• Eduardo Natale

A proteção de dados pessoais na legislação brasileira



Quem primeiro entra em contato com a Lei Geral de Proteção de Dados (LGPD), pode pensar que é a única lei brasileira que trata de privacidade e proteção de dados pessoais. Contudo, não é bem verdade. Embora seja a mais abrangente, existem várias outras leis que já tratavam da matéria, de certa forma, antes da publicação da LGPD. É delas que comentaremos neste artigo.


A proteção de dados na Constituição Federal

Em primeiro lugar, a Constituição Federal traz, desde 1988, certa garantia de proteção de dados, mas principalmente de privacidade. O famoso rol de direitos fundamentais estabeleceu o seguinte:

Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: [...]
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação; […]
XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal; […]
LXXII - conceder-se-á habeas data: a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público; b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo; […]

Embora não traga a previsão expressa da garantia à proteção de dados pessoais, é possível depreendê-la das disposições acima e da tutela à dignidade da pessoa humana na atual sociedade da informação. Tanto é verdade que o Supremo Tribunal Federal (STF), em recente julgamento, decidindo sobre a Medida Provisória que autorizava o tratamento de dados pessoais pelo IBGE diante da pandemia do coronavírus, reconheceu o direito fundamental à proteção de dados pessoais.


Nesse sentido, é importante mencionar a existência da Proposta de Emenda à Constituição (PEC) 17/2019, que visa positivar a garantia do direito à proteção de dados pessoais no texto constitucional. Para não deixar dúvidas, busca-se acrescentar o seguinte no mesmo art. 5º:

XII-A – é assegurado, nos termos da lei, o direito à proteção de dados pessoais, inclusive nos meios digitais.



A proteção de dados no Código de Defesa do Consumidor

A partir das previsões constitucionais, outras leis passaram a definir alguns parâmetros de como essa proteção se daria, entretanto, de forma setorial. Ou seja, estabeleceram regras de forma particular a algumas áreas, ao contrário da LGPD que é geral.


Por exemplo, em 1990, o Código de Defesa do Consumidor (CDC) dispôs sobre os bancos de dados e cadastros de consumidores. Estabeleceu que:

Art. 43. O consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.
§ 1° Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos.
§ 2° A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.
§ 3° O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas. […]
§ 6º Todas as informações de que trata o caput deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor.




A proteção de dados no Código Civil


O Código Civil de 2002 também tratou da privacidade, ao firmá-la como um direito da personalidade. Dessa forma, estabeleceu a responsabilidade daquele que violá-la:

Art. 21. A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma



A proteção de dados na Lei do Cadastro Positivo


Em 2011, nasceu a Lei nº 12.414, com o objetivo de disciplinar a formação e consulta a bancos de dados com informações de adimplemento, para a formação de histórico de crédito – a conhecida Lei do Cadastro Positivo. Felizmente, alguns limites foram impostos para o tratamento de dados pessoais nesse âmbito, bem com garantida uma série de direitos do titular:

Art. 5º. São direitos do cadastrado:
I - obter o cancelamento ou a reabertura do cadastro, quando solicitado; (Redação dada pela Lei Complementar nº 166, de 2019)
II - acessar gratuitamente, independentemente de justificativa, as informações sobre ele existentes no banco de dados, inclusive seu histórico e sua nota ou pontuação de crédito, cabendo ao gestor manter sistemas seguros, por telefone ou por meio eletrônico, de consulta às informações pelo cadastrado; (Redação dada pela Lei Complementar nº 166, de 2019)
III - solicitar a impugnação de qualquer informação sobre ele erroneamente anotada em banco de dados e ter, em até 10 (dez) dias, sua correção ou seu cancelamento em todos os bancos de dados que compartilharam a informação; (Redação dada pela Lei Complementar nº 166, de 2019)
IV - conhecer os principais elementos e critérios considerados para a análise de risco, resguardado o segredo empresarial;
V - ser informado previamente sobre a identidade do gestor e sobre o armazenamento e o objetivo do tratamento dos dados pessoais; (Redação dada pela Lei Complementar nº 166, de 2019)
VI - solicitar ao consulente a revisão de decisão realizada exclusivamente por meios automatizados; e
VII - ter os seus dados pessoais utilizados somente de acordo com a finalidade para a qual eles foram coletados. […]
Art. 7º As informações disponibilizadas nos bancos de dados somente poderão ser utilizadas para:
I - realização de análise de risco de crédito do cadastrado; ou
II - subsidiar a concessão ou extensão de crédito e a realização de venda a prazo ou outras transações comerciais e empresariais que impliquem risco financeiro ao consulente.
Parágrafo único. Cabe ao gestor manter sistemas seguros, por telefone ou por meio eletrônico, de consulta para informar aos consulentes as informações de adimplemento do cadastrado.




