Direito Digital: o que estudar para concurso público. Parte 3

Por
Direito Digital: o que estudar para concurso público. Parte 2

Olá megeanos(as)!

Estudaremos sobre Direito Digital, um novo tema e que é latente sua cobrança em concursos públicos. No post passado estudamos PERSECUÇÃO PENAL E NOVAS TECNOLOGIAS, veja aqui. Neste terceiro post estudaremos sobre Lei Geral de Proteção de Dados Pessoais. Vem estudar conosco!

LGPD E PROTEÇÃO DE DADOS PESSOAIS

A Lei nº 13.709/2018, conhecida como a Lei Geral de Proteção de Dados – LGPD, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Tem por fundamentos:

  1. o respeito à privacidade;
  2. a autodeterminação informativa;
  3. a liberdade de expressão, de informação, de comunicação e de opinião;
  4. a inviolabilidade da intimidade, da honra e da imagem;
  5. o desenvolvimento econômico e tecnológico e a inovação;
  6. a livre-iniciativa, a livre-concorrência e a defesa do consumidor;
  7. os direitos humanos, o livre-desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

DO TITULAR DOS DADOS

Para o referido diploma legal, em seu artigo 5º inciso V, Titular dos Dados é toda pessoa natural identificada ou identificável, a quem se refiram os dados pessoais
objeto de tratamento.

Durante muito tempo os dados foram tratados como insumos componentes de um bem jurídico patrimonial, genericamente designado por banco de dados, cuja propriedade era concebida exclusivamente na perspectiva do controlador, daquele que era o responsável pela iniciativa de coletar e tratar os respectivos dados e tratar os respectivos dados. dado pessoal à pessoa natural sobre quem o dado se refere.

Destaca-se que, atualmente, as mais recentes legislações sobre dados pessoais, como a LGPD brasileira, alteraram essa perspectiva e desenvolvem a titularidade do dado pessoal à pessoa natural sobre quem o dado se refere.

DOS AGENTES DE TRATAMENTO DE DADOS

O legislador brasileiro adotou a denominação genérica de Agentes de Tratamento para designar tanto a figura do Controlador, como a do Operador. Trata-se do sujeito passivo da relação jurídica submetida à incidência da Lei Geral.

PRINCÍPIOS APLICÁVEIS ÀS ATIVIDADES DE TRATAMENTO DE DADOS

Segundo dispõe o artigo 6º, da LGPD, as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

  • FINALIDADE: Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • ADEQUAÇÃO: Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • NECESSIDADE: Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • LIVRE ACESSO: Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • QUALIDADE DOS DADOS: Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  • TRANSPARÊNCIA: Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização  do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  • SEGURANÇA: Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  • PREVENÇÃO: Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • NÃO DISCRIMINAÇÃO: Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
  • RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Destaca-se que a boa-fé estatuída no artigo 6º, da LGPD, não é simples ausência subjetiva de má-fé, mas um comando legal que exige um comportamento objetivo dos agentes envolvidos no tratamento dos dados pessoais, um comportamento transparente, leal, coerente e colaborativo, que impõe uma série de deveres implícitos, além daqueles referidamente expressos pelo legislador

DO CONTROLADOR

O Controlador exerce o papel mais importante no tratamento de dados pessoais, pois é o controlador a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Dentre os diversos deveres atribuídos ao controlador, está o de gerar a documentação necessária à comprovação de que seus processos de tratamento de dados pessoais estão em conformidade com a LGPD. Neste ponto, vale dizer que a LGPD brasileira adota o regime do auto certificação, o que significa que para o desenvolvimento de um processo de tratamento de dados pessoais não é necessária uma autorização prévia da Autoridade, cabendo ao próprio controlador a avaliação prévia da conformidade do processo às exigências da lei, documentando a sua tomada de decisão para, eventualmente, comprovar a regularidade em uma fiscalização. No artigo 5º, inciso XVII temo a definição do relatório de impacto à proteção de dados pessoais:

“documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.

DO OPERADOR

Conforme definido no artigo 5º, inciso VII, da LGPD, o Operador é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. Caso se afaste das instruções e venha a causar danos ao titular de dados, haverá responsabilidade para ambos perante a vítima. O operador por ter falhado na execução e o controlador, de forma objetiva, por tê-lo eleito para executar o tratamento.

DO ENCARREGADO DE DADOS

Além dos agentes de tratamento, controlador e operador, a LGPD previu a figura do Encarregado de Dados, uma terceira pessoa, de suma importância para o atendimento adequado da legislação, que de acordo artigo 5º, inciso VIII, da LGPD é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.

