Os desafios do Brasil na nova era da proteção de dados pessoais e da privacidade

O Brasil, com a publicação da lei geral de proteção de dados - LGPD em 14/8/18, deu importante passo¹ para fazer parte do contexto internacional de regulação da proteção de dados e privacidade, cujas regras estão sendo ditadas pelo modelo regulatório europeu - GDPR.²

Neste contexto internacional, a privacidade é valor ex ante, a ser tratado como padrão e princípio; o livre consentimento (qualificado ou adjetivado) do usuário titular dos dados pessoais é condição prévia para o processo de tratamento; o tratamento deve obedecer importantes princípios, como o da boa-fé, da finalidade, da adequação e da não-discriminação; o controle do usuário sobre toda a cadeia de tratamento deve ser garantido pelos agentes de tratamento; as autoridades independentes têm ampla atuação, preventiva e repressiva, com várias funções previstas na lei.

Essa sistemática legal internacional em que se insere a LGPD é voltada para reduzir a assimetria da relação jurídica, técnica e econômica do titular de dados com o agente de tratamento de dados, e neste aspecto se assemelha a outras legislações que também enfrentam este tipo desigual de relação, como o CDC e a CLT.³

Outra peculiaridade das legislações⁴ é a previsão de aplicação extraterritorial com a exigência de adequação de outros países, gerando um efeito cascata, em que fomenta a produção ou revisão de normas sobre privacidade em todo o mundo. Outrossim, uma empresa adequada à lei tende a exigir de outras empresas o mesmo padrão de segurança, como condição prévia para a compartilhamento de dados pessoais.

O maior e mais populoso país da América do Sul constrói a sua regulação de proteção de dados e privacidade visando alcançar o nível de adequação correspondente ao nível da Europa e de outros países que já estão mais avançados na discussão sobre o tema e já adequados às normas emanadas deste epicentro, como os nossos vizinhos fronteiriços, Uruguai e Argentina.⁵

Ocorre que esta entrada não ocorreu da forma ideal. Logo de partida a LGPD sofreu veto presidencial importante, que impediu a imediata instalação de uma autoridade nacional de proteção de dados - ANPD, responsável por uma série de funções fundamentais para a aplicação da ratio legis, como a de zelar pela proteção dos dados pessoais, editar políticas e procedimentos importantes, além de fiscalizar a aplicação da lei, entre outras funções⁶.

Em um segundo momento, tal fato veio a ser parcialmente corrigido, com a edição da MP 869 de 27/12/18⁷. Diz-se parcialmente porque a ANPD introduzida pela referida MP veio sem a autonomia e a independência que se esperava, em comparação à ANPD do PL 53/18⁸.

Não é preciso ressaltar a importância da LGPD, diante da quantidade de dados que os cidadãos compartilham por meio do acesso à internet. O Brasil tinha, até o final de 2017, 74,9% dos domicílios com acesso a internet e 93,2% com a presença de celular. Além disso o telefone celular é o principal equipamento utilizado para acessar a internet, com 97% dos usuários da rede, cerca de 122,5 milhões de pessoas. E o acesso aumenta em todas as faixas etárias, nas zonas urbana e rural⁹.

Aliado a esses dados temos o caráter expansionista da sistemática legal: O conceito de dados pessoais é toda informação relacionada à uma pessoa identificada ou identificável, isto é, mesmo que uma informação tenha sido anonimizada, caso não tenha sido da forma correta, ainda poderá considerada dado pessoal. Tratamento é toda operação possível e imaginável: é a coleta, a produção, a recepção, a classificação, a utilização, o acesso, a reprodução, a transmissão, a distribuição, até mesmo a eliminação, entre outros, conforme predito no inciso X do art. 5º da LGPD.

Assim, temos que a LGPD afetará a todos que de alguma forma compartilham dados pessoais e por outro lado também impactará todas as empresas que tratam (coletar já faz parte do tratamento) dados pessoais de brasileiros e estrangeiros que estão no Brasil, mesmo se a empresa estiver sediada fora do território nacional e que a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços, ou o próprio tratamento de indivíduos que estejam no Brasil, exceto as hipóteses do artigo 4º (uso para fins particulares e não econômicos, utilizados exclusivamente como objetivo jornalístico ou artístico, ou acadêmico; e ainda para fins de segurança pública, defesa nacional e segurança do Estado).

