Os reflexos criminais da Lei Geral de Proteção de Dados
A lei 13.709/18 é capaz de gerar responsabilidade penal? E, além disso, quais seriam os agentes vinculados à responsabilização? A análise da origem da Lei Geral de Proteção de Dados brasileira, sob o aspecto sancionatório.
terça-feira, 11 de agosto de 2020
Atualizado às 08:02
O conceito de "proteção de dados" ingressou no sistema jurídico internacional com a Convenção 108 - do Conselho da Europa - em 1981, como uma demanda necessária diante do início da automatização, em grande escala, do tratamento de dados adotado mundialmente.
Inicialmente, a União Europeia editou a Diretiva 95/46, que estabelecia regras para o tratamento de dados pessoais, cujo teor indicava que cada país membro deveria regulamentar o tema - ou seja, criar a lei nacional específica para a incorporação do conteúdo normativo de forma equânime.
Em âmbito mundial, os anos de 2013 e 2014 foram decisivos à normatização da proteção de dados, quando os escândalos internacionais chacoalharam os noticiários: a espionagem na National Security Agency (NSA) - Agência Nacional de Segurança dos Estados Unidos; e, ainda, o compartilhamento de dados e o direcionamento de notícias, tanto da Cambridge Analytica, quanto do Facebook.
Alguns anos após, em 2016, a União Europeia decidiu editar o Regulamento 2016/679 - General Data Protetion Regulation (GDPR), em português Regulamento Geral de Proteção de Dados (RGPD).
Inicialmente, cumpre salientar que a legislação europeia caracteriza-se por ser uma legislação transnacional, isto é: há dispensa de criação de leis nacionais para a regulamentação do tratamento e da proteção de dados pessoais em seus países-membros.
Após a tramitação de vários e extensos projetos de lei sobre o tema, é inegável que os escândalos internacionais e a vigência da lei europeia geraram o senso de urgência nos parlamentares brasileiros para a regulamentação da utilização e tratamento de dados no Brasil.
Assim, o Congresso Nacional aprovou o projeto de lei complementar 53/18 - que, em seu teor, possui grandes similitudes ao GDPR -, culminando na promulgação da lei 13.709/18, a Lei Geral de Proteção de Dados (LGPD).
A LGPD, portanto, dispõe sobre o tratamento de dados pessoais, objetivando a proteção dos direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da pessoa natural.
Percebe-se, pois, que a política legislativa adotada é a concretização de política de dados responsável e pautada no reconhecimento dos direitos individuais como base intrinsecamente vinculada ao tema.
Desse modo, em seu artigo 7°, a legislação elenca que, os dados - interpretados como a personalização e individualização do usuário - somente podem ser tratados, informados e repassados a outrem em duas situações: a primeira, de autorização expressa e personalíssima de seu titular - que, na prática, vincula-se ao termo de consentimento (inciso I) -; e, a segunda, em decorrência de uma das hipóteses de tratamento de dados estipuladas nos incisos II a X.
Aqui, insta ressaltar que, independentemente do enquadramento fático e jurídico do tratamento de dados, todas as possibilidades possuem idêntica valoração, e, principalmente, similares responsabilidades e obrigações pela LGPD.
Percebe-se, pois, que, a política legislativa adotada é de consideração de tais elementos como direitos que somente podem ser tratados, informados e repassados a outrem por meio de autorização expressa e personalíssima de seu titular - ou seja, de termo de consentimento expresso -, ou em decorrência de uma das demais hipóteses de tratamento estipulada na lei, não havendo distinção de importância entre elas.
Conceitualmente, a nomenclatura "dado pessoal" vincula-se a todo e qualquer dado que possa identificar um indivíduo frente à coletividade; assim, são dados pessoais os nomes próprios; os números de documentos pessoais, como CPF, Registro Geral e Carteira Nacional de Habilitação; os endereços comerciais e residenciais; os registros fotográficos; os endereços de IP de conexão; os caracteres de placas de veículos, dentre outros.
Importante salientar que a referida norma atua como parceira às boas práticas de integridade e sigilo empresariais, posto que estabelece critérios - ou seja, hipóteses de tratamento - para que os dados pessoais sejam devidamente protegidos e, possivelmente, analisados para interesses de mercado.
Ademais, os dados podem ser divididos entre dados pessoais e dados sensíveis, cuja diferenciação reflete nas possibilidades de tratamento e manipulação pelos agentes envolvidos. Percebe-se, então, que o tratamento de dados pessoais, bem como de dados sensíveis, pode ser feito desde que a finalidade do tratamento seja enquadrada em uma das hipóteses dispostas nos incisos dos artigos 7º e 11º da referida lei.
Ressalta-se, ainda, que as medidas normatizadas pela LGPD trazem segurança jurídica para a manipulação de dados, culminando na ausência de violações a bancos de dados empresariais; e, caso a invasão ocorra, a responsabilização efetiva dos responsáveis.
Todavia, apesar de já promulgada, ainda não se encontra em vigência no arcabouço jurídico pátrio por imbróglios legislativos. Nesse aspecto, o termo inicial de vigência da legislação dividiu-se entre as normas gerais e as normas sancionatórias.
Inicialmente, quanto às normas sancionatórias, não há discussão: dispostas no caput do artigo 52, a lei 10.040/20 - originada do projeto de lei 1.179/20 -, garantiu prazo mais extenso para adaptação do sistema de proteção e tratamento de dados do empresariado brasileiro.
