Entrou em vigor o novo marco legal de proteção a dados pessoais na União Europeia: quais reflexos para o Brasil?
Proteção de dados

Entrou em vigor o novo marco legal de proteção a dados pessoais na União Europeia: quais reflexos para o Brasil?

1 INTRODUÇÃO

Nas últimas semanas, muitos usuários de aplicativos, redes sociais ou qualquer outro tipo de plataforma virtual devem ter notado a chegada de uma enxurrada de comunicados por e-mails – ou por notificações internas apresentadas após login nos softwares –, informando a atualização de seus termos de serviços e/ou de sua política de privacidade.

Isso se deve, basicamente, à recente entrada em vigor do novo Regulamento Geral de Proteção de Dados (RGPD) – em inglês, General Data Protection Regulation (GDPR) – que aborda a proteção das pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre circulação deles, ocorrida em 25 de maio de 2018, no âmbito dos países-membros da União Europeia.

Este regulamento revogou e substituiu as regras vigentes de proteção de dados, as quais possuíam mais de 20 anos de existência – Diretiva 95/46/CE –, com o objetivo geral de proteger de modo amplo a privacidade do indivíduo.

Entretanto, se este novo regulamento se aplica à União Europeia, haveria reflexos dessa regulamentação no Brasil? Esta é a pergunta básica a ser solucionada.

2 IMPORTÂNCIA DA PROTEÇÃO DOS DADOS PESSOAIS

Infelizmente, de forma geral, a massa populacional brasileira não está devidamente conscientizada sobre a importância da proteção de seus dados pessoais, sobretudo em ambiente virtual.

É fato que, com a evolução da internet, diversas entidades – públicas e privadas – passaram a acumular um volume enorme de dados pessoais de usuários e a tratá-los. Entenda-se o termo “tratar” conforme definição concedida no RGPD (conceito próximo à definição brasileira estabelecida pelo Decreto 8.771/2016, mas com um melhor nível de detalhamento):

Artigo 4º (…) Para efeitos do presente regulamento, entende-se por: (…) 2) «Tratamento», uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição (União Europeia, 2016, art. 4º).

Assim, por meio de informações originadas dos usuários de serviços e consumidores de produtos, as instituições passaram a dispor de uma base de dados pessoais da qual informações valiosas podem ser extraídas, compartilhadas ou vendidas a outras entidades.

Esse acúmulo de dados ocorre desde muito antes do crescimento exponencial da internet: supermercados, farmácias, órgãos públicos, bancos, escolas e hospitais, por exemplo, já detinham uma base de dados sólida, apta a um tratamento específico. Mas, ultimamente, a informatização dos dados tomou proporções maiores e a regulamentação tornou-se imprescindível.

Alerta-se que não se está buscando reprimir ou condenar toda e qualquer forma de manipulação de dados pessoais no meio empresarial. Admite-se que o tratamento desses dados é importante para as entidades, permitindo diversos benefícios, inclusive voltados aos próprios usuários, como: melhoria no atendimento, identificação e correção de falhas, otimização do sistema, melhor repartição de produtos em estoque etc.

O problema principal está no uso inadequado, não autorizado ou no vazamento dos dados pessoais pelas instituições, o que acaba acarretando diversos transtornos aos titulares dessas informações.

Com certa frequência, empresas de todos os portes, nacionais ou multinacionais, têm sido vítimas de ataques cibernéticos, que visam sobretudo a captura de dados pessoais (…) constantes dos registros dessas companhias, como nomes, endereços, número de documentos, histórico de compras e dados financeiros cadastrados. Afinal, no atual contexto tecnológico, informação é uma valiosa moeda com cotação universal – segundo reportagem da Rádio Câmara, “o mercado de dados pessoais movimenta cerca de 3 trilhões de dólares por ano no mundo todo”. Algumas vezes, essas empresas passam a sofrer tentativas de extorsão por parte dos crackers, que demandam o pagamento de altas quantias para a “não divulgação” dos dados obtidos. Em outros casos, essas informações são facilmente vendidas na internet (especialmente na Deep Web) àqueles que possuem a intenção de aplicar golpes, seja no mundo virtual ou fora dele – por exemplo, através de ferramentas de engenharia social ou mesmo a solicitação de segunda via de documentos, como cartões de crédito. Tal violação também pode ter uma origem interna, quando praticada por funcionários da própria empresa ou autorizados a manusear o sistema, os quais podem agir dolosamente, como na hipótese de vingança por uma advertência, ou mesmo culposamente, como quando são negligentes no armazenamento de suas senhas, por exemplo (Godoy, [s.d.]).

