Escolar Documentos
Profissional Documentos
Cultura Documentos
CAPÍTULO 1 - INTRODUÇÃO
A proteção de dados pessoais tem ganhado cada vez mais importância na atual
sociedade da informação, tendo em vista a coleta indiscriminada de dados e o
permanente monitoramento das pessoas para atender às crescentes exigências de
segurança interna e externa, interesses de mercado e reorganização da gestão pública.
Frequentemente, vemos nossos dados sendo coletados por organizações para o
direcionamento de campanhas de publicidade ou até mesmo para decisões como
concessão de crédito ou para a concessão de direitos contemplados por políticas
públicas.
Nas palavras de Gustavo Tepedino, “a cada dia, uma infinidade de dados é extraída, de
forma incalculável, por agentes econômicos. A utilização de cartões de crédito,
andróides, tablets, computadores e redes sociais fornecem, voluntária ou
involuntariamente, nossos dados pessoais a destinatários anônimos, públicos e
privados, sem que possamos controlar a finalidade de sua utilização. Dados genéticos,
preferências culturais, estéticas e de consumo, orientações política, religiosa, sexual,
tudo é coletado em tempo real. Tais informações dizem respeito à privacidade,
intimidade, honra, integridade psicofísica e identidade pessoal; direitos da
personalidade cuja gestão deve ser atribuída ao próprio titular. O Direito Civil ocupa-se,
assim, com aspectos preventivos, tutelando a autonomia dos interessados para decidir
quanto à disponibilidade desses dados; e com aspectos de sua patologia, no âmbito da
responsabilidade civil e de medidas reparatórias. (TEPEDINO, Gustavo. As tecnologias e
a renovação do Direito Civil).
Desta forma, a proteção de dados deve ser vista como aspecto essencial da tutela da
dignidade da pessoa humana, uma vez que devem ser evitadas discriminações que
não encontrem fundamento constitucional e afastadas práticas que possam reduzir a
liberdade e a autonomia dos indivíduos, a exemplo de decisões que sejam tomadas a
partir da análise de dados não informada ao seu titular ou à luz de critérios não
transparentes.
Contudo, até 2018, o ordenamento jurídico brasileiro não dispunha de uma lei
específica para a proteção de dados pessoais, sendo que sua tutela amparava-se em
dispositivos da Constituição da República (art. 5º, X e XIII, que contemplam a
inviolabilidade da intimidade e da vida privada e o sigilo de dados), do Código Civil
(com o direito fundamental à privacidade previsto no art. 21) e em outras leis esparsas
como o CDC (Código de Defesa do Consumidor), o Marco Civil da Internet, a Lei de
Acesso à Informação e a Lei do Cadastro Positivo. Neste sentido, mesmo antes da
LGPD, um importante Enunciado chegou a ser aprovado pela II Jornada de Direito Civil
do Conselho da Justiça Federal (CJF), sob coordenação do professor Gustavo Tepedino:
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa
natural ou por pessoa jurídica de direito público ou privado, independentemente do
meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
Por isto, conforme iremos demonstrar ao longo do material, a LGPD possui um amplo
espectro de incidência sobre a Administração Pública, inclusive sobre empresas
estatais, que possuem um dispositivo próprio na lei. Ademais, a aplicação da LGPD não
deve ser dissociada da Lei de Acesso à Informação, que também possui alguns
dispositivos próprios relativos à publicidade e transparência de dados na
Administração Pública.
Antes de aprofundarmos o tema, contudo, é necessário conhecer alguns conceitos
básicos trazidos pela lei. Vejamos.
Sobre este tema, o professor Carlos Nelson Konder na obra Lei Geral de Proteção de
Dados Pessoais e suas repercussões no Direito Brasileiro, no capítulo “O tratamento de
dados sensíveis à luz da Lei 13.709/2018”, afirma que: “A marca característica do dado
pessoal, em geral, é a identificabilidade da pessoa natural a que ele se refere. Ou seja,
o dado será considerado pessoal não somente se ele próprio servir a identificar o seu
titular (por exemplo, o nome ou o número de CPF), mas também se, a partir da
integração com outras informações, essa identificação for possível (por exemplo, o
endereço ou o Internet Protocol – IP, o número que identifica o computador na rede).”
