Lei Geral de Proteção De Dados (LGPD)

Fonte: Shutterstock.

Deseja ouvir este material?

Áudio disponível no material digital.

Convite ao estudo

Olá, aluno!
Desse ponto em diante nos concentraremos em estudar a Lei Geral de Proteção de Dados (LGPD), o Marco Civil da Internet e a herança digital.
Agora que já conhecemos os conceitos fundamentais do campo da tecnologia e da inovação, doravante relacionados aos tópicos sobre os quais se ergue a disciplina do Direito Cibernético, é chegado o momento de investigar as legislações disponíveis para a regulação do ciberespaço e das relações interpessoais, inclusive de natureza ou de conteúdo econômico. 
Inicialmente, partiremos da LGPD, a Lei nº 13.709/2018, a fim de introduzi-la em nossas reflexões, bem como para estudar os Direitos do Titular e o tratamento de dados pessoais e de direitos correlatos, com atenção aos requisitos e à questão dos dados pessoais sensíveis, incluindo o tratamento quanto aos dados que envolvam crianças e adolescentes. 
Depois, caminharemos no sentido de compreender a segurança e o sigilo dos dados, dando especial ênfase à segurança da informação dentro das empresas, à fiscalização incidente nesses casos, à posse de arquivos digitais e ao direito de arrependimento na Internet. Muito interessante, não é mesmo? E não é apenas isso! 
Finalizaremos com o estudo do Marco Civil da Internet e da herança digital, buscando conhecer, mediante uma abordagem histórica, a evolução da Internet em seus aspectos técnicos, para que possamos entender os efeitos da questão da neutralidade da rede, dos direitos e das garantias envolvidos e da liberdade de mercado.
Tudo isso para que também possamos enxergar, de um ponto de vista amplo, a regulação da Internet no Brasil e no mundo e, ainda, refletir sobre os bens digitais (redes sociais, e-mails, milhas aéreas, moedas virtuais, músicas e livros digitais), a partir de um ponto de vista sociológico, no tocante ao surgimento desses bens (ativos), a sua natureza jurídica e às repercussões no âmbito da personalidade humana e no eixo patrimonial. 
Enfim, consideraremos a importância desses assuntos no atual momento histórico, consolidando um saber crítico sobre o Direito Cibernético.

Praticar para aprender

Neste momento inaugural, estudaremos os elementos que caracterizam a LGPD, sob a Lei nº 13.709/2018.
Trata-se de uma legislação de alta importância, considerando o aumento das interações e dos fluxos de informações com que as pessoas físicas e jurídicas lidam cotidianamente, seja em situações de comunicação ou de operações mercantis, seja de guarda e de posse de dados pessoais nas mais diversas circunstâncias.
Tornou-se necessária uma regulação específica, tal como a realizada pela LGPD, para que fosse possível construir mecanismos de fiscalização e até mesmo de punição para os casos em que se verificasse malversação quanto ao tratamento de dados dos mais variados tipos.
Com efeito, os dados pessoais causam maior controvérsia e, consequentemente, demandam maior atenção por parte do Estado e do Direito. Isso porque a Constituição Federal de 1988 assegura a todos, indistintamente, a proteção da intimidade e da privacidade, além da proteção da imagem e da honra no contexto de sentido do princípio da dignidade da pessoa humana.
Com isso, o desenvolvimento do ciberespaço fez (e ainda faz) com que novas posturas sejam adotadas para que haja o absoluto respeito aos direitos e às garantias fundamentais, os quais constituem verdadeiro pilar civilizatório.
Se, de um lado, há o resguardo das liberdades fundamentais relacionadas à expressão e à comunicação humanas, enquanto que há, também, a garantia da liberdade de iniciativa, de empresa e de concorrencial, há, de outro, um campo sobre o qual o Direito, doravante aqui denominado Direito Cibernético, pode estruturar um corpo de normas (regras e princípios) específico, apto, portanto, a tutelar os fenômenos de interesse do Direito quanto aos chamados bens digitais, ativos dotados de interesse personalíssimo (porque afetos à pessoa e a sua personalidade) e econômico (porque afetos à seara patrimonial).
Nesse sentido, é preciso investigar os Direitos do Titular, assim como o tratamento dos dados pessoais e outros correlatos à luz da LGPD, com destaque para os dados sensíveis, sobretudo de crianças e de adolescentes.

