A Medida Provisória 959, publicada em edição extra do Diário Oficial da União no último dia 29, adiou a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) para 3 de maio de 2021. A prorrogação da LGPD já estava em pauta no Congresso Nacional. O Projeto de Lei 1.179/2020, que previa a ampliação da vacatio legis da lei para 1º de janeiro de 2021 e das sanções para agosto do próximo ano, foi aprovado no Senado Federal em 3 de abril e seguiu para a Câmara dos Deputados no dia 13. Muito provavelmente, a discussão a respeito da prorrogação do prazo e do adiamento das sanções terá lugar quando da apreciação da medida provisória pelo Congresso.
Infelizmente, em momento tão peculiar para a sociedade, com o advento da pandemia da Covid-19 e o intenso debate sobre a utilização de dados pessoais para fins de monitoramento, com vistas ao auxílio no combate ao coronavírus, o Brasil ainda não possui uma Lei de Proteção de Dados em vigor, tampouco conta com sua autoridade nacional a respeito da matéria.
O Judiciário, no entanto, já vem sendo instado a julgar inúmeras ações que têm por objeto justamente o questionamento sobre a utilização de dados pessoais no contexto da pandemia. Citem-se como exemplo as cinco Ações Diretas de Inconstitucionalidade [1] recebidas pelo STF contra a Medida Provisória 954/2020, que prevê o compartilhamento de dados de usuários por prestadoras de serviços de telecomunicações com a Fundação Instituto Brasileiro de Geografia e Estatística (IBGE). A MP 954 visa a possibilitar a produção estatística oficial, por meio de entrevistas em caráter não presencial no âmbito de pesquisas domiciliares durante a pandemia. Os dados a serem compartilhados pelas operadoras são a relação dos nomes, dos números de telefone e dos endereços dos consumidores, pessoas físicas ou jurídicas.
Alguns argumentos utilizados nas ações foram: a) a violação dos dispositivos constitucionais que asseguram a dignidade da pessoa humana, a inviolabilidade da intimidade, da vida privada, da honra e da imagem, o sigilo dos dados e a autodeterminação informativa; b) ausência dos pressupostos constitucionais de relevância e urgência para tratamento da matéria por meio de medida provisória; c) ausência de vínculo entre a finalidade para a qual os dados serão utilizados e a situação de emergência de saúde pública, não havendo esclarecimento do motivo para o compartilhamento de dados; d) não demonstração da forma pela qual os dados seriam adequados e necessários, não havendo também delimitação do campo de proteção na operação de processamento de dados; e) não razoabilidade da MP, vez que a pesquisa estatística é realizada por amostragem, não sendo necessários os telefones e endereços de todos os clientes das operadoras, permitindo uma concentração imensa de informações no Estado referentes não só ao indivíduo, mas também à coletividade, podendo levar a interferências ilegítimas sobre os cidadãos [2].
A ministra Rosa Weber, relatora das ações, deferiu medida cautelar na ADI 6387, no último dia 24, suspendendo a eficácia da Medida Provisória 954/2020 e determinando a tramitação conjunta das demais ADIs, com a reprodução da decisão proferida nos respectivos autos. Interessante notar que entre os fundamentos utilizados pela ministra e nos esclarecimentos trazidos pela Agência Nacional de Telecomunicações (Anatel), instada a se manifestar nos autos, encontram-se inúmeras citações à LGPD, tanto diretas como indiretas, pela invocação de seus princípios e diversos conteúdos de seus dispositivos.
De fato, na decisão a ministra reconhece que “o respeito à privacidade e à autodeterminação informativa foram positivados, no artigo 2º, I e II, da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), como fundamentos específicos da disciplina da proteção de dados pessoais” [3].
Destaca ainda que a Medida Provisória nº 954 não delimita o objeto da estatística a ser produzida, a finalidade específica e a amplitude. Além disso, a ministra ressalta que, ao não definir de forma clara como e para que serão utilizados os dados coletados, “a MP nº 954/2020 não oferece condições para avaliação da sua adequação e necessidade, assim entendidas como a compatibilidade do tratamento com as finalidades informadas e sua limitação ao mínimo necessário para alcançar suas finalidades” [4].