(GUSTAVO TEPEDINO, ANA FRAZÃO, MILENA DONATO OLIVA. Lei Geral de Proteção de
Dados Pessoais e suas repercussões no Direito Brasileiro).
Para além do conceito de dado pessoal acima exposto, a LGPD fez questão de conferir
especial proteção ao chamado dado pessoal sensível. Consoante disposto em seu art.
5º, II, será considerado sensível o dado pessoal que tratar sobre origem racial ou
étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico vinculados a uma pessoa natural.
Nota-se que o dado sensível é uma espécie do gênero dado pessoal. Assim, todo dado
sensível será pessoal, porém nem todo dado pessoal será sensível. A característica que
permite identificar os dados como sensíveis é o fato de que o conhecimento sobre tais
dados pode contribuir para a discriminação de uma pessoa, causando-lhe certos
estigmas perante a sociedade.
Na tentativa de coibir esta prática, a LGPD previu essa categoria específica de dados
pessoais, haja vista sua maior necessidade de proteção ante sua relação direta com a
dignidade da pessoa humana. Neste sentido, é interessante destacar o posicionamento
do mencionado professor Carlos Nelson Konder: “os dados sensíveis são dados
pessoais especialmente suscetíveis de utilização para fins discriminatórios, como
estigmatização, exclusão ou segregação, de modo que seu tratamento atinja a
dignidade de seu titular, lesionando sua identidade pessoal ou privacidade. O próprio
anteprojeto da legislação identifica que o fim precípuo do tratamento diferenciado dos
dados sensíveis é impedir a discriminação da pessoa humana com base nas suas
informações. Por essa razão somente podem ser sensíveis os dados referentes à pessoa
humana, em virtude do valor intrínseco da sua dignidade”.
Vale ressaltar também que para o mencionado autor, o art. 5º, II da LGPD não se
configura como um rol taxativo dos dados pessoais considerados sensíveis, uma vez
que pela qualidade que possuem, outros dados podem vir a ostentar tal característica.
Em relação ao dado anonimizado, este encontra-se previsto no art. 5º, III da LGPD,
sendo caracterizado como o dado relativo a titular que não possa ser identificado. É
possível inferir que tal categoria NÃO faz parte do conceito de dados pessoais já
exposto, tratando-se de categoria a parte, que não está sujeita à incidência da LGPD,
pois entende-se que se não é possível a identificação do sujeito, não há viabilidade
para aplicação das sanções que a lei prevê.
Outro tópico importante que merece ser ressaltado em relação aos dados
anonimizados, diz respeito a pseudonimização, prevista no art. 13, §4º da LGPD:
De acordo com tal dispositivo, o titular do dado pseudonimizado não será identificado
porque será feita uma separação entre o dado e a informação que seria capaz de
identificá-lo. Assim, a informação deve ser mantida em separado, para que não haja
associação dos dados que permita a identificação do titular.
Outros conceitos importantes na LGPD estão previstos nos incisos VI, VII, IX e X do art.
5º. Falamos aqui dos conceitos de controlador, operador, tratamento e agentes de
tratamento.
Já a definição de operador está prevista no art. 5º, VII, que poderá ser, novamente,
tanto a pessoa natural ou jurídica, de direito público ou privado, a qual, por sua vez,
realiza o tratamento de dados pessoais em nome do controlador.
Vale ressaltar que as figuras do controlador e do operador são nomeadas pela LGPD
como agentes de tratamento, nos termos do inciso IX do mencionado art. 5º.
Como vimos no tópico acima, o conceito de tratamento de dados disposto no art. 5º, X
da LGPD é extremamente amplo, contemplando todas as operações relativas à coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação,
controle da informação, modificação, comunicação, transferência, difusão ou extração
de dados pessoais.
Para além destes dispositivos citados, a LGPD estabeleceu um capítulo próprio para
regulamentar o tratamento de dados pessoais pelo Poder Público, por entender que
há algumas especificidades que devem ser observadas com maior cautela no
tratamento de dados realizado pela Administração. Abordaremos com mais detalhes
este tema a partir de agora.
