Cuiabá, 25 de outubro de 2020

Advogada fala sobre a Lei Geral de Proteção de Dados (LGPD)

Por: Ana Claudia Fortes - 22 de maio de 2020

Advogada Rosana Laura de Castro Farias Ramires

Em uma crise gerada por uma pandemia, como a da Covid-19, os dados pessoais são essenciais para a elaboração de políticas públicas de contenção do vírus, razão pela qual há extremo receio de que essas informações sejam utilizadas para outras finalidades que não somente para o combate à doença, hipótese problemática à luz da tutela de proteção de dados pessoais.

Neste momento, é importante que haja uma conciliação entre a proteção da vida e da saúde pública e a proteção de dados pessoais e da inviolabilidade da privacidade de cada indivíduo.

A advogada Rosana Laura de Castro Farias Ramires, membra da Academia Mato-grossense de Direito Constitucional e do Comitê Brasileiro de Arbitragem, fala em entrevista ao Newsjur sobre a Lei Geral de Proteção de Dados (LGPD) na atuação do vazamento de informações. A advogada aborda também o uso da tecnologia para evitar aglomerações durante a pandemia e o que pode ser considerado invasão de privacidade.

NJ-Do que trata a Lei Geral de Proteção de Dados (LGPD)?

R:Trata-se de uma lei nacional (Leis nº. 13.709/2018, nº 13.853/2019, nº. 1.179/2020), que estabelece normas voltadas à proteção dos direitos fundamentais relacionados à personalidade, à privacidade, intimidade e à imagem, bem como à liberdade das pessoas, físicas e jurídicas, mediante a tutela dos seus dados pessoais no chamado “mundo digital” de realidades e “relações virtuais”.

Acerca dessa correlação entre a privacidade pessoal e os demais direitos fundamentais, a ONU destacou de forma pertinente que “a privacidade é frequentemente considerada como uma ‘porta de entrada’ que reforça outros direitos, on-line e off-line, incluindo o direito à igualdade e não discriminação, e liberdade de expressão e de reunião”.

O que acontece é que, na era digital e de tecnologias, como a Internet das coisas e a inteligência artificial, o processamento dos dados pessoais se tornou uma atividade extremamente valiosa e lucrativa. Ele oferece oportunidades inegáveis de crescimento econômico, avanço social e pesquisa. Paralelo a esse potencial, ele pode, sem salvaguardas adequadas, representar riscos aos direitos dos indivíduos – particularmente seu direito à privacidade.

Assim, a LGPD é uma resposta regulatória à expansão da virtualização das relações sociais ínsita à essa era digital que vivemos, na qual “data is the new oil” (“dados é o novo petróleo”), conforme expressão cunhada em 2006 por Clive Humby, matemático britânico. Aliás, para James Bridle, “dados não é o novo petróleo, é a nova energia nuclear”, porque diferentemente do petróleo, os dados são ilimitados em quantidade e em capacidade de causar danos

A LGPD oferece ao titular dos dados meios de controle e defesa dos seus dados pessoais ao impor que empresas, governos e outras organizações divulguem mais sobre suas práticas de dados e regulem a maneira como eles coletam, processam e armazenam os dados das pessoas.

NJ-Como a LGPD pode atuar no vazamento de informações?

R: A LGPD atua como marco regulatório, com regras preventivas e repressivas não apenas contra vazamento, mas também contra outras formas de violação de dados pessoais, violação da segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais.

Perda de dados refere-se a um evento no qual dados importantes são perdidos para a empresa, como em um ataque de ransomware. A prevenção de perda de dados se concentra na prevenção da transferência ilícita de dados fora dos limites da organização.

A seu turno, o vazamento de dados está relacionado à ameaças internas, como um interno mal-intencionado ou um invasor que compromete uma conta de usuário privilegiada, abusa de suas permissões e tenta mover dados para fora da organização. Está ainda relacionado a extrusão por invasores que penetram o perímetro de segurança usando técnicas como phishing, malware ou injeção de código e obtêm acesso a dados confidenciais.

Outra causa do vazamento de dados é a exposição de dados não intencional ou negligente. Trata-se dos vazamentos de dados decorrentes da má atuação de funcionários que perdem dados confidenciais em público, fornecem acesso aberto à internet aos dados ou deixam de restringir o acesso pelas políticas da organização.

