Nas democracias modernas o âmbito de aplicação de direitos pode vir a ser maior ou menor conforme os casos. Se fosse estabelecido valor absoluto a um deles, correria-se o risco de cometer sérias injustiças quanto aos demais. Se nem mesmo a dignidade humana, um dos fundamentos da Constituição (art.1º, III, CRFB/88), conseguiu consagrar-se sempre suprema,1 é certo que aspectos da proteção de dados seriam temperados em algum ponto. Nesse sentido chegamos ao art.4º, o qual expressa alguns dos casos em que os dados não serão abrangidos pela lei.
Antes de analisar seus incisos, vale ressaltar que o caput nos remete indiretamente ao art.5º, X, o qual traz a definição legal de tratamento, com mais de dez núcleos verbais. Conclui-se que o tratamento ocorrerá, mas, conforme a parte final da maioria dos incisos, é a finalidade (art.6º, I) que determina o âmbito de aplicação da lei.
Comecemos pelo inciso I: realizado por pessoa natural para fins exclusivamente particulares sem fins econômicos. Como exemplo temos: guardar fotos comemorativas de eventos, números de telefone de conhecidos, ou a famosa agenda com as senhas de todos as contas. Esse é o mesmo sentido implicado no art.2º, 1, c da GDPR. Contudo, no Considerando 18 da legislação europeia, determinado trecho ressalta a incidência do regulamento “aos responsáveis pelo tratamento e aos subcontratantes que forneçam os meios para o tratamento dos dados pessoais dessas atividades pessoais ou domésticas”. Assim uma conversa em um aplicativo de mensagens entre duas ou mais pessoas não as torna agentes de tratamento, mas o provedor de aplicações sim.
Essa dispensa não retira a possibilidade de, caso haja vazamento de informações alheias, a vítima requerer indenização daquele que não se atentou ou propositalmente causou o ilícito, como na divulgação de imagens íntimas a fim de destruir a reputação de alguém.
O inciso II trata dos fins jornalísticos, artísticos (alínea “a”) e acadêmicos (alínea “b”). O primeiro reflete a vocação constitucional da liberdade de informação (art.220, caput e inciso I, CRFB/88). A fim de garantir que os veículos de comunicação possam prover a notícia mais próxima da realidade, é necessário acesso aos dados considerados importantes. Já a manifestação artística nos remete à liberdade de expressão artística (art.5º, IX). Mas, assim como no inciso I, a não aplicação da LGPD não impede, ocorrendo dano injusto, buscar reparação material ou moral pelo ilícito. O problema reside no eterno embate entre os direitos da personalidade e da liberdade de expressão, com alguns doutrinadores atribuindo a essa última uma “posição preferencial”.2 A nosso ver a melhor solução somente ocorrerá na análise do caso concreto.3
A alínea “b” traz os fins acadêmicos, permitindo a correlação com as atividades “voltadas para o desenvolvimento do conhecimento e da pesquisa científica realizadas primordialmente no âmbito das universidades, cuja autonomia é constitucionalmente assegurada”.4 Há, contudo, a parte final da redação: “aplicando a esta hipótese os arts. 7º e 11 desta Lei”. Se os fins acadêmicos estão na hipótese de não aplicação, não faria sentido remeter aos artigos referentes às bases legais dos dados “gerais” e dos sensíveis. Há ou não aplicação da LGPD?
Partindo para o inciso III, estão as questões relacionadas à segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais. A matéria é de tal forma complexa que os quatro parágrafos do art.5º se debruçam sobre o inciso III, aplicando restrições e regras a terceiros. O §1º estabelece a necessidade de lei específica sobre o tema, mas impele a observância do devido processo legal, dos princípios (art.6º) e dos direitos dos titulares previstos na lei. Sobre esse ponto já há um anteprojeto apelidado de “LGPD penal”, elaborada e apresentada ao Senado, com 68 artigos.
Busca-se, portanto, harmonizar, de um lado, os deveres do Estado na prevenção e na repressão de ilícitos criminais, protegendo a ordem pública; de outro, assegurar a observâncias das garantias processuais e as prerrogativas fundamentais dos cidadãos brasileiros no que tange ao tratamento de dados pessoais para tais fins.5
O §2º e §4º possibilitam à pessoa jurídica de direito privado tratar dados dessa matéria, mas sob certas condições. A totalidade dos dados para tratamento só será permitida ao agente cujo capital seja integralmente constituído pelo poder público, bem como há a necessidade de tutela da pessoa jurídica de direito público no procedimento no caso do §2º. Esse compartilhamento de dados entre pessoas jurídicas públicas e privadas não ficou imune a críticas, pois, ainda que tenha se tornado prática comum pela administração pública, a contratação de empresas especializadas, “bem mais arriscado é confiar o controle de complexos sistemas de vigilância correlacionados à segurança pública/estatal, de investigação e de repressão penal, às pessoas jurídicas de direito privado sujeitas às livres regras de mercado”.6
O §3º coloca, quanto ao inciso III, a Autoridade Nacional de Proteção de Dados dentro do debate. Caberá a ela emitir opiniões técnicas ou recomendações, bem como deverá solicitar aos responsáveis a elaboração de um relatório de impacto a proteção de dados pessoais (RIPD).7 Apesar de parecer mais uma etapa de adequação, o RIPD é importantíssimo para o agente de tratamento, “[figurando] como uma ferramenta dinâmica, capaz de auxiliar na governança de dados e na mitigação dos riscos associados às operações de tratamento de dados. Guardá-lo em caixinhas é submetê-lo ao esquecimento, esvaziando o seu propósito”.8 Por tratar-se de atividades ligadas a prevenção de ilícitos, é relevante o papel da ANPD na solicitação aos agentes desse relatório.
