Ana Amelia Menna Barreto
Com um delay de algumas décadas finalmente o Brasil se incluiu no ecossistema mundial de regulação da proteção de dados em 2018.
Em apertada síntese os primeiros passos a caminho da regulação se iniciaram em 2005 em discussões internas no âmbito do Poder Executivo. Em 2010 o Ministério da Justiça submeteu a consulta pública um Anteprojeto de lei que, após cinco anos de hibernação, foi reapresentado sob nova roupagem e igualmente submetido ao debate público. Também o Poder Legislativo trafegava em suas próprias iniciativas regulatórias.
Finalmente em 14 de agosto de 2018 emergiu a Lei 13.709 dispondo sobre o tratamento de proteção de dados pessoais, inclusive nos meios digitais. Poucos meses após sua edição, o texto veio a ser alterado pela Medida Provisória 869, de 27 de dezembro de 2018.
A norma protege de forma ampla os dados pessoais, cria direitos do titular, enumera as hipóteses autorizadas para tratamento, além de prever responsabilidades e sanções de ordem administrativa e pecuniária de ressarcimento de danos por vazamentos.
Tem por objetivo a proteção dos direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural, tendo como fundamentos da proteção de dados o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais[1].
Os direitos e princípios expressos na norma não excluem os outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte[2].
Por suas definições o dado pessoal é a informação relacionada a pessoa natural identificada ou identificável. O dado pessoal sensível se relaciona a aquele que revela a origem racial ou étnica, a convicção religiosa, a opinião política, a filiação a sindicato ou a organização de caráter religioso, filosófico ou político, o dado referente à saúde ou à vida sexual, o dado genético ou biométrico, quando vinculado a uma pessoa natural. Existe ainda a classificação do dado anonimizado, que se caracteriza pela não identificação de seu titular[3].
O escopo alcança qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: a operação de tratamento seja realizada no território nacional; quando a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, assim considerado quando coletados os dados pessoais cujo titular nele se encontre no momento da coleta[4].
Entende-se por tratamento toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração[5].
A atividade deve observar os princípios da boa fé, da finalidade, da adequação, da necessidade, do livre acesso, da qualidade dos dados, da transparência, da segurança, da prevenção, da não discriminação, da responsabilização e da prestação de contas[6].
Elencadas as hipóteses permitidas para o tratamento, ressalta que o consentimento do titular, quando necessário, deve ser fornecido por escrito e constar de cláusula destacada ou outro meio idôneo de manifestação. Além do consentimento existem outras nove outras hipóteses de autorizações legais elencadas no art. 7º.
O tratamento de dados pessoais sensíveis somente pode ocorrer com o consentimento específico e destacado do titular ou responsável legal. Quando desnecessário o consentimento as hipóteses se circunscrevem as previsões contidas no art. 11.
Em se tratando de crianças e adolescentes o tratamento deve ser realizado com o consentimento específico – e em destaque – por pelo menos um dos pais ou pelo responsável legal[7].
O término do tratamento dos dados ocorre após ter sido alcançada sua finalidade ou quando deixarem de ser necessários ou pertinentes ao alcance da finalidade específica almejada, ou pelo fim do período de tratamento, pela comunicação do titular, ou por determinação da autoridade nacional em caso de violação legal[8].
Autoriza-se a eliminação dos dados pessoais após o término de seu tratamento e no âmbito e nos limites técnicos das atividades. Sua conservação está autorizada apenas para o cumprimento de obrigação legal ou regulatória pelo controlador; de estudo por órgão de pesquisa, sempre eu possível garantida sua anonimização; transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei ou, uso exclusivo do controlador, vedado seu acesso por terceiro e desde que anonimizados os dados[9].
A pessoa natural titular dos dados pessoais tem assegurados os direitos fundamentais de liberdade, de intimidade e de privacidade, além de poder obter uma série de informações do controlador – por requerimento expresso dirigido ao agente de tratamento.[10]
A Lei alcança as pessoas jurídicas de direito público, a saber: órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, Judiciário e Ministério Público, assim como as autarquias, fundações e empresas públicas, sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios[11].
Também se enquadram os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, as empresas públicas e as sociedades de economia mista, quando operacionalizem políticas públicas e no seu âmbito da execução[12]. O tratamento deve ser realizado para o atendimento da finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público e desde que seja indicado um encarregado.
Por padrão está vedada a transferência de dados pessoais a entidades privadas, sujeitas ao consentimento do titular a comunicação ou o uso compartilhado de dados pessoais[13].