Se você faz parte de uma organização grande, pode recorrer às ferramentas ou soluções DLP designadas para proteger seus dados. Você também pode usar ferramentas no Security Operations Center (SOC) para ajudar no DLP. Por exemplo, você pode usar um sistema SIEM (Security Informationand Event) para detectar e correlacionar eventos que podem constituir um vazamento de dados.

De acordo com o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo – CTIR Gov2, no ano de 2019, ocorreram 10.736 incidentes relacionados à segurança dos sistemas de computação ou das redes de computadores em Órgãos ou entidades dos Poderes da União, Estados e Municípios. Desses 9.431 incidentes, 2.404 se referiam a casos de vazamento de dados. Até o presente quadriênio de 2020, já temos 2.692 incidentes identificados, dos quais 125 se referem a vazamento de dados.

Para esses casos, é importante recordar que a LGPD estabelece, dentre outros, dois princípios que devem basear as atividades de tratamento de dados pessoais com vistas a evitar tanto a perda quanto o vazamento. Trata-se dos princípios da segurança e da prevenção. Nos termos do inciso VII do artigo 6º da LGPD, o princípio da segurança impõe a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e desituações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”. O princípio da prevenção, previsto no inciso VIII do mesmo artigo, impõe a “adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”.

Ademais, a LGPD cria novos papéis e responsabilidades dentro das organizações, dentre os quais se destaca o de Encarregado pelo Tratamento de Dados Pessoais (artigo 23, III e 41, LGPD) – Data Protection Officer (DPO). Basicamente, a esse agente/setor caberia receber reclamações e prestar esclarecimentos, receber comunicações da autoridade nacional e adotar providências; e orientar os demais colaboradores sobre as práticas de proteção dos dados, o que contribui imensamente em termos de medidas preventivas e de estrutura institucional de resposta aos titulares dos dados (Processo de Resposta a Incidentes).

Em termos repressivos, o artigo 52 da a LGPD estabelece um rol de sanções administrativas gradativas, as quais variam desde advertência, a multas simples “de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração”, multa diária, obrigações de fazer, consistentes na ordem de publicitação da infração, de bloqueio dos dados pessoais até sua regularização e de eliminação dos dados pessoais. Todas essas sanções administrativas não excluem as penalidades decorrentes da responsabilização administrativo funcional, penal, civil, e por improbidade administrativa.

NJ- O tamanho da empresa influencia na aplicabilidade da lei?

R: O § 3º do artigo 41 prevê que em razão do porte da entidade ou o volume de suas operações de tratamento de dados, a autoridade nacional poderá “estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação”. Portanto, o porte da organização é um critério que altera a extensão dos efeitos da LGPD em relação à obrigatoriedade da contratação do Encarregado pelo Tratamento de Dados Pessoais (artigo 23, III e 41, LGPD) – Data Protection Officer (DPO), o que alivia o custo de empresas de pequenos portes ou que tenham baixo volume de tratamento de dados.

NJ-Quanto tempo leva para uma empresa se adequar 100% à LGPD?

R: A adequação à LGPD não se resume ao cumprimento de um checklist de ações, mas demanda a criação e desenvolvimento de uma nova cultura organizacional, o que, por óbvio, demanda tempo, empatia, educação/capacitação funcional e desenvolvimento de soft skills, em especial ética.

Há, pois, uma série de variáveis, que vão desde o porte da empresa, a sua prévia experiência ou não com tratamento de dados, números de colaboradores a serem capacitados, volume de dados com que trabalha e natureza desses dados, desenvolvimento de sistemas automatizados ou não, dentre outros fatores realmente relevantes. Essas variáveis devem ser consideradas analiticamente e penso não haver uma resposta única para essa questão, cabendo a avaliação consultiva, caso a caso.

NJ- No Ceará, o governo começou a acessar a localização dos usuários como forma de monitoramento durante a pandemia. Diversos Estados e Capitais também pediram acesso para medir a questão da aglomeração. Até que ponto isso é permitido sem que seja considerado invasão de privacidade?

R:A monitoração celular afeta particularmente os dados de geolocalização e, por conseguinte, o direito fundamental ao sigilo de dados (art. 5º, XII, CF).