Como se vê, os desafios não serão fáceis, já nesta fase de vacância da lei. Busca-se, no presente artigo, tratar de alguns desses desafios, sem a mínima intenção de esgotar os temas, ou mesmo a quantidade de desafios existentes.

1 - A conversão da MP 869 em lei ordinária.

A MP 869/18 criou a autoridade nacional de proteção de dados e alterou a LGPD em vários de seus dispositivos, como, por exemplo, aumentou o período de vacância para 24 meses, exceto com relação a alguns artigos que fazem parte do capítulo específico da ANPD, que tem aplicação imediata¹⁰.

Cumpre observar que a MP 869/18 foi alvo de críticas, principalmente por não ter trazido a ANPD com a autonomia que se esperava; por ter criado exceção à comunicação ou ao uso compartilhado entre controladores, de dados sensíveis referentes à saúde, como a do art. 11, § 4º, II; por ter excluído a possibilidade revisão, por pessoa física, de decisões tomadas unicamente com base em processo automatizado, dentre outras críticas.

Ainda assim, mesmo com críticas, a conversão da MP 869/18 é melhor que o transcorrer do seu período de eficácia, sem a devida conversão. Eventual não conversão em lei retiraria, do texto da LGPD, a ANPD existente, além de reduzir o período de vacância para dezoito meses novamente, o que seria um inestimável retrocesso.

Atualmente a mencionada medida provisória pende de conversão em lei, sendo que aguarda a formação de comissão mista, a ser composta por deputados Federais e senadores da República, além de seus suplentes, que devem emitir um parecer inicial sobre a MP editada pelo Poder Executivo; após o parecer da comissão, a MP deverá ser votada no sistema bicameral brasileiro, passando pela Câmara dos Deputados e pelo Senado Federal¹¹.

Assim, a norma editada pelo presidente da República (Michel Temer) está submetida ao Congresso Nacional, em observância ao procedimento que "objetiva sua transformação em lei formal"¹².

O primeiro e talvez mais iminente desafio é a conversão da MP em lei, dentro do prazo legal, que é exíguo: sessenta dias prorrogáveis por mais sessenta. Caso isso não ocorra, a MP perderá eficácia, o tempo de vacância será reduzido e a autoridade nacional restará encoberta por mais incertezas quanto à sua plena instalação e efetivo funcionamento antes do final do período de vacatio legis.

2 - Sobrevivência da LGPD às tentativas de afastá-la de seu modelo original.

Em recente artigo publicado na Folha de São Paulo¹³, o professor Ronaldo Lemos, especialista em direito e tecnologia, alertou para a existência de cento e setenta e cinco emendas ao texto legal propostas por membros do parlamento brasileiro. Lemos destaca que a lei brasileira deve buscar se manter incólume a qualquer tentativa de afastá-la da base na qual ela foi forjada, que é o modelo europeu. Vale citar o trecho da reportagem:

"A MP está agora em análise no Congresso. Mais de 175 emendas já foram propostas por parlamentares. O que fazer diante de todas essas propostas de mudanças? O melhor caminho é adotar um critério objetivo para apreciar as emendas. Tudo aquilo que aproximar a lei brasileira do regulamento Europeu de proteção de dados pessoais (o chamado GDPR) deve ser aprovado".

No mesmo sentido, se destacam as palavras do advogado e professor Renato Opice Blum¹⁴, especialista na área, no sentido de que "muita coisa pode intencionalmente mudar" na LGPD e será um desafio impedir o "desvirtuamento gradativo de notáveis conquistas".

Outro verdadeiro desafio, neste momento, é a superação das tentativas de alteração descuidada da LGPD. Temos, pelo espantoso número trazido pelo professor Lemos, mais que o dobro do número de artigos da lei, em tentativas de alteração.

Qualquer alteração descuidada na LGPD pode criar uma "jabuticaba jurídica", termo que designa uma lei única, sui generis, que só existiria no Brasil; uma miscelânia de regras que no todo afastam do modelo original europeu.

E caso esse obstáculo criado pelos próprios parlamentares não seja superado, pôe-se em risco a futura adequação do Brasil às legislações que tem origem no mesmo modelo e, consequentemente, põe óbice no fluxo internacional mais desimpedido de dados pessoais, além de manter o Brasil afastado do grupo de países que compõem a OCDE (organização para a cooperação e desenvolvimento econômico).

