Por Giovanna Ventre e Natália Kuchar Lohn

Depois de anos de debates com diferentes atores da sociedade civil, como ativistas, especialistas em tecnologia e em políticas públicas e as mais diversas frentes do Poder Público[2], o Brasil passou a contar com um diploma legal sobre proteção de dados pessoais e privacidade, a Lei Geral de Proteção de Dados (Lei nº 13.853 de 2019, a “LGPD”).

Após debates e novas propostas sobre a postergação da lei, a LGPD entrou em vigor em setembro de 2020, com as sanções administrativas previstas na lei apenas vigentes a partir de agosto de 2021. Até lá, outros órgãos como Ministérios Públicos estaduais e federal e entidades de proteção ao consumidor já poderão aplicar a lei e penalidades previstas em outros dispositivos, como o Código de Defesa do Consumidor e Código Civil.

Resumidamente, a LGPD estabelece regras e parâmetros acerca do tratamento de dados pessoais realizados por pessoas naturais ou jurídicas, no setor público ou privado. A lei também cria um novo paradigma no Brasil, seguindo tendências internacionais: os titulares dos dados como protagonistas com controle sobre o tratamento de suas informações. Além disso, a LGPD regulamenta a forma como as organizações poderão utilizar dados pessoais no Brasil e atribui direitos aos indivíduos que tenham seus dados coletados, assegurando princípios e atribuindo obrigações aos controladores e operadores de dados pessoais.

Muito se discute sobre a proximidade e semelhança da LGPD com o Regulamento de Proteção de Dados da União Europeia (General Data Protection Regulation), mais conhecido como “GDPR”, porém poucos exploram suas diferenças, especialmente em termos de desenvolvimento do ecossistema de privacidade. Importante tal distinção justamente para explorar pontos nos quais a lei brasileira foi silente e que a Autoridade Nacional de Proteção de Dados (ANPD) analisará quando de sua constituição.

Algumas transposições de conceitos e diretrizes do ecossistema europeu para a realidade brasileira criaram mitos que vêm sendo difundidos no Brasil, especialmente em virtude da ausência de precedentes e regulações sobre o tema (na Europa, por exemplo, foram mais de 30 anos de precedentes antes da entrada em vigor da GDPR, além das inúmeras páginas de considerandos incorporados ao texto legal).

A importação de conceitos europeus sem a devida análise e tradução para o contexto brasileiro pode desencadear equívocos conceituais bastante graves, inclusive com a criação de barreiras com efeitos bastante deletérios para a inovação tecnológica e o desenvolvimento da economia no país.

Mito 1: o consentimento é o super-trunfo das bases legais e está no topo da hierarquia

A LGPD não estabelece hierarquia entre as bases legais, de modo que a análise de aplicabilidade de cada uma deve ser realizada caso a caso, com base na situação fática e nas demais características da operação de tratamento de dados em questão. Isso porque a escolha da base legal está diretamente atrelada à finalidade e deve ser compreendida como resultado de um equilíbrio entre interesses dos titulares dos dados pessoais e o uso específico daqueles dados.

Por diversos motivos, o uso do consentimento pode parecer, à primeira vista, o caminho mais simples para o tratamento de dados pessoais (afinal, se o próprio titular consentiu com seu tratamento, a empresa deveria estar em um território seguro). Porém, a previsão, na LGPD, de uma multiplicidade de bases legais visa a atacar justamente os diversos contextos fáticos que podem se apresentar (inclusive cenários em que o consentimento não é possível). E neste sentido é que dentro das diversas bases existentes o consentimento apenas deve ser requerido quando há a efetiva possibilidade de consentir ou não com aquele referido tratamento. A lei rechaça um consentimento pro forma, sendo que tal base legal implica em verdadeiramente respeitar a livre manifestação da vontade do usuário.

E assim chegamos a outro ponto importante, que é a livre manifestação da vontade. O titular dos dados tem de poder escolher livremente ou recusar livremente sem sofrer qualquer retaliação ou desvantagem específica[3]. O consentimento não é dado de maneira livre quando, por exemplo, existir um desequilíbrio claro entre o titular dos dados e a empresa (por exemplo, relação empregador/trabalhador) ou se for pedido à pessoa que consinta no tratamento de dados desnecessários como condição prévia à execução de um contrato ou serviço.

Mesmo na Europa, o consentimento é abordado em sua complexidade. Por exemplo, a Comissão Europeia publicou algumas hipóteses de consentimento inválido[4], dentre elas: uma empresa presta serviços de aluguel de filmes na internet. Ao recolher os dados necessários para o contrato, também solicita dados suplementares, como a orientação sexual ou as convicções políticas. Essa pessoa pode pensar que o seu consentimento para o tratamento deste tipo de dados é necessário para poder assistir aos filmes, porém é um consentimento inválido e vinculado ao contrato pactuado entre as partes.

