O tema central do post de hoje é a Lei Geral de Proteção de Dados (LGPD), sancionada em 14 de agosto de 2018 pelo, então, presidente Michel Temer.

Lei que permite aplicação de multa para qualquer empresa que não exerce as boas práticas recomendadas para uso de dados pessoais na internet.

Inclusive, se você faz parte da nossa lista de e-mails, ou gostaria de receber notificações de nossos conteúdos, por favor, clique aqui e confira nossa página de política de privacidade.

SOBRE O SIGILO DE DADOS PESSOAIS
A Constituição Federal de 1988 introduziu em seu artigo 5º, inciso XII, a inviolabilidade do sigilo de dados como direito fundamental. Trata-se de um dos modos de assegurar o direito à privacidade, cujo conteúdo é preenchido por disposições encontradas em outros locais da mesma Constituição – como os incisos X e XI do mesmo artigo – e na legislação infraconstitucional.

De acordo com Jorge Dias (2020), as Administrações Públicas mundiais são as maiores controladoras de dados pessoais de seus cidadãos[1]. E, no Brasil, não poderia ser diferente.

Isso toma relevância, especialmente, se considerarmos a quantidade de órgãos e de pessoas jurídicas de direito público da Administração Indireta com as quais o cidadão comum possui vínculo, como o Sistema Único de Saúde (SUS) e o Instituto Nacional de Seguridade Social (INSS), e também as pessoas jurídicas de direito privado que desempenham atividade pública, como os cartórios de registro civil e de documentos.

E QUANTO AO VAZAMENTO DE DADOS?
Não é inusual, contudo, nos depararmos com casos de vazamento de informações sigilosas em virtude de “falhas” ou gaps nos sistemas adotados pelas entidades governamentais.

Veja-se, por exemplo, a mais recente polêmica envolvendo o Detran do Rio Grande do Norte (Detran/RN), em que uma brecha em seu sistema teria disponibilizado dados de mais de 70 milhões de brasileiros que possuem Carteira Nacional de Habilitação (CNH)[2].

Soma-se a isso, de forma igualmente relevante, o contexto de escândalos de vazamentos de dados provenientes de ataques maliciosos de hackers ou de práticas comerciais obscuras, como foi o caso da já famosa Cambridge Analytica.

Embora o tratamento de dados pessoais já tenha sido regulamentado por leis esparsas, como a Lei de Acesso à Informação (Lei n.º 12.527/11)[3], a Lei do Habeas Data (Lei n.º 9.507/97) e o Marco Civil da Internet (Lei n.º 12.965/14), a Lei Geral de Proteção de Dados – LGPD (Lei 13.709/18) foi sancionada em 2018 para cuidar do assunto de forma centralizada, haja vista a importância do tema, e entra em vigor, a princípio, em agosto do mesmo ano.

O QUE MUDA COM A LGPD?
A LGPD surge em um contexto que evidencia a ideia de autodeterminação informativa, trazendo novas nuances ao direito fundamental à privacidade que abrange a proteção de dados e informações disponíveis – ou não – em bases públicas ou privadas.

Essa ideia colabora com a mudança translacional do pensamento de que os dados seriam um produto ou uma commodity, retornando à percepção de que, antes de tudo, os dados são uma dimensão da identidade[4].

A despeito de a LGPD cuidar do tratamento de dados pessoais tanto pelos entes públicos quanto particulares, ela não surpreendentemente possui um capítulo dedicado ao tratamento de dados pessoais pelo Poder Público.

O artigo 23 da referida lei dispõe que as pessoas jurídicas de direito público – como os entes federativos, as autarquias, fundações públicas – devem tratar os dados pessoais de suas bases com a propósito de atender à finalidade pública, perseguir o interesse público, executar as competências legais ou cumprir as atribuições legais do serviço público.

Para tanto, o Poder Público ainda deve informar as exatas hipóteses em que realiza o tratamento dos dados pessoais e designar responsável para o desempenho dessa competência, observando-se os requisitos elencados no artigo 7º da LGPD.

