LGPD e compartilhamento de dados: como isso funciona?

O crescente avanço tecnológico fez aumentar o uso da internet e, consequentemente, a circulação dos dados dos usuários no mundo digital, e também contribuiu para que outras pessoas pudessem ter acesso a esses dados de forma indevida. É de extrema relevância a proteção dos nossos dados pessoais, motivo pelo qual as pessoas devem ser informadas, de forma clara e transparente, sobre as finalidades da utilização dos seus dados pessoais ao fazer uso das tecnologias, bem como sobre o compartilhamento dos dados. É fato que, em decorrência da pandemia do coronavírus, o uso da tecnologia se intensificou e, com isso, ocorreu uma maior preocupação com a proteção dos dados, período este marcado pelo emocionante e inusitado processo legislativo quanto à definição da data de vigência da LGPD (Lei Geral de Proteção de Dados Pessoais- Lei 13.709/2018).

No auge da pandemia, como as pessoas, em regra, só podiam sair de suas casas quando estritamente necessário, em respeito às medidas sanitárias estabelecidas pelo Poder Público, este, com o objetivo de monitorar as aglomerações nas ruas, utilizou-se, por exemplo, de mecanismos de geolocalização por meio dos sinais dos celulares, o que significa que os dados pessoais foram compartilhados com o Poder Público, para fins de vigilância. Assim, a título de reflexão, faço as provocações: o Poder Público observou o princípio da transparência quanto ao compartilhamento dos dados (art. 6, VI, LGPD)? Por quanto tempo os dados ficaram ou ficarão armazenados? Os dados pessoais foram anonimizados (art. 5, III, IX, LGPD)? O Poder Público utilizou medidas técnicas e administrativas para a proteção dos dados, a fim de se evitar incidentes de segurança, como, por exemplo, vazamento de dados (art. 6, VII, VIII; art. 46; art. 50, §2º, I, “a”, LGPD)? Os dados coletados foram eliminados dos bancos de dados do Poder Público após o término da finalidade (art.5, XIV; art.6, I, LGPD)?

No que tange ao compartilhamento de dados pessoais, analisaremos dois casos concretos – um, no Brasil e o outro, no Canadá - para melhor entendimento sobre o tema: (i) o caso do IBGE (Medida Provisória 954/2020); e, (ii) o caso da empresa canadense Standard Innovation (Canadá/2017).

(i) O caso do IBGE (Medida Provisória 954/2020)[1]:

Antes de adentrar ao caso do IBGE, é importante esclarecer, brevemente, sobre a Medida Provisória (MP), a qual só pode ser editada pelo Presidente da República, em observância a dois requisitos, que são a urgência e relevância (art. 62, caput, da Constituição Federal), e desde que não tenha como conteúdo os temas previstos no §1º, art. 62, da Constituição, como por exemplo, temas sobre direito eleitoral, direito penal, dentre outros. Quando o Presidente da República edita uma MP, ela já possui eficácia, ou seja, já produz efeitos jurídicos e, como ela precisa ser convertida em lei, deverá ser submetida à apreciação imediata pelas duas Casas do Congresso Nacional (Câmara dos Deputados e Senado Federal). A MP possui o prazo de vigência de 60 dias, o qual pode ser prorrogado por mais 60 dias se a votação nas duas Casas não tiver sido encerrada (§7º, art.62, da Constituição). Porém, após o prazo de vigência inicial e durante a prorrogação, se a MP não for apreciada em até 45 dias contados da sua reedição, entrará em regime de urgência em cada Casa do Congresso, mediante o trancamento da pauta, até que ocorra a votação (§6º, art. 62, da Constituição). Por fim, se a MP não for convertida em lei  após a prorrogação do prazo de 60 dias, perderá eficácia, que foi o que aconteceu com o caso do IBGE (MedidaProvisória 954/2020), abaixo detalhado, em que a vigência se encerrou no dia 14 de agosto de 2020, nos termos do Ato Declaratório da Mesa do Congresso Nacional nº 112 de 2020, publicado no dia 20 de agosto de 2020, no Diário Oficial da União.[2]

No dia 17 de abril de 2020, o Presidente da República editou a Medida Provisória 954/2020, para dispor sobre o compartilhamento de dados pelas empresas de telecomunicações prestadoras do serviço telefônico fixo e móvel, com a Fundação Instituto Brasileiro de Geografia e Estatística (IBGE), durante a situação de emergência de saúde pública decorrente da Covid-19. O objetivo do compartilhamento de dados com oI BGE (nomes, telefones, endereços), tanto de pessoas físicas quanto jurídicas, seria “para a produção de estatística oficial” mediante a realização de “entrevistas em caráter não presencial no âmbito de pesquisas domiciliares” (§1º, art. 2º, MP 954/2020).