Já quanto às demais diretrizes e normas da LGPD, cumpre salientar que o presidente da República editou a medida provisória 959/20, cujo teor adia o marco inicial de vigência da lei em âmbito nacional.
Diante do atual cenário, o início da vigência da LGPD ocorrerá em 3/5/21. Entretanto, a MP 959/20 aguarda votação no Congresso Nacional.
Assim, três perspectivas são plausíveis: a primeira, de ratificação do texto da medida provisória, a partir da promulgação de lei específica de confirmação das referidas datas; e, a segunda a ausência de votação do texto; ou, ainda, a elaboração e promulgação de lei específica com datas distintas.
Por óbvio, a situação mais temida e preocupante às empresas identifica-se na ausência de votação do texto, que culminaria na vigência da LGPD em 16/8/20.
Todavia, apesar da incerteza quanto à data inicial de vigência, o ambiente jurídico-empresarial deve se preparar, o quanto antes, para as adaptações quanto ao sistema de tratamento e manipulação de dados de acordo com as políticas de zelo à intimidade e à privacidade individuais.
Especificamente quanto às sanções administrativas, em consonância ao modelo europeu, a LGPD elenca, em seus artigos 52 a 54, as sanções administrativas cabíveis àquelas pessoas físicas e jurídicas que estejam em desacordo com seus preceitos, cuja aplicação se concretizará por meio das decisões da Autoridade Nacional de Proteção de Dados - órgão federal vinculado ao Poder Executivo Federal.
Percebe-se, portanto, que, em caso de condenação administrativa, as sanções poderão variar entre a imposição de advertência, de multa simples ou multa diária e, ainda, a suspensão e a proibição do tratamento de dados pelos infratores - de acordo com os incisos I a XII, do artigo 52.
Nesse sentido, mister se faz a identificação dos sujeitos diretamente envolvidos com o tratamento de dados para a análise das condutas infracionais possivelmente cometidas individualmente.
Em seu teor, a LGPD prevê a existência de quatro sujeitos distintos e diretamente vinculados aos dados pessoais:
a) Titular: Pessoa física que forneceu, expressamente, os dados a determinada empresa;
b) Controlador: Pessoa, física ou jurídica, de direito público ou privado, que detém o poder de decidir sobre como os dados pessoais serão tratados e para quais finalidades eles serão direcionados no processo interno da empresa;
c) Operador: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados de acordo com as orientações dadas pelo controlador - ou seja, o operador atua ela opera o tratamento dos dados.
d) Encarregado: Pessoa física indicada pelo controlador e pelo operador para atuar como elo entre o titular dos dados e a Autoridade Nacional de Proteção de Dados;
Salienta-se, ainda, que, a LGPD prevê somente condutas sancionatórias em âmbito administrativo.
Contudo, a natureza jurídica intrínseca aos dados pessoais poderá gerar a incidência de condutas criminais por seus manipuladores - ou seja, pelo operador e também pelo controlador de dados. Como exemplos de condutas criminosas, podemos citar o artigo 307 do Código Penal (falsa identidade) e o artigo 21 da lei 7.429/86 (falsa identidade para realização de operação de câmbio). Especificamente quanto aos servidores públicos, ressalta-se a possibilidade de incidência do artigo 313-B (modificação ou alteração não autorizada de sistema de informações), contudo esse assunto será tratado em artigo próprio.
Diante da união entre LGPD e o cometimento de condutas criminosas, uma questão basilar deve ser respondida: como serão tratadas as situações que envolvam acessos, tratamentos e manipulações indevidas de dados pessoais?
Inicialmente, deve-se identificar os sujeitos envolvidos na infração penal entre agente interno e agente externo. Como agente interno, percebem-se aqueles que possuem o acesso aos dados por serem controladores, operadores ou encarregados; já por agente externo, percebe-se a atuação de sujeito estranho à relação de tratamento de dados - como, por exemplo, os hackers. Aqui, ater-se-á a discussão quanto aos sujeitos internos, posto que a atuação dos hackers será tratada, exclusivamente, pela legislação penal pátria.
Por conseguinte, ressalta-se que a LGPD atuará, exclusivamente, em ilícitos administrativos, punindo-os com as sanções supramencionadas. Isto é: a responsabilização administrativa vincular-se-á a responsabilidade objetiva da prática da conduta, em consonância às normas de Direito Público vigentes.
Contudo, caso seja identificada alguma conduta criminosa na atuação de tais agentes, caberá ao Direito Penal a análise acerca da responsabilização subjetiva do agente criminoso.
Portanto, salienta-se que os reflexos penais inerentes à LGPD vinculam-se às condutas possivelmente praticadas pelos agentes internos à manipulação e ao tratamento de dados pessoais e à existência de condutas previamente tipificadas no arcabouço jurídico-penal brasileiro.
_________
*Patrícia Arantes de Paiva Medeiros é advogada. LLM em Direito Empresarial pela Fundação Getúlio Vargas (FGV). Pós-graduada em Direitos Fundamentais pela Universidade de Coimbra, em parceria com o IBCCRIM. Pós-graduanda em Direito Penal e Processo Penal pela Universidade Federal de Goiás (UFG).
*Viviane de Araújo Porto é bacharel em direito pela Universidade Católica de Goiás. Pós-graduada em Direito Civil, Processual Civil e em Direito do Consumidor. Sócia do escritório Braga Fujioka Advogados.