Toda quinta-feira, na faculdade, os alunos realizam debates sobre as mais diversas matérias do Direito, com enfoque para as novidades jurídicas e normativas. Nessas ocasiões, os alunos já haviam se debruçado sobre vários subtemas do Direito Cibernético. Discutiram sobre: criptografia, blockchain, Internet das Coisas e muitos outros. Mas, naquela data, estavam comentando sobre a nova Lei Geral de Proteção de Dados (LGPD).
Durante aquele dia, você, como professor da disciplina de Direito Cibernético, estando no seu período de repouso entre as aulas, decide ir até a sala onde os discentes estão discutindo. Ao chegar lá, nota a conversa de dois acadêmicos, os quais estavam, muito provavelmente, preparando-se para o debate prestes a iniciar. Você ouve o diálogo a seguir:
Aluno 1: Podemos começar falando que a LGPD é uma novidade jurídica muito importante, pois não há nenhuma outra lei dessa natureza no mundo. Ela pode ser a base para outras futuras legislações. 
Aluno 2: Não sei dizer muito a respeito, falarei mais sobre o tratamento de dados de crianças e de adolescentes, infelizmente a nova lei não dispõe especificamente sobre isso.
Aluno 1: Interessante, faltam apenas vinte minutos para o debate iniciar, estou ansioso. 
Aluno 2: Eu também, não estudei muito, mas acredito estar preparado. 
Ao escutar essa conversa, você identifica que os alunos estão enganados em alguns aspectos. Alguém precisa orientá-los para que corrijam esses enganos e não os repassem aos espectadores. Para isso eles necessitam do seu auxílio.
Nesse sentido, você considera as seguintes indagações: a LGPD é a única lei dessa natureza? Quais as leis existentes sobre esse assunto antes de sua criação? A LGPD, de fato, não dispõe especificamente sobre o tratamento de dados de crianças e adolescentes? 
Para responder a essas indagações, escreva um texto, apontando os erros e propondo novas abordagens a serem feitas pelos alunos.
A partir deste estudo, construiremos, juntos, uma visão sistêmica a respeito da disciplina jurídica da LGPD no Direito Cibernético brasileiro. Muito legal, não é mesmo? Vamos juntos em mais esta etapa!
Bons estudos!

conceito-chave

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018 (BRASIL, 2018a), dispõe sobre o tratamento de dados pessoais, incluindo os que concernem aos meios digitais, sejam de pessoa natural ou de pessoa jurídica (de direito público ou de direito privado), com o especial objetivo de proteger os direitos fundamentais, de índole constitucional, quanto à liberdade, à privacidade e quanto ao livre desenvolvimento da personalidade da pessoa natural. Pode-se dizer, sem dúvidas, que a LGPD estrutura um corpo de normas (regras e princípios) dedicados a estruturar parte substancial, senão imprescindível, do então chamado Direito Cibernético. 
Pode-se dizer que os seus fundamentos primordiais, tais como estabelecidos no âmbito do art. 2º da Lei nº 13.709/2018 (BRASIL, 2018a), compreendem um plexo de horizontes de sentido que acabam por se confundir com o próprio cerne do Direito Cibernético. Num contexto em que as relações jurídicas operam no ciberespaço e considerando a relevante circunstância de que, se, nesse espaço, produzem-se direitos e obrigações e até mesmo violações potenciais ou efetivas a bens juridicamente tutelados, é natural que o interesse estatal avance nesse meandro. Os direitos e as garantias fundamentais, de natureza constitucional, que, a seu turno, representam derivações dos Direitos Humanos, não estão infensos às mudanças que ocorrem na sociedade. 
Ao contrário, o Estado e o Direito estão sempre atentos ao caráter evolutivo dos fenômenos humanos, motivo pelo qual a LGPD representa verdadeiro ganho qualitativo em termos de proteção do fenômeno digital, na ambiência das relações intersubjetivas em trâmite nesse meio. Logo, “a privacidade digital é uma recente demanda da sociedade. Assim como a privacidade física, no lar ou em conversas reservadas, é um valor essencial, também a privacidade digital se tornou um desejo da sociedade moderna” (GARCIA et al., 2020, p. 14).
Sob outro prisma de análise, mais voltado aos interesses econômicos do ciberespaço, note que:

O motivo que inspirou o surgimento de regulamentações de proteção de dados pessoais de forma mais consistente e consolidada a partir dos anos 1990 está diretamente relacionado ao próprio desenvolvimento do modelo de negócios da economia digital, que passou a ter uma dependência muito maior dos fluxos internacionais de bases de dados, especialmente os relacionados às pessoas, viabilizados pelos avanços tecnológicos e pela globalização. 

