Você está na página 1de 8

LEI DE PROTEÇÃO DE DADOS EUROPEIA -> REGULAMENTO (UE) 2016/679 DO

PARLAMENTO EUROPEU E DO CONSELHO de 27 de abril de 2016


Em 4/5/2016 foi publicada o que se pode chamar de “Legislação europeia de proteção
de dados pessoais”. Essa fundamental novidade é composta por:
a) Regulamento (UE) 2016/679 do Parlamento e do Conselho (relativo à proteção
das pessoas no que diz respeito ao tratamento de dados pessoais);
b) Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho (relativa à
proteção das pessoas no que diz respeito ao tratamento de dados pessoais
pelas autoridades competentes para efeitos de prevenção, investigação,
detecção ou repressão de infrações penais);
c) Diretiva (UE) 2016/681 do Parlamento Europeu e do Conselho, (relativa à
utilização dos dados dos registos de identificação dos passageiros para efeitos
de prevenção, detecção, investigação e repressão das infrações terroristas e da
criminalidade grave). Para os 500 milhões de europeus, a normativa impactará
bastante.
Ademais, a entrada em vigor do Regulamento 2016/679 obrigará os Estados
Membros a um importante esforço de adaptação das instituições e da legislação
interna para cumprir as exigências de um texto que é de aplicação direta nos
ordenamentos nacionais. Com efeito, a nova regulação sobre proteção de dados vai
muito além da simples definição do direito a ser esquecido. Ela fundamentalmente
moderniza as regras de proteção de informações, criando um “mercado de dados”
na União Europeia e estreitando a cooperação entre os Estados Membros.
Para os brasileiros, essa “enormidade” jurídica poderá servir como inspiração para
o aperfeiçoamento doutrinário e jurisprudencial em assuntos tão sensíveis ao tema
do livre desenvolvimento da personalidade e a sua compatibilização com interesses
sociais e estatais.
Regulamento 2016/679: A Seção 3 (arts. 16 a 18) versa sobre a sensível questão
da “retificação e apagamento” de dados.
Seção 3
Retificação e apagamento
Artigo 16º Direito de retificação: O titular tem o direito de obter, sem demora
injustificada, do responsável pelo tratamento a retificação dos dados pessoais
inexatos que lhe digam respeito. Tendo em conta as finalidades do tratamento, o
titular dos dados tem direito a que os seus dados pessoais incompletos sejam
completados, incluindo por meio de uma declaração adicional.
Artigo 17. Direito ao apagamento dos dados («direito a ser esquecido») 1.O
titular tem o direito de obter do responsável pelo tratamento o apagamento dos seus
dados pessoais, sem demora injustificada, e este tem a obrigação de apagar os
dados pessoais, sem demora injustificada, quando se aplique um dos seguintes
motivos:
a) Os dados pessoais deixaram de ser necessários para a finalidade que motivou
a sua recolha ou tratamento;
b) O titular retira o consentimento em que se baseia o tratamento dos dados nos
termos do artigo 6.o, n.o 1, alínea a), ou do artigo 9.o, n.o 2, alínea a) e se não
existir outro fundamento jurídico para o referido tratamento;
c) O titular opõe-se ao tratamento nos termos do artigo 21.o, n.o 1, e não existem
interesses legítimos prevalecentes que justifiquem o tratamento, ou o titular
opõe-se ao tratamento nos termos do artigo 21.o, n.o 2;
d) Os dados pessoais foram tratados ilicitamente;
e) Os dados pessoais têm de ser apagados para o cumprimento de uma obrigação
jurídica decorrente do direito da União ou de um Estado-Membro a que o
responsável pelo tratamento esteja sujeito;
f) Os dados pessoais foram recolhidos no contexto da oferta de serviços da
sociedade da informação referida no artigo 8.o, n.o 1.
2.Quando o responsável pelo tratamento tiver tornado públicos os dados pessoais e
for obrigado a apagá-los nos termos do n.o 1, toma as medidas que forem razoáveis,
incluindo de caráter técnico, tendo em consideração a tecnologia disponível e os
custos da sua aplicação, para informar os responsáveis pelo tratamento efetivo dos
dados pessoais de que o titular dos dados lhes solicitou o apagamento das ligações
para esses dados pessoais, bem como das cópias ou reproduções dos mesmos.
3.Os n.os 1 e 2 não se aplicam na medida em que o tratamento se revele necessário:
a) Ao exercício da liberdade de expressão e de informação; b)Ao cumprimento de
uma obrigação legal que exija o tratamento prevista pelo direito da União ou de um
Estado--Membro a que o responsável esteja sujeito, ao exercício de funções de
interesse público ou ao exercício da autoridade pública de que esteja investido o
responsável pelo tratamento; c) Por motivos de interesse público no domínio da
saúde pública, nos termos do artigo 9.o, n.o 2, alíneas h) e i), bem como do artigo
9.o, n.o 3; d) Para fins de arquivo de interesse público, para fins de investigação
científica ou histórica ou para fins estatísticos, nos termos do artigo 89.o, n.o 1, na
medida em que o direito referido no n.o 1 seja suscetível de tornar impossível ou
prejudicar gravemente a obtenção dos objetivos desse tratamento; ou e) Para efeitos
de declaração, exercício ou defesa de um direito num processo judicial.