Assim, para uma proteção de dados eficaz, o ideal é procurar um equilíbrio entre os interesses dos titulares dos dados pessoais e o poder econômico das instituições que os utilizam. Não é difícil concluir qual dos dois representa o lado “mais fraco” dessa relação.

3 NOÇÕES GERAIS A RESPEITO DO RGPD

De forma prática, o RGPD significa uma reviravolta na maneira como os dados pessoais serão tratados. Para facilitar o entendimento, elaboramos um esquema geral e simplificado sobre os principais polos e objetos envolvidos neste regulamento:

FIGURA 1 – Noções básicas dos polos e objetos envolvidos no RGPD

Elaboração da autora com base no RGPD.

Consequentemente, dito de forma bem simplória, o RGPD veio regular o tratamento de dados pessoais de pessoas físicas e sua circulação, quando se tratar de atividade profissional ou comercial.

A fim de entendermos a motivação e a intenção normativa do ato, seguem duas considerações inicias do RGPD que esclarecem o principal objetivo do regulamento:

(2) O presente regulamento tem como objetivo contribuir para a realização de um espaço de liberdade, segurança e justiça e de uma união económica, para o progresso económico e social, a consolidação e a convergência das economias a nível do mercado interno e para o bem-estar das pessoas singulares. (…)

(4) O tratamento dos dados pessoais deverá ser concebido para servir as pessoas. O direito à proteção de dados pessoais não é absoluto; deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade. O presente regulamento respeita todos os direitos fundamentais e observa as liberdade[s] e os princípios reconhecidos na Carta, consagrados nos Tratados, nomeadamente o respeito pela vida privada e familiar, pelo domicílio e pelas comunicações, a proteção dos dados pessoais, a liberdade de pensamento, de consciência e de religião, a liberdade de expressão e de informação, a liberdade de empresa, o direito à ação e a um tribunal imparcial, e a diversidade cultural, religiosa e linguística (União Europeia, 2016).

Assim, liberdade, segurança e justiça balizam a norma em exame, visando o progresso social, sendo mantida a proporcionalidade para que essa proteção não se torne absoluta e autoritária.

A necessidade do regulamento surgiu em meio à evolução tecnológica e à globalização, as quais empreenderam uma verdadeira transformação social e econômica, a nível mundial:

(6) A rápida evolução tecnológica e a globalização criaram novos desafios em matéria de proteção de dados pessoais. A recolha e a partilha de dados pessoais registaram um aumento significativo. As novas tecnologias permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício das suas atividades. As pessoas singulares disponibilizam cada vez mais as suas informações pessoais de uma forma pública e global. As novas tecnologias transformaram a economia e a vida social e deverão contribuir para facilitar a livre circulação de dados pessoais na União [Europeia] e a sua transferência para países terceiros e organizações internacionais, assegurando simultaneamente um elevado nível de proteção dos dados pessoais.

(7) Esta evolução exige um quadro de proteção de dados sólido e mais coerente na União [Europeia], apoiado por uma aplicação rigorosa das regras, pois é importante gerar a confiança necessária ao desenvolvimento da economia digital no conjunto do mercado interno. As pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais. Deverá ser reforçada a segurança jurídica e a segurança prática para as pessoas singulares, os operadores económicos e as autoridades públicas (União Europeia, 2016).

Acerca da conceituação de dados pessoais no RGPD, esta se concentra na informação relativa a uma pessoa natural identificada ou identificável. Todavia, o regulamento não se limitou à simples definição do conceito: ele também criou diversas categorias de dados pessoais e mencionou as especificidades de cada uma, tornando esses dados extremamente abrangentes, conforme pode se verificar na figura 2.

FIGURA 2 – Abrangência dos dados pessoais no RGPD

Elaboração da autora com base no RGPD.

Reunindo alguns dos tipos dispostos na figura 2, obtêm-se os ditos “dados sensíveis” ou “dados de categoria especial”, que ganharam uma proteção mais elevada devido à sua relevância no texto regulamentar.