Por esses motivos, a LGPD estabelece regras e princípios com elevado rigor. O campo de sentido dessas normas está relacionado à conformação entre postulados atinentes à órbita econômica e a direitos de ordem personalíssima (TOMASEVICIUS FILHO, 2021; LIMA, 2020). Logo, a LGPD traz como fundamentos: o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico, tecnológico e da inovação; a livre iniciativa, a livre concorrência e a defesa dos consumidores; e a imprescindível proteção e resguardo dos direitos humanos, além do livre desenvolvimento da personalidade, da dignidade humana e do exercício da cidadania pelas pessoas.

A LGPD estabelece normas e regras rigorosas para a proteção de dados pessoais, regulamentando seu tratamento, definido como qualquer ação realizada desde a coleta, cópia, edição, armazenamento, publicação, impressão, transmissão, processamento e compartilhamento de dados pessoais. Como principais objetivos, a LGPD visa fortalecer o direito à privacidade dos titulares de dados, protegendo os direitos fundamentais dos indivíduos, pelo fortalecimento da segurança da informação quanto a privacidade, transparência, desenvolvimento, padronização, proteção do mercado e livre concorrência.

A LGPD foi promulgada no dia 14 de agosto de 2018 e é uma legislação bastante técnica (são 10 capítulos com 65 artigos no total), que congloba elementos de controle com a finalidade de assegurar, sobretudo, o adequado cumprimento de garantais previstas no campo dos Direitos Humanos. Sua inspiração é o Regulamento Europeu de Proteção de Dados Pessoais (PECK, 2021) e é preciso lembrar que a LGPD sofreu alterações por parte da Medida Provisória nº 869/2018 (BRASIL, 2018b) e pela Lei nº 13.853/2019 (BRASIL, 2019). Apesar de ser uma lei recente e específica, existem outras legislações que também se prestam a tutelar a privacidade, como a própria Constituição da República Federativa do Brasil de 1988 (BRASIL, 1988), o Marco Civil da Internet (Lei nº 12.965/2014), o próprio Código de Defesa do Consumidor (Lei nº 8.078/1990) e o Decreto do Comércio Eletrônico (Decreto nº 7.962/2013).

Seu alcance é extraterritorial, isto é, possui efeitos internacionais, à medida que se “aplica também aos dados que sejam tratados fora do Brasil, desde que a coleta tenha ocorrido em território nacional, ou por oferta de produto ou serviço para indivíduos no território nacional ou que estivessem no Brasil” (PECK, 2021, p. 17).
Relevante mencionar também que a LGPD prevê a criação da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPDPP), órgãos ligados à Presidência da República e dedicados aos temas previstos na correlata legislação (GARCIA et al., 2020).
É interessante que você apreenda uma visão sistêmica da LGPD, ou seja, a sua estrutura de tópicos e de assuntos quanto à proteção de dados pessoais. Assim:
•  Capítulo I – Disposições gerais (pressupostos, vocabulário técnico e conceitos introdutórios).
•  Capítulo II – Requisitos necessários para o tratamento dos dados, sobretudo os relativos ao consentimento.
•  Capítulo III – Direitos do titular (direitos fundamentais de liberdade, intimidade, privacidade, etc.).
•  Capítulo IV – Tratamento de dados pelo Poder Público.
•  Capítulo V – Transferência internacional dos dados.
•  Capítulo VI – Deveres e responsabilidades do Controlador, Operador e Encarregado.
•  Capítulo VII – Segurança e boas práticas.
•  Capítulo VIII – Fiscalização e aplicação da LGPD e previsão de sanções (pela atuação da ANPD).
•  Capítulo IX – Responsabilidades da ANPD e do CNPDPP.
•  Capítulo X – Disposições finais e transitórias.
A partir dessa visão, você já deve ter percebido que empregaremos maior esforço nas disposições que se encontram, respectivamente, nos Capítulo I, II e III da LGPD. Para que isso seja possível, precisamos conhecer alguns conceitos que a própria LGPD apresenta. De início, saiba que dado pessoal “é informação relacionada a pessoa natural identificada ou identificável” (BRASIL, 2018a, p. 60). A seu turno, dado pessoal sensível é aquele relativo a dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, ou referente à saúde ou à vida sexual, bem como o dado genético ou biométrico quando vinculado a uma pessoa natural (BRASIL, 2018a). E quem é o titular? É a pessoa natural a quem se referem os dados pessoais, objeto de tratamento. Ademais, conheça outros conceitos que serão importantes para os nossos estudos:
•  Controlador: pessoa natural ou jurídica, de direito público ou privado, que detém competência para a tomada de decisões relativas ao tratamento de dados pessoais.
•  Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza, em nome do controlador, o tratamento de dados pessoais.
•  Encarregado: pessoa indicada pelo controlador e pelo operador para atuar como um canal de comunicação entre aquele (controlador), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Assim, o controlador e o operador são considerados como agentes de tratamento. Mas, o que seria, exatamente, esse tratamento? Trata-se de toda operação que é realizada com dados pessoais, como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência difusão ou extração (BRASIL, 2018a).