Importante deixar claro que alterações que aproximam a LGPD da essência do PL 53/18 e do modelo original são bem-vindas, inclusive as que partem da premissa de uma autoridade nacional verdadeiramente independente, que é tema do próximo tópico.

3 - Autoridade nacional de proteção de dados realmente independente.

É notório que a autoridade nacional de proteção de dados tem incumbências importantíssimas, espalhadas por toda a lei. Sem exageros, sem uma ANPD independente e autônoma, o sistema de proteção de dados fica na condição equivalente a um quebra cabeça faltando várias peças, ou seja, a LGPD fica omissa em vários de seus dispositivos, o que compromete sua essência e aplicação.

Como informado, a atual ANPD carece de independência, de autonomia, estando sujeita à possíveis "ingerências" do Poder Executivo. O professor Bruno Ricardo Bioni¹⁵ esclarece com esmero que a autoridade criada pela referida MP não tem a autonomia e independência que se esperava:

"Muito embora, naquela oportunidade, o ex-presidente havia ressalvado que iria criar a autoridade 'mais ou menos com os mesmos dizeres', não foi o que aconteceu. Diferentemente do que havia sido proposto no projeto de lei aprovado por unanimidade no Congresso Nacional, a ANPD passou a pertencer à Administração Pública direta e está subordinada à presidência da República. É o oposto de um regime de autarquia especial que, conforme tabela abaixo, conferiria mais independência institucional, funcional e financeira à ANPD:..."

Alguns pontos críticos chamam a atenção, como por exemplo, que o conselho diretor da ANPD, órgão máximo de direção (composto por cinco diretores), incluído o diretor-presidente, terão seus membros nomeados pelo presidente da República e ocuparão cargo em comissão; podem ser demitidos, como pena decorrente de processo disciplinar, instaurado pelo ministro de Estado chefe da Casa Civil da presidência da República; processo esse será conduzido por comissão especial de servidores públicos federais estáveis, competindo ao presidente determinar o afastamento preventivo do membro, caso necessário.

Note que a autoridade está eivada de interferência (muito) direta dos chefes do Poder Executivo: o presidente da República e o ministro chefe da Casa Civil¹⁶ e o afastamento preventivo de um membro do conselho diretor, caso necessário, pelo laconismo da expressão, abre margem a decisão discricionária e subjetiva.

Ainda que o art. 55-B da LGPD preveja autonomia técnica à ANPD, o cenário de interferência direta explicado acima e a retirada da palavra indireta da definição da ANPD (art. 5º, inciso XIX, da LGPD) vão no sentido contrário, trazendo uma Autoridade Nacional vinculada ao conceito de administração direta e centralizada pelo Poder Executivo, com elementos de vinculação-subordinação entre a ANPD e o Poder Público.

A genuína autonomia e independência da ANPD em relação ao Poder Público é um desafio a ser superado, visto que este último é um relevante agente de tratamento de dados pessoais e devem se submeter às regras da LGPD, incluída a própria fiscalização da ANPD, que inclui processo administrativo e aplicação de multas.

A ANPD deve ser livre, independente e autônoma para poder exercer suas funções, justamente para poder agir em relação à este importante agente de tratamento; inclusive, a aplicação da lei ao Poder Público é o próximo desafio.

4 - Aplicação da lei ao setor público.

Não é palatável uma legislação sobre a privacidade e proteção de dados pessoais sem a subsunção do Poder Público à razão legal, pois um dos principais agentes de tratamento de dados pessoais, em razão do atendimento de sua finalidade pública. Basta verificar que é pressuposto para uma administração pública eficiente o conhecimento tão acurado quanto possível da população¹⁷.

No entanto, cabe notar um crescente movimento de uso da tecnologia na governança pública, pelo mundo todo. O grande exemplo é o caso da Índia, que em 2009 criou uma plataforma digital chamada Aadhaar¹⁸, introduzindo a identidade digital única para todos residentes naquele país. O cadastramento foi aderido pela maciça maioria da população e de lá pra cá novos negócios surgiram, como por exemplo, desenvolvimento de um sistema bancário formal¹⁹.

A Índia, além de unificar e simplificar a identidade, em um segundo momento, também escaneou os olhos, faces e digitais de mais de 1,2 bilhões de habitantes, gerando uma gigantesca base de dados de identificação biométrica.

