Mídia & Notícias

Acompanhe os principais destaques de cada categoria.

Lei Geral de Proteção de Dados e seus impactos no ordenamento jurídico

"Lei Geral de Proteção de Dados e seus impactos no ordenamento juridico" 

 

1. Contexto social e político da geração da Lei Geral de Proteção de Dados Pessoais
 
Com a Lei n. 13.709, de 14 de agosto de 2018, mais conhecida como Lei Geral de Proteção de Dados Pessoais - LGPD, o Brasil passou a integrar, não sem certo atraso, o grupo de países que dispõe de uma lei geral de proteção de dados. Os efeitos da demora na geração da referida lei são antagônicos, pois, se de um lado permitiu com que o tratamento de dados pessoais seguisse em verdadeira “terra sem lei”, por outro permitiu ao legislador consultar a experiência internacional para elaborar uma lei mais precisa e apurada, ainda que tenha que contemplar o cenário político e cultura nacional.
Os desafios enfrentados pela LGPD são os mesmos enfrentados por diferentes leis ao redor do mundo, especialmente numa economia globalizada e cada vez mais digital, que estabeleceu um certo padrão em negócios jurídicos, como compra e venda de produtos ou contratação de serviços, nos quais, invariavelmente, ocorre o tratamento de dados pessoais.
O uso de dados pessoais, neste contexto, passou a ser não apenas essencial para concretização de tais negócios, mas também se tornou um verdadeiro ativo para grandes e pequenas empresas e corporações, conforme bem apontou o Senador Ricardo Ferraço, relator do projeto de lei que deu vida à LGPD:
 
“Vivemos hoje uma economia maciçamente baseada em dados (data driven economy), em que informações sobre todos os aspectos das relações humanas, inclusive da personalidade dos indivíduos, estão sendo coletados, armazenados e processados como nunca antes fora possível. A todo momento, pessoas, conscientemente ou não, oferecem a um número crescente de empresas – com tecnologia adequada – dados sobre quem são, o que estão fazendo, onde estão, sobre o que falam ou com quem interagem"
 