Essas atividades de tratamento de dados pessoais devem observar, de maneira obrigatória, alguns parâmetros, à luz da boa-fé. Tais parâmetros encontram-se estruturados em princípios, de acordo com o art. 6º da LGPD (BRASIL, 2018a). 
Agora, precisamos conhecer os requisitos para o tratamento de dados pessoais, tema que vem disciplinado no Capítulo II da LGPD (BRASIL, 2018a), no art. 7º da lei. Isso somente poderá acontecer em algumas hipóteses específicas.
O primeiro e mais importante requisito (um verdadeiro pressuposto) é o fornecimento de consentimento pelo titular. O consentimento, segundo a LGPD, é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada” (BRASIL, 2018a, p. 60). Note que a LGPD estabelece que é mediante o consentimento do titular que o tratamento de dados poderá ser realizado, motivo pelo qual ele aparece como o primeiro elemento a ser considerado nessa temática. Uma vez que o titular haja dado seu consentimento, o tratamento de dados poderá ser feito: 
•  Para cumprimento de obrigação legal ou de caráter regulatório por parte do controlador.
•  Pela administração pública, com a finalidade de executar políticas públicas.
•  Para a realização de estudos por órgãos de pesquisa, garantindo-se, sempre que possível, a anonimização dos dados pessoais.
•  Para a execução de contrato ou para procedimentos contratuais preliminares relacionados ao titular, a seu pedido.
•  Para o exercício de direitos em processo judicial, administrativo ou arbitral.
•  Para a proteção da vida e da incolumidade física do titular ou de terceiro.
•  Para a tutela da saúde.
•  Para atender a interesses legítimos do controlador ou de terceiro, ressalvado o caso de prevalecerem direitos e liberdades do titular que exijam proteção dos seus dados pessoais.
•  Para a proteção do crédito.

Novas finalidades para o tratamento de dados pessoais são possíveis desde que se mantenha a observância dos “propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios” (BRASIL, 2019, p. 1) previstos na lei.

Perceba que o consentimento não será necessário quando os dados pessoais se tornarem públicos em virtude de atitude do próprio titular, com a ressalva de que, ainda assim, há proteção quando aos seus direitos, sobretudo nos casos de utilização abusiva ou que fira algum ou alguns dos princípios da LGPD. 
Entenda que o controlador que teve acesso a dados pessoais, mediante consentimento do titular, caso necessite efetuar a comunicação ou o compartilhamento de tais dados com outros controladores, deverá colher, do titular, um novo consentimento, dessa vez específico, para essa finalidade, salvo se houver dispensa legal. De todo modo, eventual dispensa de consentimento não permite que os agentes de tratamento de dados se afastem dos deveres objetivos traçados pela LGPD, sobremodo quanto aos princípios gerais e quanto às garantias dos direitos do titular.

