Confiança como serviço: o encarregado de proteção de dados

Considero o respeito à privacidade como objetivo principal das normas de proteção de dados pessoais.

Isto porque a privacidade é a base sobre a qual o indivíduo forma e exerce livremente sua personalidade. A privacidade é o domínio íntimo de sua condição física, mental, emocional e espiritual. Apenas a si diz respeito, salvo exceções. Assim é a norma.

A letra “e-” precede a cada dia mais substantivos, consequência do empreendedorismo. Reconheço também a crescente importância do tratamento de dados pessoais para o pleno exercício da liberdade econômica. Assim também a norma.

Neste sentido interpreto o tratamento de dados pessoais como atividade lícita, porém de risco. Disto decorre gestão consequente, para todos os efeitos. Também aqui gestão temerária, negligente ou omissa gera consequências financeiras, de reputação e regulatórias graves. Assim prescreve a norma.

A solução proposta para o iminente risco de violação de dados é mapeá-lo e fazer cumprir a norma com rigor. A segurança do cumprimento efetivamente reduz o risco. É atividade diária, contínua e persistente. Isto é viável e porta benefícios.

Mesmo em caso de falha, o precedente cumprimento é marca de boa-fé e de reconhecimento obrigatório pela autoridade e pelo juiz.

O encarregado de proteção de dados (data protection officer) insere-se neste contexto. Seu conhecimento dos processos de tratamento, aliado à aplicação técnica, lícita e precisa da norma reduz custos e possibilita processos.

É o profissional responsável por manter e aperfeiçoar as medidas de proteção dos dados pessoais, de forma livre e independente, no interesse da norma, dos titulares e da atividade lícita sob risco.

Ao encarregado cabe a análise e o enquadramento de novos tratamentos de dados conforme às normas, a gestão dos processos de proteção de dados, bem como a interface com titulares, autoridades supervisoras e a alta direção.

Seu exercício é expressamente previsto e reconhecido no regulamento de proteção de dados da União Européia (RGPD) e na lei brasileira (LGPD). Mais que uma função, é um papel e um serviço.

A norma europeia obriga a indicação de um responsável por este serviço em três hipóteses: a) em autoridades públicas b) em empresas cujo objeto consista em monitoramento regular ou sistemático de titulares em larga escala, ou c) em empresas que tratem em larga escala dados pessoais de categoria especial, tais como dados que indiquem pertença a grupo étnico, religioso, político, sindical, ou dados de saúde, médicos e sexuais, por exemplo.

A lei brasileira não se pronunciou sobre as hipóteses obrigatórias de exercício do encarregado, mas reconhece expressamente seu serviço e dele não prescinde.

Sua menção na lei já é claro indício de que será valorizado pela autoridade de proteção de dados e pelos tribunais, sobretudo se no exercício pleno de sua capacidade para conformar os tratamentos à norma.

Contar com o serviço de um encarregado de proteção de dados, à parte o intrínseco benefício técnico, será visto como um atestado de confiança, segurança, qualidade e respeito aos dados dos indivíduos em tratamento.  

Ficamos à disposição para maiores esclarecimentos sobre este serviço e sobre soluções de gestão e proteção de dados no endereço thomas.prete@outlook.com.   

Novos passos estratégicos sobre privacidade e proteção de dados na Europa

A União Europeia revelou em 17 de fevereiro de 2021 a sua “Agenda para um Multilateralismo Renovado”, um conjunto de propostas de políticas destinadas a aumentar a sua liderança e influência em áreas globais chave. Entre sete objetivos relevantes e estratégicos, identificou claramente o espaço digital como uma de suas prioridades. A UE pretende estabelecer regras para as novas tecnologias digitais e procurará construir parcerias estratégicas para moldar a agenda digital global. Seguindo a liderança da UE na estrutura e promoção da proteção de dados com o vinculante Regulamento Geral de Proteção de Dados (GDPR), a Comissão da UE se envolverá particularmente no desenvolvimento de estruturas normativas para Inteligência Artificial e na proteção dos direitos humanos online.

Em um claro passo estratégico, a UE também declarou seu apoio ao Roteiro para a Cooperação Digital do Secretário-Geral das Nações Unidas, divulgado em junho de 2020. Em essência, o Roteiro da ONU aponta oito áreas-chave do espaço digital para o desenvolvimento prioritário, como conectividade e internet para todos; acesso a código aberto e bens públicos digitais; inclusão digital; capacitação digital e treinamento; direitos humanos digitais (em particular privacidade e proteção de dados, limitações de vigilância e reconhecimento facial, ferramentas para conter o assédio e a violência online – principalmente contra mulheres – e para governança de conteúdo, uma abordagem clara e regras para inteligência artificial), bem como segurança digital e confiança e, finalmente, cooperação digital global – permitindo canais eficazes e inclusivos para que mais países e associações participem das discussões.

