Em agosto de 2018, após ser aprovada por unanimidade no Congresso Nacional, a Lei Geral de Proteção de Dados Pessoais (LGPD) foi promulgada, garantindo direitos e salvaguardas mínimas para as atividades de indivíduos e agentes do setor no país. Depois, a Medida Provisória 869/2018 promoveu alterações na lei e efetivou a criação da Autoridade Nacional de Proteção de Dados Pessoais brasileira, fixando um novo prazo de entrada em vigência do texto legal.
A LGPD resolveu alguns conflitos entre a série de regulações setoriais e leis que tangenciam o tema (Código Civil, Código de Defesa do Consumidor, Lei de Acesso à informação e Marco Civil da Internet). Mas, principalmente, buscou nortear a atividade de quem lida com dados pessoais ao expressar regras e princípios básicos para a proteção de direitos fundamentais de liberdade e de privacidade, bem como o livre desenvolvimento da personalidade das pessoas naturais.
Dado o longo período em que os cidadãos encontraram-se sem qualquer proteção ante os abusos na utilização de seus dados pessoais, e buscando um tempo adequado para que os setores econômicos pudessem se adequar à nova legislação, o prazo de entrada em vigor previsto para a LGPD seria inicialmente de 18 meses após a sua sanção. Tal prazo, a pedido de setores atingidos, foi prorrogado para 24 meses pela MP 869/18. Este prazo vence em agosto deste ano.
A partir da sua entrada em vigor, a Lei passa a conferir, por um lado, maior segurança jurídica para atividade de empresas, ao passo em que fomenta a criação de estruturas internas de compliance responsáveis por observar as atividades de tratamento de dados. Por outro lado, considerando que o setor público também é um forte agente de tratamento de dados necessários para o provimento de serviços – que vão do acesso à saúde a programas sociais -, a entrada em vigor da lei é altamente necessária para a proteção dos cidadãos e para que as entidades da administração pública fiquem sujeitas às mesmas regras de adoção de boas práticas de segurança e proteção de dados pessoais aplicadas ao setor privado.
Entretanto, é crescente o número de iniciativas legislativas que tem por objetivo adiar, uma vez mais, a data da vigência da LGPD. Na mais recente delas, o PLS 1027/2020, a justificativa se baseia na não criação, até o momento, da Autoridade Nacional de Proteção de Dados Pessoais, e num cenário de insegurança jurídica ante a ausência de qualquer movimento de adequação do setor público à lei. São presentes também os receios do setor privado de que a entrada em vigor da lei poderia colocar micro e pequenas empresas em risco em função dos altos custos de compliance e adequação, ainda não realizados.
Entendemos como fundamental e urgente a criação da ANPD, instituição máxima de supervisão da lei e que terá seus trabalhos baseados no equilíbrio de sua aplicação. Por outro lado, a entrada em vigor da LGPD não representa a aplicação imediata de sanções aos atores. A própria lei prevê, em seu artigo 55-J, uma aplicação modulada de prazos e procedimentos de adequação direcionados às micro e pequenas empresas e iniciativas empresariais de caráter disruptivo que se declarem startups. Outro ponto importante a respeito das sanções é que a lei também prevê que devem ser considerados (a) a boa-fé ; (b) a condição econômica; e (c) a cooperação do infrator antes da aplicação de advertência, com indicação de prazo para adoção de medidas corretivas. A entrada em vigor da LGPD servirá, inclusive, como mecanismo de pressão para a criação da Autoridade Nacional de Proteção de Dados Pessoais, defendida por todos os setores envolvidos nos debates realizados no Parlamento e junto ao Poder Executivo nos últimos quatro anos.
**
A proteção de dados pessoais e a pandemia da COVID-19
O novo coronavírus mudou completamente as dinâmicas sociais e a relação dos cidadãos com as novas tecnologias. Ao passo em que a principal medida de combate à infecção – o isolamento social – requer a mudança de muitas rotinas analógicas para o cenário virtual, em menos de um mês o país viu reuniões de trabalho, salas de aula, confraternizações e turmas de academia serem todas transpostas para plataformas digitais como Facebook, Instagram e Zoom.
No contexto das novas dinâmicas sociais introduzidas em função do COVID-19, a concentração de dados cresceu em aplicativos de saúde e exercício físico, plataformas de videoconferência e outros sites dedicados a telemedicina. Estes serviços podem coletar desde dados cadastrais até dados pessoais sensíveis, como informações relativas à saúde ou biometria facial. Apesar de ferramentas de videoconferência não serem novidade, a migração de aulas e serviços para esses espaços nos traz novas reflexões a respeito de possíveis vulnerabilidades geradas por termos de serviço pouco explorados e compartilhamentos desconhecidos de dados pessoais de usuários. Em um caso recente, a plataforma Zoom foi questionada pela ausência de relatórios de transparência relativos às atividades de tratamento de dados de usuários. Também interrompeu o compartilhamento de dados de usuários de Iphone com o Facebook após reclamações. A mesma preocupação cabe a aplicativos onde dados de saúde são compartilhados para fins de teleconsulta ou aplicativos de delivery, que são cada vez mais utilizados, processando dados pessoais e lucrando sem obedecer às disposições da LGPD, ainda não obrigatórias.
Apesar das práticas adotadas no cenário atual não serem novas, elas têm gerado relatos cada vez mais comuns de violação da vida privada de possíveis infectados pelo vírus, mostrando que a entrada em vigor da LGPD se faz ainda mais necessária neste momento no Brasil.
Além disso, inspirados em práticas de países que têm regimes marcados por total controle, vigilância e até militarização do espaço público (como China e Israel), exemplos de coleta massiva e desinformada de dados de cidadãos também estão começando a acontecer no Brasil para utilização em parcerias público-privadas com fins de vigilância e monitoramento da vida das pessoas.