Conhecendo melhor seu público, as empresas conseguem oferecer com maior assertividade seus produtos e serviços, pensar em novos negócios e oportunidades, aumentar seus lucros e obter para si diferencial competitivo que pode ser determinante para se sobressair na sua área de atuação.
Ademais, o senador também destacou um importante aspecto no tratamento de dados pessoais: o dado pessoal é “um elemento fundamental até mesmo para a concretização de políticas públicas, dado o elevado grau de informatização e sistematização do Estado brasileiro, em todos os níveis federativos”.
Este segundo ponto na fala do senador Ricardo Ferraço também merece destaque, pois os dados pessoais passaram a ser também essenciais para a implementação de políticas públicas de diferentes espectros. Pensemos, por exemplo, nas smart cities, termo comumente utilizado para cidades com alto grau de automação e conexão por meio da internet das coisas (IoT) em serviços de interesse público, como trânsito, serviço de saúde ou infraestrutura urbana. Diferentemente do que poderíamos encontrar há algumas décadas atrás, atualmente um agente público pode dispor de informações importantes para sua gestão na palma de sua mão, incluindo dados pessoais. Tal fato não é negativo, se considerarmos que o acesso à informação por um gestor público possibilitaria, se houver interesse político, o aumento de grau de eficiência do Estado.
Mas não é só. A perfeita identificação de beneficiários de recursos públicos de qualquer espécie, como programas sociais, folha de pagamento, etc., também passou a ser essencial para precaver fraudes. Não eram incomuns, e infelizmente ainda não são, as denúncias relativas a benefícios pagos a pessoas falecidas como se estivessem vivas, ou de empregados fantasmas, como se de fato trabalhassem. Isso só para citar exemplos.
Pois bem. Seja por pessoas de direito público, seja por pessoas de direito privado, a realização de tratamento de dados pessoais ganhou tremenda relevância, mas esbarrou em um direito fundamental, qual seja, o direito à privacidade, que trataremos adiante. Assim, de um lado há um interesse legítimo das empresas e governos no tratamento de dados pessoais, e de outro há um direito essencial ao desenvolvimento humano sadio, o que demandava regulamentação do Estado para equilíbrio dos dois interesses aparentemente conflitantes.
Fatos externos também podem ser anotados como aceleradores da produção da LGPD: o início da vigência da General Data Protection Regulation (GDPR), principal regulamento europeu para tratamento de dados, que ocorreu no dia 25 de maio de 2018. Segundo a norma, empresas europeias somente poderiam contratar empresas estrangeiras se estas estivessem localizadas em países que possuíssem grau de proteção igual ou superior ao estabelecido em seu território, o que excluía o Brasil. Dessa forma, sem a LGPD, entre Europa e Brasil, no tocante ao tratamento de dados pessoais, haveria um abismo intransponível, causando uma desvantagem competitiva enorme para as empresas nacionais e sua marginalização no cenário econômico mundial.
Outro fator acelerador relevante foi o escândalo da Cambridge Analytica, que, segundo se apura, pode ter mudado os rumos das eleições nos EUA, por meio de tratamento indevido de dados pessoais e oferecimento de propaganda eleitoral direcionada (como o voto nos EUA é facultativo, convencer o eleitor a sair de casa é a principal tarefa dos candidatos).
Há ainda outros fatores poderiam ser citados, como a necessidade de o Brasil possuir uma lei geral de proteção de dados para poder, minimamente, ser um candidato sério a integrar a Organização para a Cooperação e Desenvolvimento Econômico – OCDE, desejo do Governo brasileiro há alguns anos, ou ainda, as adequações legislativas para implantação do Cadastro Positivo. Contudo, para não nos alongarmos, insta reforçar que o cenário interno e externo brasileiro tornava imperativo o advento de uma lei especifica e direcionada à regular o tratamento de dados pessoais, necessidade que foi satisfeita com a LGPD.
 
2. Contexto legislativo de ingresso da LGPD
 
O ordenamento jurídico brasileiro possui diversas leis esparsas que abordam diferentes aspectos do tratamento de dados pessoais, dentro de relações ou circunstâncias específicas. É interessante notar que, na produção das referidas leis, o legislador pareceu frequentemente vacilante, pois, quando era o de adentrar à temática da privacidade, o fazia de forma pouco técnica, tímida e, por vezes, até incoerente.
Citaremos abaixo algumas destas leis que versam, direta ou indiretamente, sobre tratamento de dados pessoais e privacidade.
Apesar de não ser um produto do legislador brasileiro, convém citar que a Declaração Universal dos Direitos Humanos, de 10 de dezembro de 1948, proclamada por meio da Resolução 217 A (III) da Assembleia Geral  das Nações Unidas, em seu artigo 12 já preservava a vida privada de interferências externas. No seu contexto histórico, a Declaração foi uma das formas empreendidas pelas nações de colocar ordem no caos causados pela Primeira e Segunda Grande Guerra Mundial, nas quais foram mortas milhões de pessoas em todo o globo. Como bem sabido é, muitos seres humanos foram perseguidos e executados em decorrência de suas convicções políticas, religiosas e até em decorrência de sua orientação sexual, ou seja, elementos abrigados pela intimidade e privacidade, daí o cuidado para prever expressamente, como diretriz a ser seguida por todos os países, a proibição de interferências nesta esfera da personalidade.
A Constituição Federal brasileira de 1988, ao contrário do que ocorreu nas Constituições de 1934, 1946 e 1967, protegeu expressamente a intimidade e a vida privada, conforme o inciso X do artigo 5º:
 
Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: 
[...] 
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação; 
 
