Amazon e Netflix, compartilhando desde informações públicas até mensagens privadas.
A LGPD se antecipou a esse fato, visando a impedir que situações como essa ocorram dentro do país, com empresas de tratamento de dados pessoais nacionais.
E como seria feita a fiscalização dos destinatários da LGPD? No capítulo VIII, Da Fiscalização, Seção I, Das Sanções Administrativas, da LGPD, o legislador explica como a fiscalização e punição será realizada. O art. 52, especificamente determina que em caso de violação aos dispositivos da lei, o responsável fica sujeito a sanções, dentre elas, advertência, multa, publicidade da informação.
A norma determina que o agente de tratamento de dados (controlador ou operador) será responsabilizado mediante procedimento administrativo que apure os fatos do caso concreto.
A Resolução CD/ANPD nº1/2021 surgiu para regulamentar o Processo de Fiscalização e o Processo Administrativo Sancionador, a ser conduzido pela Autoridade Nacional de Proteção de Dados, agência responsável pela fiscalização de eventual violação. Foi recebida com muita expectativa, já que necessária para regulamentar o art. 53 da LGPD que passou a ter vigência em 1º de agosto de 2021.
Importante mencionar que, ainda que a LGPD determine a aplicações de diversas sanções, o ar. 54 limita a aplicação, na medida que garante a proporcionalidade da multa aplicada, devendo ser considerada a gravidade da falta cometida, bem como a extensão do dano ou prejuízo causado.
Da mesma forma, o art. 52, § 6º hierarquiza as penalidades, de forma que as sanções “duras”, constantes dos incisos X, XI e XII – suspensão do banco de dados, suspensão ou proibição da atividade – somente poderão ser aplicadas caso o agente já tenha sido penalizado pelo menos uma vez com alguma sanção constante dos incisos II, III, IV, V e VI, do mesmo artigo, ou caso outra autoridade também seja responsável pela fiscalização da atividade, e após ouvida, lhe aplique tal punição.
Assim como ocorre na LGPD, o Regulamento anexo à Resolução CD/ANPD nº 4/2023, traz, na definição da sanção a ser aplicada, parâmetros e critérios que deverão ser considerados no processo sancionador.
O art. 8o do Regulamento anexo à Resolução, por seu turno, estabelece em detalhes como as infrações são classificadas, podendo ser consideradas leves, médias ou graves, e como a distinção deve ser realizada:
“§ 1º A infração será considerada leve quando não verificada nenhuma das hipóteses relacionadas nos §§ 2º ou 3º deste artigo.
§ 2º A infração será considerada média quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave.
§ 3º A infração será considerada grave quando:
I – verificada a hipótese estabelecida no § 2º deste artigo e cumulativamente, pelo menos, uma das seguintes:
a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;
b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
c) a infração implicar risco à vida dos titulares;
d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
g) verificada a adoção sistemática de práticas irregulares pelo infrator;
II – constituir obstrução à atividade de fiscalização.”
Considerada a classificação da gravidade da violação, a autoridade responsável pela aplicação da sanção deve passar a considerar outros parâmetros da dosimetria, como a boa-fé do infrator, a vantagem auferida ou pretendida, a condição econômica do agente e a reincidência genérica e/ou específica.
O conceito de reincidência específica ou genérica é previsto no art 2o do Regulamento anexo à Resolução, especificamente nos incisos VIII e XIX, que definem como: a) especifica a “repetição de infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração”; e b) como genérica o “cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração, excluído o disposto no inciso VIII do caput”.
Somados a esses parâmetros, deve a autoridade verificar a existência de agravantes e atenuantes, presentes nos arts. 12 a 16 do Regulamento anexo à Resolução CD/ANPD nº 4/2023.
Interessante observar a importância que a Resolução deu a adoção de políticas de boas práticas e governança, ponto também destacado na LGPD, em seu art. 50 e §1º, que possui a seguinte redação:
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
Depreende-se que a LGPD busca uma postura proativa dos agentes de tratamento de dados pessoais, de modo que contem com formas de organização (governança), para administrar a instituição, estabelecendo regras de boas práticas, processos, legislação, e regulamentos internos no tocante ao tratamento dos dados pessoais, buscando o cumprimento da lei.
As regras de boas práticas e de governança, apesar de não possuírem caráter mandatório, visam estimular o diálogo entre os agentes envolvidos na administração e proteção dos dados pessoais e podem ser formuladas por meio de associações de classe ou de forma individual pelo controlador ou operador de dados pessoais.
A formulação de forma individual visa focar em uma atividade específica, sendo idealizada para um agente determinado, enquanto a regras de boas práticas e governança formuladas por meio de associações estabelecem regras de forma setorial para cada realidade, considerando que agentes de uma mesma área possuem dificuldades semelhantes para se adaptar à legislação.
De forma geral, pretende-se que as boas práticas façam parte da rotina da empresa, visando minimizar a ocorrência de ilícitos e, caso ocorram, que sempre possam ser combatidos de forma eficaz e adequada.
Ainda, em seu art. 52, §1º, inciso IX, a LGPD estabelece que as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerado alguns parâmetros e critérios.
Entre eles, considerará a “adoção de política de boas práticas e governança”, o que nos faz constatar que a lei não tenta apenas proteger o titular dos dados, mas também incentivar a adoção das práticas e conscientizar os agentes de tratamento, controlador e operador que o tratamento dos dados pessoais envolve direitos fundamentais.