Recentemente, a TIM anunciou que poderia evitar a violação de isolamento monitorando celulares de pessoas infectadas pelo coronavírus, sem dizer como identificaria essas pessoas. A medida é preocupante, especialmente um contexto de escassez na quantidade de testes disponíveis e impossibilidade de se fazer diagnóstico massivo dos infectados. Na cidade de Recife, a Prefeitura também informou que está monitorando por volta de 700 mil telefones para verificar a efetividade das orientação de isolamento social. De acordo com reportagem do Poder 360 publicada em 31 de março de 2020, o mesmo software estaria sendo usado em 15 estados brasileiros. Tais iniciativas, além de altamente questionáveis em termos de eficácia, necessidade e proporcionalidade, também reforçam a necesside de manutenção do período inicialmente estipulado para a vigência da LGPD, bem como requerem demais medidas de proteção de direitos humanos fundamentais.
Em um documento recente, o Comitê Europeu de Proteção de Dados (EPDB, no original) destacou que as Leis de Proteção de Dados Pessoais são instrumentos importantes para garantir boas práticas dos atores – controladores e processadores – e que as mesmas não inviabilizam as atividades de tratamento durante a pandemia. No documento, o Comitê ressalta princípios norteadores como finalidade exclusiva e específica, transparência e proporcionalidade. Ou seja, as soluções tecnológicas e medidas que implicam em atividades de tratamento de dados pessoais aplicadas ao contexto atual tem que ser temporárias, necessárias e proporcionais.
É equivocada qualquer leitura que coloque a proteção de dados pessoais e a proteção à saúde pública como direitos excludentes. Mesmo que dados de saúde sejam considerados pessoais sensíveis e, consequentemente, requeiram um nível de proteção maior, a LGPD permite a utilização e compartilhamento de dados (inclusive sensíveis) para fins de tutela da saúde, bem como para a proteção da vida. Ou seja, a lei brasileira preocupou-se em oferecer uma base legal e segurança jurídica para que atividades de tratamento de dados importantes de serem realizadas possam prosseguir, desde que respeitados parâmetros mínimos trazidos pela LGPD.
Num contexto de aumento de pedidos de acesso e compartilhamento de dados pessoais em função do interesse público, a LGPD será responsável por impor limites a esse compartilhamento, reforçando princípios básicos como finalidade e razoabilidade nas atividades de tratamento de dados realizadas durante a crise, de maneira a resguardar a privacidade dos usuários por meio de procedimentos claros e específicos. Ela passa a figurar,por exemplo, como ferramenta indispensável para coibir o uso indiscriminado de dados pessoais por eventuais novos cadastros e aplicações de Internet que venham a ser criados como soluções de mitigação à pandemia. Portanto, a proteção de dados pessoais funciona como um mecanismo de proteção do cidadão.
Enquanto setores empresariais alegam dificuldades econômicas trazidas pela COVID-19 para justificar o adiamento de sua adequação à LGPD, lembramos que, além dos dois anos de prazo já decorridos para tanto, o cenário de pandemia e urgência da crise não podem ser justificativa para a relativização de direitos básicos do cidadão – muito menos para a legitimação de violações ao direito à privacidade e proteção de dados pessoais.
Infelizmente, diante da ameaça de uma nova alteração da entrada em vigor da lei e da ausência de uma Autoridade Nacional de Proteção de Dados Pessoais, os brasileiros/as, que já se viam desamparados/as ante os abusos e violações à privacidade praticados pelos poderes público e privado, ficam ainda mais vulnerabilizados. Dessa maneira, torna-se ainda mais urgente a entrada em vigor da LGPD na data prevista, a fim de que mecanismos de regulação de atividades como o compartilhamento de dados de geolocalização entre o setor privado e entes públicos sejam implementados respeitando as regras descritas na Lei 13.709/2018.
No mesmo sentido, é urgente que seja instalada a Autoridade Nacional de Proteção de Dados Pessoais, que além de atuar na harmonização da lei e na sua justa aplicação, será responsável por estabelecer parâmetros e regras de utilização dos dados pessoais em situações de emergência com a que vivemos, trabalhando com as autoridades competentes para garantir que o tratamento de dados respeite os princípios gerais de finalidade e proporcionalidade. Não é razoável que o Governo Federal continue omisso em relação à criação da ANPD, principalmente se considerarmos que o modelo de Autoridade proposto não implicará em qualquer nova despesa para a Administração Pública Federal.
O cenário de incertezas gerado pela pandemia da COVID-19 não pode justificar mais um adiamento na entrada em vigor da LGPD, na medida em que justamente traz novos desafios à privacidade dos/as cidadãos/ãs brasileiros/as. Sendo a Lei Geral de Proteção de Dados Pessoais o texto responsável por garantir princípios e hipóteses no tratamento de dados e por conferir segurança jurídica aos agentes desse tratamento, não é concebível que não entre em vigor em agosto próximo, sob o risco das violações a este direito da população, já em andamento, se naturalizem e se legitimem num cenário de emergência em saúde pública no Brasil.
**
Referências
5) https://www.coe.int/en/web/data-protection/statement-by-alessandra-pierucci-and-jean-philippe-walter
6) https://canaltech.com.br/seguranca/zoom-interrompe-compartilhamento-de-dados-com-o-facebook-162581/
8) https://privacyinternational.org/examples/tracking-global-response-covid-19
13) https://www.letemps.ch/economie/swisscom-aidera-confederation-detecter-attroupements-via-telephones
14) https://www.coe.int/en/web/data-protection/-/saving-lives-respecting-data-protecti-1
16) https://www25.senado.leg.br/web/atividade/materias/-/materia/141225