A nova lei de proteção de dados e o empreendedor digital: primeira leitura.

No dia 14/08/2018, foi promulgada a lei no 13.709, que dispõe sobre a proteção de dados pessoais e altera a Lei no 12.965/2014 (Marco Civil da Internet). Trata-se de diploma legal com mais de 60 artigos, cujos impactos serão significativos para as relações comerciais e de consumo em geral através da internet no Brasil.

Haja vista a complexidade e riqueza do tema, notadamente para os empreendedores digitais, apresentar-se-á a seguir uma síntese sobre a lei, tornando a leitura mais compreensível mesmo para aqueles menos afetos a linguagem jurídica.

A proteção de dados pessoais é matéria prevista em leis de diversos países da Europa e América latina. Segundo grande parte da doutrina, o sistema legal brasileiro carecia, de fato, de normas que traduzissem maior segurança aos usuários dos serviços de Marketplaces, lojas virtuais etc.

Dentre os seus fundamentos, consta expressamente o respeito à privacidade, à inviolabilidade da intimidade, da honra e da imagem, o respeito a livre iniciativa, a livre concorrência e a defesa do consumidor; o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. Tais garantias reafirmam normas constitucionais já expressas. A despeito de ser dispensável a sua repetição em lei infraconstitucional, o texto apresenta um efeito simbólico positivo, servindo para orientar as ações públicas e privadas sobre a matéria.

A nova lei aborda conceitos que antes não eram diferenciados pelo sistema jurídico, sendo válido citar, por exemplo, a distinção feita entre dados pessoais e dados pessoais sensíveis. Enquanto “dado pessoal” refere-se de forma genérica à “informação relacionada a pessoa natural identificada ou identificável”, os “dados pessoais sensíveis” correspondem àqueles específicos sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”.

A distinção feita pela lei imporá aos operadores (ou controladores do tratamento das informações) ônus menores ou maiores, conforme o teor do dado pessoal. Observe-se que o tratamento de dados pessoais sensíveis somente será permitido mediante o consentimento do titular, de forma específica e destacada, ainda assim para finalidades específicas. Significa dizer que os operadores estarão vinculados à finalidade para a qual houve o consentimento do titular do dado pessoal. Ultrapassar os limites da finalidade consentida caracterizará infração punível, mesmo que não venha a causar dano direto ao titular dos dados.

A lei excepciona os seguintes casos que independem de consentimento (desde que o tratamento seja indispensável): a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados previstos na lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Nesse ponto, é possível verificar que a lei foi bastante flexível. No caso dos itens “b” e “c”, acima, voltados para execução de políticas publicas e estudos por órgão de pesquisa, o acesso a dados pessoais sensíveis, sem o consentimento do titular, poderá dar margem a desvios reprováveis à proteção da privacidade. Os órgãos de controle e os titulares dos direitos deverão estar atentos a esse respeito.

Dentre outros direitos, o titular dos dados poderá obter do controlador, a qualquer momento, o acesso às informações, a proteção ao seu anonimato, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei, inclusive revogar o consentimento anteriormente manifestado.

Os agentes de tratamento, nos termos da lei, são definidos como controladores ou operadores. Os primeiros são aqueles com poder de decisão sobre o tratamento de dados pessoais. Já os operadores são os que realizam diretamente o tratamento. Como agentes, seja controlador ou operador (pessoa jurídica ou física), ambos deverão adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Os controladores e operadores poderão responder solidariamente pelos danos materiais, morais, individuais e coletivos, causados em razão do exercício de suas atividades de tratamento.

A responsabilidade civil somente será afastada quando for demonstrado que: I) não realizaram o tratamento de dados pessoais que lhes é atribuído; II – que não houve violação à legislação de proteção de dados; ou III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. Em outras palavras, a lei de proteção de dados estabeleceu a responsabilidade civil objetiva impura. Demonstradas as excludentes acima, poderá ser afastado dever de indenizar.

Além da responsabilidade civil e penal, os agentes de tratamento poderão responder administrativamente, mesmo que não seja demonstrado o dano efetivo, mas a mera violação aos preceitos legais. As infrações serão puníveis por meio de advertência, multa simples ou diária, limitada até o total de R$50.000.000,00 (cinquenta milhões de reais) por infração, bloqueio e eliminação de dados pessoais.

Como se verifica, a lei apresenta normas com reflexos significativos nas relações do mercado digital, mas também no fornecimento de dados de natureza pessoal à entidades públicas e privadas, de âmbito nacional e internacional, mesmo sem cunho econômico.

Os órgãos de controle terão papel fundamental para evitar abusos e desvios na execução de políticas públicas e outras ações governamentais,  visando a proteção da privacidade das pessoas.

Da mesma forma, os empreendedores digitais deverão redobrar cuidados no armazenamento de dados pessoais para fornecimento de bens e serviços, eis que falhas de segurança poderão traduzir  dever de indenizar objetivamente o titular dos dados.

O assunto merecerá maior estudo e debate nos próximos meses. Esse é apenas um breve resumo, através do qual se espera provocar novas reflexões.

ABURACHID, Frederico José Gervasio. A nova lei geral de proteção de dados e o empreendedor digital: primeira leitura. Belo Horizonte: Agosto, 2018.