Ademais, no mesmo artigo 5º se estabeleceu o chamado habeas data, que poderá ser ferramenta jurídica para retificação de dados.
O Código Civil (Lei 10.406/2002) contribuiu grandemente com a proteção da privacidade ao reconhece-la indiretamente como direito intransferível e irrenunciável (art. 11), bem como que o titular poderá requerer a interrupção de ameaça ao seu direito ou indenização por danos infringidos por outrem (art. 12), incluindo em juízo (art. 21).
Tanto a Constituição Federal quanto o Código Civil estabeleceram regras mais gerais, ao contrário do que ocorre com outras leis, como o Código de Defesa do Consumidor - CDC, que regulou a criação e manutenção de base de dados dos consumidores, obviamente dentro das relações de consumo, a Lei n. 9.296/96 (Lei da Interceptação Telefônica), que determina que a interferência na privacidade das comunicações precisa ser o mínimo necessário para apuração do caso investigado, devendo-se excluir o conteúdo desnecessário, ou ainda, a Lei n. 9.472/97 (Lei Geral de Telecomunicações), que prevê o respeito a privacidade e proteção aos dados pessoais. Estamos citando meros exemplos, mas há outras leis que incidem sobre o tema, não convindo citá-las com maiores delongas. Nos basta concluir que, com exceção da Constituição Federal e do Código Civil, as demais leis são aplicáveis apenas no âmbito de seus destinatários ou sobre as relações jurídicas que aborda, o que traz tanto dificuldades ao legislador, que sempre terá (ou deveria ter) a preocupação de regular a privacidade e sigilo dos dados pessoais em cada uma das iniciativas legislativas, quanto aos particulares, especialmente às empresas, que dispensam maior custo para se adequar a diversas leis diferentes que estabelecem regulamentos distintos ao tratamento dos referidos dados.
 
3. Do avanço empreendido com o Marco Civil da Internet e sua insuficiência
 
Não citamos no tópico anterior o Marco Civil da Internet – MCI (Lei 12.965/2014) e seu Decreto Regulador (Decreto 8.771/2016), pois os mesmos merecem destaque especial.
O MCI e Decreto são, de longe, as normas mais detalhadas que versam sobre a proteção de dados pessoais, estabelecendo, entre outras disposições, as definições legais essenciais para seu entendimento e aplicação, especialmente as de “dados pessoais” e de “tratamento”, a privacidade como um princípio do MCI e um direito dos usuários da Internet e padrões de segurança para guarda, armazenamento e tratamento de dados pessoais.
Contudo, o MCI e seu Decreto são insuficientes para regular o tratamento de dados pessoais como um todo, pois somente são aplicáveis nas relações judicias que depende do uso da Internet, como estabelece o artigo 1º:
 
“Art. 1º Esta Lei estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria”.
 
Tal fato não é culpa do legislador, mas é fato inerente ao objeto da lei, que não temcomo foco principal o tratamento de dados pessoais, mas o uso da Internet como um todo, constituindo-se, assim, uma lei especial neste sentido. Em outras palavras, se o interesse é encontrar o regulamento do uso da Internet no ordenamento jurídico brasileiro, chegar-se-á ao MCI. Contudo, se a intenção é encontrar o regulamento de tratamento de dados pessoais, o MCI fornece, como outras leis já citadas no tópico anterior, regras apenas para um aspecto do tratamento, qual seja, o realizado mediante participação ou utilização da Internet.
 
