Por Frederico Meyer
A Lei Geral de Proteção de Dados Pessoais (lei federal nº 13.709/2018), a LGPD, está em vigor desde agosto de 2020. Todos nós sabemos, infelizmente, do hábito de “deixar para a última hora” que a maioria das pessoas adota; e quando se diz aqui “pessoas”, estão incluídas organizações privadas e públicas, porque também elas padecem do famigerado costume.
No sítio eletrônico do LM, há diversos artigos sobre o tema; remeto o leitor a eles, sobretudo ao excelente editorial de 30/07/2021[1] e ao texto de 10/05/2021[2], da sócia Nycolle Soares. Os negacionistas da lei, por assim dizer, apostaram na ideia de que a nova norma (nova de 2018, é bom destacar!) “não pegaria”. Além de ingênua e atrasada a concepção (como bem dito nos textos a que me referi, a legislação apenas vem alcançar mudanças sociais há muito vividas por todos), o fato é que já se tem visto decisões judiciais impondo observância à LGPD e condenando aqueles que a violaram.
As primeiras decisões dizem respeito ao indevido compartilhamento de dados e, claro, à falta de proteção de dados pessoais[3]. A venda de dados pessoais, afinal, é um negócio lucrativo e, até então, sem o menor controle. Com a lei de 2018, este tipo de prática passará a sofrer monitoramento. Não se pode esquecer que o consentimento do titular dos dados é, salvo exceções tratadas na LGPD, a regra a ser observada por todos (art. 7º, I, art. 8º, art. 11, I e II, dentre outros dispositivos).
Ao falar em LGPD, normalmente pensamos em gigantes da tecnologia, como Facebook, Google, Microsoft, Amazon etc.; lembramos de aplicativos como Instagram, Tik Tok, Twitter. Mas nos esquecemos da imobiliária com a qual temos contrato, do restaurante que frequentamos e para o qual adotamos o programa de fidelidade (talvez até com um app próprio). Enfim, a LGPD é para todos, não só os gigantes da big data: “Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:”. Com as exceções do artigo 4º [4] da LGPD, não se pode fugir da lei e de suas consequências.
E como fica o Poder Público? O estado terá de se adaptar? Já possui mecanismos de proteção de dados? Como dito lá no início, também o Estado “entrou na dança” com atraso; a lei é muito clara: o artigo 3º, cujo caput está transcrito acima, diz “pessoa jurídica de direito público ou privado”.
Pensemos num exemplo agora muito evidente com a pandemia: a coleta de dados biométricos já é uma realidade. É possível saber e acompanhar dados pessoais e médicos dos cidadãos em tempo real (frequência cardíaca; temperatura corporal; qualidade do sono; etc.); é possível monitorar seus passos e deslocamentos; é possível rastrear os contatos recentes e averiguar chances de contágio daqueles próximos a um cidadão que apresentou PCR positivo.
Se não houver controle nem regulamentação, poder-se-ia imaginar um cenário distópico, de um estado orwelliano, com controle e manipulação dos dados de todos (os dados biométricos são “dados pessoais sensíveis”, segundo art. 5º, II, da LGPD, que impõem tratamento diferenciado – artigo 11 e seguintes), e quiçá com o auxílio de parceiros privados nessa empreitada.
Ainda que tempos excepcionais justifiquem medidas excepcionais, a verdade é, como diz o ditado, “de boas intenções o inferno está cheio”. Medidas excepcionais tendem a ser tornar naturais e perenes em algumas condições.
Louvável, portanto, incluir o Estado no âmbito de aplicação da LGPD; do contrário, teríamos um ambiente de falta de proteção de dados e fragilidade justamente de entidades que detêm um gigantesco número de informações qualificadas e sensíveis sobre seus cidadãos (basta pensar no histórico médico de alguém). O Poder Público, neste sentido, deve fundamentar e justificar o tratamento de dados para a validade dos atos dele emanados.
Apesar de uma redação um tanto genérica (a lei poderia ser mais assertiva), o art. 23 faz menção expressa à Lei de Acesso à Informação (LAI) e impõe transparência no tratamento dos dados pessoais pelo Poder Público. Há, ainda, a regra de proibição de transferência de dados pessoais de base de dados do Estado a entidades privadas (art. 26, §1º). Claro, alguns desafios trazidos por potencial colisão entre a LAI e a LGPD certamente surgirão em breve. A jurisprudência será essencial na criação de paradigmas relevantes; a doutrina e o estudo de casos do direito comparado (principalmente europeu, já que nossa LGPD se baseia no modelo da União Europeia) também são atores importantes no processo.
O CNJ, com o atraso peculiar inerente ao hábito dito no primeiro parágrafo, editou a Resolução nº 363, de 12/01/2021, a qual “estabelece medidas para o processo de adequação à LGPD a serem adotadas pelos tribunais”. Aliás, ataques assustadores recentes foram feitos ao STJ, ao TJ-RS, ao TRF-1ª Região, além de outros Tribunais do país. Isto mostra que ninguém está a salvo. E que há potenciais fragilidades a serem combatidas, e o quanto antes.
E, ironicamente, aqueles que ditarão a aplicação da LGPD em todo o país e imporão sanções aos violadores também parecem estar a violar a norma nacional. A obtenção e/ou o vazamento de dados pode ocorrer, como se vê, em qualquer âmbito do Poder Público, seja o Judiciário, seja o Executivo ou mesmo um órgão autônomo como o TCE/TCU.
Não há mais tempo: a adaptação deve ser imediata e séria. O Estado, enfim, detém dados demasiadamente relevantes para serem tratados como antes, sem as cautelas impostas pelo novo ambiente tecnológico e informacional em que vivemos.
[1] https://laramartinsadvogados.com.br/artigos/lgpd-uma-nova-realidade/
[2] https://laramartinsadvogados.com.br/artigos/lgpd-a-lei-que-ja-pegou/
[3] https://www.tjdft.jus.br/institucional/imprensa/noticias/2021/julho/lgpd-justica-determina-que-serasa-deixe-de-comercializar-dados-pessoais
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II – realizado para fins exclusivamente:
- a) jornalístico e artísticos; ou
- b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III – realizado para fins exclusivos de:
- a) segurança pública;
- b) defesa nacional;
- c) segurança do Estado; ou
- d) atividades de investigação e repressão de infrações penais; ou
IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
(…)
Advogado. Especialista em Direito Público. Graduado pela Universidade Federal de Juiz de Fora (UFJF).