É relevante notar que a Europa tem estado na vanguarda da privacidade e proteção de dados. A jurisprudência do Tribunal Europeu dos Direitos do Homem é consistente na sua interpretação da Convenção Europeia dos Direitos do Homem, no sentido de considerar o direito à privacidade dos dados contido no “direito ao respeito pela sua vida privada e familiar, o seu lar e a sua correspondência” (Artigo 8). Num grande passo à frente, a Carta dos Direitos Fundamentais da União Europeia prevê expressamente a proteção dos dados pessoais como um direito humano (“Todas as pessoas têm direito à proteção dos dados pessoais que lhes digam respeito” – Artigo 8.º, 1) , estabelece os princípios subjacentes à proteção deste direito, estabelece os limites ao tratamento de dados e acrescenta direitos para o exercício deste direito (estabelecendo o direito de acesso e também o direito de retificação dos próprios dados no Parágrafo n.º 2).

Os desenvolvimentos jurídicos mais recentes da UE na área digital incluem negociações finais para um regulamento específico – vinculativo por natureza ao abrigo da legislação da UE, tal como o faz o RGPD – relativo à privacidade no domínio dos serviços de comunicações eletrónicas na União (o regulamento E-privacy). O seu projeto foi apresentado a 6 de janeiro de 2021 pela Presidência Portuguesa da UE após tentativas frustradas nos últimos dois anos por outras Presidências e encontra-se atualmente em discussão.

Uma vez que o regulamento E-privacy seja aprovado, ele substituirá a atual diretiva E-privacy (2002/58 / CE), que depende da lei do estado membro para ser eficaz e, em certa medida, não foi capaz de trazer uniformidade de interpretação e aplicação dentro da União. O Regulamento E-privacy trará regras novas e uniformes para a confidencialidade das comunicações e processamento de metadados, para a monitorização de dados e atividade através de cookies e para a integridade de dispositivos, com um âmbito alargado e a complementar o GDPR existente. De facto, esperava-se que essa estrutura entrasse em vigor em conjunto com o GDPR em 2018, mas foi adiada por falta de acordo.

Outra medida recente e relevante tomada na Europa para aumentar a proteção de dados pessoais foi a modernização em 2018 da Convenção 108 do Conselho da Europa para a Proteção de Pessoas relativamente ao Tratamento Automatizado de Dados Pessoais, datada de 28 de janeiro de 1981, conforme foi posteriormente alterada por seu Protocolo CETS nº 223 – e então renomeada como Convenção 108+. A Convenção 108 foi considerada o marco da legislação de proteção de dados em muitos países europeus (com 47 ratificações) e a referência para os diplomas europeus subseqüentes, culminando no GDPR. Sua versão modernizada, a Convenção 108+, está aberta para assinatura e ratificação.

A maioria das regulamentações da UE nesta área possui alcance extraterritorial, como o GDPR, para aqueles que oferecem bens ou serviços para residentes na União Europeia. As empresas estrangeiras e os indivíduos que pretendam beneficiar-se do mercado da União Europeia terão de adquirir conhecimentos profissionais e aplicados das regras da UE e, por conseguinte, deverão previamente adaptar as suas práticas e processos. A conformidade com as regras da UE também é uma prova clara de boas práticas e respeito pelos dados pessoais e privacidade.

Pretendemos acompanhar os desenvolvimentos das discussões do Regulamento E-privacy e relatar as principais discussões para sua aprovação, bem como compreender os próximos passos do debate para uma estrutura jurídica de Inteligência Artificial e esclarecer iniciativas específicas da UE relacionadas ao Roteiro das Nações Unidas para Cooperação Digital.

Breves notas sobre o dever de proteção de dados no Brasil – por que, quem deve, como e quando adequar-se?

A nova Lei Geral de Proteção de Dados Brasileira – LGPD- neste texto designada “lei” para se facilitar a leitura – já está parcialmente em vigor. Origina-se do General Data Protection Regulation Europeu – GDPR – vigente desde 2018 na União Europeia, no que possui muitas semelhanças. Temos aqui o propósito de responder de forma muito breve às perguntas mais objetivas sobre a lei para situar o leitor no assunto.    

A lei existe com o objetivo de aumentar a segurança e a proteção de dados das pessoas físicas em posse de entidades e profissionais, para assim proteger seus direitos fundamentais de liberdade e de privacidade e permitir o livre desenvolvimento de sua personalidade. Concretamente busca proteger os dados das pessoas de violações, coletas e trocas não autorizadas e de sua indevida utilização, em meio a um ambiente informático cada vez mais ávido por tratá-los e processá-los pelos mais diversos motivos, inúmeras vezes alheios à vontade das pessoas.

É importante esclarecer que pessoas naturais, se com fim profissional ou comercial (advogados, contadores, médicos, dentistas, esteticistas, psicólogos, terapeutas corporais, representantes comerciais, professores particulares, entre outros), bem como todas as pessoas jurídicas e entes coletivos (tais como sociedades limitadas e suas filiais, lojas, fábricas e também empresas, representações comerciais, clínicas, hospitais, igrejas, partidos políticos, universidades, escolas, associações etc.), devem adequar-se à lei. São pouquíssimas as exceções aplicáveis.