Agora, para que uma regra seja efetiva, devem ser previstas consequências para o seu possível descumprimento. Como resultado, o RGPD definiu sanções administrativas diversas, conforme segue:

Artigo 58º (…) 2. Cada autoridade de controlo dispõe dos seguintes poderes de correção:

a) Fazer advertências ao responsável pelo tratamento ou ao subcontratante no sentido de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento;

b) Fazer repreensões ao responsável pelo tratamento ou ao subcontratante sempre que as operações de tratamento tiverem violado as disposições do presente regulamento;

c) Ordenar ao responsável pelo tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento;

d) Ordenar ao responsável pelo tratamento ou ao subcontratante que tome medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado;

e) Ordenar ao responsável pelo tratamento que comunique ao titular dos dados uma violação de dados pessoais;

f) Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição;

g) Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do tratamento (…), bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais (…);

h) Retirar a certificação ou ordenar ao organismo de certificação que retire uma certificação emitida nos termos dos artigos 42º e 43º, ou ordenar ao organismo de certificação que não emita uma certificação se os requisitos de certificação não estiverem ou deixarem de estar cumpridos;

i) Impor uma coima nos termos do artigo 83º, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso;

j) Ordenar a suspensão do envio de dados para destinatários em países terceiros ou para organizações internacionais (União Europeia, 2016, art. 58).

A respeito das multas mencionadas no item i e tendo em vista as disposições do art. 83 do RGPD, os valores são expressivos, variando entre 10 milhões de euros ou 2% do faturamento anual global da empresa para infrações mais leves e 20 milhões de euros ou 4% do faturamento anual global da empresa nos casos mais graves – elegendo-se sempre o montante que for mais elevado.

Além do que já foi abordado nesta seção, vale pontuar mais alguns elementos importantes constantes do RGPD, entre os quais:

    • Consentimento direto, específico, inequívoco e claro do titular de dados pessoais para a execução do tratamento e responsabilização de todos os corresponsáveis pelo manuseio;
    • Proteção permanente dos dados pessoais e registro de todas as atividade de tratamento;
    • Gestão de riscos frente aos dados pessoais;
    • Minimização da quantidade de dados pessoais a serem processados, mantendo-se somente o suficiente;
    • Notificação das autoridades sobre violação de dados em 72 horas após a ciência;
    • Nomeação de um encarregado de proteção de dados;
    • Tratamento diferenciado com relação às categorias especiais de dados pessoais e imposição de restrições adicionais ao manuseamento de dados pessoais de crianças;
  • Resposta imediata às solicitações dos titulares acerca dos dados tratados por uma determinada entidade (retificação, alteração, exclusão, informação quanto ao tipo de tratamento que estão sujeitos etc.) e portabilidade dos mesmos.

Assim, uma vez que os principais elementos do RGPD foram mencionados, faz-se necessário investigar como o RGPD pode exercer influência sobre as entidades brasileiras.

4 LEGISLAÇÃO BRASILEIRA SOBRE DADOS PESSOAIS E IMPLICAÇÕES DO RGPD NO PAÍS

Apesar de não haver uma lei brasileira abrangente que trate do tema em específico, existem várias leis genéricas que abordam o assunto. Segundo a página oficial do Ministério da Ciência, Tecnologia, Inovações e Comunicações,

(…) O Brasil ainda não possui uma lei que regule de modo abrangente a proteção dos dados pessoais de seus cidadãos. Há, contudo, diversas normas legais e infralegais que tratam da questão no âmbito setorial, como: o Código de Defesa do Consumidor (artigos 43 e 44), que resguarda os dados pessoais de consumidores; a Lei de Acesso a Informação Pública (artigo 31 da Lei nº 12.527/2011), que protege dos dados pessoais relativos à transparência do poder público; a Lei do Cadastro Positivo (Lei nº 12.414/2011), que salvaguarda os dados pessoais no âmbito de análises de crédito; entre outras. O próprio Marco Civil da Internet (artigo 3º, incisos II e III, 7º a 17 da Lei nº 12.965/2014) assegura a tutela da privacidade e da proteção de dados pessoais, além de exigir o consentimento livre, expresso e informado do usuário para a utilização de seus dados pessoais (Brasil, [s.d.]).

Além das normas citadas, existem muitas outras, comprovando que os dados pessoais no Brasil não estão totalmente “à deriva”. Porém, nenhuma delas pode suprir a necessidade de uma legislação específica, completa e não setorizada sobre o assunto.

Por enquanto, para os cidadãos brasileiros em geral, o Marco Civil da Internet e seu decreto regulamentador (Decreto 8.771/2016), à luz da Constituição Federal, nos fornecem uma legislação mais voltada a princípios, diretrizes e conceitos envolvendo os dados pessoais. Aguardamos que um dos projetos de leis que tramitam no Congresso sobre o tema passe a integrar o ordenamento jurídico brasileiro.