Nesse mesmo sentido, na análise do art. 7o, inciso X e art. 13, inciso II, do Regulamento anexo à Resolução CD/ANPD nº 4/2023 se verifica que a adoção das regras de boa prática e governança deve ser considerada um dos parâmetros principais, assim como uma condição atenuante à aplicação da multa. E mais, a adoção das boas práticas pode ser aplicada após a violação, visando minimizar os danos aos titulares, o que pode ser feito até a prolação da decisão de primeira instância do processo administrativo.
A importância que o legislador deu às Política de boas práticas e de governança como circunstância atenuante demonstra o caráter preventivo da LGPD, pois visa não apenas evitar a ocorrência de um ilícito, mas também estabelecer procedimentos para facilitar o cumprimento da legislação. Isto porque, ainda que a punição se faça necessária como meio de reprimenda pela conduta violadora, a implementação de política de boas práticas garante que, no futuro, o mesmo erro não seja cometido novamente.
Compreende-se, pois, que a LGPD não tem a intenção apenas de reprimir e punir os agentes de tratamento que violem as disposições legais, mas sim incentivar a adoção de boas práticas e garantir que, no longo prazo, no mundo globalizado e digitalizado, os dados pessoais dos usuários estejam cada vez mais protegidos.
Já se foi o tempo em que a internet era considerada terra de ninguém, e a consciência de que a manipulação de dados pode atravessar o mundo e ser usada para todo tipo de finalidade é necessária para que as devidas precauções possam ser tomadas.
A observância da lei não mais é “opcional”, sob a justificativa que faltavam regulamentações. Com a Resolução CD/ANPD nº 4/2023, a ANDP demonstrou efetivamente sua preocupação em que a lei seja seguida e aplicada o mais rápido possível.
Referências
DIARIO OFICIAL DA UNIÃO. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 19 abr. 2023.
DIARIO OFICIAL DA UNIÃO. RESOLUÇÃO CD/ANPD Nº 1, DE 28 DE OUTUBRO DE 2021. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no1-2021. Acesso em: 20 abr. 2023.
DIARIO OFICIAL DA UNIÃO. RESOLUÇÃO CD/ANPD Nº 4, DE 24 DE FEVEREIRO DE 2023. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf. Acesso em: 22 abr. 2023.
G1 ECONOMIA. Facebook cedeu dados pessoais dos usuários a gigantes da tecnologia, revela jornal. Disponível em: https://g1.globo.com/economia/tecnologia/noticia/2018/12/19/facebook-compartilhou-mais-dados-com-gigantes-tecnologicos-do-que-o-revelado-diz-jornal.ghtml. Acesso em: 19 abr. 2023.
GOV.BR. ANPD publica regulamento de aplicação de sanções administrativas. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria#:~:text=O%20que%20%C3%A9%20dosimetria%3F,multa%20aplic%C3%A1vel%20ao%20infrator.. Acesso em: 21 abr. 2023.
GOV.BR. Conselho Diretor aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/conselho-diretor-aprova-o-regulamento-do-processo-de-fiscalizacao-e-do-processo-administrativo-sancionador-no-ambito-da-autoridade-nacional-de-protecao-de-dados. Acesso em: 21 abr. 2023.
MIGALHAS. Alvíssaras?! Apontamentos sobre o regulamento de dosimetria e aplicação de sanções administrativas da ANPD. Disponível em: https://www.migalhas.com.br/coluna/migalhas-de-protecao-de-dados/382398/apontamentos-sobre-o-regulamento-de-dosimetria-e-aplicacao-da-anpd. Acesso em: 22 abr. 2023.
MINISTÉRIO PÚBLICO FEDERAL. O que é a LGPD? Disponível em: https://www.mpf.mp.br/servicos/lgpd/o-que-e-a-lgpd. Acesso em: 22 abr. 2023.
PUCRS. LGPD: entenda a importância da lei para proteger seus dados. Disponível em: https://www.pucrs.br/blog/lgpd/. Acesso em: 21 abr. 2023.
REVISTA CONSTRUÇÃO. Na indústria dos dados pessoais, o produto é você. Disponível em: http://revistaconstrucao.org/economia-digital/na-industria-dos-dados-pessoais-o-produto-e-voce/#:~:text=Axciom%2C%20Epsilon%2C%20Datalogix%E2%80%A6,em%20v%C3%A1rios%20ramos%20de%20atua%C3%A7%C3%A3o.. Acesso em: 22 abr. 2023.
TRIBUNAL DE JUSTIÇA DE SANTA CATARINA. A importância de conhecer a LGPD. Disponível em: https://www.tjsc.jus.br/web/ouvidoria/lei-geral-de-protecao-de-dados-pessoais/a-importancia-de-conhecer-a-lgpd#:~:text=Em%20resumo%2C%20a%20LGPD%20inaugura,da%20personalidade%20da%20pessoa%20natural.. Acesso em: 22 abr. 2023.
ACERVO DIGITAL UFPR. Lei Geral De Proteção De Dados nº 13.709/2018: uma análise dos principais aspectos e do conceito privacidade na sociedade informacional. Disponível em: https://acervodigital.ufpr.br/bitstream/handle/1884/68114/TCC%20FINAL%20-%20lgpd.pdf?isAllowed=y&sequence=1. Acesso em: 18 jun. 2023.
Tratado de proteção de dados pessoais I Adriana Espíndola Corrêa … [et ai.]; coordenação Danilo Doneda … [et ai.]. 2. ed. Rio de Janeiro: Forense, 2023.
Teixeira, Tarcisio. Direito Digital e Processo Eletronico / Tarcisio Teixeira – 7 ed. – São Paulo: SaraivaJur, 2023.
