A Lei Geral de Proteção de Dados no cenário imposto pela pandemia da COVID-19
Fernanda Galvão e Aline Piteres
Para agosto de 2020, aguardava-se o início da vigência da Lei Geral de Proteção de Dados (Lei n. 13.709/18, aqui referida como “LGPD”). De acordo com seu art. 65, exceto pelas normas relativas à Autoridade Nacional de Proteção de Dados (“ANPD”) e ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, os demais dispositivos legais entrariam em vigor em 24 meses após sua data de publicação (1).
Com o agravamento da situação socioeconômica imposta pela pandemia da COVID-19, entretanto, a prorrogação da vigência da LGPD tornou-se um assunto de destaque. Nos termos do Projeto de Lei n. 1179/20 (2), propõe-se que o início da vigência desses dispositivos divida-se em novos dois momentos: uma parte entraria em vigor em janeiro de 2021; e os dispositivos que preveem sanções estariam prorrogados para agosto do mesmo ano. Nesse sentido, concede-se àqueles que estarão submetidos às regras da nova legislação um maior período de adaptação, principalmente em consideração aos custos financeiros envolvidos no tratamento adequado de dados e à possível crise financeira decorrente da situação imposta pela COVID-19.
Na ausência de uma lei de proteção de dados vigente, entretanto, a preocupação com o tratamento dos dados pessoais não deve ser postergada do mesmo modo. Ainda que a Constituição Federal não preveja expressamente a proteção de dados como direito fundamental, é preciso observar que ela prevê ser inviolável a intimidade, a vida privada, o sigilo de dados (3) e garante o direito ao conhecimento e retificação de dados constantes em registros de caráter público, via habeas data (4). Nesse sentido, verificamos que o intuito da LGPD é criar um marco regulatório que garanta a proteção de dados pessoais, a inviolabilidade da intimidade, da honra e da imagem, o respeito à privacidade e aos direitos humanos, que, de certo modo, já estão previstos na Constituição.
Portanto, enquanto a LGPD não entra em vigor, os cidadãos contam com direitos constitucionais e algumas regras contidas na legislação infraconstitucional para embasar o direito à proteção de dados pessoais, ainda que lhes faltem regras específicas sobre o exercício de tais direitos.
Cumpre observar, no entanto, que é exatamente a falta de regras claras e específicas sobre proteção de dados que abre espaço para discussão sobre algumas operações de tratamento que têm sido levadas a cabo, em especial nesse cenário de combate à COVID-19. Com a tecnologia sendo amplamente utilizada, por meio de programas e aplicativos que visam suprir o isolamento social, é preciso atenção redobrada no tratamento de dados.
A situação de pandemia “propicia a coleta, o processamento e a divulgação de dados pessoais de forma abusiva” (5), em especial no Brasil onde o direito à proteção de dados é recente e ainda não há uma cultura disseminada como se vê na Europa, que já conta com décadas de tradição na temática. O momento atual exige, portanto, cuidado redobrado com as normas de proteção de dados pessoais.
Nesse sentido, reitera-se a preocupação com a proteção de dados, e destaca-se o ensinamento de um respeitado especialista no assunto, Professor Danilo Doneda: “a legitimação para o uso em situações de emergência não é, de forma alguma, uma carta em branco fornecida pelas legislações de proteção de dados para o emprego irrestrito de dados pessoais: assim como em outras situações, o seu tratamento deve respeitar direitos e garantias individuais, princípios e regras aplicáveis”(6).
Diante do cenário de crise, os dados pessoais têm se mostrado essenciais às medidas de contenção da pandemia em todo o mundo (7). Na Espanha, a Agência Espanhola de Proteção de Dados indicou o direito dos empregadores de tratar as informações relativas aos seus empregados infectados com a COVID-19, inclusive para fornecer essas informações às autoridades sanitárias (8). No Brasil, por exemplo, discute-se a legalidade do uso de dados de geolocalização dos cidadãos, obtidos a partir de dispositivos móveis de comunicação, que permitam a identificação individualizada do usuário, para averiguação dos níveis de isolamento social impostos em alguns estados e municípios.
Um ato normativo que trouxe bastante preocupação com a falta de um marco regulatório para a proteção de dados pessoais no Brasil foi a Medida Provisória n. 954, publicada em 17 de abril de 2020. A medida dispõe sobre o compartilhamento de dados por empresas de telecomunicações com a Fundação Instituto Brasileiro de Geografia e Estatística (“IBGE”), para fins de suporte à produção estatística oficial durante a situação vivenciada com a COVID-19 (9).