Acontece que o número de doze dígitos do Aadhaar passou a ser cobrado pelas empresas privadas para a celebração dos mais corriqueiros negócios, como a compra de uma passagem aérea, ou a matrícula em uma escola de línguas, o que foi alvo de duras críticas, por possibilitar uma constante e minuciosa vigilância da vida privada de uma pessoa, visto que para cada ato é fornecido o mesmo número.

Recentemente a corte suprema da Índia considerou inconstitucional a cobrança, por empresas privadas, do número de identidade, como condição para oferecimento de produtos ou serviços, mas, por outro lado, considerou constitucional a identidade única e os dados biométricos tratados para fins de interesse público.

Não se ignora as críticas voltadas para o sistema da Índia, no tom da obra clássica "1984", de Eric Arthur Blair²⁰, porém não é o objetivo do artigo aprofundar nesse rico assunto da vigilância, mas tomar o país do oriente como uma lição para o Brasil, de como é possível fazer uma identidade única, que foi o primeiro passo dado pela Índia, em 2009.

A Estônia, diríamos, favorecida por ser um país pequeno e com a população menor do que a das cidades de Salvador, Rio de Janeiro ou Curitiba, foi além no quesito do uso da tecnologia no governo e colocou os principais serviços públicos online. O cidadão estoniano, sem sair de casa, usando a própria identidade digital, acessa os serviços de previdência, agenda uma consulta no sistema de saúde (público), efetua o registro de empresas e licenciamentos, transferência de veículos, podendo até mesmo exercer o sufrágio de casa.

Outros países também avançam rumo ao uso da tecnologia no setor público em vista da simplificação e melhora da vida dos seus cidadãos: Canadá, Chile, China, Emirados Árabes, Israel, Uruguai e Singapura, conforme estudo sobre governo e tecnologia²¹.

O Brasil ensaia alguns passos (tortuosos) neste sentido. Diz-se tortuosos porque ainda não há uma afinação sobre um documento digital único, mas sim, projetos apartados, cada qual com um objetivo distinto: CNH digital; a carteira de trabalho digital; o título de eleitor digital e o e-CPF, por exemplo. Com essa quantidade de documentos, a eliminação da burocracia e a melhora da vida do cidadão ficam comprometidos.

Independentemente do rumo que o Brasil tomar quanto ao uso eficiente da tecnologia em prol a eficiência na administração e melhoria da vida do cidadão, o Poder Público, atualmente, já é um dos principais agentes de tratamento de dados pessoais, até mesmo porque é condição para o Estado exercer suas funções a coleta e a organização de dados dos indivíduos, e. g., dados dos usuários que recebem a assistência do programa bolsa família, ou do "LOAS", ou ainda dados tratados pela Receita Federal, para a cobrança dos tributos, etc.    

É neste esteio que a LGPD deve permanecer com suas previsões cogentes também ao Poder Público, pois não faria sentido impor as regras somente à metade dos agentes de tratamento, da esfera privada, e deixar o cidadão titular de dados ceifado de proteção quanto aos dados (sensíveis) tratados pela esfera pública de administração.

Esta meia proteção seria um desastre, pois além de rebaixar o Brasil para um patamar de desconfiança quanto aos reais níveis de proteção da privacidade, incorreria em inafastável ineficácia da proteção como um todo, pois de nada adiantaria o setor privado despender tanta energia para entrar em compliance com elevado padrão de privacidade, se, ao final, o vazamento indevido de dados pessoais por proteção inadequada, por parte setor público, não fosse tratado pela LGPD, restando sem punição, o que certamente não instigaria as empresas públicas a adotarem padrões internacionais de proteção.

A aplicação da LGPD ao Poder Público e ao Poder Privado, essencialmente de forma indistinta, ainda que respeitada algumas diferenças, é um grande desafio, que se não for realmente superado, coloca em xeque a ratio legis da lei, que é proteger os dados pessoais e a privacidade dos usuários contra abusos e atribuir maior controle do titular dos dados sobre os mesmos, durante toda a cadeia de tratamento, independentemente da natureza da empresa.

5 - Curto período para adquirir tanta maturidade.

Não existe o pleno exercício de acesso à internet sem a garantia do direito à privacidade e da proteção dos dados pessoais²² e partindo desta premissa, temos que a LGPD vem para ser verdadeiro "marco" da proteção de dados pessoais no Brasil.

