A Lei Geral de Proteção de Dados Pessoais: Uma missão ainda incompleta

Fundamentos da proteção de dados pessoais

A promulgação da Lei n^o 13.709/2018, a Lei Geral de Proteção de Dados Pessoais, representa um grande avanço no ordenamento jurídico nacional. O tratamento de dados pessoais, problema muito comum com o avanço das comunicações e transações pela internet, finalmente recebe tutela adequada no país.

Quem nunca se viu surpreendido ao receber e-mails ou mensagens de empresas com as quais nunca teve contato? Ou já foi inscrito em lista de e-mails sem ter aprovado previamente sua inclusão? Ou está cansado de receber publicidade direcionada? Ou viu sua imagem divulgada indevidamente em gravações sem sua autorização? São inúmeros os casos em que nos questionamos como uma informação pessoal foi obtida ou divulgada por terceiros.

É contra condutas desse tipo, que fulminam direitos personalíssimos relacionados aos dados pessoais e que vilipendiam a privacidade e a dignidade, que a nova legislação se dirige. A regulamentação do tratamento de dados pessoais volta-se a um amplo conjunto de operações relacionadas à coleta, à organização, ao registro, à modificação, ao armazenamento, à utilização, à divulgação e à reprodução das informações pessoais das pessoais naturais.

A regulamentação da matéria vem em muito bom momento, com as investigações em curso sobre a possível venda de informações de milhões de brasileiros pelo Serviço Federal de Processamento de Dados (Serpro), fato esse que demonstra inequivocamente a necessidade de reforço da sistemática nacional de proteção de dados pessoais tanto no setor público quanto no setor privado.

A questão do controle de vazamento de dados pessoais, contudo, não é tema apenas recente. Trata-se de pauta primordial nas discussões internacionais sobre a privacidade na internet desde a década passada, ganhando especial força com a série de eventos que afetou grandes corporações em 2016, como a mineração e manipulação indevida de dados pessoais da plataforma Facebook pela Cambridge Analytica com fins eleitorais e a decodificação e divulgação de milhares de e-mails, dados e senhas de clientes da Amazon.

Além disso, a nova legislação brasileira é mecanismo de extrema importância para evitar o isolamento do mercado brasileiro, assegurando sua inserção no comércio internacional. Desde a vigência do Regulamento Geral de Proteção de Dados da União Europeia em maio de 2018, todas as empresas, nacionais e estrangeiras, que mantenham alguma relação comercial com o bloco são obrigadas a seguir padrões mínimos de segurança de dados pessoais, os quais não eram atendidos pelos critérios antes vigentes no Brasil.

Princípios da Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados estabelece o consentimento expresso do titular como a regra geral para o tratamento de dados. As hipóteses em que as informações pessoais poderão ser coletadas e divulgadas sem o assentimento prévio estão listadas nos demais incisos do rol taxativo de seu artigo 7^o, casos excepcionais orientados pelo interesse social ou pela ordem pública, pois dirigidos para a tutela da saúde, a efetividade de políticas públicas, a viabilidade de processos judiciais, administrativos e arbitrais, a realização de estudos ou pesquisas, a proteção do crédito e a defesa da vida.

Uma das manifestações práticas da regra do consentimento é a proibição de inserção de cláusulas de autorização de divulgação de dados pessoais em contrato de adesão, sendo necessária a manifestação em separado do titular. Ademais, fica vedada a previsão de cláusula genérica que permita qualquer espécie de tratamento dos dados pessoais, devendo a finalidade pretendida ser expressamente declarada no instrumento autorizador.

Outro princípio fundamental dessa sistemática é o da necessidade, que restringe o tratamento dos dados pessoais apenas aos conteúdos estritamente necessários para os fins a que a atividade se dirige. Várias são as suas decorrências, entre as quais ressalto a proibição de se exigirem informações impertinentes ou desproporcionais e o dever de exclusão dos dados após o atingimento da finalidade da coleta.

Para assegurar a aplicabilidade da lei, todo órgão ou ente público e toda empresa privada devem indicar expressamente quem é o responsável pelo tratamento de dados pessoais de terceiros em sua estrutura. Ao encarregado caberá receber e responder todas as consultas dos titulares.

Além dos deveres dos próprios controladores, a Lei Geral de Proteção de Dados Pessoais previu importantes inovações institucionais em seus artigos 55 a 59, referentes à criação da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDP), responsáveis por regulamentar a matéria e aplicar sanções administrativas aos infratores.

Uma missão ainda incompleta

Os dispositivos concernentes à criação da ANPD e do CNPDP foram objeto de veto presidencial, fato esse que acaba por afetar a plena efetividade da lei, que fica desguarnecida de seu braço executor e de seu núcleo pensante. A nova autarquia e o novo órgão de consulta seriam os responsáveis não apenas pelas condutas citadas no parágrafo anterior, como também por estabelecer e implementar a Política Nacional de Proteção de Dados Pessoais e da Privacidade, documento de alto nível responsável por fixar as diretrizes, os objetivos e os instrumentos para o tratamento de dados pessoais no país.

É importante ressaltar que a atuação presidencial nesse ponto, apesar dos efeitos negativos, se deu no exercício da mais estrita legalidade. O veto jurídico aos dispositivos, fundamentado na iniciativa legislativa privativa para a criação de órgãos da administração pública, tem fundamento no art. 61, §1^o, II, ‘e’, da Constituição Federal. Além disso, como bem estabelecido pela doutrina, o vício de iniciativa tem natureza insanável, não podendo ser corrigido pelo simples assentimento presidencial.

Para colmatar essa importante lacuna, é essencial que o Executivo avance rapidamente com a nova regulamentação da matéria, deflagrando o processo legislativo para a criação dos órgãos citados, por meio de medida provisória ou de projeto de lei que disponha sobre a criação da ANPD e do CNPDP. Sem os seus principais agentes, a Lei Geral de Proteção de Dados infelizmente ainda é um instrumento fraco, de difícil implementação pela administração pública.

As mais de cinquenta referências na lei à atuação da “autoridade nacional”, funções variadas que seriam cumpridas pela ANPD, evidenciam a necessidade de criação do órgão por meio do processo legislativo adequado, sob pena de se esvaziar anos de debates e esforços legislativos, que levaram à elaboração do moderno marco regulatório nacional.

Apesar de contar com liberdade para propor a nova estrutura institucional – inclusive sendo-lhe facultada a proposta de criação de novos entes – é de fundamental importância que o presidente da República dê ouvidos ao modelo adotado na Lei n^o 13.709/2018 para o ANPD e o CNPDP, fruto de grande deliberação entre especialistas e representantes da sociedade civil. O chefe do Executivo precisa resistir às vozes que lhe sugiram maior controle sobre o sistema, como aqueles que defendem a vinculação da ANPD ao Gabinete de Segurança Institucional, o que poderia comprometer o sigilo dos dados pessoais ao aproximá-los da atividade de inteligência governamental.

Sem instituições fortes e independentes que lhe resguardem, a Lei Geral de Proteção de Dados Pessoais dificilmente atenderá às expectativas nela depositadas não apenas por seus idealizadores, como também por toda a população brasileira.