Este breve paper foi publicado na edição de dezembro de 2018 nos Cadernos Jurídicos da OAB Paraná e pode ser encontrado para download neste link.

A edição da Lei Geral de Proteção de Dados (n. 13.709/2018) é resultado da crescente preocupação com a integridade e segurança de dados pessoais no contexto de seu maciço processamento. Não somente, é também resposta apressada à necessidade de adequação nacional às legislações estrangeiras que ameaçam iniciativas comerciais não adaptadas aos seus critérios. Sua entrada em vigor, em 16 de fevereiro de 2020, servirá ainda à proteção do direito à privacidade como direito humano fundamental aos estabelecer regras para o processamento de informações pessoais na sociedade da informação.

Privacidade como Direito Humano Fundamental

Para a União Europeia, uma das precursoras na proteção aos dados pessoais, a justificativa ao reconhecimento da privacidade como direito humano fundamental tem alicerce em duas importantes fontes: a Declaração Universal dos Direitos Humanos (DUDH) e a Convenção Europeia dos Direitos Humanos (CEDH). A primeira, em seu Artigo 12, assegura a inviolabilidade da vida privada e o direito à proteção pela lei às interferências e ataques a ela, enquanto a liberdade de opinião e expressão restam protegidos pelo Art. 19. Ainda que possam estes aparentar ser em certa medida contraditórios, não são absolutos, devendo ser submetidos a um juízo de equilíbrio e aos princípios da necessidade, razoabilidade e proporcionalidade. De forma complementar e vinculante aos signatários, os Artigos 8, 10(1) e 10(2) da CEDH reforçam as supramencionadas garantias da DUDH, reiterando a necessidade de equilíbrio entre os direitos individuais e as justificáveis interferências neles pelo Estado. (RUDGARD, 2018).

O Brasil, também signatário da DUDH, oferece justificativas semelhantes ao reconhecimento da privacidade como direito fundamental e à busca por sua proteção. A Constituição Federal é natural pilar desta interpretação visto que seu Art.5º, X, assegura expressamente tal caráter à inviolabilidade da intimidade e da vida privada. Para além disso, estabelece como princípios fundamentais da Republica a cidadania, a dignidade da pessoa humana e o pluralismo político, estes umbilicalmente ligados à preservação da privacidade.

Privacidade: um conceito complexo

Conceito fluido e complexo, privacidade não se resume ao que se faz a portas fechadas ou àquilo que se pesquisa utilizando uma aba “anônima” em um navegador de internet. Seu significado engloba o direito de ser deixado só, o acesso limitado ao si, o controle sobre as informações pessoais, o secreto, a intimidade e a formação da personalidade. Este último, por si só, relaciona-se também ao desenvolvimento da individualidade, dignidade e autonomia humana (SOLOVE, 2002), princípios fundamentais e fundamentos da Republica, como já exposto. A perda ou afetação da privacidade, seja pelo comprometimento de dados pessoais simples (nome, endereço, CPF, endereço IP) ou sensíveis (convicção religiosa, orientação sexual ou de gênero, genética etc.), poderiam, portanto, causar a gradativa decadência da reflexão no contexto formativo da pessoa, especialmente em razão da progressiva e constante destruição de espaços privados.

Comum discurso de resistência às leis e regulamentações com foco na proteção da privacidade é o argumento comumente conhecido como “eu não tenho nada a esconder” (SOLOVE, 2007). Este parte de uma percepção equivocada de que a pessoa natural não infratora e subscritora ao contrato social é plenamente transparente, a privacidade aproveitando somente àquilo e àqueles que de alguma forma estariam em desacordo com as normas legais ou costumeiras. No entanto, tal asserção não sobrevive à reflexão supra, tampouco à provocação ao aberto compartilhamento de senhas de e-mail, extratos de cartão de crédito, históricos de pesquisa, navegação, compras e conversas online. Se há incômodo e expectativa de privacidade nestes âmbitos e meios, certamente não é por sermos todos criminosos, mas por reconhecermos sua necessidade e valor. De todo modo, os debates a respeito do equilíbrio entre sua proteção perante outros valores instrumentais (como a segurança) não se esgotarão. Fato incontroverso é que sua importância e valorização são fato gerador da onda legislativa de proteção de dados pessoais à qual o Brasil acaba de se juntar.

GDPR e a necessidade de adequação

Os esforços de controle no uso de dados pessoais estão presentes no contexto europeu desde meados dos anos 60, tendo mais recentemente atingido seu ápice com a entrada em vigor do Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês). O referido instrumento normativo veio em substituição à Diretiva anterior, que ainda oferecia certa margem de manobra em sua implementação pelos países membros do bloco, passando a ser aplicado de forma imediata e unificada.