E pela lei, para responder como adequar-se significa sobretudo entender que dados atualmente se trata e como os deverá tratar a partir da lei. O critério determinador de adequação do sistema atual de tratamento será a natureza dos dados em análise, diretamente relacionada à atividade profissional exercida pela pessoa. Isto porque a lei estabelece claramente dois conjuntos de dados a serem tratados, com abordagens diferentes: os mais comuns – “dados pessoais” e, neles contidos e como seu subconjunto, sujeitos a regras ainda mais restritas de tratamento, os “dados sensíveis”.

Dados “pessoais” pela lei são aqueles relacionados a pessoa natural identificada ou identificável. Ou seja, tudo o que se souber de uma pessoa a nos permitir potencialmente individualizá-la. Assim, CPF brasileiro, endereço pessoal e profissional, nome completo, telefone, mas também particularidades que sirvam a auxiliar sua identificação, como por exemplo a afiliação a um clube ou confraria, são dados pessoais.

Dados pessoais “sensíveis” pela lei versam sobre a origem racial ou étnica do indivíduo, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Deduzimos obviamente como “sensíveis” as informações de prontuários médico-odontológicos, mas também fotos, imagens, o timbre da voz, a íris e impressões digitais, por exemplo.

Esclarecida a tipologia, em consulta o advogado poderá orientar o cliente quanto à medida e à necessidade de se alterar seus processos para respeito às normas de segurança de dados “pessoais” e aquelas relativas aos dados pessoais “sensíveis”. Haverá casos em que bastará estabelecer simples protocolos de proteção, outros que exigirão novas regras internas, novos processos e novos contratos com terceiros. O cliente definirá o investimento a assumir pelo tratamento e proteção recomendados. A medida a ser implementada deve guardar direta relação com o objetivo da lei, qual seja, de garantir segurança e privacidade aos dados que proteger.

Há ainda uma percepção de que a lei não esteja exatamente em vigor. Isto porque a autoridade fiscalizadora constituída na lei (Agência Nacional de Proteção de Dados – ANPD) teria sido apenas recentemente nomeada e empossada para cumprimento de seus deveres, e porque a lei de fato estabelece a aplicação das advertências e multas administrativas previstas (que podem chegar até R$ 50 milhões) apenas a partir de agosto de 2021. Não obstante, esta interpretação é perigosa e expõe pessoas e empresas a riscos jurídicos desnecessários.

A lei aplica-se imediatamente ao tratamento e troca de dados na iniciativa privada e às relações comerciais e profissionais entre pessoas localizadas no Brasil e no exterior; estabelece os princípios, deveres e regras para o tratamento dos dados a que se refere, todos atualmente já em vigor. E como a cada dever corresponde uma responsabilidade, em todos os casos a violação do dever de proteção exigido pela lei, comprovados a causa e o dano, obrigará a indenizar o prejudicado.

Caberá ao juiz, no caso concreto, decidir se atribuirá a responsabilidade pela violação a despeito de prova de culpa da empresa, ao solicitar do prejudicado apenas a evidência do dano em si ocorrido, ou se exigirá do prejudicado as evidências da violação como provável causa do dano. Neste último, o prejudicado terá de demonstrar a violação como oriunda de ato ou omissão involuntários (mas previsíveis e evitáveis), ou negligência no tratamento ou ainda falta de técnica correta aplicada ao caso que, como obrigação legal descumprida, por sua vez seja comprovadamente causa do dano.

Na prática, antevemos uma tendência a maior número de decisões a exigirem do prejudicado apenas ter de provar o dano sofrido, e a eximi-lo de ter de provar a culpa da entidade causadora do dano. De fato, há muitas situações em que é relativamente fácil demonstrar por documentos a divulgação ou vazamento de dados outrora protegidos, sem necessariamente recurso a testemunhas, peritos e meios de prova mais complexos. Cumpre lembrar que a responsabilidade decorrente desta violação, em qualquer caso, será atribuída à pessoa jurídica controladora dos dados, a despeito de terceirizações.

A lei permite igualmente ao juiz e à autoridade fiscalizadora atenuarem penalidades nos casos de violações por entidades que comprovem lisura, conformidade e boa-fé em suas operações, ou seja, não obstante a violação, sejam capazes de demonstrar terem empregado as melhores práticas e sistemas em sentido contrário. A tempestiva implementação é, portanto, argumento eficaz para mitigar riscos financeiros. Entendemos enfim que o potencial de futuras sanções administrativas da autoridade fiscalizadora, aplicáveis a partir de agosto de 2021, não é o marco absoluto e relevante para a adequação à lei. Recomendamos às pessoas sujeitas à lei revisarem, com seus advogados de confiança, o modo como tratam e protegem os dados de terceiros em sua guarda, para reduzirem ou mesmo eliminarem o risco de eventual violação de um dever legal já em vigor.

Em breve

Este espaço terá o propósito de apresentar artigos, comentários e resenhas úteis ao estudo e difusão do Direito Internacional e Comparado e da memória do Direito.