4. A LGPD e seu aparente conflito com o Marco Civil da Internet
 
À primeira vista poderíamos entender que o MCI e a LGPD são contraditórias entre si, pois ambas abordam o tratamento de dados pessoais. Estamos diante de antinomia de normas? Se sim, qual lei deveria prevalecer?
Por antinomia de normas, segundo Tércio Sampaio Ferraz Junior, entende-se "(...) a oposição que ocorre entre duas normas contraditórias (total ou parcialmente), emanadas de autoridades competentes num mesmo âmbito normativo, que colocam o sujeito numa posição insustentável pela ausência ou inconsistência de critérios aptos a permitir-lhe uma saída nos quadros de um ordenamento dado". 
Para solução de antinomias jurídicas, a melhor doutrina estabelece critérios objetivos, quais sejam: a) critério cronológico: na ocorrência de conflito entre duas normas incompatíveis, prevalece a mais recente (lex posterior derogat legi priori); b) critério hierárquico: bastante polêmico, este critério estabelece que a norma hierarquicamente superior deve prevalecer sobre a hierarquicamente inferior (lex superior derogat legi inferior), e, c) critério da especialidade: para elucidação, melhor lição não há do que a de Norberto Bobbio:
 
“O terceiro critério, dito justamente da Lex specialis, é aquele pelo qual, de duas normas incompatíveis, uma geral e uma especial (ou excepcional), prevalece a segunda: Lex specialis derrogat generali. Também aqui a razão do critério não é obscura: lei especial é aquela que anula uma lei mais geral, ou que subtrai de uma norma uma parte da sua matéria para submetê-la a uma regulamentação diferente (contrária ou contraditória)".
 
O doutrinador italiano completa seu raciocínio indicando que a criação de leis especiais é medida que tende a preservar a justiça das disposições, pois contempla-se a diferença necessária entre grupos de destinatários da norma:
 
“A passagem da regra geral à regra especial corresponde a um processo natural de diferenciação das categorias, e a uma descoberta gradual, por parte do legislador, dessa diferenciação. Verificada ou descoberta a diferenciação, a persistência na regra geral importaria no tratamento igual de pessoas que pertencem a categorias diferentes, e, portanto, numa injustiça. Nesse processo de gradual especialização, operado através de leis especiais, encontramos uma das regras fundamentais da justiça, que é a do suum cuique tribuere (dar a cada um o que é seu). Entende-se, portanto, porque a lei especial deva prevalecer sobre a geral: ela representa um momento ineliminável do desenvolvimento de um ordenamento. Bloquear a lei especial frente à geral significaria paralisar esse desenvolvimento(...)"
 
A relação de especialidade entre lei nem sempre é clara, como podemos verificar na própria análise entre MCI e LGPD. É certo que ambas regulam o tratamento de dados, porém, enquanto a primeira não cumpre apenas este papel, a segunda sim, pois seu fim específico é estabelecer parâmetros de proteção de dados pessoais em qualquer tipo de relação jurídica, independentemente da utilização da Internet.
Dessa forma, seria possível concluir que, por se dedicar a apenas um tema, a LGPD é especial em relação ao Marco Civil da Internet, pois o mesmo se dedica a regular diversos assuntos, entre os quais a utilização da Internet no Brasil.
Contudo, não é muito questionar se estamos de fato diante de uma antinomia entre MCI e LGPD ou se os mesmos apenas se complementam, sem que o primeiro seja revogado, ainda que tacitamente, pelo segundo. O pensamento é válido e nos parece correto, até porque, se fosse a intenção do legislador revogar ou produzir a revogação tácita do MCI, não teria a LGPD se dedicado à alterar a redação do artigo 7º e 16 daquele, conforme constou no seu artigo 60:
 
“Art. 60.  A Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet), passa a vigorar com as seguintes alterações:
“Art. 7º  ..................................................................
.......................................................................................
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei e na que dispõe sobre a proteção de dados pessoais;
..............................................................................” (NR)
“Art. 16.  .................................................................
.......................................................................................
II - de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular, exceto nas hipóteses previstas na Lei que dispõe sobre a proteção de dados pessoais.” (NR)”
 
Ademais, a proteção intencionada pelo legislador não exclui a proteção prevista em outras leis, conforme estabeleceu o artigo 64:
 
“Art. 64.  Os direitos e princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte”.
 