A aplicação do GDPR ultrapassa os limites territoriais dos estados membros, vez que inclui em seu escopo previsões que afetam diretamente o processamento de dados por países terceiros. Dentre elas está sua aplicação a todos que de forma não eventual oferecem bens e serviços ou monitoram o comportamento de pessoas naturais residentes na UE, a necessidade de designação de um representante em solo da União pelos controladores e processadores de dados em determinados casos, bem como restrições à transferência de dados pessoais. Neste último caso, a transferência só poderá ocorrer para países ou organizações internacionais que possuam um adequado nível de proteção, tal reconhecimento dependendo decisão emanada pela Comissão Europeia. O Brasil, até o momento, não consta da lista de países que a obtiveram (COMISSÃO EUROPEIA, 2018). Isto é motivo de preocupação para empresas nacionais que lidam com o processamento e tratamento não eventual de dados europeus, como por exemplo campanhas publicitárias, ecommerce, armazenamento em cloud, mas não somente.

Uma alternativa, enquanto inexistente uma declaração de adequação, é a adaptação do mercado nacional para adoção de medidas técnicas e organizacionais, a utilização de instrumentos legais vinculantes e com força executiva entre autoridades e organismos públicos, bem como o uso de regras vinculativas (binding corporate rules) por pessoas jurídicas. Estas últimas garantiriam a aplicação de uma política unificada de transferências de dados por multinacionais, garantindo o respeito a princípios como o da transparência, da qualidade e da segurança, bem como a implantação de mecanismos garantidores de sua eficácia, como treinamentos, auditorias e sistemas organizados de reclamações.

Nossa recente legislação, além de complementar a previsão de proteção constante do Marco Civil da Internet, serve como iniciativa de adequação nacional às práticas internacionais de salvaguarda de dados pessoais. Longe de representar submissão às iniciativas legislativas estrangeiras, a LGPD representa a justificada preocupação brasileira com os dados de seus próprios cidadãos, ao mesmo tempo em que sinaliza a outros países sua aspiração à relevância no tratamento de dados coletados internacionalmente. Por fim, ainda que estejamos apenas no início da vacatio legis que nos separa de fevereiro de 2020, a necessidade de mitigação de riscos e proteção de dados é imediata, seja para a preservação de Direitos Humanos Fundamentais ou para a viabilidade da continuidade comercial nacional e internacional de iniciativas coletoras e tratadoras de dados pessoais.

Referências:

BRASIL. Constituição da República Federativa do Brasil de 1988, Brasília, DF, ago. 1988.

BRASIL. Lei n. 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil., Brasília, DF, abr. 2014.

BRASIL. Lei n. 13.709, de 14 de Agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet), Brasília, DF, ago. 2018. Disponivel em <http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm. Acesso em: 18 nov. 2018.

COMISSÃO EUROPEIA. Adequacy of the protection of personal data in non-EU countries, 2018. Disponivel em: https://ec.europa.eu/info/law/law-topic/data-pro-tection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_pt. Acesso em: 18 nov. 2018.

CONVENÇÃO EUROPEIA DOS DIREITOS HUMANOS. Conselho da Europa, nov. 1950. Disponivel em: https://www.echr.coe.int/Documents/Convention_POR.pdf. Acesso em: 15 nov. 2018.

DECLARAÇÃO UNIVERSAL DOS DIREITOS HUMANOS. Assembleia Geral das Nações Unidas em Paris, 10 dez. 1948. Disponivel em: https://nacoesunidas.org/direi-toshumanos/declaracao/. Acesso em: 15 nov. 2018.

DIRECTIVA 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. Jornal Oficial da União Europeia, v. L281, p. 0031-0050, 23 nov. 1995.

REGULAMENTO (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (RGPD). Jornal Oficial da União Europeia, v. L119, p. 1-88, 4 maio 2016.

RUDGARD, S. Origins and Historical Context of Data Protection Law. In: USTARAN, E. European Data Protection: Lae and Practice. Portsmouth: International Association of Privacy Professionals, 2018. Cap. 1, p. 5-6. ISBN 978-0-9983223-5-3.

SOLOVE, D. J. Conceptualizing Privacy. California Law Review, v. 90, n. 4, p. 1087-1155, 2002.

SOLOVE, D. J. ‘I’ve Got Nothing to Hide’ and Other Misunderstandings of Privacy. San Diego Law Review, San Diego, v. 44, n. GWU Law School Public Law Research Paper No. 289, p. 745-772, jul. 2007. Disponivel em: https://ssrn.com/abstract=998565.