O direito de retificação abrange não apenas o pronto acesso à correção de dados


pessoais inexatos que digam respeito à pessoa, como ainda o direito a que os dados
pessoais incompletos sejam completados.
Já o Direito ao apagamento dos dados (“right to erasure”) recebe a nomenclatura de
“direito a ser esquecido” (“right to be forgotten”). Ele será exercido, sem demora
injustificada, quando se aplique um dos seguintes motivos (destaco os principais):
a) os dados pessoais deixaram de ser necessários para a finalidade que motivou o
seu tratamento; b) O titular retira o consentimento em que se baseia o tratamento
dos dados satisfeitos determinados pressupostos; c) O titular opõe-se ao tratamento
e não existem interesses legítimos prevalecentes que justifiquem o tratamento; d)
os dados pessoais foram tratados ilicitamente.
Finalmente, para além dos direitos à retificação e apagamento de dados, o legislador
europeu criou a figura do “direito à limitação de tratamento”, cuja incidência ocorrerá
quando (destaco os principais): a) o titular contestar a exatidão dos dados pessoais,
durante um período que permita ao responsável pelo tratamento verificar a sua
exatidão; b) o tratamento for ilícito e o titular dos dados se opuser ao apagamento
dos dados pessoais e solicitar, em contrapartida, a limitação da sua utilização; c) o
responsável pelo tratamento já não precisar dos dados pessoais para fins de
tratamento, mas esses dados sejam requeridos pelo titular para efeitos de
declaração, exercício ou defesa de um direito num processo judicial.
O Regulamento 2016/79 dá um importante passo no sentido de reconhecer o direito
fundamental ao tratamento dos dados pessoais como derivação do princípio da
dignidade da pessoa humana em sua dupla eficácia: negativa e positiva.
A dimensão negativa é tutelada com a materialização do direito à proteção em face da
sociedade e órgãos estatais quanto à publicidade de dados que desconsiderem o ser
humano, desrespeitando a sua honra, imagem ou vida privada. Por outro lado, a eficácia
positiva da dignidade é vivificada no direito à promoção da autonomia existencial da
pessoa, no sentido de que ela possa realizar o seu pleno desenvolvimento sem os
entraves de dados que estejam descontextualizados ou representem situações que não
mais correspondam à realidade.
Assim, o tratamento dos dados pessoais deverá ser concebido para servir as pessoas,
passando a ser divido em três espécies: “retificação”, “apagamento” e “limitação de
tratamento”. Conforme o visto, em uma linha de razoabilidade, o legislador modulou
abstratamente as hipóteses em que cada uma das figuras será contemplada.
No mais, ao estabelecer que o direito de ser esquecido será adaptado a era digital, a
diretiva cria três importantes regras:
a) o ônus da prova quanto à necessidade do não apagamento dos dados digitais passa
a ser da empresa, devendo provar que as informações ainda são necessárias ou
relevantes;
b) surge uma obrigação para aquele que controla a informação e a tornou pública, no
sentido de adotar medidas razoáveis (“reasonable steps”), conferindo publicidade ao
fato de que um indivíduo deseja deletar determinados dados;
c) as empresas devem assegurar o apagamento de dados sempre que houver uma
decisão judicial nesse sentido.
Evidentemente, não sendo absoluto o direito ao tratamento de dados pessoais, ele
será considerado em relação à sua função na sociedade e, portanto, equilibrado com
outros direitos fundamentais, em conformidade com a regra da proporcionalidade,
observando as liberdades e os princípios reconhecidos na Carta Europeia dos Direitos
Fundamentais e consagrados nos Tratados.
Assim, aduz o Regulamento 2016/79 que o “direito a ser esquecido”, não merecerá
acolhimento quando o tratamento de dados se revele necessário nos seguintes
aspectos (destaco os principais):
a) exercício da liberdade de expressão e de informação;
b) motivos de interesse público no domínio da saúde pública
c) Para fins de arquivo de interesse público, investigação científica ou histórica ou fins
estatísticos, na medida em que o direito ao apagamento seja suscetível de tornar
impossível ou prejudicar gravemente a obtenção dos objetivos desse tratamento.
Enfim, o Parlamento Europeu deu maior consistência legislativa a um tema
excessivamente vinculado a dois aspectos da contemporaneidade que antagonizam: o
direito individual de ser esquecido e o direito da sociedade de sempre lembrar quem nós
somos ou fizemos.
E quais serão os próximos capítulos dessa saga? Em 2014, no “leading case” de um
cidadão Espanhol que reclamou que uma publicação eletrônica de seu país persistia
em associar as pesquisas sobre o seu nome a um link que o remetia condição de
inadimplente, - não obstante a dívida já ter sido solucionada há muitos anos -, a Corte
Europeia de Justiça (CJEU) determinou que o “right to be forgotten” poderá ser acionado
para a remoção de “links” na internet quando a informação for imprecisa, inadequada,
excessiva ou irrelevante, o que dependerá principalmente de quanto tempo passou
desde que as referências originais da pessoa foram divulgadas. Certamente, uma
avaliação casuística seria necessária para definir se a informação em questão era
sensível à privacidade do indivíduo ou preponderaria o interesse social de acesso aos
dados.
Finalmente, temos um novo e importante capítulo em aberto. Em maio de 2016, a
Google levou ao “Conseil d’État” francês (Conselho de Estado) a sua pretensão de
cancelar uma decisão administrativa da autoridade local (CNIL) - inspirada no
julgamento da CJEU de 2014 – que, segundo a empresa, alarga perigosamente o
perímetro do direito de ser esquecido, ao determinar que a única forma de materializá-
lo será através de um filtro global, impondo a exclusão mundial dos dados em todas as
extensões do mecanismo de busca (e não apenas dentro das nações da União
europeia), de “links” que “pareçam ser inadequados, irrelevantes ou não mais relevantes
ou excessivos em razão da passagem do tempo”.
A Google considera essa determinação da autoridade francesa um risco, sobremaneira
quando nações “pouco democráticas” queiram se valer do precedente para obrigá-la a
aplicar regras autoritárias sobre remoção de dados com eficácia global, gerando uma
corrida mundial pela censura, em prejuízo ao acesso às informações que são
perfeitamente legais em outros países. Sem dúvida a decisão desse caso terá enorme
implicação para o futuro das democracias ocidentais em termos de delimitação de
conceitos como liberdades informacionais, livre iniciativa e soberania, pois se o
Conselho de Estado validar a referida decisão administrativa, só restará a Google uma
difícil opção: ou estenderá globalmente a concretização das futuras decisões francesas
sobre o direito a ser esquecido, ou então, que se retire definitivamente da pátria de
Balzac!