Seguido à risca o artigo 64, poderíamos concluir com mais acerto que não se trata de antinomia, mas sim da coabitação de duas leis complementares, ambas aplicáveis ao mesmo caso concreto, que geram dupla camada de proteção aos titulares que tem seus dados tratados por meio da Internet, que é o ponto de convergência entre as duas legislações.
 
5. Dos principais impactos gerados pela LGPD no ordenamento jurídico
 
Muito poderia ser dito sobre a LGPD, mas nos restringiremos a indicar as principais inovações que, a nosso ver, a nova lei trouxe ao nosso ordenamento jurídico.
 
5.1. Do estabelecimento de Princípios
 
Segundo a lição de DE PLÁCIDO E SILVA “princípios, no plural, significam as normas elementares ou os requisitos primordiais instituídos como base, como alicerce de alguma coisa [...] revelam o conjunto de regras ou preceitos, que se fixam para servir de norma a toda espécie e ação jurídica, traçando, assim, a conduta a ser tida em qualquer operação jurídica [...] exprimem sentido mais relevante que o da própria norma ou regra jurídica [...] mostram-se a própria razão fundamental de ser das coisas jurídicas, convertendo-as em perfeitos axiomas [...] significam os pontos básicos, que servem de ponto de partida ou de elementos vitais do próprio Direito”.
No mesmo sentido, Roque Antônio Carraza ensina que “princípio jurídico é um enunciado lógico, implícito ou explícito, que, por sua generalidade, ocupa posição de preeminência nos vastos quadrantes do Direito e, por isso mesmo, vincula, de modo inexorável, o entendimento e a aplicação das normas jurídicas que com ele se conectam”.
Quanto à sua função dos princípios no ordenamento jurídico, brilhante a lição de Paulo de Barros Carvalho:
 
“Princípios são linhas diretivas que informam e iluminam a compreensão de segmentos normativos, imprimindo-lhes um caráter de unidade relativa e servindo de fator de agregação num dado feixe de normas. Exerce o princípio uma reação centrípeta, atraindo em torno de si regras jurídicas que caem sob seu raio de influência e manifestam a força de sua presença”.
 
Pois bem. A LGPD criou princípios dedicados ao tratamento de dados pessoais. A intenção é clara: fazer com que a lei se torne referência, por meio de seus princípios, à produção legislativa posterior, bem como para a interpretação de outras normas que tenham como tema o tratamento de dados pessoais.
Entre os principais princípios estabelecidos, vale destacar o princípio da finalidade, que vincula o tratamento a um fim específico e determinado, sendo vedada sua modificação, via de regra, sem a coleta de novo consentimento do titular, e o princípio da necessidade, que permite o tratamento apenas dos dados essenciais para se alcançar a finalidade do mesmo. São duas pedras de toque na dinâmica de toda a LGPD, pois reverberam seus efeitos em diversas outras disposições.
 
5.2. Privacidade como pressuposto da proteção de dados pessoais
 
A grande maioria dos países que geraram suas leis de proteção de dados pessoais viveram o mesmo dilema: a proteção oferecida alcançará apenas pessoas naturais ou também as pessoas jurídicas? O questionamento parece justo se pensarmos que as pessoas jurídicas também são sujeitos de direito, ou seja, suscetíveis de direitos e obrigações, assim como as pessoas naturais. Contudo, não se pode perder de vista que as similaridades entre pessoas naturais e jurídicas terminam aí, pois, ao contrário das pessoas jurídicas, as naturais não nascem plenamente formadas ou desenvolvidas, necessitando de ambiente propício não gerado por si mesmas. Nesse sentido, valiosa a lição de Norbert Elias:
 
“O recém-nascido não é mais que o esboço preliminar de uma pessoa. Sua individualidade adulta não provém, necessariamente e por um caminho único, daquilo que percebemos como suas características distintivas, sua constituição especial, do mesmo modo que uma planta de determinada espécie evolui de sua semente: a constituição característica de uma criança recém-nascida dá margem a uma grande profusão de individualidades. Ela exibe não mais que os limites e a posição da cursa de dispersão em que pode residir a forma individual do adulto. O modo como essa forma realmente se desenvolve, como as características maleáveis da criança recém-nascida se cristalizam, gradativamente, nos contornos mais nítidos do adulto, nunca depende exclusivamente de sua constituição, mas sempre da natureza das relações entre ela e as outras pessoas”. 
 