OBS: a LGPD determina em seu art. 23, §4º, que os serviços notariais e de registro
exercidos em caráter privado, por delegação do Poder Público, terão o mesmo
tratamento conferido às pessoas jurídicas acima elencadas. Ressalte-se que os órgãos
notariais e de registro devem fornecer à Administração Pública o acesso aos dados por
meio eletrônico, nos termos do art. 23, §5º.
Vale ressaltar que, de acordo com o art. 7º, III da LGPD, a Administração Pública
poderá realizar o tratamento e o uso compartilhado de dados necessários à execução
de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos,
convênios ou instrumentos congêneres.
LGPD, Art. 26, §1º É vedado ao Poder Público transferir a entidades privadas
dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a
transferência, exclusivamente para esse fim específico e determinado,
observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de
Acesso à Informação) ;
II - (VETADO);
III - nos casos em que os dados forem acessíveis publicamente, observadas
as disposições desta Lei.
IV - quando houver previsão legal ou a transferência for respaldada em
contratos, convênios ou instrumentos congêneres; ou (Incluído pela Lei
nº 13.853, de 2019)
V - na hipótese de a transferência dos dados objetivar exclusivamente a
prevenção de fraudes e irregularidades, ou proteger e resguardar a
segurança e a integridade do titular dos dados, desde que vedado o
tratamento para outras finalidades. (Incluído pela Lei nº 13.853, de
2019) Vigência
§ 2º Os contratos e convênios de que trata o § 1º deste artigo deverão ser
comunicados à autoridade nacional.
Ponto importante a ser destacado é que nestas hipóteses de descentralização em que
houver um terceiro contratado como operador, este responderá solidariamente pelos
danos causados pelo tratamento de dados quando descumprir as obrigações da lei ou
quando não tiver seguido as instruções lícitas do controlador, nos termos do que prevê
o art. 42 da LGPD (No próximo capítulo trabalharemos de forma mais específica as
questões relativas à responsabilidade civil na LGPD).
Vale ainda mencionar que nestas relações de delegação, o Poder Público correrá, de
certa forma, um maior risco de responsabilidade, pois o tratamento realizado pelo
operador designado será feito com base nas instruções fornecidas pelo controlador,
que neste caso é a Administração Pública.
Código Civil, Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar
dano a outrem, fica obrigado a repará-lo.
Parágrafo único. Haverá obrigação de reparar o dano, independentemente
de culpa, nos casos especificados em lei, ou quando a atividade
normalmente desenvolvida pelo autor do dano implicar, por sua natureza,
risco para os direitos de outrem.
Todavia, na concepção da professora Gisela, essa corrente não seria a mais adequada,
pois a cláusula geral de responsabilidade civil objetiva tem caráter residual, ou seja,
será aplicada quando não houver outro dispositivo mais específico. Como sabemos, a
LGPD dedicou um capítulo próprio para regular a responsabilidade civil, composto por
quatro dispositivos que irão definir qual a natureza da responsabilidade adotada pela
lei, o que afastaria, portanto, a aplicação do Código Civil, já que o tema tem previsão
específica na própria LGPD.
Outro argumento usado pelos defensores da aplicação da teoria da responsabilidade
civil objetiva na LGPD é o fato de que a lei tem diversos dispositivos inspirados no
Código de Defesa do Consumidor. Porém a professora Gisela atenta para a existência
de duas diferenças fundamentais que a LGPD possui em relação ao CDC. Em suas
palavras, não há na LGPD um dispositivo claro indicando expressamente que a
responsabilidade ali prevista independe de culpa, como há no CDC. No CDC, a
responsabilidade objetiva está claríssima, tanto em seu art. 12 quanto no art. 14.
Ademais, a professora Gisela também ressalta que embora o art. 43 da LGPD tenha
uma redação muito similar ao art. 12, §3º, CDC, há uma diferença extremamente
fundamental. De acordo com o art. 43 da LGPD, os agentes somente não serão
responsáveis em três hipóteses:
Tanto o inciso I quanto o inciso III são idênticos aos incisos I e III do art. 12, § 3º do
CDC, e, de acordo com a professora Gisela, tais incisos não deixam claro qual o regime
adotado, pois o nexo de causalidade é um elemento comum tanto na responsabilidade
objetiva quanto na subjetiva.