Diante disso, indago: será que, realmente, teve relevância e urgência na edição da MP para a realização de estatísticas oficiais durante a Covid-19? Verificou-se, portanto, a ausência da observância de alguns princípios que deveriam ter sido observados, tais como, o da finalidade, necessidade, proporcionalidade, transparência e segurança, com relação ao compartilhamento dos dados ao IBGE, razão pela qual conclui-se que os dados pessoais dos titulares seriam expostos à vigilância, fato este que se assemelha com a sociedade de vigilância do Grande Irmão, do livro “1984”, de George Orwell.[3]

A MP 954/2020 havia fixado um curto prazo de 3 dias para que, após a sua publicação, o Presidente do IBGE pudesse expedir um Ato, mediante oitiva da Anatel, para dispor sobre o procedimento de disponibilização dos dados (nomes, telefones, endereços) (art.2, §2º,MP), e um prazo de 7 dias para que os dados pudessem ser disponibilizados após a publicação do Ato do Presidente do IBGE (art. 2, §3º, I, MP). Dessa forma, indago mais uma vez: qual a urgência em se estabelecer um prazo tão curto para o compartilhamento dos dados pessoais com o IBGE, para fins de estatísticas, durante a Covid-19?

Com relação ao §2º do art.3º da MP, que dispunha que o Relatório de Impacto à Proteção dos Dados Pessoais (RIPD) seria apresentado após o compartilhamento dos dados pessoais ao IBGE, “nos termos do disposto da LGPD (Lei 13.709/2018)”, há um aspecto importante a ser destacado com relação à parte final do §2º: se após a publicação da MP 954/2020 (17.4.2020) a LGPD não estava em vigor, como aplicar institutos normativos ainda não vigentes? Ou seja, como realizar tal relatório, previsto expressamente na LGPD (art.5, XVII e art. 38, parágrafo único), sendo que, na época da edição da MP, a LGPD não estava em vigor? Vale destacar que a LGPD entrou em vigor em setembro de 2020.[4]

Mas, o que significa o RIPD? “É o documento que comprova que o controlador, ao perceber que um projeto que envolve o tratamento de dados pessoais poderia carrear algum tipo de risco aos direitos fundamentais ou às liberdades individuais das pessoas naturais, realizou um prévio estudo sobre essa pretendida operação, identificando quais seriam esses riscos, a sua possibilidade de materialização, bem como quais medidas seriam prudentes para eliminar ou minimizar os efeitos adversos potencialmente advindos do tratamento de dados em questão.” [5]

Também constava no art. 4, caput, da MP, que a eliminação dos dados pessoais compartilhados ocorreria após a superação da situação daCovid-19. Mas, será que, na época da edição da MP, havia uma política de descarte de dados após o término da finalidade? E, por fim, qual autoridade iria fiscalizar, por exemplo, o compartilhamento dos dados, o teor do relatório de impacto à proteção dos dados pessoais (RIPD) e a eliminação dos dados? Bom, não seria a ANPD (Autoridade Nacional de Proteção deDados) pois, até o presente momento, não está em funcionamento.

Assim, como após a edição da MP 954/2020 gerou um cenário de insegurança jurídica quanto à proteção de dados, foram ajuizadas cinco Ações Diretas de Inconstitucionalidade perante oSTF (processos6.387,6.388,6.389,6.390 e 6.393), que tramitaram em conjunto, e impugnaram a validade constitucional da MP. No dia 24 de abril de 2020, a Ministra Relatora Rosa Weber suspendeu a eficácia da MP[6], a qual foi ratificada pelo Plenário do STF, no julgamento ocorrido em maio de 2020[7], que reconheceu a existência de um direito fundamental autônomo à proteção dos dados.

Apesar de o direito à proteção de dados não estar explícito na Constituição Federal, há uma proposta de emenda à constituição (PEC 17/2019), a fim de inserir no rol dos direitos fundamentais da Constituição, o direito à proteção de dados pessoais, bem como dispor que a proteção de dados será uma das matérias de competência legislativa da União  Federal.