Outro exemplo ilustrativo foi mencionado pela autoridade de proteção de dados do Reino Unido, também conhecida como Information Commissioner’s Office (ICO) para explicar a inaplicabilidade do uso do consentimento quando não há escolha real para o titular dos dados. Uma empresa que fornece cartões de crédito pede a seus clientes o consentimento para que seus dados pessoais sejam compartilhados com empresas de análise de crédito para realização de credit scoring. No entanto, se um cliente recusar ou retirar seu consentimento, a administradora do cartão de crédito ainda enviará os dados às empresas com base em seus interesses legítimos. Portanto, pedir consentimento nesse caso é enganoso, pois não há escolha real.

Mito 2: a LGPD se aplica apenas para o tratamento de dados pessoais realizado por grandes empresas de tecnologia e apenas quando localizadas no Brasil

Dentro do modelo legal da LGPD temos diversos elementos de atração da sua aplicabilidade: (i) quando a operação de tratamento for realizada no Brasil; ou (ii) quando a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil; ou ainda (iii) quando os dados pessoais tenham sido coletados no Brasil. Isso significa que a LGPD será aplicável mesmo quando uma empresa for sediada fora do Brasil, mas oferte serviços e produtos para indivíduos no Brasil.[5]

Alguns autores explicam extraterritorialidade como o conjunto de situações em que o Estado está habilitado, usualmente por via unilateral, a dizer o direito aplicável a situações internacionais[6], ou ainda situações em que as normas de uma determinada ordem jurídica possam vir a produzir efeitos no espaço geográfico de uma ordem jurídica distinta[7].

Evidentemente, tanto LGPD como GDPR tentam regular situações para além de suas fronteiras por meio de atos legislativos, muito em virtude da natureza do tratamento de dados pessoais realizado por empresas transnacionais em uma economia globalizada com foco em dados pessoais.

A regulação dos tratamentos de dados pessoais segundo uma lógica estrita de territorialidade seria obviamente fracassada, frustrando o intuito de impor e de influenciar comportamentos, tanto de controladores de dados pessoais, independentemente da sua localização geográfica, como de outros países e dos respetivos ordenamentos jurídicos.

O último ponto importante neste item é a ideia (equivocada) de que a LGPD será aplicável apenas a grandes empresas de tecnologia. Como mencionado anteriormente, a LGPD é aplicável a todos os setores da economia, incluindo empresas de todos os portes (até MEIs), e também ao Poder Público.

Mito 3: a LGPD impõe obrigações específicas para o tratamento de dados por meio de cookies

Um cookie é um pequeno arquivo de texto que um website instala em seu computador ou dispositivo móvel durante a navegação na Internet. Algumas distinções são comuns, como a diferenciação entre cookies de origem, cookies de sessão e cookies de terceiros[8]. Diferentemente do que ocorre na União Europeia[9], o Brasil não conta com leis específicas sobre uso de cookies e a LGPD também não estabelece obrigações específicas sobre o seu uso.

Atualmente, há um grande número de empresas que optaram pela adoção dos chamados cookies banners (imagens abaixo), isto é, aquelas janelas que aparecem no canto inferior da tela solicitando o consentimento específico do titular de dados para uso de cookies e consequentemente rastreamento a partir de sua coleta. O cookie banner nada mais é do que uma forma de gestão do consentimento que pode ser usada por empresas que escolham o consentimento como base legal para uso de cookies em seus websites.

Como já mencionado, não há no Brasil uma diretiva específica sobre cookies, fato que evidencia conclusão bastante simples: o uso de cookies ou de tecnologias não requer automaticamente a escolha do consentimento como base legal. A ideia é que a escolha da base legal seja realizada caso a caso a partir de análise do controlador sobre a atividade de tratamento de dados específica.

Para tanto, alguns elementos norteadores são bastante importantes: (i) mecanismo facilitado para opt-out e desabilitação de cookies e (ii) transparência. E neste último elemento ter políticas de privacidade claras e precisas que apresentem informações objetivas sobre o uso de cookies e o caminho para a desabilitação são essenciais para garantir o dever de informar positivado pela LGPD e para mitigar os efeitos nocivos de uma possível fadiga do consentimento  e gerar um prejuízo à liberdade de consentir.