Como já informado, a nossa lei se baseou em um modelo europeu, que tem origem nas guidelines da OCDE²³ e na convenção 108 de Strasbourg²⁴, que remete ao início da década de 1980, ou seja há quase 4 décadas. Bruno Ricardo Bioni, com maestria, na obra "a função e os limites do consentimento"²⁵, nos ensina que:

"Resulta, portanto, de mais de 3 (três) décadas a proeminência das guidelines da OCDE, as quais vieram a influenciar as mais diversas legislações sobre proteção de dados pessoais ao redor do mundo. Esse processo teve como fio condutor a elevação do titular dos dados pessoais como principal ator da dinâmica normativa sobre proteção de dados pessoais. A replicação de muitos dos direitos acima elencados nas mais diversas legislações, que convergem para o papel de destaque que o consentimento do titular dos dados desempenha nesse arranjo normativo, é elucidativa para a compreensão de como até hoje foram estruturadas as normas sob tal temática ao redor do mundo."

Nesse mesmo sentido, a doutora Viviane Nóbrega Maldonado²⁶ explica o seguinte: "Anos depois, já na década de 1980, foi firmada a convenção para a proteção das pessoas singulares no que diz respeito ao tratamento automatizado de dados pessoais (convenção 108, de 28 de janeiro de 1981), no âmbito do conselho da Europa, e que ostenta, portanto, o status de primeiro instrumento internacional juridicamente vinculante adotado no domínio de proteção de dados".

O desafio que se vislumbra é a dificuldade para assimilar um modelo rico, mas denso e (ainda) complexo, originário de um sistema que já vem sendo amadurecido por décadas, com o auxílio várias autoridades independentes dentro da EEA (espaço econômico europeu), em um curto período de 24 meses, como o previsto na LGPD.

A maturidade não passa apenas pela dificuldade de assimilação do direitos e a efetivação do compliance, mas também pela correta harmonização da LGPD com outros instrumentos normativos, como a lei de acesso à informação e a lei do cadastro positivo, tarefa esta que deve ser realizada com a articulação da ANPD, como previsto no artigo 55-K, parágrafo único da lei²⁷.

Outro ponto é que a LGPD, em comparação com a GDPR, também é menos detalhada, não contando com o auxílio dos 173 recitals que a regulação europeia oferece como suporte ao texto legal, o que é um precioso auxílio na compreensão da essência da lei.

Temos ainda a agravante de pairar algumas incertezas até mesmo quanto ao texto legal definitivo que passará a viger, e também quanto à independência da ANPD, como já foi abordado neste artigo.

A vacatio legis de vinte e quatro meses²⁸ contados de 14 de agosto de 2018, período semelhante ao da GDPR²⁹, ainda que possa parecer um período longo de vacância, se comparado a outros sistemas legais que passaram por reformas na história recente³⁰, pode se mostrar um período curto para a realidade brasileira, pois até o momento sequer existe uma ANPD em funcionamento.

Ou seja, o tempo de vacância não será integralmente destinado ao processo de "amadurecimento", à plena assimilação e forma de exercício dos direitos do titular de dados, e dos deveres, por parte dos agentes de tratamento, que podem ser pessoas jurídicas ou físicas.

O Brasil terá que correr contra o relógio e aproveitar o histórico europeu existente, como bem apontam os especialistas Renato Leite Monteiro, Maria Cecília Gomes e Bruno Bioni, em texto produzido para a international association of privacy professionals (IAPP)³¹, em que tecem um rico comparativo entre LGPD e GDPR, do qual se destaca o seguinte trecho:

"A LGPD é muito semelhante GDPR no contexto, estrutura e razão final - proteger os direitos e liberdades fundamentais das pessoas físicas - especialmente o desenvolvimento da personalidade das pessoas físicas No entanto, suas diferenças tornam a lei única e, de certa forma, mais avançada do que a GDPR, por exemplo, e. g. a inclusão no escopo da lei de dados anônimos utilizados para propósitos de perfilização, uma disposição que está no coração de modelos de negócios de análise comportamental de todos os tipos. No entanto, o Brasil tem muito a aprender com a história e as perspectivas da proteção de dados na Europa. Sem dúvida, lições da União Europeia serão necessárias para ler e interpretar cuidadosamente a lei brasileira."

