É sabido que os avanços tecnológicos e a globalização proporcionaram o desenvolvimento das negociações realizadas no âmbito da economia digital. Esse contexto promoveu o aumento do fluxo internacional de dados pessoais. O receio do vazamento de dados pessoais pôde ser verificado, por exemplo, quando veio a público a declaração de um ex-contratado da Agência de Segurança Nacional dos Estados Unidos (em inglês: National Security Agency - NSA), na qual Edward Snowden alertou quanto à utilização de dados pessoais pela agência através da criação de uma infraestrutura que permitia interceptar quase todo tipo de comunicação.
Com essa função, a NSA detinha acesso - sem a necessidade de mandado - a e-mails, telefones, senhas, arquivos, cartões de crédito, inclusive de pessoas que sequer eram alvo das investigações realizadas pela agência americana. Isso quer dizer que a informação passou a ser vista como um ativo de alta relevância para empresários e autoridades estatais, sendo considerada um sinônimo de poder àqueles que possuem acesso a tais dados.
Assim, o desenvolvimento das estruturas cibernéticas somado ao risco de violação ao direito à privacidade dos indivíduos influenciou no surgimento de regulamentações destinadas à proteção de dados pessoais, dentre elas a Lei Geral de Proteção de Dados - LGPD (Lei nº 13.709/18).
A Lei nº 13.709/18 é uma legislação fundada na proteção dos direitos fundamentais da privacidade, da intimidade e da liberdade, impondo medidas a serem observadas por instituições responsáveis pelo tratamento de dados pessoais.
Diante disso, constatou-se ser necessário o reforço do compromisso das instituições com os indivíduos, sobretudo no que diz respeito à garantia do direito fundamental à privacidade, previsto no art. 5º, incisos X e XII, da Constituição Federal.
A nova legislação cuidou de regulamentar em capítulo próprio a respeito do tratamento de dados pessoais pelo poder público, sendo desde logo estabelecida vedação ao compartilhamento desses dados com entidades privadas. Excetuando-se a essa regra, verifica-se a possibilidade de descentralização da atividade de tratamento de dados pessoais a entidades privadas quando o objetivo for a garantia de segurança e integridade do titular dos dados.
Essa descentralização do tratamento de dados pessoais é definida no art. 5º, inciso XVI, da LGDP. Diz o dispositivo que se caracteriza como uso compartilhado de dados a "comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados".
Destaque-se que esse compartilhamento de dados se submete ao consentimento expresso do titular, por força da vulnerabilidade das informações decorrente do desenvolvimento da tecnologia. O consentimento é definido no art. 5º, inciso XII, da LGPD, como a "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada".
Com isso, verifica-se que a lei visou concentrar no indivíduo o direito de exercer controle sobre as decisões tomadas em torno do tratamento de seus dados pessoais, direito designado como "autodeterminação informacional".
Essa autodeterminação informacional aparece como um dos fundamentos da LGPD, uma vez que atribui ao indivíduo condições de determinar a forma de como seus dados serão utilizados. Nesse contexto, a disciplina da proteção de dados atribui uma relevância cada vez mais ampla e clara à noção de controle, estabelecendo mecanismos de regulação do fluxo dessas informações.
Assim, impõe-se que o tratamento de dados deve ser compatível com o contexto do procedimento de utilização das informações do titular desses dados, considerando a finalidade informada pelo controlador, sendo providas garantias ao titular de que retifique seus dados quando necessário, de que revogue seu consentimento, de que elimine dados indesejados etc.
Desse modo, o direito à autodeterminação informacional é conferido aos titulares dos dados como um direito participativo, podendo o indivíduo decidir de que forma participará da Sociedade da Informação em que está inserto. Isto é, enquanto direitos como o da privacidade funcionam sobre uma liberdade negativa, impondo o não-fazer do Estado sobre as ações do indivíduo, a proteção de dados pessoais se alicerça sobre a dinâmica de uma liberdade positiva cujo cumprimento ocorre mediante o fornecimento de instrumentos ao indivíduo para que possa, por si mesmo, controlar e determinar suas próprias ações.
Daí se verifica que o principal mecanismo utilizado para exercer essa liberdade positiva na LGPD é o consentimento, sendo considerado pela nova legislação como uma forma de legitimação do controlador de dados.
Ocorre que as tecnologias empregadas para o controle exercido sobre a captação do consentimento são ultrapassadas, a exemplo da utilização, ainda recorrente, de contratos de adesão para informar aos titulares sobre como seus dados serão processados.
Inclusive, restou reconhecida pelo Superior Tribunal de Justiça (STJ) no julgamento do RESP nº 1.348.532/SP, de Relatoria do min. Luis Felipe Salomão, a abusividade de cláusula bancária de contrato de adesão em que se estabelecia o compartilhamento de dados com outras instituições financeiras, pois "a partir da exposição de dados de sua vida financeira abre-se leque gigantesco para intromissões diversas na vida do consumidor. Conhecem-se seus hábitos, monitoram-se sua maneira de viver e a forma com que seu dinheiro é gasto. Por isso a imprescindibilidade da autorização real e espontânea quanto à exposição".
Além do consentimento, há previsão normativa do legítimo interesse, cuja aquiescência do titular dos dados ocorre através da harmonização do interesse de uma organização que quer utilizar determinadas informações para um conjunto de usos comerciais e as legítimas expectativas do titular desses dados.
Na prática, a ideia em que se pauta o legítimo interesse é que a realização do tratamento de dados depende da análise prévia se, de fato, existe a necessidade para a utilização dos dados pessoais para alcançar uma determinada finalidade, devendo esta última ser favorável ou, ao menos, neutra ao titular.
Muito fala a LGPD a respeito da formulação de relatórios de impacto à proteção de dados, documentação que o controlador deve elaborar para informar quais as medidas tomadas para evitar riscos de violação aos dados, a finalidade e o método da utilização dos dados.
Aqui existe uma divergência no próprio texto da nova legislação que prevê no art. 10, §3º, somente para o tratamento baseado no legítimo interesse, a possibilidade da autoridade nacional solicitar ao controlador a elaboração do mencionado relatório, enquanto o tratamento fundado nas demais bases legais, impõe a determinação que o controlador elabore o relatório, conforme estabelece o art. 38 da LGPD.
Assim, a empresa que decida se utilizar do legítimo interesse para o tratamento de dados, deverá documentar os dados que está tratando, qual é o legítimo interesse para a utilização dessas informações, isentando-se de solicitar à autoridade ou ao titular qualquer autorização para o tratamento de seus dados pessoais.
Dito isso, é de se notar que a extensão de exigências para a execução da atividade de tratamento de dados demanda uma série de adaptações das entidades responsáveis, sobretudo no que diz respeito à observância da autodeterminação informativa, considerando a subjetividade da coleta do consentimento e a autonomia conferida às empresas de tratamento fundado no legítimo interesse.
E, considerando o curto período em que a LGPD entrará em vigor (14 de agosto de 2020), não só entidades privadas como o próprio poder público precisarão adequar com urgência seus sistemas internos para a correta prestação dos serviços de tratamento de dados pessoais.
Do contrário, tais entidades estarão submetidas a todas as penalidades previstas na LGPD e nos dispositivos que regulamentam a responsabilidade civil, caso não consigam executar de maneira correta as providências impostas pela nova legislação.
*Jonas Cecílio e Augusto Rolim da Silva Neto são, respectivamente, sócio e advogado do escritório especializado em direito administrativo Eduardo Han & Jonas Cecílio Advogados
Os comentários são exclusivos para assinantes do Estadão.