Por Leonardo Neri
A Lei nº 13.709/2018 dispõe sobre o tratamento de dados pessoais. A norma apresenta regras para disciplinar a forma como os dados pessoais dos indivíduos podem ser armazenados por outras pessoas físicas ou mesmo empresas.
O escopo da Lei visa proteger os direitos fundamentais de privacidade e liberdade, bem como o livre desenvolvimento da personalidade de uma pessoa natural.
Atualmente, os serviços oferecidos pelas empresas modernas têm como uma de suas características a constante coleta de dados pessoais dos usuários. Como exemplo, pode-se citar os bancos de dados com informações registradas pelas redes sociais Facebook, Instagram, WhatsApp, dentre outras. Assim, em toda interação online costuma haver embutida alguma coleta de dados.
A razão de tal preocupação por parte do legislador é que referidos dados possuem alto valor econômico, pois definem tendências de consumo, políticas, comportamentais e até mesmo religiosas, servindo para direcionamento da atuação estratégica por determinado player em seu respectivo nicho de mercado.
A ocorrência em questão tornou-se notória para a sociedade quando houve vazamento de dados de milhões de usuários do Facebook para a empresa de marketing político Cambridge Analytica, que atuou na campanha eleitoral do presidente americano Donald Trump. No Brasil, também foi constatado vazamento de dados, mas em uma escala inferior. É nesse contexto que foi editada a Lei nº 13.709/2018 em âmbito nacional, vindo na esteira da já promulgada GDPR (em inglês) “Regulamento Geral de Proteção de Dados”, que é uma legislação elaborada pela União Europeia, a qual estabelece regras sobre como as empresas e os órgãos públicos devem lidar com os dados pessoais.
Inicialmente, deve-se entender como tratamento de dados pessoais toda “movimentação” realizada com referidos dados. A título exemplificativo, considere que uma empresa de pesquisas colete dados pessoais de consumidores presentes, em um trabalho realizado em determinado estabelecimento comercial. Em seguida, essa empresa transaciona esses dados para uma outra empresa de marketing. A empresa de marketing, então, firma um contrato com uma outra organização para filtrar, analisar e classificar os mesmos dados. Com esses resultados, a empresa de marketing vende as referidas informações para um agente da indústria de turismo. No exemplo ventilado, todas as companhias atuaram no tratamento de dados pessoais.
Assim, o conceito de tratamento de dados pessoais engloba toda e qualquer operação realizada com os dados pessoais. Isso inclui as condutas realizadas com tal matéria-prima, em detrimento à proteção discriminada pelo ordenamento, nomeadas por fundamentos. A partir desta premissa, nota-se para melhor elucidação:
| TRATAMENTO DE DADOS PESSOAIS | ||
| Condutas | Principais Dados Pessoais | Fundamentos |
| Produção | Nome de uma pessoa natural | Respeito à privacidade |
| Coleta, classificação | Número do RG | Autodeterminação informativa |
| Recepção, acesso | Número do CPF | Liberdade de expressão |
| Utilização, reprodução | Profissão | Inviolabilidade da intimidade |
| Distribuição, transmissão, processamento | Estado Civil | Desenvolvimento econômico e tecnológico |
| Arquivamento, armazenamento | Grau de Escolaridade | Livre iniciativa |
| Eliminação, avaliação e controle | Curriculum Vitae | Direitos humanos |
| Modificação, difusão e extração | Filiação | Livre concorrência |
| Comunicação e transferência | Nacionalidade | Defesa do consumidor |
Desta feita, vencida a compreensão sobre a amplitude do conceito que norteia a norma e seus principais parâmetros envolvidos, vale destacar acerca das condições de aplicabilidade da Lei que entrará em vigor no mês de fevereiro do ano de 2020:
| APLICABILIDADE DA LEI | |
| Lei Aplicável | Lei Não Aplicável |
| Qualquer operação de tratamento de dados pessoais independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados | Realizado por pessoa natural para fins exclusivamente particulares e não econômicos |
| Dados pessoais devem ser coletados no Brasil | Realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos (aplicável apenas os artigos 7º e 11º da Lei) |
| A atividade de tratamento que tenha sido feita fora do Brasil, mas tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional | Realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais |
| Exemplo: Cadastro no Facebook ou em outros sites estrangeiros, mas que utilizem esses dados para vender produtos aqui no Brasil | Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei |
No Brasil, o tema é atualmente versado mais diretamente no Marco Civil da Internet, e mesmo assim não por meio de normas diretas, mas por princípios – uma forma, por assim dizer, indireta de regrar-se determinado assunto. A entrada em vigor da norma pátria, por força do modo que foi estabelecida a GDPR, fortalecerá o interesse do país em também fazer parte da Organização para Cooperação e Desenvolvimento Econômico (OCDE), ingresso que exige do Brasil as regras de segurança digital que será suprida com a Nova Lei de Dados.
Portanto, em linhas gerais, a nova Lei almeja maximizar o controle que os titulares possuem sobre os dados pessoais, bem como tornar-se eficaz por meio de aplicação de sanções que de fato impactem no orçamento das empresas, como será visto nos próximos artigos. Ademais, a norma apresenta os referidos conceitos que devem ser seguidos por todos órgãos privados e públicos que mantenham, coletem, armazenem, vendem ou que tratem de alguma forma os dados pessoais adquiridos dentro do território nacional. No próximo texto será discorrido de forma pormenorizada sobre os princípios e requisitos que embasam o tratamento dos dados pessoais.