Os agentes de tratamento são responsáveis por adotar medidas de segurança, técnicas e administrativas para proteção dos dados pessoais, de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito[14].
Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obrigam-se a garantir a segurança da informação em relação aos dados pessoais, mesmo após o seu término. O ‘controlador’ tomará as decisões relativas ao tratamento, deve indicar a figura do ‘encarregado’, assim como comunicar à autoridade nacional e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares[15].
O ‘operador’ é responsável por realizar o tratamento segundo as instruções do controlador e o ‘encarregado’- indicado pelo controlador – atuará como canal de comunicação entre o controlador, o titular dos dados e a Autoridade Nacional de proteção de dados[16].
É responsabilidade do controlador, ou do operador, o ressarcimento de dano patrimonial, moral, individual ou coletivo por violação à legislação de proteção de dados pessoais. A excludente de responsabilidade somente ocorre caso os agentes de tratamento provem que não realizaram o tratamento de dados pessoais, que não houve violação à legislação no tratamento ou que o dano decorreu de culpa exclusiva do titular dos dados ou de terceiros[17].
Todos os agentes de tratamento se obrigam a adotar medidas de segurança, técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito[18].
No âmbito das competências dos controladores e operadores cabem a esses formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais[19].
As sanções[20] de ordem administrativa – aplicáveis pela autoridade nacional – levarão em conta a gravidade e a natureza das infrações e dos direitos pessoais afetados, além de um elenco de condicionantes.
As penalidades de ordem pecuniária dividem-se em: advertência, multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a cinquenta milhões de reais por infração; multa diária, observado o limite total referido; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais até a sua regularização e a eliminação dos dados pessoais a que se refere a infração. O valor da sanção de multa diária deve observar a gravidade da falta e a extensão do dano ou prejuízo causado.
Assim como previsto na norma europeia permite-se a transferência internacional de dados pessoais a países estrangeiros, somente quando assegurarem um nível de proteção considerado adequado pelo regramento brasileiro.
Autoridade nacional de proteção de dados[21]
A criação da autoridade nacional de proteção de dados e do conselho nacional de proteção de dados pessoais e da privacidade – inicialmente constante da Lei 13.709/2018 -foi vetada pelo Poder Executivo[22].
Posteriormente a Medida Provisória 869 – editada em 27 de dezembro de 2018 – recriou a autoridade e o conselho nacional[23].
A Autoridade nacional teve sua genética transmutada pela MP. Inicialmente concebida como integrante da administração pública federal indireta, se submetia ao regime autárquico especial, estava vinculada ao Ministério da Justiça e regida pela Lei 9.986/2000. Sua então natureza de autarquia especial se caracterizava pela independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes e autonomia financeira. Mas ressurgiu na Medida Provisória comoórgão da administração pública federal integrante da estrutura da Presidência da República[24], com cargos alocados em estruturas já vigentes de órgãos e entidades do Poder Executivo[25], instalada sem aumento de despesa e com autonomia técnica[26].
A Autoridade é composta pelo Conselho Diretor, pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, pela Corregedoria; pela Ouvidoria; por órgão de assessoramento jurídico próprio e unidades administrativas e especializadas necessárias ao seu funcionamento. Sua estrutura regimental ainda pendente receberá por ora apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades.
O Conselho Diretor ocupa a figura de órgão máximo de direção, composto por cinco diretores, escolhidos dentre brasileiros, de reputação ilibada, com nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados pelo Presidente da República, com mandato de quatro anos.
A Autoridade atuará como órgão central de interpretação da Lei cabendo-lhe estabelecer as normas e procedimentos sobre proteção de dados pessoais e diretrizes para a sua implementação, fiscalizar e aplicar sanções, articular sua atuação com o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais. Detém a competência privativa de aplicar sanções, prevalecendo estas as sanções aplicáveis por outras entidades ou órgãos da administração pública
Conselho nacional de proteção de dados e da privacidade[27]
A gênese do Conselho Nacional não sofreu alterações relevantes pela Medida Provisória 869/2018. Tem por atribuições propor diretrizes estratégicas, fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD, além de sugerir ações e realizar debates e audiências públicas e disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população em geral.