Aponta também que “a MP nº 954/2020 não apresenta mecanismo técnico ou administrativo apto a proteger os dados pessoais de acessos não autorizados, vazamentos acidentais ou utilização indevida, seja na sua transmissão, seja no seu tratamento” [5].
Por fim, a ministra destaca que tal situação é agravada pelo fato de ainda não estar em vigor a LGPD, que define os critérios para a responsabilização dos agentes por danos ocorridos em virtude do tratamento de dados pessoais [6]. A Anatel, em sua manifestação nos autos, recomendou a adoção de medidas para garantir princípios estabelecidos na Constituição Federal, na Lei Geral das Telecomunicações e na Lei Geral de Proteção de Dados, mediante:
“a) a sólida instrumentalização da relação jurídica que será estabelecida entre o IBGE e cada uma das prestadoras de serviços de telecomunicações demandadas; b) a delimitação específica da finalidade do uso dos dados solicitados [7]; c) a limitação das solicitações ao universo de dados estritamente necessários para o atingimento da finalidade [8]; d) a delimitação do período de uso e da forma de descarte dos dados [9]; e e) a aplicação de boas práticas de segurança, de transparência e de controle [10]“.
Enfim, embora sua entrada em vigor tenha sido novamente adiada, os princípios e dispositivos da LGPD vêm sendo reconhecidos pelo Judiciário pátrio como fundamentos acessórios em suas decisões. Além disso, o direito à privacidade e à proteção de dados pessoais já se encontra em inúmeras outras leis esparsas, inclusive na legislação consumerista. Os órgãos de Defesa do Consumidor têm atuado de forma bastante contundente na solicitação de esclarecimentos a empresas suspeitas de violar a privacidade dos seus consumidores, bem como aplicado severas multas.
Por outro lado, numa pesquisa divulgada pela Cisco em janeiro de 2020 [11] a respeito do dos investimentos das empresas em privacidade, a maioria das organizações revelou obter retornos bem positivos, sendo que 40% apontam benefícios de no mínimo o dobro dos seus gastos. Elas identificam redução de perdas com violações de dados, maior eficiência operacional com o controle dos dados e a construção de lealdade e confiança com seus consumidores, além de tornar a companhia mais atrativa para investidores.
Nesse contexto, a adequação à LGPD, além de uma premente necessidade, é sem dúvida uma vantagem competitiva para as empresas. A proteção da privacidade e dos dados pessoais é certamente um investimento crucial para aquelas sociedades que pensam no seu futuro a médio e longo prazo.
[1] Ações ajuizadas pelo Conselho Federal da Ordem dos Advogados do Brasil (ADI 6387), pelo Partido da Social Democracia Brasileira — PSDB (ADI 6388), pelo Partido Socialista Brasileiro — PSB (ADI 6389), pelo Partido Socialismo e Liberdade — PSOL (ADI 6390) e pelo Partido Comunista do Brasil (ADI 6393)
[2] STF. Disponível em: http://www.stf.jus.br/portal/cms/verNoticiaDetalhe.asp?idConteudo=441728, acesso em 29.04.2020
[3] STF. Medida Cautelar na Ação Direta de Inconstitucionalidade 6.387, Distrito Federal. Disponível em: http://www.stf.jus.br/arquivo/cms/noticiaNoticiaStf/anexo/ADI6387MC.pdf, acesso em 29/4/2020
[4] Vide nota 4 acima
[5] LGPD, “Artigo 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
[6] LGPD, artigos 42 a 44
[7] Princípio da Finalidade, artigo 6º, I da LGPD
[8] Princípio da Necessidade, artigo 6º, III da LGPD
[9] Vide LGPD, Artigos 15 e 16
[10] Na LGPD a segurança e as boas práticas estão previstas no Capítulo VII
[11] CISCO. From Privacy to Profit: Achieving Positive Returns on Privacy Investments – Data Privacy Benchmark Study 2020. Disponível em: https://www.cisco.com/c/dam/en/us/products/collateral/security/2020-data-privacy-cybersecurity-series-jan-2020.pdf, acesso em 29/4/2020.