A privacidade não é um direito fundamental absoluto. Uma das marcas dos direitos fundamentais é a sua restringibilidade. O que se exige é que as restrições, sejam elas de natureza administrativa, normativa ou judicial, sejam impostas à luz do princípio da razoabilidade. Como ensina Robert Alexys “a lei do sopesamento exige, no caso de um aumento na intensidade da afetação da liberdade, que o peso das razões que fundamentam essa afetação também aumente”.

Portanto, desde que na forma da lei e de forma legítima (razoável) é possível haver mitigação do direito à privacidade. Semelhantemente, nos Estados Unidos, por exemplo, os governos locais estão compartilhando os nomes e endereços das pessoas que deram positivo para a Covid-19 com a polícia e outros socorristas. Em termos gerais, o objetivo é aparentemente louvável, qual seja, manter a polícia, os paramédicos e os bombeiros em segurança, caso se encontrem em uma ligação na residência de alguém que testou positivo para o vírus.

No entanto, essas informações não protegem os socorristas de casos não identificados, assintomáticos e pré-sintomáticos. Também pode desencorajar as pessoas a serem testadas, contribuir para a estigmatização de pessoas infectadas, reduzir a qualidade do policiamento em comunidades vulneráveis e incentivar a polícia a evitar pedidos de ajuda por medo de contrair o vírus. No caso brasileiro, há várias iniciativas nesse sentido. Paralelo ao caso do governo do Ceará, merece destaque o Sistema de Monitoramento Inteligente instituído pelo governo do Estado de São Paulo.

Esses monitoramentos governamentais com vistas à contenção da Covid-19, demandam a delimitação da finalidade de seu uso, pois a monitoração da localização celular como um meio de obtenção de prova penal, por exemplo, não encontra autorização legal geral no ordenamento jurídico brasileiro.

Os únicos casos de geolocalização autorizados pelo ordenamento brasileiro possui uma autorização legal, encontram-se arrolados no art. 13-B do CPP e se dirigem ao combate dos crimes de sequestro e cárcere privado, redução a condição análoga à de escravo, tráfico de pessoas, extorsão mediante sequestro, e sequestro internacional de crianças e adolescentes. Assim, o artigo 13-B do CPP não é aplicável ao levantamento de provas referentes a delitos relacionados à propagação da Covid-19.

Mas veja-se que mesmos nessas hipóteses legais de uso de geolocalização, a requisição dos dados e informações cadastrais da vítima ou de suspeitos somente pode ser feita pelo Ministério Público ou pela polícia e não por governadores e demais servidores do Poder Executivo.

Outro ponto sensível da prática de muitos Estados nesse sentido é que ela se deu em um período de afastamento normativo transitório da LGPD, a qual exclui de seu âmbito o tratamento de dados para fins de investigação criminal (art. 4º, III, “d”, LGPD), relegando a regulação dessa atividade a lei específica ainda não editada (art. 4º, §1º, LGPD).

Com a revogação do adiamento da vigência desta norma, em razão da aprovação na data de 20/05/2020 da PL 1.179/2020, a vigência da LGPD volta para agosto de 2020 e, assim, a discussão ganha novos contornos, pois LGPD o artigo 7º dessa lei que permite o tratamento de dados em questões que envolvem a proteção da vida ou a incolumidade física do titular ou de terceiros.

NJ- O STF suspendeu a eficácia da MP 954, que prevê o compartilhamento de dados de usuários de telecomunicações com o Instituto Brasileiro de Geografia e Estatística (IBGE) para a produção de estatística oficial durante a pandemia do novo coronavírus. Qual sua opinião em relação à decisão?