Atualmente, estão em discussão no Congresso Nacional alguns Projetos de Lei que visam regulamentar a proteção de dados pessoais no País. A promulgação de um marco normativo que garanta o uso responsável dos dados pessoais é fundamental para garantir a confiança no ambiente digital, elemento essencial para o progresso da economia, cada vez mais informatizada (Brasil, [s.d.]).

Quanto ao tema de territorialidade, o RGPD nos trouxe uma abordagem muito interessante, a fim de efetivar a proteção dos dados pessoais dos residentes na União Europeia em qualquer lugar da terra:

Artigo 3º (…) 1. O presente regulamento aplica-se ao tratamento de dados pessoais efetuado no contexto das atividades de um estabelecimento de um responsável pelo tratamento ou de um subcontratante situado no território da União [Europeia], independentemente de o tratamento ocorrer dentro ou fora da União [Europeia].

2. O presente regulamento aplica-se ao tratamento de dados pessoais de titulares residentes no território da União [Europeia], efetuado por um responsável pelo tratamento ou subcontratante não estabelecido na União, quando as atividades de tratamento estejam relacionadas com:

a) A oferta de bens ou serviços a esses titulares de dados na União, independentemente da exigência de os titulares dos dados procederem a um pagamento;

b) O controlo do seu comportamento, desde que esse comportamento tenha lugar na União [Europeia].

3. O presente regulamento aplica-se ao tratamento de dados pessoais por um responsável pelo tratamento estabelecido não na União [Europeia], mas num lugar em que se aplique o direito de um Estado-Membro por força do direito internacional público (União Europeia, 2016, art. 3º).

 

Excluindo-se as exceções previstas no próprio regulamento, no âmbito de atividade profissionais ou comerciais, extrai-se do art. 3º do RGPD duas regras principais:

  1. é aplicável a pessoas ou entidades que se encontram no território da União Europeia e tratam dados pessoais, independentemente do lugar em que o tratamento ocorra;
  2. é aplicável a pessoas ou entidades que não se encontram na União Europeia, mas tratam dados pessoais de titulares residentes no território da União Europeia, obtidos por: a) oferta de bens ou serviços a esses titulares, mesmo que sem pagamento; b) monitoramento comportamental dos titulares na União Europeia.

Percebe-se que, quanto ao item 1, não interessa a origem da empresa pois, estando no território da União Europeia ou tendo no mínimo uma filial sua lá, está submetida ao RGPD em sua totalidade. Assim, empresas ou pessoas brasileiras nesta situação devem conhecer e seguir as regras do regulamento. Ademais, de nada adianta recolher dados pessoais em solo europeu e depois transferi-los a um país não membro com a finalidade de tratá-los; o RGPD permanece aplicável.

Quanto ao item 2, o âmbito de aplicação do RGPD envolve o tratamento de dados pessoais específicos de residentes na União Europeia. Pessoas ou empresas nesta situação, localizadas fora da União Europeia, devem observar o RGPD quando oferecerem produtos/serviços ou monitorarem residentes da União Europeia. Esse oferecimento poderá ser analisado comprovando-se até mesmo uma intenção, como a simples utilização de uma moeda de uso corrente em um ou mais estados-membros:

(23) (…) A fim de determinar se o responsável pelo tratamento ou subcontratante oferece ou não bens ou serviços aos titulares dos dados que se encontrem na União [Europeia], há que determinar em que medida é evidente a sua intenção de oferecer serviços a titulares de dados num ou mais Estados-Membros da União [Europeia]. O mero facto de estar disponível na União [Europeia] um sítio web do responsável pelo tratamento ou subcontratante ou de um intermediário, um endereço eletrónico ou outro tipo de contactos, ou de ser utilizada uma língua de uso corrente no país terceiro em que o referido responsável está estabelecido, não é suficiente para determinar a intenção acima referida, mas há fatores, como a utilização de uma língua ou de uma moeda de uso corrente num ou mais Estados-Membros, com a possibilidade de encomendar bens ou serviços nessa outra língua, ou a referência a clientes ou utilizadores que se encontrem na União [Europeia], que podem ser reveladores de que o responsável pelo tratamento tem a intenção de oferecer bens ou serviços a titulares de dados na União [Europeia] (União Europeia, 2016).