É exatamente a sólida experiência europeia que pode ser favorável ao Brasil, a servir de orientação quanto às omissões da nossa lei, afastando-o de uma perigosa miscelânia que a torna a tal "jabuticaba" jurídica, que apenas isolaria o país do diapasão correto, da razão da lei.

6 - Adequação da LGPD.

A rapidez e a dinâmica disruptiva dos avanços tecnológicos, em uma web globalizada, vieram a permitir que o cidadão partilhe muito facilmente informações sobre os seus comportamentos e preferências, de forma constante, tornando-as públicas e globalmente acessíveis³².

Como informado no início deste artigo, a aplicação extraterritorial da lei de proteção de dados é uma peculiaridade deste sistema. Como exemplo podemos citar um hotel brasileiro de renome internacional, que oferece seus serviços aos cidadãos residentes em algum país do espaço econômico europeu (EEA), possibilitando até mesmo o pagamento em euro. Este hotel deverá respeitar a GDPR.

Outro exemplo claro seria a de uma empresa aérea nacional, que oferece passagens aéreas aos cidadãos da Alemanha, da Espanha, Itália, etc. Para empresas deste ramo, com atuação internacional, a LGPD já não é um tema de total ineditismo, pois muitas já tiveram que se adaptar à GDPR, vigente desde 25 de maio de 2018³³, também com previsão de sanções bastante significativas.

Mais um exemplo de aplicação extrajudicial, desta vez da LGPD: um show ou evento que ocorra em Buenos Aires, sendo apresentação única, de alguma banda de fama internacional. Certamente atrairia pessoas do Brasil, especialmente da região Sul, pela proximidade. Neste caso a comercialização exclusiva dos ingressos é feita por uma empresa com sede na Argentina, em site disponível no Brasil, em espanhol, português e inglês, possibilitando que a transação seja possível de ser concluída em Real. Esta empresa argentina deverá observar as regras da LGPD quanto ao tratamento de dados pessoais decorrente.

Para facilitar o tratamento de dados em escala Global, um determinado país pode considerar outro país como adequado, em termos de proteção e privacidade. A Europa já faz isso há tempos, primeiro por meio da The Article 29 Working Party e agora pela European Data Protection Board, decidem quais países têm nível de adequação correspondente ao adotado no velho continente. Vários países já eram adequados à diretiva 95/46, reconhecidos como países com níveis adequados de proteção, o que facilita o fluxo de dados dos cidadãos da União Europeia para os mesmos. Outros logram êxito nesta adequação apenas recentemente, com certas dificuldades, sendo o Japão um grande exemplo de adequação. A ANPD é a responsável por reconhecer quais países estão adequados à LGPD.

Caso o Brasil não consiga atingir padrão adequação, o que deverá ser decidido pela European Data Protection Board, terá dificuldades para se inserir neste contexto, fazer papel de protagonista na América do Sul, além de ficar alijado da plena inserção em uma economia digital global, lembrando que outros países importantes, como o Japão, e até mesmo o Estado da Califórnia³⁴, nos Estados Unidos, estão se adequando à GDPR.

Esses são os desafios vislumbrados pelo autor do artigo e certamente não esgotam o tema, muito menos excluem outros, como por exemplo, um desafio que se apresenta de forma indireta, que é o atual cenário político, de intensa polarização, presente até mesmo em discussões envolvendo temas extremamente importantes, além da pauta do legislativo que terá seu foco voltado para as reformas.

Porém, são desafios concretos que estão pela frente e deverão ser enfrentados com urgência, visto a relevância e abrangência do tema que é a regulação da proteção de dados pessoais e da privacidade em uma realidade atual de constante conexão à internet, o que significa compartilhamento de dados de forma ininterrupta.

Em poucos dias, deveremos ter novidades quanto aos andamentos dos trabalhos da comissão mista encarregada para fazer o parecer sobre a MP 869/18 e espera-se bom senso dos congressistas no trato de tema tão importante e caro a todos, pessoas físicas ou jurídicas, privadas ou públicas.

Nosso país não pode "dar passos em falso" no enfrentamento dos desafios destacados, sob pena de se distanciar de sua essência, do seu molde e assim ter futuros problemas quanto a aplicação e eficácia da LGPD e sua adequação ao sistema emanado da "superpotência regulatória"³⁵.