E, aqui, você pode indagar: quais são, afinal, os direitos do titular? A LGPD nos traz essas informações no art. 9º (BRASIL, 2018a). 
O titular tem direito ao acesso facilitado às informações atinentes ao tratamento dos seus dados, os quais devem ser disponibilizados de maneira clara, adequada e ostensiva, atendendo-se ao princípio do livre acesso. Logo, os direitos do titular compreendem o conhecimento:
•  Da específica finalidade do tratamento.
•  Da forma e da duração do tratamento.
•  Da identificação do controlador e das informações do seu contato.
•  Das informações sobre eventual uso compartilhado e da finalidade do compartilhamento.
•  Das responsabilidades dos agentes que realizarão o tratamento.
•  Dos direitos do titular elencados pelo art. 18 da LGPD.
Se, porventura, as informações transmitidas ao titular, para efeito de coleta do seu consentimento, tiverem conteúdo enganoso ou abusivo, ou, ainda, que não tenham sido passadas com transparência e de forma clara e inequívoca, o consentimento será considerado nulo. De outra sorte, havendo mudanças na finalidade para o tratamento dos dados, de modo a se tornarem incompatíveis com o consentimento original, o titular deverá ser informado de maneira destacada quanto a esse fato, podendo revogá-lo na eventualidade de discordar das alterações.
Daí que, expressamente, a LGPD traz os Direitos do Titular de maneira clara e sistematizada. Segundo a dicção legal, “toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais da liberdade, de intimidade e de privacidade [...]” (BRASIL, 2018a, p. 61). 
Especificamente quanto ao controlador, de acordo com o art. 18 da LGPD (BRASIL, 2018), o titular dos dados pessoais tem o direito de obter, em qualquer momento e mediante requisição: a confirmação da existência do tratamento de dados; o acesso aos dados; a correção de dados incompletos que estejam com inexatidão ou desatualizados; a anonimização, o bloqueio ou a eliminação de dados que reputem desnecessários, excessivos ou que estejam sendo tratados em desconformidade com as normas da LGPD; a portabilidade dos dados tratados; as informações quanto ao compartilhamento de dados com entidades públicas e privadas; informação quanto à possibilidade de não fornecer o seu consentimento e as consequências dessa negativa; e a revogação do consentimento.
Além disso:

A LGPD assegura ao titular o direito de rever as decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses (art. 20), para tanto, o controlador deve fornecer, sempre que solicitadas, informações claras e adequadas sobre os critérios e os procedimentos utilizados para a decisão automatizada (§1º do art. 20 da LGPD). 

Outro tema correlato, de fundamental importância, e que, por conseguinte, merece cuidado redobrado, é quanto ao tratamento de dados pessoais sensíveis.

São dados que estejam relacionados a características da personalidade do indivíduo e suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. 

Nesses casos, o tratamento somente poderá ocorrer em algumas hipóteses especiais, sobretudo, quando houver consentimento específico do titular ou de seu representante legal e desde que para finalidades também específicas. Independentemente de consentimento, no entanto, é possível a utilização quando for indispensável para: cumprimento de obrigação pelo controlador; compartilhamento com a administração pública para efeito de consecução de políticas públicas; realização de estudos, garantindo-se, desde que possível, a anonimização; exercício regular de direitos em contrato, processo judicial, administrativo ou arbitral; proteção da vida e incolumidade física do titular ou de terceiro; tutela da saúde; e prevenção contra fraude e segurança do titular, em processos de identificação e autenticação cadastral em sistemas eletrônicos, salvo se for hipótese de prevalência de direitos do titular que exijam proteção dos dados.

São dados que estejam relacionados a características da personalidade do indivíduo e a suas escolhas pessoais: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a uma pessoa natural (PECK, 2016, p. 16).

Por fim, é preciso destacar o tratamento de dados pessoais de crianças e adolescentes. O tema está regulado no art. 14 da LGPD (BRASIL, 2018a) e merece análise detida. 
Com efeito, “os dados relacionados a menores de idade estão classificados em uma categoria de dados especiais (pois exigem um tratamento diferenciado em termos de cuidados)” (PECK, 2021, p. 36). O tratamento de dados nesses casos deve ocorrer mediante atendimento do melhor interesse da criança e do adolescente (TEIXEIRA, 2020).
A órbita de proteção da infância e da juventude, de certo, encontra amparo no Estatuto da Criança e do Adolescente (ECA), pela Lei nº 8.069/1990; este diploma normativo deve ser observado e seguido em consonância com as disposições da LGPD.

Na espécie, o tratamento de dados de crianças e de adolescentes ocorre mediante consentimento específico e, em destaque, dado por pelo menos um dos pais ou pelo responsável legal. Por outro lado, “é possível realizar a coleta de dados independentemente de consentimento, porém esse dado deve ser utilizado somente dentro de seu propósito” (PECK, 2021, p. 36). Esses casos englobam situações nas quais a coleta é necessária para contatar os pais ou o responsável legal, por exemplo, e nas quais os dados sejam utilizados uma única vez e sem que sejam armazenados. Ademais, “considerando as tecnologias disponíveis à época, o controlador deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança” (TEIXEIRA, 2020, p. 54).

Com isso, encerramos mais um bloco dos nossos estudos! Agora, já estamos bem inseridos na LGPD, no coração do Direito Cibernético. Vamos em frente! Até a próxima.