LGPD, PODER PUBLICO E COVID-19

Em virtude de os propósitos do Poder Público elencados no artigo 23 apresentarem textura aberta, conceito tratado por Herbert Hart[5] que significa a abertura semântica de determinadas normas jurídicas, espera-se que a jurisprudência dos tribunais pátrios, sobretudo do Superior Tribunal de Justiça (STJ) e do Supremo Tribunal Federal (STF), cuide de delimitar certos conceitos legais dispostos na LGPD com o surgimento de casos concretos, sob pena de eventual uso arbitrário de determinados dados pessoais pelas autoridades públicas.

Espera-se que tais casos surjam, a rigor, a partir de agosto deste ano, mês em que se espera que a LGPD entre em vigor e deixe seu status de lei em tese – texto positivo que ainda não foi subsumido a nenhum caso.

Contudo, a desestabilização especialmente econômica[6] provocada pela pandemia do COVID-19 coloca em xeque essa expectativa inicial de vacatio legis, considerando-se a inevitável necessidade de se arcar com os custos regulatórios dessa nova legislação; e nessa perspectiva não se inclui apenas o Poder Público, com o dever positivo, dentre vários outros, de estruturar a Agência Nacional de Proteção de Dados[7], mas também as empresas de todos os portes, que terão que regularizar todos os seus procedimentos de modo a observar a LGPD.

Sem prejuízo de eventual postergação do vigor da lei, o que se deve visar é a cautela na aplicação dos conceitos legais de textura aberta presentes na LGPD, sob pena de invocação ilegal de certo propósito pelo Poder Público e consequente violação ao direito fundamental à privacidade, o que certamente deturparia o objetivo da lei de melhoria de políticas públicas e serviços públicos.

Escrito e Publicado por:
Bruna Medina é acadêmica de Direito da Universidade Federal do Paraná e compõe a equipe jurídica do escritório Klein Portugal Advogados Associados.

REFERÊNCIAS E NOTAS DE RODAPÉ

[1] DIAS, Jorge Alves. O que se espera do Poder Público com a LGPD?, in Comissão de Direito Digital, Tecnologia e Inteligência Artificial da 116ª Subseção da OAB/SP. Comentários à Lei Geral de Proteção de Dados. São Paulo: OAB/SP, 2020, p. 64-80.

[2] “Qualquer pessoa que acessasse a página usando um número de CPF conseguiria visualizar as informações de 70 milhões de CNHs registradas no sistema, incluindo endereço residencial, números de telefone, sexo, data de nascimento, CPF e carteira de identidade, além da foto do documento.” Disponível em https://www.tecmundo.com.br/seguranca/146780-falha-detran-vaza-dados-70-milhoes-brasileiros-cnh.htm.

[3] O presidente Jair Bolsonaro editou Medida Provisória n.º 928/20, no dia 23/03/2020, que suspende prazos de pedidos feitos conforme previsão da Lei de Acesso à Informação – LAI e prevê o atendimento prioritário aos requerimentos relacionados às medidas de enfrentamento da pandemia do COVID-19. Os demais pedidos, segundo a MP, devem ser refeitos no prazo de dez dias após o encerramento do estado de calamidade pública do país. A redação literal da Medida Provisória está disponível em http://www.in.gov.br/en/web/dou/-/medida-provisoria-n-928-de-23-de-marco-de-2020-249317429.

[4] Sobre o tema, PIETCZAK, Juliano; GLASMEYER, Rodrigo. Proteção de Dados: dos Retrocessos no Direito Fundamental à Privacidade aos Meios de Resistência. In PET Direito: Direito, Retrocesso e Resistência. Coord. SALGADO, Eneida Desiree. Curitiba: Íthala, 2019, p. 87-108.

[5] Conceito tratado em HART, Herbert L. A. O Conceito de Direito. 6ª ed. Portugal: Fundação Calouste Gulbenkian, 2007.

[6] BECKER, Daniel; BRÍGIDO, João Pedro; HAIKAL, Beatriz; CAVALHEIRO, Gabriela. Ensaio sobre a cegueira: Covid-19 e postergação da vacatio legis da LGPD. Publicado em 20/03/2020 na plataforma de notícias Jota. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/ensaio-sobre-a-cegueira-covid-19-e-postergacao-da-vacatio-legis-da-lgpd-20032020.

[7] A Lei 13.853/19, publicada em julho de 2019, criou a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por editar normas e fiscalizar procedimentos sobre proteção de dados pessoais. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/L13853.htm.