Esse desenvolvimento da personalidade passa por se usufruir de momentos em que o indivíduo se confronta consigo mesmo, em que pode, se quiser, ser deixado só, alheio às demais pessoas. A importância da privacidade para o desenvolvimento humano é atestada pelas grandes religiões da humanidade, pois, via de regra, há sempre momentos em que o retiro, seja para o deserto, seja para dentro de si mesmo, é essencial para a construção do ser humano e sua visão de si mesmo.
Ora, as pessoas jurídicas não carecem de fatores externos para desenvolverem sua personalidade. Tratam-se de pessoas ficcionais que emprestam das pessoas naturais a consciência e moralidade que eventualmente necessitam para realização de suas atividades.
Isto posto, a LGPD lançou uma pá de cal na discussão, pois, se o pressuposto da proteção de dados pessoais é a preservação da privacidade, esta última somente é útil para os seres humanos (pessoas naturais), nunca para pessoas jurídicas.
 
5.3. Da titularidade dos dados pessoais
 
Já vimos que os dados pessoais se tornaram verdadeiro ativo para as empresas, que, muitas vezes, se sentiam proprietárias dos mesmos e faziam deles o que quisessem.
Entretanto, a LGPD criou a figura do Titular, que é a “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento” (art. 5º, V). Assim sendo, por mais que outrem se sinta proprietário de dados pessoais de terceiros, esta cessão total de direitos não existe e a LGPD se dedicou a tornar isto bastante claro, penalizando quem trata dados pessoais fora das previsões da nova lei.
 
5.4. A criação das figuras do Controlador e do Operador
 
Para entendermos um pouco melhor a importância da criação das figuras do Controlador e do Operador, devemos regredir um pouco, até 1990, e imaginar o que seria do Código de Defesa do Consumidor sem as definições de Consumidor e Fornecedor. Mesmo que hoje em dia ainda existam discussões sobre a condição de Consumidor e de Fornecedor de certas pessoas em alguns casos concretos (como comercio entre pessoas jurídicas), a dificuldade seria redobrada se as definições não existissem.
Pois bem. A LGPD criou as figuras do Controlador e do Operador para poder delimitar direitos e obrigações, aclarando a posição de cada personagem que participa do tratamento de dados. Enquanto o Controlador é quem decide sobre o tratamento, o Operador é quem trata dos dados por ordem do primeiro. Simples assim.
A definição será bastante útil para responsabilização dos agentes, o que fará com que as empresas em geral delimitem muito bem o papel que desejam assumir no tratamento de dados. Por exemplo: se uma empresa deseja decidir sobre os dados recebidos, assumirá o papel de Controlador e responderá diretamente pelos danos causados ao titular, de forma solidária com outros Controladores presentes na mesma relação. Contudo, se a empresa deseja simplesmente prestar serviços delimitados em contratos comerciais, sem se envolver em processos decisórios quanto ao tratamento, essa empresa se enquadrará na figura do Operador, respondendo apenas pelos danos que der causa por descumprimento da lei ou do contrato.
A disposição também inibirá o compartilhamento indiscriminado de dados pessoais, pois, como o Controlador estará sempre na alça de mira do titular, não permitirá mais com que os seus Operadores façam o que quiserem com os dados pessoais, como era bastante comum. Muitos Operadores se apropriavam das bases de dados recebidas de seu contratante, contando com a displicência dos mesmos, o que dava ao compartilhamento uma escala nunca pretendida pela pessoa do titular.
 