Em sua opinião, a diferença está no inciso II. Enquanto no art. 12, §3º, II do CDC o
legislador afirma que o fornecedor não será responsável se ele comprovar que o
defeito não existe, na LGPD o inciso II do art. 43 determina que os agentes de
tratamento não serão responsáveis se comprovarem que não violaram a legislação de
proteção de dados. Ou seja, se os agentes de tratamento causarem um dano, mas
comprovarem que observaram todos os deveres impostos pelo legislador, eles não
irão responder, porque nesse caso foi observado o standard de conduta previsto pelo
legislador, e, portanto, não agiram com culpa. Baseado em tais argumentos, o
posicionamento da professora Gisela é o de que não se pode dizer que a LGPD adotou
o modelo objetivo de responsabilidade civil.
Por fim, a palestrante destaca que o legislador determinou também em seu art. 44 a
necessidade de se observar os deveres impostos pela lei, de modo a ressaltar que o
agente de tratamento só responde se não adotar as medidas de segurança previstas na
LGPD.
LGPD, Art. 44. O tratamento de dados pessoais será irregular quando deixar
de observar a legislação ou quando não fornecer a segurança que o titular
dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I - o modo pelo qual é realizado;
II - o resultado e os riscos que razoavelmente dele se esperam;
III - as técnicas de tratamento de dados pessoais disponíveis à época em que
foi realizado.
Parágrafo único. Responde pelos danos decorrentes da violação da
segurança dos dados o controlador ou o operador que, ao deixar de adotar
as medidas de segurança previstas no art. 46 desta Lei, der causa ao dano.
De acordo com sua posição, a LGPD estabelece uma série de deveres e cria um
standard de conduta a ser seguido pelos agentes de tratamento. Dessa forma, caso a
responsabilidade objetiva tivesse sido adotada pela LGPD, não teria sentido a previsão
de tais deveres, pois de qualquer forma o agente responderia objetivamente, ou seja,
sem que houvesse a necessidade de comprovação de sua culpa.
A Lei Geral de Proteção de Dados foi um marco para o direito Brasileiro, pois fez um grande
apanhado de normas de modo a trazer mais segurança jurídica e fazer com que os princípios
basilares de proteção aos dados pessoais sejam compreendidos de forma mais clara pela
população. Essa lei traz instrumentos para que as pessoas de fato saibam de seus direitos e
possam fazer solicitações perante empresas e órgãos públicos.
Importante mencionar que entre essas duas leis existem muito mais confluências do que
conflitos, em havendo esses últimos deve-se socorrer à Constituição Federal e à proteção de
Direitos Fundamentais do cidadão. Na verdade, essas são leis complementares que servem ao
propósito de trazer transparência no que deve assim ser e sigilo em casos que assim o
requeiram.
A questão é de certo fundamental, pois, para além do sigilo patrimonial, o sigilo existencial
concerne a todos e muitas vezes a população não se dá conta de que o Estado detém uma
gama de informações que dizem respeito à coletividade. Se de um lado existe a proteção aos
dados das pessoas, de outro está a necessidade do Estado de prestar todas as informações que
ele mesmo coleta, pormenorizada na LAI (Lei de Acesso à Informação).
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas
seguintes hipóteses:
Quais seriam os agentes de dados tratados pelo Poder Público? Prova da complementariedade
dessas duas leis pode ser visto no art. 23 da LGPD, que remete ao art. 1º da LAI.
Art. 23. LGPD O tratamento de dados pessoais pelas pessoas jurídicas de direito
público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de
2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua
finalidade pública, na persecução do interesse público, com o objetivo de executar as
competências legais ou cumprir as atribuições legais do serviço público, desde que:
Art. 1º LAI Esta Lei dispõe sobre os procedimentos a serem observados pela União,
Estados, Distrito Federal e Municípios, com o fim de garantir o acesso a informações
previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216
da Constituição Federal.