A proteção de dados na Lei de Acesso à Informação


No mesmo ano, a Lei nº 12.527 (LAI) foi publicada, regulando, principalmente, o acesso à informação dos órgãos públicos, de interesse dos particulares ou de interesse coletivo. Apesar de ser uma lei que, ao contrário da LGPD, tem como regra a publicidade, dedicou uma seção para tratar das informações pessoais. Assim, criou uma exceção à regra da publicidade, para proporcionar maior privacidade ao particular, quando houver dados pessoais envolvidos.

Art. 31. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.
§ 1º As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem:
I - terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e
II - poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem.
§ 2º Aquele que obtiver acesso às informações de que trata este artigo será responsabilizado por seu uso indevido.
§ 3º O consentimento referido no inciso II do § 1º não será exigido quando as informações forem necessárias:
I - à prevenção e diagnóstico médico, quando a pessoa estiver física ou legalmente incapaz, e para utilização única e exclusivamente para o tratamento médico;
II - à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral, previstos em lei, sendo vedada a identificação da pessoa a que as informações se referirem;
III - ao cumprimento de ordem judicial;
IV - à defesa de direitos humanos; ou
V - à proteção do interesse público e geral preponderante.
§ 4º A restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como em ações voltadas para a recuperação de fatos históricos de maior relevância.
§ 5º Regulamento disporá sobre os procedimentos para tratamento de informação pessoal.


A proteção de dados no Marco Civil da Internet

Posteriormente, em 2014, o Marco Civil da Internet avançou bastante no tema, definindo vários regras sobre o tratamento de dados pessoais. Contudo, conforme o nome da lei sugere, limitou-se ao tratamento ocorrido no ambiente online.


Notadamente, entre outras previsões, regrou o seguinte:

Art. 3º A disciplina do uso da internet no Brasil tem os seguintes princípios: [...]
II - proteção da privacidade;
III - proteção dos dados pessoais, na forma da lei; […]
Art. 7º O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
I - inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;
II - inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;
III - inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;
VI - informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade;
VII - não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
VIII - informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
IX - consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
X - exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;
XI - publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet; [...]
Art. 8º A garantia do direito à privacidade e à liberdade de expressão nas comunicações é condição para o pleno exercício do direito de acesso à internet. […]

Em 2016, o Decreto nº 8.771 regulamentou o Marco Civil, adentrando ainda mais no assunto. Detalhou sobre, entre outros, sobre a proteção de dados por provedores, a transparência nos pedidos de dados cadastrais pela administração pública e a fiscalização de infrações. Nesse tocante, estabeleceu:

