Migalhas de Peso

Os reflexos criminais da Lei Geral de Proteção de Dados

A lei 13.709/18 é capaz de gerar responsabilidade penal? E, além disso, quais seriam os agentes vinculados à responsabilização? A análise da origem da Lei Geral de Proteção de Dados brasileira, sob o aspecto sancionatório.

11/8/2020

O conceito de “proteção de dados” ingressou no sistema jurídico internacional com a Convenção 108 – do Conselho da Europa - em 1981, como uma demanda necessária diante do início da automatização, em grande escala, do tratamento de dados adotado mundialmente.

Inicialmente, a União Europeia editou a Diretiva 95/46, que estabelecia regras para o tratamento de dados pessoais, cujo teor indicava que cada país membro deveria regulamentar o tema – ou seja, criar a lei nacional específica para a incorporação do conteúdo normativo de forma equânime.

Em âmbito mundial, os anos de 2013 e 2014 foram decisivos à normatização da proteção de dados, quando os escândalos internacionais chacoalharam os noticiários: a espionagem na National Security Agency (NSA) – Agência Nacional de Segurança dos Estados Unidos; e, ainda, o compartilhamento de dados e o direcionamento de notícias, tanto da Cambridge Analytica, quanto do Facebook.

Alguns anos após, em 2016, a União Europeia decidiu editar o Regulamento 2016/679 – General Data Protetion Regulation (GDPR), em português Regulamento Geral de Proteção de Dados (RGPD).

Inicialmente, cumpre salientar que a legislação europeia caracteriza-se por ser uma legislação transnacional, isto é: há dispensa de criação de leis nacionais para a regulamentação do tratamento e da proteção de dados pessoais em seus países-membros.

Após a tramitação de vários e extensos projetos de lei sobre o tema, é inegável que os escândalos internacionais e a vigência da lei europeia geraram o senso de urgência nos parlamentares brasileiros para a regulamentação da utilização e tratamento de dados no Brasil.

Assim, o Congresso Nacional aprovou o projeto de lei complementar 53/18 – que, em seu teor, possui grandes similitudes ao GDPR –, culminando na promulgação da lei 13.709/18, a Lei Geral de Proteção de Dados (LGPD).

A LGPD, portanto, dispõe sobre o tratamento de dados pessoais, objetivando a proteção dos direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da pessoa natural.

Percebe-se, pois, que a política legislativa adotada é a concretização de política de dados responsável e pautada no reconhecimento dos direitos individuais como base intrinsecamente vinculada ao tema.

Desse modo, em seu artigo 7°, a legislação elenca que, os dados – interpretados como a personalização e individualização do usuário – somente podem ser tratados, informados e repassados a outrem em duas situações: a primeira, de autorização expressa e personalíssima de seu titular – que, na prática, vincula-se ao termo de consentimento (inciso I) –; e, a segunda, em decorrência de uma das hipóteses de tratamento de dados estipuladas nos incisos II a X.

Aqui, insta ressaltar que, independentemente do enquadramento fático e jurídico do tratamento de dados, todas as possibilidades possuem idêntica valoração, e, principalmente, similares responsabilidades e obrigações pela LGPD.

Percebe-se, pois, que, a política legislativa adotada é de consideração de tais elementos como direitos que somente podem ser tratados, informados e repassados a outrem por meio de autorização expressa e personalíssima de seu titular – ou seja, de termo de consentimento expresso –, ou em decorrência de uma das demais hipóteses de tratamento estipulada na lei, não havendo distinção de importância entre elas.

Conceitualmente, a nomenclatura “dado pessoal” vincula-se a todo e qualquer dado que possa identificar um indivíduo frente à coletividade; assim, são dados pessoais os nomes próprios; os números de documentos pessoais, como CPF, Registro Geral e Carteira Nacional de Habilitação; os endereços comerciais e residenciais; os registros fotográficos; os endereços de IP de conexão; os caracteres de placas de veículos, dentre outros.

Importante salientar que a referida norma atua como parceira às boas práticas de integridade e sigilo empresariais, posto que estabelece critérios – ou seja, hipóteses de tratamento –  para que os dados pessoais sejam devidamente protegidos e, possivelmente, analisados para interesses de mercado.

Ademais, os dados podem ser divididos entre dados pessoais e dados sensíveis, cuja diferenciação reflete nas possibilidades de tratamento e manipulação pelos agentes envolvidos. Percebe-se, então, que o tratamento de dados pessoais, bem como de dados sensíveis, pode ser feito desde que a finalidade do tratamento seja enquadrada em uma das hipóteses dispostas nos incisos dos artigos 7º e 11º da referida lei.

Ressalta-se, ainda, que as medidas normatizadas pela LGPD trazem segurança jurídica para a manipulação de dados, culminando na ausência de violações a bancos de dados empresariais; e, caso a invasão ocorra, a responsabilização efetiva dos responsáveis.

Todavia, apesar de já promulgada, ainda não se encontra em vigência no arcabouço jurídico pátrio por imbróglios legislativos. Nesse aspecto, o termo inicial de vigência da legislação dividiu-se entre as normas gerais e as normas sancionatórias.

Inicialmente, quanto às normas sancionatórias, não há discussão: dispostas no caput do artigo 52, a lei 10.040/20 – originada do projeto de lei 1.179/20 –, garantiu prazo mais extenso para adaptação do sistema de proteção e tratamento de dados do empresariado brasileiro.

Já quanto às demais diretrizes e normas da LGPD, cumpre salientar que o presidente da República editou a medida provisória 959/20, cujo teor adia o marco inicial de vigência da lei em âmbito nacional.