Quanto à comprovação do monitoramento de comportamento, deverá ser determinado se as pessoas são “seguidas na Internet e a potencial utilização subsequente de técnicas de tratamento de dados pessoais que consistem em definir o perfil de uma pessoa singular, especialmente para tomar decisões relativas a essa pessoa ou analisar ou prever as suas preferências, o seu comportamento e as suas atitudes” (União Europeia, 2016).

Como consequência, no contexto de tratamento de dados pessoais com fins profissionais ou comerciais, devem ficar atentas ao RGPD:

    • entidades (ou pessoas físicas) brasileiras com sede ou filial na União Europeia;
    • entidades (ou pessoas físicas) brasileiras que recebem de entidades localizadas na União Europeia dados pessoais de residentes na União Europeia;
    • entidades (ou pessoas físicas) brasileiras que oferecem bens ou serviços a residentes da União Europeia ou que monitorem seu comportamento;
  • entidades (ou pessoas físicas) brasileiras não estabelecidas na União Europeia, mas em um país no qual se aplique o direito de um estado-membro por força do direito internacional público.

Consequentemente, o regulamento buscou provocar um efeito global, protegendo os dados pessoais de cidadãos pertencentes a qualquer país-membro da União Europeia mesmo que fora da sua limitação geográfica.

5 CONCLUSÃO

Foi visto que, apesar de se tratar de uma regulamentação da União Europeia, o alcance dela não se restringe aos dados pessoais de titulares presentes somente em seus países-membros: as regras visam acompanhar os dados pessoais, superando os limites geográficos.

Por essa e outras razões, é preciso que o empresário brasileiro que se enquadra nas condições de aplicabilidade do RGPD conheça o regulamento e tome as providências cabíveis para os seus negócios. Ou seja, cabe a revisão dos termos de uso, políticas de privacidade, serviços, contratos e todos os elementos de gestão de dados pessoais, garantindo que cada cliente saiba quais dados, como, onde e por quem eles estão sendo tratados.

Desenvolver um sistema que identifique a origem dos clientes que utilizam seus bens/serviços ou que são alvos de monitoramento comportamental, a fim de impedir o acesso de pessoas da União Europeia, pode não ser a melhor saída, considerando que outras vedações jurídicas poderão ser invocadas.

Nos casos brasileiros que não possuem interferência do RGPD, enquanto o Brasil não publicar uma lei específica sobre proteção de dados, a solução será conciliar dispositivos do Marco Civil e legislações especiais com princípios constitucionais, aplicando a jurisprudência que está sendo construída sobre o tema.

REFERÊNCIAS

BRASIL. Ministério da Ciência, Tecnologia, Inovações e Comunicações. Assuntos cibernéticos: dados pessoais. [s.d.]. Disponível em: <http://www.mctic.gov.br/mctic/opencms/tecnologia/SEPOD/politicasDigitais/assuntosCiberneticos/index.html>. Acesso em: 10 maio 2018.

______. Lei nº 8.078, de 11 de setembro de 1990. DOU, 12 set. 1990. Disponível em: <http://www.planalto.gov.br/ccivil_03/Leis/L8078.htm>.

______. Lei nº 12.527, de 18 de novembro de 2011. DOU, 18 nov. 2011. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm>.

GODOY, Maria. Aspectos jurídicos da segurança digital empresarial contra o vazamento de dados. [s.d.]. Disponível em: <https://blog.avisourgente.com.br/segurança-digital/?rdst_srcid=1165819&utm_campaign=FaceAdsSegurancaDigital&utm_medium=FaceAdsSegurancaDigital&utm_source=FaceAds>. Acesso em: 21 maio 2018.

UNIÃO EUROPEIA. Que regras se aplicam se a minha organização transferir dados para fora da UE? [s.d.]. Disponível em: <https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-rules-apply-if-my-organisation-transfers-data-outside-eu_pt>. Acesso em: 24 maio 2018.

______. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016. 2016. Disponível em: <http://eur-lex.europa.eu/legal-content/PT/TXT/?uri=CELEX:32016R0679>. Acesso em: 10 maio 2018.


Texto publicado originalmente em 29 de maio de 2018, no site Jusbrasil. Disponível em: <https://andressavieirabueno.jusbrasil.com.br/artigos/583415506/entrou-em-vigor-o-novo-marco-legal-de-protecao-a-dados-pessoais-na-uniao-europeia-quais-reflexos-para-o-brasil>.

Leave your thought here