DIREITO AO ESQUECIMENTO NO REGULAMENTO GERAL DE PROTEÇÃO DE


DADOS PESSOAIS
Passarão a existir situações pré‐definidas em que o “direito ao esquecimento”
(apagamento) pode ser exercido sem mais, QUANDO:
• Os dados já não sejam necessários para a finalidade inicial;
• O consentimento inicialmente dado for retirado (quando expire na proposta do PE);
• Os dados forem obtidos ilicitamente;
• Seja exercido o direito de oposição;
• Assim o determine a lei (direito nacional ou europeu);
• Os dados pessoais forem obtidos, no contexto da oferta de serviços da sociedade de
informação, junto de crianças
O Regulamento 2016/679 de 27 de abril de 2016, busca tutelar as pessoas
singulares em relação ao tratamento de dados pessoais e à livre circulação
desses dados, revogando as disposições contidas na Diretiva 95/46/CE. Surgem
princípios basilares dessa nova regulamentação, como licitude, lealdade e
transparência, bem como, o consentimento que deve ser expresso, existindo
questões específicas para operações de tratamento de dados pessoais de
menores de 16 anos.

Em seu artigo 17 é tratado, especificamente do direito ao esquecimento (right to


be alone ou right to be forgotten), preceituando que: “O titular tem o direito de
obter do responsável pelo tratamento o apagamento dos seus dados pessoais,
sem demora injustificada, e este tem a obrigação de apagar os dados pessoais,
sem demora injustificada”.

