A Lei Geral de Proteção de Dados – Lei 13.709/2018 entrará em vigor em agosto de 2020 e trará muitas novas responsabilidades para empresas e pessoas físicas que lidam com dados pessoais. Além disso, muitas dúvidas quanto a sua execução devem surgir, deixando pontos em aberto, que ainda deverão ser definidos pela União ao longo de 2019.

Uma lei ampla como essa, ao entrar em vigor, traz elementos de incerteza, o que é natural, em se tratando de nova legislação. No entanto, a lei prevê sanções administrativas de até R$ 50 milhões, além de congelamento ou perda dos dados sob infração. Além disso, determina que a empresa controladora e a operadora são civilmente responsáveis pelos danos individuais ou coletivos, patrimonial ou moral, estabelecendo uma responsabilidade solidária.

Leia também:

7 coisas que você tem que saber sobre a lei de proteção de dados brasileira

Origem

Nos anos 1960, surgiram os primeiros projetos de processamento de dados em larga escala e de forma centralizada. Quem liderou esse processo foram os Estados Unidos e alguns países europeus, graças a uma preocupação jurídica com relação a proteção de dados pessoais.

Essa preocupação mirava nos efeitos do uso do poder de processamento computacional e resultou no bloqueio de sua estruturação, assim como na elaboração de normas focadas nos dados de proteção ao crédito (nos EUA) e na disciplinação de atividades de bancos de dados eletrônicos (na Europa).

A criação da Comunidade Econômica Europeia (CEE) impulsionou a necessidade de uma legislação unificada para tratamento de dados. Porém, os processos de regulação da União Europeia (UE) – que adotou essa denominação com o Tratado de Maastricht em 1992 – levam em conta a diversidade jurídica de seus membros. Assim, apenas em 1995 saiu a primeira legislação unificada europeia: Diretiva 95/46/EC, que estabelecia a proteção dos indivíduos quanto ao processamento de seus dados pessoais e a circulação dos mesmos no ambiente da UE.

Em 2011, o European Data Protection Supervisor (EDPS) publicou uma Opinião, apontando a necessidade de avançar na legislação sobre dados pessoais. Em 2012, o European Council (EC) propos endurecer a regulação sobre direito de privacidade e economia digital.

Os anos de 2012 e 2013 foram de debates. Até que em 2014 o European Parliament (EP) apoiou a criação da General Data Protection Regulation. Em 2015, o EC e o EP fecham acordo sobre a GDPR e levam a legislação adiante. Em 27 de abril de 2016, foi emitida a Regulation (EU) 2016/679, a GDPR da UE.

Cenário atual

O panorama atual evidencia o crescimento dessa tendência globalmente. Mudanças significativas na legislação de inúmeros países estão fixando diretrizes claras, no sentido de mais privacidade e segurança de dados de pessoas naturais.

No Brasil, esse movimento ganhou espaço. Mas foram necessários oito anos de debates e redações legislativas, até que em agosto de 2018 o então presidente Michel Temer sancionou a Lei Geral de Proteção de Dados do Brasil (LGPD), Lei 13.709/2018.

Como mencionei anteriormente, a lei entra em vigor em agosto de 2020. Mas, inegavelmente, o principal marco histórico foi o lançamento do General Data Protection Regulation da União Europeia. Além de ter se tornado a principal legislação sobre proteção de dados do mundo, a GDPR influenciou fortemente a legislação brasileira.

Escândalos como o da Cambridge Analytica e Facebook, suspeição sobre disseminação de fake news no Brexit e a suspeita de manipulação na eleição de Donald Trump, nos Estados Unidos, fizeram os alarmes soarem por toda a União Europeia. E bem alto.

Na legislação brasileira, a Constituição Federal de 1988 em seu art. 5º, inciso X (5), e o Código Civil brasileiro, artigo 21, fundamentam a proteção à privacidade. Ambos os comandos jurídicos visam defender dois aspectos:

i) a vida privada da pessoa;

ii) o direito à privacidade.

No entanto, esse conceito de privacidade e vida privada está superado. Tradicionalmente, o direito à privacidade está associado ao direito de ser deixado só, mas modernamente pode-se afirmar que a privacidade evoluiu, de modo a incluir em seu conteúdo situações de tutela de dados sensíveis, de seu controle pelo titular e o respeito à liberdade das escolhas pessoais de caráter existencial.

É nesse contexto que a lei 13.709 finalmente vêm a termo, ganhando um vacatio legis de 24 meses, com entrada em vigor em agosto de 2020. A LGPD surge, assim como a GDPR, da constatação que os dados pessoais são um ativo econômico valioso, um dado político perigoso e um bem jurídico importante a ser tutelado pela legislação.

Mas, afinal, o que a lei tutela?

A LGPD tutela situações atinentes exclusivamente a operações de tratamento de dados. Vejamos o artigo 5º, inciso X, L13.709/2018:

“Art. 5º  Para os fins desta Lei, considera-se:

X – tratamento (é toda): toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;”

Ou seja, se a sua empresa ou você pratica qualquer um desses atos listados na lei, sua atividade passa a ser regulada também por esse novo diploma legal. Sem falar no seu potencial de impacto em operações tão diversas, desde a Pesquisa e Desenvolvimento ao Marketing, entre outras verticais que serão afetadas. Além disso, a lei estende a sua aplicabilidade a entes públicos e privados, offline ou online, regulando danos individuais ou coletivos, patrimoniais ou morais.

Leia também:

Brasil cria órgão para proteção de dados pessoais

Onde a lei se aplica?

Do ponto de vista da territorialidade, a LGPD entende que regulará qualquer operação de tratamento realizada por pessoa natural ou pessoa jurídica, seja de direito público ou privado, independente de por qual meio se deu a coleta, ou de onde (qual país) está sua sede ou do país no qual estejam os dados, desde que:

i) a operação de tratamento de dados seja realizada no Brasil;

ii) o tratamento objetive oferta ou fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no Brasil;

iii) os dados pessoais objeto tenham sido coletados no território nacional, isto é, quando o titular dos dados aqui se encontre no momento da coleta.

Nesse aspecto, a lei brasileira segue a GDPR europeia, estendendo significativamente a aplicabilidade territorial.

Esse artigo é um resumo do ensaio Lei Geral de Proteção de Dados, origem e implicações escrito por Daniel Martins Vidor. Confira o texto original no blog da Mercury LBC.