R: A decisão foi acertada garantista e prudente. A meu ver, a decisão foi, inclusive, adequada tanto ao contexto em que prolatada, posto que à época a LGPD estava com eficácia suspensa por prorrogação legislativa da sua vigência (MP 959/2020) quanto à própria metodologia de pesquisa do IBGE, uma vez que essa pesquisa, quer domiciliar, quer empresarial, sempre foi por amostragem e não sobre a totalidade da população brasileira. Inclusive, a ausência de delimitação da amplitude da medida instituída foi uma das razões da cautelar concedida pelo STF para suspender a eficácia da MP, pois ela prevê a disponibilização dos dados pessoais de todos os consumidores dos serviços STFC e SMP. pelos respectivos operadores

No caso das pessoas jurídicas é importante observar que a seleção das empresas nas pesquisas econômicas é feita com base no Cadastro Central de Empresas do IBGE, o CEMPRE, que reúne informações cadastrais de todas as empresas formalmente estabelecidas no Brasil. Então se pergunta qual a adequação e necessidade do governo federal requisitar às empresas de telefonia dados de todos os consumidores dos serviços STFC e SMP se, em tese, já detém grande parte deles? Isso não foi explicitado na redação dada à MP em questão.

Veja, a obrigatoriedade prestar as informações solicitadas pela Fundação IBGE para a execução do Plano Nacional de Estatística data da década de 60 e encontra-se regulamentada pela Lei 5534/68. Portanto, a MP 954 foi editada com vistas a instrumentalizar o cumprimento dessa obrigatoriedade, fazendo com que o IBGE possa se dirigir até os entrevistados selecionados na amostragem para exigir essas informações.

A previsão do sigilo dessas informações também se encontra prevista nesta lei.

No entanto, não há nessa normativa, naturalmente, em razão da época de sua edição, regulamentação acerca do tratamento dessas informações pelo governo federal. De fato, como bem observou a ministra Rosa Weber, relatora da ADI 6387 proposta contra essa MP 954, a MP 954 não esclarece como serão efetivamente utilizados os dados pessoais de todos os consumidores dos serviços STFC e SMP.

Na minha visão, um fundamento judicial fulcral que dá legitimidade à cautelar em questão é justamente o atinente à ausência de regulação normativa pela MP 954 de mecanismo técnico ou administrativo “apto a proteger os dados pessoais de acessos não autorizados, vazamentos acidentais ou utilização indevida, seja na sua transmissão, seja no seu tratamento”. Matéria essa prevista na LGPD, não vigente à época da prolação da decisão.

Todavia, acredito que ela vá ser revista por duas razões. A primeira razão é antecipação da vigência da LGPD, uma vez que ela contém as normas de tratamento de dados que o STF considerou não abordadas pela MP 954.

A segunda razão assenta-se no valor constitucional e imprescindível utilidade das informações obtidas a partir da ação governamental de pesquisa estatística como base de cálculo do PIB Trimestral e da inflação, base de cálculo, pelo TCU, da repartição do Fundo de Participação dos Estados e Municípios, isto é, renda (artigo 159 e 161 da CRFB/88) para apuração do número de vereadores para composição das Câmaras (artigo 29, IV, CF/88), para a fixação do percentual máximo do subsídio de vereadores municipais (artigo 29, VI, CF/88), para o cálculo do total da despesa do Poder Legislativo (artigo 29-A CF/88), para apuração dos Municípios obrigados a aprovar plano diretor (artigo 182, § 1º, CF/88) e para a formulação de  políticas fiscais, sociais e econômicas.

NJ- A MP 959 havia estendido o prazo para 2021 para as empresas se enquadrarem às normas, entretanto, o Senado Federal voltou atrás e aprovou A LGPD para agosto de 2020. Como ficam as empresas em relação à adequação da lei?

R: O Projeto de Lei 1.179/20, aprovado pelo Senado, apenas resgatou o prazo original da LGPD, mantendo a vigência das sanções para o ano de 2021, de modo que se trata de um prazo que já era conhecido por todos.

As organizações em geral já deveriam estar se adequando ao regime jurídico da LGPD, uma vez que ela foi editada em agosto de 2018 e, assim, houve um tempo razoável de praticamente dois anos, para a difusão do seu teor, para conhecimento e assimilação do seu conteúdo, para manejo de medidas judiciais de questionamento de sua constitucionalidade e para a capacitação e rearranjos institucionais.

Ademais, proliferam no mercado soluções tecnológicas e profissionais especializados em consultoria e implantação dos mecanismos institucionais necessários à conformação das organizações em geral à LGPD.

Penso que é importante as empresas entenderem que primar por uma cultura de proteção de dados dos seus clientes tem um efeito ambivalente de proteção aos próprios dados das empresas, internamente e nas suas relações com outras empresas.