A referida medida provisória não prevê limites para o compartilhamento, pelas operadoras de telecomunicações, dos dados pessoais de cidadãos com o IBGE, em clara ofensa ao princípio da finalidade e da adequação. Limita-se a impor que os dados pessoais serão coletados para produção de estatísticas oficiais e escora-se na cultura que tem sido largamente utilizada no Brasil e nos países em que ainda não tiveram a oportunidade de “virar a chave” para a prática da proteção de dados: a coleta do maior número de dados pessoais possíveis para depois decidir o que será feito com tudo que foi coletado.
Tal prática corriqueira no Brasil, seja por entes públicos ou privados, é algo que paulatinamente tende a diminuir após a entrada em vigor da LGPD, em atenção ao princípio da necessidade. Por meio dele, o agente deve coletar somente os dados necessários para uma finalidade específica.
Como a medida provisória em questão não teve êxito em demonstrar de que maneira os dados pessoais coletados serviriam para auxiliar na construção de políticas públicas de combate à COVID-19, trata-se de uma violação ao princípio da necessidade. Caso a LGPD já estivesse em vigor, essa desproporção poderia ser mais facilmente coibida. De qualquer forma, em ação direta de inconstitucionalidade, os efeitos da Medida Provisória encontram-se, por ora, suspensos, graças a liminar deferida pelo Supremo Tribunal Federal no dia 24 de abril de 2020, com fundamento na violação de direitos constitucionais (10).
A edição da Medida Provisória 954/2020 é uma pequena amostra que traz ao centro do debate a postergação ou não da entrada em vigor da LGPD no Brasil. Nesse cenário, não se pode deixar de analisar os dois lados da moeda: se de um lado, as empresas que precisam se adequar ganhariam um pouco mais de tempo nesse processo, de outro a falta de uma lei de proteção de dados abre espaço para algumas operações de tratamento de dados pessoais no mínimo desproporcionais e sem observância aos requisitos mínimos previstos na LGPD.
Dessa forma, reitera-se a importância de se analisar a proteção de dados para além da LGPD, respeitando-se os princípios constitucionais e as garantias mínimas dos cidadãos. A eventual prorrogação da vigência da norma não deverá justificar abusos e não significa que a proteção de dados não será observada. Destaca-se que as normas da LGPD têm embasamento constitucional e vêm para promover segurança jurídica no ordenamento.
Para informações detalhadas acerca da LGPD ou sobre como adequar, da melhor forma, as práticas internas da sua empresa a um programa de proteção de dados, a Equipe de Consultoria do VLF Advogados está à disposição.
Fernanda Galvão
Sócia e Coordenadora da Equipe de Consultoria e Compliance do VLF Advogados
Aline Piteres
Advogada da Equipe de Consultoria do VLF Advogados
(1) Conforme redação incluída pela Lei n. 13.853, de 2019.
(2) Projeto de Lei que trata do Regime Jurídico Emergencial e Transitório das Relações Jurídicas de Direito Privado no período da pandemia.
(3) Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes: X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação; XII - é inviolável o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal.
(4) Art. 5º - LXXII - conceder-se-á habeas data: a) para assegurar o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público; b) para a retificação de dados, quando não se prefira fazê-lo por processo sigiloso, judicial ou administrativo.
(5) GUARIENTO, Daniel Bittencourt; MARTINS, Rafael Maffeis. Reflexos do covid-19 na proteção de dados pessoais. Migalhas. Disponível em: https://www.migalhas.com.br/coluna/impressoes-digitais/322854/reflexos-do-covid-19-na-protecao-de-dados-pessoais. Acesso em: 20 abr. 2020.
(6) DONEDA, Danilo. A proteção de dados em tempos de coronavírus. Jota. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/a-protecao-de-dados-em-tempos-de-coronavirus-25032020. Acesso em: 20 abr. 2020.
(7) GLOBAL Privacy Assembly. Data protection and Coronavirus (COVID-19) resources. Disponível em: https://globalprivacyassembly.org/covid19/. Acesso em: 20 abr. 2020.
(8) AGÊNCIA Espanhola de Proteção de Dados. FAQ: Sobre el Coronavirus. Disponível em: https://www.aepd.es/sites/default/files/2020-03/FAQ-COVID_19.pdf. Acesso em: 20 abr. 2020.
(9) BRASIL. Medida Provisória nº 954, de 17 de abril de 2020. Disponível em: https://www.congressonacional.leg.br/materias/medidas-provisorias/-/mpv/141619. Acesso em: 20 abr. 2020.
(10) MEDIDA Cautelar na Ação Direta de Inconstitucionalidade 6.387 Distrito Federal. Disponível em: https://Www.Conjur.Com.Br/Dl/Adi-6387.Pdf. Acesso em: 27 abr. 2020.