Diante do atual cenário, o início da vigência da LGPD ocorrerá em 3/5/21. Entretanto, a MP 959/20 aguarda votação no Congresso Nacional.

Assim, três perspectivas são plausíveis: a primeira, de ratificação do texto da medida provisória, a partir da promulgação de lei específica de confirmação das referidas datas; e, a segunda a ausência de votação do texto; ou, ainda, a elaboração e promulgação de lei específica com datas distintas.  

Por óbvio, a situação mais temida e preocupante às empresas identifica-se na ausência de votação do texto, que culminaria na vigência da LGPD em 16/8/20.

Todavia, apesar da incerteza quanto à data inicial de vigência, o ambiente jurídico-empresarial deve se preparar, o quanto antes, para as adaptações quanto ao sistema de tratamento e manipulação de dados de acordo com as políticas de zelo à intimidade e à privacidade individuais.

Especificamente quanto às sanções administrativas, em consonância ao modelo europeu, a LGPD elenca, em seus artigos 52 a 54, as sanções administrativas cabíveis àquelas pessoas físicas e jurídicas que estejam em desacordo com seus preceitos, cuja aplicação se concretizará por meio das decisões da Autoridade Nacional de Proteção de Dados – órgão federal vinculado ao Poder Executivo Federal.

Percebe-se, portanto, que, em caso de condenação administrativa, as sanções poderão variar entre a imposição de advertência, de multa simples ou multa diária e, ainda, a suspensão e a proibição do tratamento de dados pelos infratores – de acordo com os incisos I a XII, do artigo 52.

Nesse sentido, mister se faz a identificação dos sujeitos diretamente envolvidos com o tratamento de dados para a análise das condutas infracionais possivelmente cometidas individualmente.

Em seu teor, a LGPD prevê a existência de quatro sujeitos distintos e diretamente vinculados aos dados pessoais:

a)  Titular: Pessoa física que forneceu, expressamente, os dados a determinada empresa; 

b)  Controlador: Pessoa, física ou jurídica, de direito público ou privado, que detém o poder de decidir sobre como os dados pessoais serão tratados e para quais finalidades eles serão direcionados no processo interno da empresa;

c)   Operador: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados de acordo com as orientações dadas pelo controlador – ou seja, o operador atua ela opera o tratamento dos dados.

d)  Encarregado: Pessoa física indicada pelo controlador e pelo operador para atuar como elo entre o titular dos dados e a Autoridade Nacional de Proteção de Dados;

Salienta-se, ainda, que, a LGPD prevê somente condutas sancionatórias em âmbito administrativo.

Contudo, a natureza jurídica intrínseca aos dados pessoais poderá gerar a incidência de condutas criminais por seus manipuladores – ou seja, pelo operador e também pelo controlador de dados. Como exemplos de condutas criminosas, podemos citar o artigo 307 do Código Penal (falsa identidade) e o artigo 21 da lei 7.429/86 (falsa identidade para realização de operação de câmbio). Especificamente quanto aos servidores públicos, ressalta-se a possibilidade de incidência do artigo 313-B (modificação ou alteração não autorizada de sistema de informações), contudo esse assunto será tratado em artigo próprio.

Diante da união entre LGPD e o cometimento de condutas criminosas, uma questão basilar deve ser respondida: como serão tratadas as situações que envolvam acessos, tratamentos e manipulações indevidas de dados pessoais?

Inicialmente, deve-se identificar os sujeitos envolvidos na infração penal entre agente interno e agente externo. Como agente interno, percebem-se aqueles que possuem o acesso aos dados por serem controladores, operadores ou encarregados; já por agente externo, percebe-se a atuação de sujeito estranho à relação de tratamento de dados – como, por exemplo, os hackers. Aqui, ater-se-á a discussão quanto aos sujeitos internos, posto que a atuação dos hackers será tratada, exclusivamente, pela legislação penal pátria.

Por conseguinte, ressalta-se que a LGPD atuará, exclusivamente, em ilícitos administrativos, punindo-os com as sanções supramencionadas. Isto é: a responsabilização administrativa vincular-se-á a responsabilidade objetiva da prática da conduta, em consonância às normas de Direito Público vigentes.

Contudo, caso seja identificada alguma conduta criminosa na atuação de tais agentes, caberá ao Direito Penal a análise acerca da responsabilização subjetiva do agente criminoso.

Portanto, salienta-se que os reflexos penais inerentes à LGPD vinculam-se às condutas possivelmente praticadas pelos agentes internos à manipulação e ao tratamento de dados pessoais e à existência de condutas previamente tipificadas no arcabouço jurídico-penal brasileiro.

_________

*Patrícia Arantes de Paiva Medeiros é advogada. LLM em Direito Empresarial pela Fundação Getúlio Vargas (FGV). Pós-graduada em Direitos Fundamentais pela Universidade de Coimbra, em parceria com o IBCCRIM. Pós-graduanda em Direito Penal e Processo Penal pela Universidade Federal de Goiás (UFG).



*Viviane de Araújo Porto é bacharel em direito pela Universidade Católica de Goiás. Pós-graduada em Direito Civil, Processual Civil e em Direito do Consumidor. Sócia do escritório Braga Fujioka Advogados.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

Planejamento sucessório e holding patrimonial: Cláusulas restritivas societárias

20/12/2024

Decisão importante do TST sobre a responsabilidade de sócios em S.A. de capital fechado

20/12/2024

As perspectivas para o agronegócio brasileiro em 2025

20/12/2024

O futuro dos contratos: A tecnologia blockchain e o potencial dos smart contracts no Brasil

20/12/2024

A sua empresa monitora todos os gatilhos e lança as informações dos processos trabalhistas no eSocial?

20/12/2024