5.5. Definição de dados pessoais e do tratamento dos mesmos
 
Não é necessariamente uma novidade trazida pela LGPD, pois o MCI já havia estabelecido definições similares, porém, para quem tinha dúvidas de que as linhas gerais do MCI iriam ser seguidas pela LGPD, a resposta do legislador foi clara: se por um lado os dados pessoais podem ser, além daqueles dados tradicionais que identificam imediatamente uma pessoa, como CPF, nome, fotografia, etc., também dados combinados que tornam uma pessoa identificável (identificação mediata), por outro o tratamento permanece definido como toda a operação realizada com dados pessoais, ainda que extremamente simples, como armazenamento ou acesso.
O critério para definição de dados pessoais foi o expansionista, ou seja, dados que inicialmente não identificam uma pessoa (como endereço IP, faixa etária, nacionalidade, etc.), ao serem conjugados ou enriquecidos, se puderem identificar uma pessoa, serão considerados dados pessoais.   
Em relação ao tratamento, a fim de evitar questionamento desnecessários de quem não conseguiu compreender que “toda operação” é de fato “toda operação”, o legislador ofereceu 20 exemplos que não deixam de fora nenhuma ação útil que se possa executar com dados pessoais.
 
5.6. Tratamento de dados pessoais somente com base legal
 
O cenário legal de tratamento de dados anterior à LGPD se resumia em fazer o que se queria, contanto que a lei não proibisse expressamente. Contudo, após a LGPD a lógica se inverteu: somente se pode tratar dados pessoais se tal tratamento estiver embasado em uma das hipóteses legais, comumente chamadas de bases legais ou jurídicas.
Para o tratamento de dados pessoais “comuns”, foram oferecidas 10 bases legais de tratamento, já para dados sensíveis, isto é, aqueles relativos à saúde, inclinação política, filosófica, dados biométricos, etc., forma previstas 8 bases legais.
Se o tratamento de dados de determinado Controlador não estiver enquadrado em uma base legal, o mesmo é irregular e o Controlador poderá ser punido administrativamente ou processado judicialmente.
 
5.7. O legítimo interesse e a preservação da livre iniciativa e inovação
 
Umas das bases legais citadas no item anterior é o que chamamos de legítimo interesse, regulado pelo artigo 10:
 
“Art. 10.  O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I - apoio e promoção de atividades do controlador; e
II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º  Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º  O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
§ 3º  A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial”. 
 
O tratamento de dados pessoais pelo legítimo interesse independe de consentimento do titular, porém deve satisfazer alguns requisitos, tais como, somente ser realizado em situações concretas, observando os direitos fundamentais do titular, dentro das legítimas expectativas do mesmo, com finalidade clara e tratando-se apenas os dados essenciais necessários, etc.
Ainda que com tantas restrições, entendemos que a previsão do legitimo interesse preservou a possibilidade de inovar das empresas, bem como manteve em bom nível o exercício da livre iniciativa.
 