Seus membros serão designados pelo Presidente da República, considerada a participação como prestação de serviço público, não remunerada. O mandato dos integrantes será de dois anos, permitida a recondução. Será composto por 23 membros, assim distribuídas as representações: 6 do Poder Executivo federal; 1 do Senado Federal; 1 da Câmara dos Deputados; 1 do Conselho Nacional de Justiça; 1 do Conselho Nacional do Ministério Público; 1 do Comitê Gestor da Internet no Brasil; 4 de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais; 4 de instituições científicas, tecnológicas e de inovação; e 4 de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais.
Considerações Finais
Concluída a apresentação do novo marco legal devemos tecer alguns comentários pontuais, sempre ressaltando esse momento de interseção entre a publicação e a vigência da Lei, entre a criação e a instalação da autoridade e do conselho.
A Medida Provisória 869/2018 deve ser aprovada pelo Congresso Nacional e convertida em lei até abril de 2019.
Na composição do Conselho Nacional de Proteção de Dados causa estranheza a ausência de representação do Conselho Federal da Ordem dos Advogados do Brasil.
É necessário fixar os parâmetros e limites para o consentimento expresso pelo titular dos dados, assim como definir se a autorização deve ser única e definitiva ou será necessária uma autorização para cada tipo de informação.
Outra questão se dirige as sanções: seriam elas cumulativas por informação? Deve ser esclarecida a definição de responsabilidade individual no caso de compartilhamento de informações entre empresas, no que tange a questão da territorialidade devem os dados permanecer no território brasileiro.
Para garantia do cumprimento das regras estabelecidas é indispensável a independência da autoridade nacional. Segundo a Organização para a Cooperação e Desenvolvimento Econômico (OCDE), a implementação da proteção de dados pessoais depende fortemente do estabelecimento de autoridades de fiscalização e execução da lei com recursos e expertise técnica para exercer seus poderes e tomar decisões de forma objetiva, imparcial e consistente. Há ainda pouca clareza, entretanto, sobre qual seria a natureza de uma autoridade desse tipo no Brasil[28].
Nesse momento de grave crise econômica e financeira pelo qual sobrevive nosso país, um órgão sem dotação orçamentária poderia estimular a gestão punitiva para sua sobrevivência, deixando de exercer seu primordial papel educativo e incentivador de boas práticas.
Fato gravíssimo se relaciona ao surgimento de leis estaduais e municipais sobre proteção de dados, inaugurando a malsinada competência concorrente, que tanta insegurança jurídica causa em matéria ambiental.
Os alicerces da fundação dessa grande obra devem ser firmes por fundamentais para a indispensável segurança jurídica de todos aqueles alcançados pela Lei, que dela se espera seja justa e imune aos nefastos percalços de interpretação. Devemos estar atentos e vigilantes nesse momento crucial de implantação das diretrizes para elaboração da política nacional de proteção de dados. O momento nos reserva uma interrogação, mas nos incentiva a observação atuante. Vamos ao futuro!
[1] Art. 2º
[2] Art. 64
[3] Art. 5º
[4] Art.3º
[5] Art. 5º
[6] Art.6º
[7] Art. 14
[8] Art. 8, § 5º e art. 15 e incisos
[9] Art. 16
[10] Arts. 17, 18 e §§
[11] Art. 23
[12] Art. 23, § 4º e 24, parágrafo único
[13] Art. 26, § 1º e art. 27
[14] Art. 46
[15] Arts. 47 e 48
[16] Arts. 5º, VI a VIII e 37 a 41
[17] Art. 42 e 43
[18] Arts. 46 e seguintes
[19] Art. 50
[20] Art. 52 e seguintes
[21] Arts. 55 e seguintes
[22] Afronta aos arts. 61, § 1º, II, ‘e’, e ao art. 37, inciso XIX da Constituição Federal. Mensagem de veto 451/2018. Disponível em
<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Msg/VEP/VEP-451.htm> Acesso em 03 fev. 2019
[23] Exposição de Motivos MP 869/2018. Disponível em:
<http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Exm/Exm-MP-869-18.pdf>. Acesso em 03 fev. 2019
[24] MP 870/2019, art. 2º
[25] Disponível em <http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Exm/Exm-MP-869-18.pdf>
Acesso em 04 fev. 2019
[26] MP 869/2018, arts. 55-A a 55-K.
[27] Art. 58 e seguintes
[28] FGV Direito Rio. Respostas às perguntas-chave sobre os debates públicos do Ministério da Justiça.
Disponível em <https://direitorio.fgv.br/cts/marcocivil-dadospessoais/pergunte> Acesso em 03 fev. 2019