Por fim, a título de informação, o caso do IBGE é semelhante ao caso da Lei do Censo da Alemanha, julgado pela Corte Constitucional Alemã, em 1983, que reconheceu a autodeterminação informativa como um direito fundamental autônomo. Mas, o que significa autodeterminação informativa? Bom, além de ser um dos fundamentos da proteção de dados (art.2, II,LGPD), é a possibilidade do indivíduo ter o controle sobre as suas próprias informações.[8]

(ii) O caso da Standard Innovation (Canadá/2017):

Em 2017, a empresa canadense Standard Innovation, que vendia produtos sexuais, disponibilizou um vibrador (We-Vibe 4 Plus), em que o usuário deveria baixar um aplicativo em seu celular, para a utilização das potencialidades do produto, o qual também poderia ser utilizado por acesso remoto. Ocorre que, tempos depois, após a aquisição por diversos consumidores, descobriu-se que os dados r referentes à utilização do vibrador estavam sendo compartilhados com os servidores da empresa canadense, sendo que os usuários, além de não terem consentido com o compartilhamento dos seus dados, sequer tinham o conhecimento sobre isso. Mas que tipo de dado estava sendo compartilhado? Dados referentes aos hábitos sexuais, que são dados sensíveis (conceito previsto no art.5, II, LGPD), tais como, ritmo e intensidade das vibrações, e temperatura corporal, no momento da utilização do aparelho. E qual foi a justificativa da empresa? Que a coleta era apenas para fins de aprimoramento do objeto. Qual foi a consequência para a empresa? O pagamento do valor de US$ 2,9 milhões, em decorrência de um acordo realizado numa ação coletiva, ajuizada pelos usuários. Logo, verifica-se a violação de princípios e, consequentemente, ilicitude. [9]

Considerações Finais

Os agentes responsáveis pelo tratamento de dados devem observar os princípios do art.6, da LGPD, na hipótese de compartilhamento de dados pessoais, em especial, os da finalidade, adequação, necessidade, transparência, segurança, prevenção e responsabilização. Diante da relevância da proteção dos dados pessoais, é fundamental que haja a aprovação da PEC 17/2019, bem como que ocorra o rápido funcionamento da ANPD (AutoridadeNacional de Proteção de Dados)[10], que fiscalizará o cumprimento da LGPD, dentre outras atribuições, uma vez que “sem ela, a LGPD é um problema, não a solução tal como fora originalmente desenhada pelo Congresso Nacional.” [11]


[1] Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/mpv/mpv954.htm.Acesso em: 29. Out. 2020.

[2] Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/Congresso/adc-112-mpv954.htm.Acesso em: 29. Out. 2020.

[3]ORWELL, George. 1984. Tradução Alexandre Hubner e Heloisa Jahn. SãoPaulo: Companhia das Letras, 2009.

[4] A título de informação, o art. 65 da LGPD prevê três marcos temporais diferentes e, apenas os artigos referentes à ANPD (Autoridade Nacional de Proteção de Dados) estavam em vigor desde o dia 28.12.2018.

[5] PALHARES, Felipe.O Relatório de Impacto à Proteção de Dados Pessoais. In MALDONADO, Viviane Nóbrega (Coord.). LGPD: Lei Geral de Proteção de Dados Pessoais: manualde implementação. São Paulo: Thomson Reuters Brasil, 2019. p. 248.

[6] Disponível em: http://www.stf.jus.br/portal/cms/verNoticiaDetalhe.asp?idConteudo=442090. Acesso em: 29. Out. 2020.

[7] Disponível em: http://www.stf.jus.br/portal/cms/verNoticiaDetalhe.asp?idConteudo=442902. Acesso em: 29. Out. 2020.

[8] DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei Geral de Proteção de dados. 2. ed. São Paulo: Thomson Reuters Brasil, 2019. p. 165-169.

[9] MULHOLLAND, Caitlin Sampaio. Dados pessoais sensíveis e a tutela de direitos fundamentais: uma análise à luzd a lei geral de proteção de dados (Lei 13.709/2018). R. Dir. Gar. Fund.Vitória. v. 19, n.3, p. 159-180, set./dez. 2018. p. 160-161 e 176.

[10] MALDONADO, Viviane Nóbrega e ALVES, Fabrício da Mota. The Privacy Cast. Episódio 22 –edição especial: temos LGPD e ANPD. Disponível em: https://open.spotify.com/episode/0JqhhLI7Dq0GFcso8U9W2B. Acesso em: 29.Out. 2020.

[11] ALVES, Fabricio da Mota e VIEIRA, Gustavo Afonso Sabóia. Sem a ANPD, a LGPD é um problema, não uma solução. JOTA. Disponível em: https://www.jota.info/paywall?redirect_to=//www.jota.info/opiniao-e-analise/artigos/anpd-lgpd-problema-solucao-06012020. Acesso em: 29.Out. 2020.

____________________________________________________________________________________________________________________________________

Vamos aprender com profundidade e técnica os princípios da LGPD? Acesse o curso LGPD FUNDAMENTALS

Blog Post escrito por:
Paula do Amaral Ferraz Rodrigues