O uso excessivo do consentimento como base legal pode desencadear um fenômeno reverso, isto é, sobrecarga informacional no ato de consentir em situações em que o consentimento poderia não ser requerido, pois há outra autorização legal prevista na LGPD. Por exemplo, não há real manifestação da vontade do usuário ao solicitar o consentimento para retenção de prontuário médico, pois os profissionais da saúde têm a obrigação legal de retê-los independentemente da autorização ou não do paciente[10].

 

 

Mito 4: os dados pessoais só podem ser armazenados no Brasil e transferências internacionais não são permitidas

Uma dúvida bastante frequente decorre do mito mais conhecido como “data localization“, ou em outras palavras: o pressuposto de que os dados devem ser mantidos e armazenados em território nacional. A LGPD não traz nenhuma obrigação relacionada à localização ou armazenamento dos dados pessoais, de modo que serviços de nuvem, por exemplo, que contam com servidores em diversos lugares do mundo, podem armazenar os dados em diferentes localidades, desde que observadas as hipóteses elencadas no artigo 33 que versa sobre transferências internacionais.

Pelo contrário, a lei estabelece hipóteses legais que autorizam a transferência internacional[11], dentre elas algumas merecem destaque: decisão de adequação emitida pela ANPD que possibilite o livre fluxo de dados pessoais entre o Brasil e o país adequado, cláusulas contratuais específicas para determinada transferência,  cláusulas-padrão contratuais e o consentimento específico e em destaque do titular de dados.

Evidentemente que ainda há muita insegurança e indefinição quanto aos elementos específicos que serão analisados pela ANPD, tanto para fins de adequação, quanto para os requisitos mínimos necessários nas cláusulas contratuais para  que haja aprovação pela autoridade.

Recentemente, as discussões sobre transferência internacional de dados ganharam bastante proeminência com a invalidação do “Escudo de Privacidade UE-EUA” (EU-US Privacy Shield)[12]. Após uma longa análise, a Corte Europeia concluiu que o Privacy Shield não fornece proteção adequada aos cidadãos europeus, pois não garante aos titulares de dados mecanismos para recorrer judicialmente contra autoridades dos EUA.

Justamente neste ponto, a ANPD terá papel fundamental em definir os requisitos específicos para que tais transferências ocorram e para determinar eventuais derrogações, como ocorre no contexto europeu (artigo 49 da GDPR).

[2]https://www.camara.leg.br/noticias/543434-marco-legal-da-protecao-de-dados-pessoais-e-sancionado-lei-entra-em-vigor-em-2020/.

[3] A discussão também é latente na seara de dados de crianças, como abordado em: https://www.jota.info/opiniao-e-analise/artigos/tratamento-dados-de-criancas-07102020

[4] https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/legal-grounds-processing-data/grounds-processing/when-consent-valid_pt

[5] O que, face ao caráter global da Internet, pode pressionar desenvolvedores e startups a bloquearem o acesso por usuários brasileiros, em um fenômeno já observado quando a GDPR entrou em vigor (com serviços tais como o http://gdpr-shield.io/).

[6] Dulce LOPES, Eficácia, Reconhecimento e Execução de Atos Administrativos Estrangeiros, Policopiado, 2015, p. 38.

[7] Cedric RYNGAERT, Jurisdiction in International Law, Oxford University Press, 2015, p. 6

[8] https://new.safernet.org.br/content/voc%C3%AA-sabe-o-que-s%C3%A3o-cookies-e-como-eles-interferem-em-sua-privacidade

[9] https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:02002L0058-20091219&from=EN

[10] Não sendo demais ressaltar o texto legal expresso da LGPD:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (…) VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

[11] São elas: (i) para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado a partir do reconhecimento da ANPD; (ii) cláusulas contratuais específicas para determinada transferência; (iii) cláusulas-padrão contratuais; (iv) normas corporativas globais; (v) selos, certificados e códigos de conduta regularmente emitidos; (vi) quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; (vii) quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (viii) quando a ANPD autorizar a transferência; (ix) quando a transferência resultar em compromisso assumido em acordo de cooperação internacional; (x) quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público; (xi) com o consentimento do titular específico e em destaque.

[12] https://www.jota.info/opiniao-e-analise/artigos/saga-schrems-programas-conformidade-protecao-dados-09102020

 

Mitos sobre a proteção de dados pessoais no ecossistema brasileiro | JOTA Info

Enviar-me um e-mail quando as pessoas deixarem os seus comentários –

Para adicionar comentários, você deve ser membro de Blog da BlueTax - Conteúdos Validados por Especialistas.

Join Blog da BlueTax - Conteúdos Validados por Especialistas