DOS DADOS PESSOAIS

Dado Pessoal, para os fins de proteção definidos pela LGPD, é toda e qualquer informação relacionada a pessoa natural identificada ou identificável. Trata-se, portanto, de uma norma com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, conforme determinados pelos artigos, 1º e 5º, inciso I, da Lei 13.709/2018.

Cabe salientar que, por mais inofensivo que um dado isolado se apresenta, se ele estiver disponível ao processamento combinado com outros tantos dados inofensivos, o resultado pode ser a identificação detalhada da pessoa, de seu modo de vida, suas orientações religiosas, sexuais, políticas, dentre outras. Assim, a necessidade de limitar o excessivo tratamento de dados, impondo-se aos agentes de tratamento o dever de minimizarem tanto quanto possível o uso de dados pessoais.

Portanto, o direito aos dados pessoais transcende a questão de violação do decoro do seu titular, eventualmente causado pelo vazamento de informações, bem como não se limita ao dano patrimonial ocasionado pelo uso ilícito dos dados pessoais por estelionatários em geral, em que pese sejam graves problemas que nos afligem, mas a tutela dos dados pessoais vai para além desses lugares comuns, devendo ser reconhecida como mecanismo de proteção de próprio direito quem somos, nas nossas escolhas mais íntimas.

DADO PESSOAL E DADO ANONIMIZADO

Conforme anteriormente falado, o dado pessoal é toda e qualquer informação relacionada a pessoa natural identificada ou identificável. Deste modo, de acordo com a lei se um dado ou conjunto de dados possibilita a identificação de uma pessoa natural, de forma direta (identificada) ou indireta (identificável), ele será considerado um dado pessoal.

Assim, se determinado banco de dados contém um conjunto de elementos que permite determinar, sem dúvidas, quem é o seu titular, estaremos diante de dados pessoais protegidos pela Lei Geral de Proteção de Dados. Por vezes bastará o armazenamento de uma única informação para permitir a identificação exata do seu titular, como por exemplo o número do CPF, uma vez que cada código numérico tratamento de dados ocorra por meio de um processo de anonimização, de modo que
não se consiga facilmente identificar a pessoa sobre quem tais dados se referem. Trata- se de uma medida salutar para a proteção da privacidade e segurança dos dados.

Os principais métodos de anonimização, reconhecidos internacionalmente são:

SUPRESSÃORemovem os dados de identificação imediata, como Nome, CPF, endereço, dentre outros.
GENERALIZAÇÃOConsiste em tornar o dado atributo  genérico, como por exemplo, substituir a idade por uma faixa etária.
RANDOMIZAÇÃOTambém conhecida como aleatorização, que consiste em misturar os dados, de modo que a sua correlação se torne imprecisa, ou pela dição de ruído (dado estranho ou incorreto) seja pela permutação (inversão de ordem dos dados).

Segundo a Lei Geral de Proteção de Dados, em eu artigo 12, os dados anonimizados não serão considerados dados pessoais, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente maios próprios, ou quando, com esforços razoáveis, puder ser revertido.

Assim, se um dado pode, em interação com outro da mesma base ou bases distintas, conduzir à determinação de quem seja seu titular, pessoa natural, a partir de um critério de esforço razoável, o dado será considerado pessoal e, portanto, sujeito à proteção da LGPD.

DADOS PESSOAIS SENSÍVEIS

Dentre os dados pessoais pertinentes a uma pessoa natural determinada ou determinável, há aqueles dados que por seu conteúdo especialmente delicado, são classificados como dados sensíveis. Os dados sensíveis são definidos no artigo 5º, inciso II, da LGPD como “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

O tratamento desses dados exige, assim, requisitos especiais, apresentados em seção própria, nos artigos 11 e 13, da LGPD.

DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

Assim como os dados sensíveis, também os dados de crianças e de adolescente exigem tratamento especial, diferente e mais rigoroso que aquele exigido para o tratamento de dados pessoais comuns. Nos termos gerais da Lei Geral de Dados em seu artigo 14, temos que “o tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente”.

ATIVIDADE DE TRATAMENTO DE DADOS PESSOAIS

Para que incida a LGPD é necessário um fato gerador, denominado genericamente de tratamento. Pela definição legal, artigo 5º, inciso X, tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Trata-se de rol meramente exemplificativo, podendo ser incluídas outras atividades pela Autoridade Nacional, pela edição de regulamentos complementares, ou mesmo pelos juízes e tribunais, ao analisarem os casos concretos.

CAMPO DE INCIDÊNCIA DA LGPD

O artigo 3º, da LGPD, determina que ela se aplica a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

  • a operação de tratamento seja realizada no território nacional;
  • a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
  • os dados pessoais objetos do tratamento tenham sido coletados no território nacional.

BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS

São as hipóteses legais que fundamentam, tornando lícita, a atividade desenvolvida pelos agentes de tratamento. Essa base legal está determinada no artigo 7º da LGPD, que apresenta a expressão somente como um indicador de que o rol é taxativo, dependendo de lei par ser ampliado. Referido artigo elencada dez hipóteses. Vejamos:

Mediante o fornecimento de consentimento pelo titularÉ a que autoriza o tratamento de dados pessoais mediante o fornecimento de consentimento pelo titular. Consentimento, conforme definição da própria LGPD, é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada
Para o cumprimento de obrigação legal ou regulatória pelo controladorNesta hipótese de tratamento de dados pessoais, não é necessário o consentimento do titular para que o tratamento ocorra e seja considerado lícito. Todavia, isto não significa que o titular não precise ser informado sobre tal obrigação e respectivo tratamento, pois sem tais informações o tratamento violaria os princípios do livre acesso, da transparência e da responsabilização, uma vez que o tratamento ocorreria de forma obscura e desconhecida pelo titular.
Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicasO adequado enquadramento, nesta hipótese, permitirá a dispensa do consentimento do titular dos dados pessoais, aumentando o risco de sua exposição a situações de excesso, se o processo de conformidade não for muito bem conduzido. Não bastará, portanto, que o controlador seja uma pessoa de direito público, mas que o tratamento seja necessário à execução de políticas públicas que se encontrem previamente definidas em leis, regulamentos, convênios, contratos ou congêneres, atendendo-se ao princípio da legalidade administrativa
Para a realização de estudos por órgão de pesquisaFundamento para o a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais
Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contratoQuando realizamos um contrato ou mesmo antes, ainda nas fases preliminares de negociação, é usual e necessário que as partes compartilhem seus dados pessoais ou dos respectivos beneficiários daquela contratação. Mesmo quando as partes contratantes são pessoas jurídicas é necessária a identificação dos representantes legais que irão concluir o contrato, de modo que essa hipótese de tratamento de dados trem um alcance enorme, quer na esfera pública quer na esfera privada
Para o exercício regular de direitos em processo judicial, administrativo ou arbitralPara o exercício regular de direitos em processo judicial, administrativo ou arbitral, os dados pessoais das partes envolvidas necessitarão ser tratados, inclusive com a devida publicidade, como regra. Assim, se para defesa de um direito em juízo o autor excede os limites regulares, e torna públicos os dados pessoais sensíveis da outra parte, em circunstâncias desnecessárias aos fins, o tratamento será considerado ilícito e poderá ensejar a respectiva responsabilidade.
Para a proteção da vida ou da incolumidade física do titular ou de terceiroDeve-se avaliar: (I) se o tratamento de dados pessoais realmente é necessário para a proteção; (II) se os dados podem ser anonimizados, a fim de minimizar os riscos de exposição do titular; (III) se é possível obter o consentimento prévio do titular; (IV) se é possível alcançar a finalidade apenas com dados daqueles que consentirem.
Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitáriaPara aplicação deste fundamento legal, o tratamento de dados deve se dar, exclusivamente, em procedimentos realizado por profissionais de saúde ou autoridade sanitária.
Quando necessário para atender aos interesses legítimos do controlador ou de terceiroEssa hipótese é aplicável para o tratamento de dados quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Para a proteção do créditoO tratamento de dados pessoais com o propósito de proteção ao crédito é uma das mais consolidadas historicamente, possuindo bases normativas anteriores à LGPD, com destaque ao artigo 43 do Código de Defesa do Consumidor e a Lei 12.414/2011 que trata do denominado Cadastro Positivo.

DO TÉRMINO DO TRATAMENTO DE DADOS

A LGPD estabelece a necessidade de que o tratamento de dados tenha um prazo de duração e um termo final. O término do tratamento de dados deve fazer parte do desenho do processo de tratamento, fechando o ciclo de vida dos dados pessoais em poder do controlador.

Sobre o término do tratamento de dados pessoais, o artigo 15 da LGPD, determina que deva ocorrer nas seguintes hipóteses:

Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

  1. – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
  2. – fim do período de tratamento;
  3. – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no 5º do art. 8º desta Lei, resguardado o interesse público; ou
  4. – determinação da autoridade nacional, quando houver violação ao disposto nesta

O artigo 16, por sua vez, determina que os dados sejam eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

  1. – cumprimento de obrigação legal ou regulatória pelo controlador;
  2. – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  3. – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
  4. – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Em um primeiro momento haverá dificuldades para identificar e estabelecer o prazo necessário para a conservação dos dados pessoais em cada atividade específica, porém, em um segundo momento, os controladores deverão ganhar eficiência com a melhor gestão da informação e com o descarte dos dados necessários.

Você também gostará de ler:

 

Instagram MEGE

Youtube MEGE

Telegram MEGE