__________

1 A promulgação da LGPD permitiu que o Brasil fizesse parte, como membro observador, da convenção 108, importante documento internacional sobre a privacidade, com ênfase nos direitos humanos e democracia. Importante ter em mente que a convenção 108 é um documento importantíssimo que serviu de base para a directiva 94/45 CE, para a GDPR e também para a LGPD brasileira.

2 GDPR é o acrônimo da expressão inglesa General Data Protection Regulation, que é a regulação (EU) 2016/679. Também se encontra o acrônimo RGPD, do termo Regulação Geral de Proteção de Dados, que é a versão em língua portuguesa.

3 O art. 42, § 2º prevê a inversão do ônus da prova a favor do titular no caso de haver verossimilhança da alegação e hipossuficiência para fins de produção de prova ou quanto a produção for excessivamente onerosa.

4 Artigo 3º da LGPD e o artigo 3 da General Data Protection Regulation. 

5 Ainda sob a orientação da Diretiva 95/46/EC, a Argentina adequou-se às regras europeias em 30/6/03 e o Uruguai em 21/8/12.  Ademais ambos os países fazem parte da convenção 108, assim como México Para saber mais sobre os países reconhecidamente adequados pela União Europeia, acessar "Adequacy Decisions.". Acessado em 22/2/19.(original em inglês).

6 O artigo 59-J apresenta longa lista de funções que a Autoridade Nacional de Proteção de Dados deverá desempenhar. Além disso, outras funções estão previstas ao longo do texto, como as previstas no art. 10, § 3º (legítimo interesse do controlador); art. 11, § 3º da LGPD (regulamentação dados sensíveis); art. 12, § 3°(padrões e técnicas dados anonimizados); art. 18, § 1º (receber as petições dos titulares dos dados reclamando de violação de um ou alguns dos vários direitos previstos em Lei); art. 20, § 2° (auditoria sobre possível caráter discriminatório em tratamento automatizado); arts. 23, § 1º, 26, § 2º, 29, 30, 31 e 32 (tratamento de dados pelo poder público); art. 33, V e § único, 34, 35 e 36 (transferência internacional de dados); arts. 38, 40, 41, II e § 3º (agentes de tratamento e encarregado); arts. 46; § 1º, 48, § 1º e § 2º, 50, II e 51 (segurança e boas práticas); art. 52, § 4º, 53 e 54 (sanções administrativas), além das disposições contidas no capítulo IX, específicas à Autoridade Nacional de Proteção de Dados (ANPD).  

7 A MP 869/18 tem várias outras disposições importantes além das relativas à ANPD, porém não é o objetivo do presente artigo comentar integralmente suas disposições.

8 O art. 5º, XIX, da LGPD, atualmente está com a redação introduzida pela MP 869/18, que define a autoridade nacional como "órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta lei". A redação original, vinda do PL 53/18, continha a palavra "indireta" após a palavra pública e antes de "responsável". 

9 Fonte dos dados mencionados: Instituto Brasileiro de Geografia e Estatística. PNAD Contínua TIC 2017: Internet chega a três em cada quatro domicílios do país. (acessado em 25/2/19)

10 Art. 65 -  Esta lei entra em vigor: I - quanto aos art. 55-A, art. 55-B, art. 55-C, art. 55-D, art. 55-E, art. 55-F, art. 55-G, art. 55-H, art. 55-I, art. 55-J, art. 55-K, art. 58-A e art. 58-B, no dia 28 de dezembro de 2018.

11 CMMPV 869/18 - Comissão Mista da MP 869, de 2018. - Atividade Legislativa - Senado Federal. Acessado em 3/3/19.

12 SILVA, José Afonso da. Comentário Contextual à Constituicão. Malheiros Editores, 2011, p. 461.

13 LEMOS, Ronaldo. Lei De Dados Deve Evitar Jabuticabas. Folha de S. Paulo, 18/2/19.

14 OPICE BLUM, Renato. As Conquistas da Lei Geral de Proteção de Dados - Página Aberta - publicado em 28 de janeiro de 2019. Acessado em 3/3/19.

15 BIONI, Bruno Ricardo. Privacidade e proteção de dados pessoais em 2019. 

16 Art. 55-C, I; art. 55-D, § 1º; art. 55-E, § 1º e § 2º, todos da LGPD.

17 Doneda, Danilo. Da Privacidade à Proteção de Dados Pessoais. Editora Renovar. 2006, p. 8

18 Aadhaar, que significa "Fundação" em hindi é uma plataforma digital de identificação de todos os residentes do País, sendo composto de um número de 12 dígitos distribuídos pela Unique Identification Authority of India (UIDAI).