Como último caso do art.4º, temos o inciso IV, referente a dados tratados fora do território nacional e não compartilhados com agentes de tratamento brasileiro. O art.3º, §2º remete a essa hipótese, criando exceção ao tratamento de dados realizado no território nacional, de forma que uma pessoa jurídica, por exemplo, possa tratar dados coletados no exterior não compartilhar com terceiros. Mas a parte final do inciso IV ressalta: o local de onde vieram os dados deve ter uma proteção de dados em um grau igual ou superior a LGPD, do contrário subentende-se que será aplicada a lei brasileira.
Apesar de não estar expresso no art.4º, podemos inserir aqui os dados anonimizados. A lei é expressa em definir seu âmbito apenas aos dados pessoais, o qual, segundo o art.5º, I é toda “informação relacionada a pessoa natural identificada ou identificável”. Dado anonimizado aparece como antítese de dado pessoal na lei, definido no art.5º, II como “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento”. Utilizar-se, assim, de processos capazes de retirar por completo a identificação da pessoa, afasta a incidência da lei, mas a própria noção de uma anonimização efetiva também tem sido criticada. Na era dos grandes bancos de dados, os famosos Big Datas, os processos de agrupamento dos dados, onde há a coleta massiva e veloz de uma série de dados para posterior correlações, desafiam a capacidade de tornar um indivíduo indetectável. Segundo Antoinette Rouvroy, devido ao fato de nenhum dado ser insignificante e existindo propósito de construir perfis de comportamento, apenas uma pequena quantidade deles é necessária para construir informações a nosso respeito, assim, “os dados dos nossos vizinhos são tão bons quantos os nossos” (tradução livre).9
____________________
Referências
________________________________________
1. SARMENTO, Daniel. Dignidade da Pessoa Humana: conteúdo, trajetórias e metodologia. 2ª ed. 3ª reimpressão. Belo Horizonte: Fórum, 2019. p.94-98.
2. Em sentido favorável: BRASIL, STF, Rcl 24.760 MC, rel. Min. Luís Roberto Barroso, j. 26 abr. 2018. Em sentido contrário: SARLET, Ingo Wolfang. Liberdade de expressão e biografias não autorizadas – notas sobre a ADI 4.815. Consultor Jurídico. 19 jun. 2015. Disponível em: https://bit.ly/3o3lDC1. Acesso em: 24 nov. 2021
3. Confira-se: SOARES, Felipe Ramos Ribas, MANSUR, Rafael, A tese da posição preferencial da liberdade de expressão frente aos direitos da personalidade: análise crítica à luz da legalidade constitucional, In: SCHREIBER, Anderson; MORAES, Bruno Terra de; TEFFÉ, Chiara Spadaccini de (Org.), Direito e Mídia: tecnologia e liberdade de expressão, Indaiatuba, Foco, 2020.
4. MENEZES, Joyceane Bezerra de; COLAÇO, Hian Silva. Quando a Lei Geral de Proteção de Dados não se aplica? O tratamento de dados sensíveis à luz da Lei 13.709/2018. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato. Lei Geral de Proteção de Dados e suas repercussões no direito brasileiro. São Paulo: Thomson Reuters Brasil, 2019, p.183.
5. ANTEPROJETO DE LEI DE PROTEÇÃO DE DADOS para segurança pública e persecução penal. Disponível em: https://bit.ly/3HQpjyN. Acesso em: 25 nov. 2021.
6. MENEZES, Joyceane Bezerra de; COLAÇO, Hian Silva. Quando a Lei Geral de Proteção de Dados não se aplica? O tratamento de dados sensíveis à luz da Lei 13.709/2018. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato. Lei Geral de Proteção de Dados e suas repercussões no direito brasileiro. São Paulo: Thomson Reuters Brasil, 2019, p.190.
7. Segundo o art.5º, XVII, o RIPD é “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”
8. GOMES, Maria Cecília Oliveira. Relatório de impacto à proteção de dados. Revista do Advogado, São Paulo, n. 133, p. 6-15, 2019
9. No original: “In other words, when it comes to building a “profile”, in order to be able to ‘capitalise’ on the risks and opportunities that we present, our neighbours’ data are as good as our own”. ROUVROY, Antoinette. “‘Of Data of Men’. Fundamental Rights and Freedoms in a World of Big Data”. Council of Europe, Directorate General of Human Rights and Rule of Law. vol. T-PD-BUR (2015) 09REV, 2016. p.22.