Art. 11. As autoridades administrativas a que se refere o art. 10, § 3º da Lei nº 12.965, de 2014, indicarão o fundamento legal de competência expressa para o acesso e a motivação para o pedido de acesso aos dados cadastrais. […]
§ 2º São considerados dados cadastrais:
I - a filiação;
II - o endereço; e
III - a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do usuário.
§ 3º Os pedidos de que trata o caput devem especificar os indivíduos cujos dados estão sendo requeridos e as informações desejadas, sendo vedados pedidos coletivos que sejam genéricos ou inespecíficos. [...]
Art. 13. Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:
I - o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;
II - a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;
III - a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, § 3º, da Lei nº 12.965, de 2014 ; e
IV - o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.[...]
§ 2º Tendo em vista o disposto nos incisos VII a X do caput do art. 7º da Lei nº 12.965, de 2014 , os provedores de conexão e aplicações devem reter a menor quantidade possível de dados pessoais, comunicações privadas e registros de conexão e acesso a aplicações, os quais deverão ser excluídos:
I - tão logo atingida a finalidade de seu uso; ou
II - se encerrado o prazo determinado por obrigação legal.
Art. 14. Para os fins do disposto neste Decreto, considera-se:
I - dado pessoal - dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa; e
II - tratamento de dados pessoais - toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. [...]
Art. 17. A Anatel atuará na regulação, na fiscalização e na apuração de infrações, nos termos da Lei nº 9.472, de 16 de julho de 1997. [...]
Art. 21. A apuração de infrações à Lei nº 12.965, de 2014, e a este Decreto atenderá aos procedimentos internos de cada um dos órgãos fiscalizatórios e poderá ser iniciada de ofício ou mediante requerimento de qualquer interessado.


A proteção de dados nas instituições financeiras


Embora não seja uma lei, existe uma importante normativa referente a proteção de dados para as instituições financeiras. A Resolução 4658/2018 do o Banco Central do Brasil (BACEN) estabeleceu que

Art. 2º As instituições referidas no art. 1º devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.
Art. 3º A política de segurança cibernética devecontemplar, no mínimo: […]
II -os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;
III – os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis; […]
VI -os mecanismos para disseminação da cultura de segurança cibernética na instituição […]

Antes disso, a Lei Complementar nº 105/2001 já dispunha sobre o sigilo das informações bancárias, inclusive de dados pessoais. Além disso, prevê as hipóteses de compartilhamento de tais informações.

Art. 1º As instituições financeiras conservarão sigilo em suas operações ativas e passivas e serviços prestados. [...]
§ 3º Não constitui violação do dever de sigilo:
I – a troca de informações entre instituições financeiras, para fins cadastrais, [...]
II - o fornecimento de informações constantes de cadastro de emitentes de cheques sem provisão de fundos e de devedores inadimplentes, [...]
III – o fornecimento das informações de que trata o § 2º do art. 11 da Lei no 9.311, de 24 de outubro de 1996;
IV – a comunicação, às autoridades competentes, da prática de ilícitos penais ou administrativos, [...]
V – a revelação de informações sigilosas com o consentimento expresso dos interessados; [...]
VII - o fornecimento de dados financeiros e de pagamentos, relativos a operações de crédito e obrigações de pagamento adimplidas ou em andamento de pessoas naturais ou jurídicas, a gestores de bancos de dados, para formação de histórico de crédito, nos termos de lei específica. (Incluído pela Lei Complementar nº 166, de 2019)




Conclusão


Embora a LGPD seja uma lei recente, o assunto da privacidade e proteção de dados não é. De certa forma, há muito tempo existe, mas seu sentido, alcance e importância variaram ao longo da história.


Com efeito, o tema surgiu por diversas vezes diante do Poder Judiciário antes da edição da LGPD. Dessa forma, as demandas tiveram que ser decididas com base no direito vigente e muitas delas se baseram no artigos citados ao longo do texto.


O objetivo deste artigo não foi esgotar todos os dispositivos na legislação brasileira relativos à proteção de dados e anteriores à LGPD, mas sim fazer um apanhado de alguns dos principais. Isso é especialmente importante diante do fato que o compliance à proteção de dados não se resume à LGPD. Embora seja a principal lei brasileira sobre o assunto, a depender do contexto em que a organização está inserida, será necessário cumprir diversas outras leis e normativas.


Se você tiver qualquer pergunta, fique à vontade para mandar um e-mail para contato@natale.adv.br


Inscreva-se na nossa newsletter

Receba no seu e-mail nossos artigos sobre Proteção de Dados

2020 Eduardo Natale Advocacia. Todos os direitos reservados.

  • Linkedin
  • Twitter
  • Facebook