No que diz respeito à accountability, sendo esta uma prestação de contas com
responsabilidade, os órgãos da administração pública podem se utilizar das governanças de
dados utilizadas pelas empresas privadas. Na própria LGPD há adoção dessas medidas, como
no art. 46 da lei. Deve-se levar em conta o princípio da finalidade, a justificativa do porquê da
utilização dos dados, com qual objetivo.
Deve ser dada especial atenção no tocante às pesquisas científicas, essas por diversas vezes
demandam acesso a dados pessoais que são imprescindíveis para o estudo. A LGPD autoriza
essa utilização de informações independentemente do consentimento do titular, garantida
sempre que possível a anonimização, consoante art. 7º.
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes
hipóteses:
Porém, a LAI em seu art. 31 § 3º, II autoriza o acesso a dados pessoais, independente de
consentimento do titular, para fins de pesquisas científicas, mas veda a identificação da pessoa
a que as informações se referirem.
Art. 31. O tratamento das informações pessoais deve ser feito de forma transparente e
com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às
liberdades e garantias individuais.
Como interpretar então? A procuradora Diana Loureiro em seu artigo “Administração Pública e
tratamento de dados pessoais para pesquisa científica” afirma que: “a interpretação a ser dada
é a de que a LAI veda a identificação do titular dos dados pessoais na divulgação da pesquisa
científica, mas não no momento anterior de acesso a tais informações pelos pesquisadores
para o desenvolvimento do estudo, desde que este acesso seja efetivamente necessário para a
finalidade almejada. Caberá, portanto, aos agentes do Estado ou aos pesquisadores a
anonimização do dado antes de tornar público o estudo”.
As questões relacionadas à saúde são consideradas dados sensíveis e, dessa forma, conforme
preceitua o art. 6º, I, II, III e IX, LGPD deve-se atender os princípios da finalidade, adequação,
necessidade e não discriminação, sendo que deve ser sempre no mínimo necessário, não
podendo ter por objetivo motivos discriminatórios ilícitos ou abusivos.
A procuradora Diana Loureiro afirma ainda que: “Tanto a LGPD quanto a LAI permitem o
tratamento de dados pessoais para a realização de pesquisas científicas, inclusive de dados
pessoais sensíveis e daqueles titularizados por crianças. Nessas duas últimas situações,
contudo, a cautela no tratamento das informações deve ser redobrada. Diante de solicitação
de acesso, fundamental verificar se há hipótese legalmente prevista que autorize o
fornecimento do dado, se a finalidade pretendida é legítima, específica e explícita, e se a
operação é compatível com o atingimento do propósito alegado e se limita ao mínimo
necessário para tanto. Devem ser considerados, ainda, os princípios da não discriminação e do
melhor interesse da criança, bem como o comando de manutenção de ambientes controlados
e seguros no tratamento dos dados pessoais, prevenindo-se a ocorrência de danos”.
A professora Chiara Spadaccini em seu artigo “Por que precisamos de uma Autoridade
Nacional de Proteção de Dados?” afirma que: “acerca da importância da Autoridade Nacional,
destaca-se que ela pode estabelecer regulamentos específicos para setores que lidam com
grandes volumes de dados, inclusive sensíveis, e proporcionar flexibilizações pontuais, a
depender do poderio e da estrutura dos responsáveis pelo tratamento, visando estimular a
inovação e novos modelos de negócios.”
Dessa forma, a existência de uma Autoridade de proteção de dados é fundamental pelo fato
de que a extensão dos direitos e obrigações instituídos pela LGPD ao longo do seu texto não
ficou clara o suficiente para ensejar a sua aplicação sem ressalvas. Além do mais, vários
aspectos da LGPD dependem de futuro esclarecimento ou normatização pela Autoridade
(como por exemplo parâmetros aceitáveis para segurança da informação ou para executar
pedidos de portabilidade).
Assim, ainda que o estudo da LGPD seja essencial por todos aqueles que tratam dados
pessoais, inclusive pela Administração Pública – como exposto neste trabalho -, é importante
aguardar como a ANPD irá regulamentar a aplicabilidade da LGPD em cada setor. Trata-se de
um trabalho de aperfeiçoamento e estudo contínuo. Contem conosco para esse
acompanhamento! Até a próxima!