O novo codex busca tratar de forma mais efetiva e ampla, sob a questão do
tratamento de dados pessoais, abrangendo a tutela antes realizada pela Diretiva
95/46/CE, não permitindo o abuso nesse tipo de operação, dando clara primazia
pelo direito fundamental da proteção da privacidade, sendo que entrará em vigor
na área de abrangência em 28 de maio de 2018, ate lá as empresas deverão se
adequar ao novo mandamento legal.

Essa nova visão, atrelada à cultura européia de proteção de dados exerce forte
influência no direito brasileiro, servindo de paradigma para os projetos de leis
existentes, sendo de grande valia para o início da cultura de tutela estatal do
processo de tratamento de dados pessoais no Brasil.

A PROTEÇÃO DE DADOS PESSOAIS NO BRASIL

Hoje em dia, no Brasil, não existe um diploma legal específico que trate a
respeito da proteção de dados pessoais, bem como do seu tratamento efetivo,
existindo um vácuo jurídico nesse campo importante da tutela de direitos na
internet.

Na Constituição Federal logo em seu art. 1o, III, preceitua que um dos
fundamentos do Estado Brasileiro é a dignidade da pessoa humana, para alguns
doutrinadores, esse princípio é a guia para a tutela efetiva de todos os direitos
fundamentais contidos na Carta Magna de 1988.

Mais a frente, no mesmo diploma legal, em seu art. 5o, X, preceitua que “são
invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas,
assegurado o direito a indenização pelo dano material ou moral decorrente de
sua violação”, ficando evidente a proteção dos direitos da personalidade, que
também ficam claros no art. 21 do Código Civil, ao preceituar que “A vida privada
da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará
as providências necessárias para impedir ou fazer cessar ato contrário a esta
norma”, protegendo a intimidade e a vida privada, possuindo grande ligação com
a questão da proteção dos dados pessoais sob a ótica européia,
consubstanciada no art. 8, no 1 da Carta dos Direitos Fundamentais da União
Européia.
A lei 8.078/90, Código de Defesa do Consumidor, em seu art. 43, trata da
questão do acesso por parte do consumidor aos dados pessoais que estejam
arquivados – “O consumidor, sem prejuízo do disposto no art. 86, terá acesso às
informações existentes em cadastros, fichas, registros e dados pessoais e de
consumo arquivados sobre ele, bem como sobre as suas respectivas fontes”,
mostrando uma preocupação do legislador com essa questão, sendo que o
referido artigo do CDC possui forte ligação com o art. 5o LXXII, ao prever o
remédio constitucional conhecido como habeas data, ao preceituar que: a) para
assegurar o conhecimento de informações relativas à pessoa do impetrante,
constantes de registros ou bancos de dados de entidades governamentais ou de
caráter público;b) para a retificação de dados, quando não se prefira fazê-lo por
processo sigiloso, judicial ou administrativo.

O remédio constitucional do Habeas Data não se mostrou de grande efetividade


e eficácia no ordenamento jurídico pátrio, sendo pouco utilizado, sendo
questionado, por alguns doutrinadores sobre a sua real importância como tutela
efetiva de proteção de dados pessoais.

Mais recentemente ocorreu a entrada em vigor da Lei 12.965/14, o Marco Civil


da Internet, que poderia ter resolvido, de certa forma, esse vácuo legislativo
existente no Brasil, já que o arcabouço jurídico pátrio não possui norma efetiva
que tutele a proteção de dados pessoais e seu tratamento, porém limitou-se a
tratar de forma tímida em seu art. 11 a questão da proteção dos dados pessoais,
deixando, ainda, um campo aberto para regulação.

Verifica-se que mesmo com a entrada em vigor do Marco Civil da Internet, o


legislador comete algumas impropriedades técnicas no art. 11, ao tratar coleta e
armazenamento de dados pessoais separado do tratamento desses dados,
sendo que a coleta e o armazenamento são uma forma de tratamento de dados
pessoais, essa questão é corrigida em todos os projetos de lei que estão em
pauta.

No segundo momento que seria possível a regulação específica de uma política


de proteção e tratamento de dados pessoais ou de uma guia maior sobre o tema,
com a edição do decreto 8.771/ 15 que regulamenta o Marco Civil da Internet, o
legislador não foi muito efetivo e tratou da questão bem en passant, nos arts. 13,
14 e 15, deixando, ainda, uma lacuna sobre o assunto.