6. Do desafio reservado à doutrina e jurisprudência
 
A LGPD entra em vigor no dia 16 de fevereiro de 2020, mas desde já há grande preocupação sobre quais serão de fato seus efeitos. Há quem diga que será mais uma lei que “não vai pegar”, enquanto outros pintam um verdadeiro apocalipse para os próximos anos. Quem estará com a razão?
Para responder a esta pergunta será necessário que os operadores do Direito, especialmente os doutrinadores, juízes e promotores, se debrucem sobre a nova lei, com equilíbrio e profundidade, para, de um lado, fazer com que a privacidade do titular seja de fato respeitada, mas de outro, não prejudicar ou combalir ainda mais a economia brasileira, que passa por maus bocados em tempos recentes.
A LGPD é um verdadeiro e novo marco de mudança de cultura no tratamento de dados pessoais, e utiliza-se, em alguns trechos, de termos extremamente subjetivos ou abertos, como é o caso dos princípios, da legítima expectativa ou legítimo interesse, apenas para citar alguns exemplos. A melhor interpretação de tais trechos não pode ser desequilibrada e perder de vista outros direitos envolvidos nas relações travadas entre Titulares e Controladores, mas deverá ver o “quadro todo”, incluindo o cenário jurídico e econômico mundial.
Não se teme apenas que a interpretação da LGPD faça com que a privacidade seja elevada a um valor absoluto e intransacionável, ferindo de morte novos e velhos negócios que dependem de dados pessoais para sobreviver, mas se teme, outrossim, que a interpretação dada seja por demais liberal e aberta, não passível de assegurar ou demostrar o grau de segurança que a comunidade global vem exigidos dos Estados, fazendo com que o isolamento do Brasil não tenha um fim, especialmente em relação ao mercado europeu.
Assim, o desafio que deve ser empreendido é o caminho do equilíbrio, por mais que seja dificultoso se encontrar este ponto em tantos aspectos da vida humana, incluindo suas relações jurídicas.
 
7. Conclusão
 
A LGPD veio para ocupar um local de destaque no ordenamento jurídico brasileiro, qual seja, o de regular o tratamento de dados pessoais, preservando, de um lado, os interesses do titular dos mesmos, e de outro, permitindo com que o tratamento de dados ocorra em hipóteses que independem de consentimento, desde que seguidas algumas premissas legais, como a de não violar direitos ou a de evitar abusos.
A nova lei está destinada a integrar não apenas o ordenamento jurídico até então existente, mas também inspirar a produção legislativa posterior, dispensando os regulamentos pontuais de leis esparsas até então necessários por falta de uma lei geral, como é a LGPD.
Há duas formas de enxergar uma nova lei que passa a disciplinar temas até então não regulados: pode-se vê-la como um empecilho, como no passado foi visto, por exemplo, o Código de Defesa do Consumidor ou o Marco Civil da Internet, ou pode-se vê-la como oportunidade de negócio ou solução de inseguranças jurídicas que atormentam os brasileiros, especialmente os empreendedores. Logicamente que a LGPD pode se tornar o que ninguém gostaria que ela fosse, uma lei insonsa ou carrasca, motivo pelo qual doutrinadores e juristas precisam ser equilibrados em suas interpretações, a fim de ajudarem diminuir o risco de a LGPD não cumprir a importante missão que recebeu.

Artigo originalmente publicado na edição 998 da Revista dos Tribunais.

POSTAGENS RELACIONADAS

MÁRCIO COTS: ESPECIALISTA E REFERÊNCIA NACIONAL EM DIREITO DIGITAL

A carreira do Dr. Márcio Cots foi tema de uma matéria publicada...

ENTREVISTA À REVISTA DOS TRIBUNAIS

Dr. Márcio Cots concedeu entrevista à Revista dos Tribunais na edição...

EMPRESAS PRECISAM COMEÇAR A SE MOVER DESDE JÁ PARA SE ADAPTAR A NOVA LEI DE PROTEÇÃO DE DADOS

O Projeto de Lei número 53, que disciplina a proteção dos dados pessoais e define as situações em que estes podem ser coletados e tratados por empresas e pelo Poder Público, foi aprovado...

O QUE AS EMPRESAS DEVEM FAZER PARA NÃO SEREM PEGAS DE SURPRESA COM A LEI DE PROTEÇÃO DE DADOS QUE TRAMITA NO SENADO

O que as empresas devem fazer para não serem pegas de surpresa com a Lei de Proteção de Dados que tramita no Senado

PALESTRA - DIREITO DIGITAL RELEVÂNCIA E PERSPECTIVAS

Dr. Ricardo Oliveira realiza palestra na semana acadêmica...

BIG DATA E LEGISLAÇÃO: COMO NÃO CAIR EM CILADAS E PERMANECER COMPLIANCE

Dr. Ricardo Oliveira, sócio do Cots Advogados, palestra na FIA Business School...