19 Aponta o estudo Governo e Tecnologia: Como promover a Transformação Digital do Serviço Público cujo seguinte trecho é bastante elucidativo: "Em cima do pilar do Aadhaar, várias oportunidades e serviços estão sendo criados. Isso permitiu à Índia inclusive desmonetizar a economia. O país retirou de circulação todas as notas mais altas de dinheiro. Todas as cédulas de mais de 20 reais foram retiradas de circulação. Apenas dinheiro de 'troco' circula hoje em papel. Dentre as razões para isso está o combate à corrupção. Um político corrupto que quisesse guardar 50 milhões de reais em dinheiro vivo precisaria não de um apartamento, mas de um estádio para armazenar as notas pequenas. Tudo isso só foi possível por causa do processo de bancarização gerado pelo Aadhaar."

20 pseudónimo George Orwell

21 Corte Suprema da Índia confirma a legalidade da maior base de dados biométricos do mundo.

22 Marco Civil da Internet: jurisprudência comentada / coordenadores Carlos Affonso Souza, Ronaldo Lemos, Celina Bottino. - São Paulo: Editora Revista dos Tribunais, 2017, p. 19.

23 Privacy guidelines de 1980 e Declaration on transborder data flows de 1985, ambos da OCDE. Essas guidelines passaram por uma revisão em 2013 (OECD Privacy Framework).

24 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, exarada pelo Conselho da Europa, datada de 21/1/81.

25 Bioni, Bruno Ricardo. Proteção de Dados Pessoais - A Função e os Limites do Consentimento (p. 119). Forense. Edição do Kindle.

26 MALDONADO, Viviane Nóbrega. Comentários ao GDPR: Regulação Geral de Proteção de Dados da União Europeia / Viviane Nóbrega Maldonado, Renato Opice Blum, coordenadores - São Paulo: Thomson Reuters Brasil, 2018, p. 88.

27 Art. 55-K - A aplicação das sanções previstas nesta lei compete exclusivamente à ANPD, cujas demais competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública. (Incluído pela MP 869, de 2018)

28 Artigo 65, inciso II, com a redação dada pela MP 869/18.

29 A GDPR foi publicada em 4/5/16 e entrou em vigência em 25/5/18, conforme previsto no art. 99(2). A regulamentação europeia, ao invés de prever o prazo de vacância, já prevê a data exata de entrada em vigência da lei, evitando-se assim divergências quanto à data exata de entrada em vigência.

30 Lei Federal 10.406/02 e lei Federal 13.105/15, respectivamente CC e CPC, tiveram um ano de vacância.

31 BIONI, Bruno; LEITE MONTEIRO, Renato; OLIVEIRA, Maria Cecília. GDPR Matchup: Brazil's General Data Protection LAW, IAPP, 4/10/18. (original em inglês).

32 NOTÍCIAS, D. D. E. Proteção de dados: uma utopia ou já uma realidade. Acessado em 4/3/19.

33 "Além disso, companhias aéreas tratam muitos dados pessoais sensíveis, tais como verificação de identidade por biometria; dados de saúde do passageiro que demanda uma assistência específica durante o voo; e dados a respeito de preferências alimentares que possam indicar convicção religiosa (como a alimentação kosher). Um maior cuidado com o tratamento de tais dados será necessário". Clique aqui. Acessado em 9/3/19.

34 California Consumer Privacy Act.

35 Termo utilizado pelo Professor Ronaldo Lemos para se referir à Europa neste cenário de regulação, tanto em cursos do ITS (Instituto de Tecnologia e Sociedade) como no prefácio à obra Lei Geral de Proteção de Dados Pessoais comentada, conforme se extrai do seguinte trecho: "Nesse sentido, a Europa vem se tornando uma espécie de superpotência regulatória. Modelos de regulamentação desenhados no continente europeu vem sendo disseminados ao redor do mundo com relação aos mais diversos temas: direito concorrencial, regulação da internet e, sobretudo, proteção de dados." COTS, Márcio. Lei Geral de Proteção de Dados Pessoais comentada / Márcio Cots e Ricardo Oliveira. São Paulo: Thomson Reuters Brasil, 2018, p. 11

___________

*Fernando Gomes Miguel é advogado.