Existem, atualmente, vários projetos de lei, em ambas as casas do Congresso


Nacional, que tratam especificamente de uma política nacional para a proteção
dos dados pessoais, os projetos já mencionados no começo desse artigo são:
Projeto de Lei no 5276/16, apensado ao projeto 4060/12 e os outros Projetos de
Lei que tramitam no Senado Federal, como o 131/14 (dispõe sobre o
fornecimento de dados de cidadãos ou empresas brasileiros a organismos
estrangeiros), 181/ 14 (estabelece princípios, garantias, direitos e obrigações
referentes à proteção de dados pessoais) e o 330/2014 (Dispõe sobre a
proteção, o tratamento e o uso dos dados pessoais, e dá outras providências),
que foram substituídos por um projeto de lei de autoria do Senador Aluízio
Nunes.
Todas essas iniciativas legislativas buscam tutelar de forma efetiva a questão da
proteção de dados pessoais e o seu tratamento, em sintonia com a Diretiva
Européia que trata a questão desde 1995, vê-se um vácuo legislativo de mais de
vinte anos para regular um assunto de extrema importância e que envolve
direitos fundamentais dos usuários da internet no Brasil.

CONCLUSÃO

Como podemos observar, devido à constante evolução dos assuntos ligados à


proteção e tratamento dados pessoais no mundo e a natureza desse tipo de
relação, se faz imperioso criar mecanismos de regulação legal para evitar que
ocorram abusos ou distorções, prejudicando os usuários.

O Brasil está em atraso, comparado a algumas nações do mundo que já dispõe


de diplomas legais, quer sejam esparsos, quer sejam direcionados para a
questão da proteção e do tratamento de dados pessoais.

Com base nessa evolução o Congresso Nacional, em ambas as casas, está em


movimento em busca de editar uma norma que regule o tema e traga mais
segurança jurídica para as relações que envolvam dados pessoais, sendo que
existe forte participação popular, principalmente da comunidade que estuda o
tema, na discussão dessas leis, nos moldes do que ocorreu com o projeto
2.126/11, que mais tarde deu origem à lei 12.965/14, conhecida como Marco
Civil da Internet.

O assunto não se esgotará com a entrada em vigor da futura lei de proteção de


dados, sendo que a sociedade e o entendimento dos tribunais é que trarão
solidez e efetividade para os futuros preceitos, mas certamente será uma grande
evolução para o assunto da proteção e tratamento de dados pessoais, deixando
o Brasil em sintonia com o que ocorre em boa parte do mundo.

O novo regulamento geral de proteção de dados pessoais: todo o espaço da


União Europeia passa a ter um tratamento comum.

O regulamento se aplica a todas as entidades que tratem de dados pessoais.


Essas entidades podem ser as que determinam a finalidade e os meios de
tratamento de dados pessoais, mas as que efetuem operações em regime de
subcontratação.

Se aplica a todo o território da União Européia. A definição de dados pessoais é


alargada.

O tratamento é lícito quando há:

- Consentimento do titular de dados

- É necessário para a execução de um contrato no qual o titular de dados é parte

- É necessário para o cumprimento de uma obrigação jurídica a que o


responsável pelo tratamento esteja sujeito
- É necessário para a defesa de interesses vitais do titular dos dados ou de outra
pessoa singular

- É necessário ao exercício de funções de interesse público ou ao exercício da


autoridade pública

- É necessário para efeito dos interesses legítimos prosseguidos pelo


responsável pelo tratamento ou por terceiros.

O regulamento define consentimento como uma manifestação de vontade, que


deve ser livre, específica, informada e explícita. Essa manifestação de vontade
representa a aceitação, que deve ser uma ação positiva, que o dados pessoais
que lhe dizem respeito sejam objeto de tratamento. O consentimento tácito é
inválido.

O regulamento consagra o direito ao apagamento de dados (direito a ser


esquecido), significando isto que o titular dos dados tem o direito de obter
do responsável pelo tratamento o apagamento dos seus dados pessoais,
sem demora injustificada.

General Data Protection Regulation (“GDPR”). Substituirá a diretiva 95/46/EC de


1995, época em que não era possível vislumbrar o panorama digital atual.

O direito ao esquecimento aggora estará previsto em lei positivada. Essa


regulação traz novos contornos à discussão, aumentando o escopo de sua
aplicação.

Um continente, uma lei – ao invés de se valerem de 28 legislacoes diferentes


cria-se um regime jurídico único, conferindo uma maior segurança jurídica as
empresas que atuam no digital marlet. As novas regras uniformizam a legislação
no espaço comunitário

Você também pode gostar