O conceito de “proteção de dados” ingressou no sistema jurídico internacional em 1981, diante da automatização e do tratamento de dados.
Confira abaixo o artigo publicado pelo IGDD (Instituto Goiano de Direito Digital).
Se preferir, acesse o link http://www.igdd.org.br/os-reflexos-criminais-da-lei-geral-de-protecao-de-dados/
O conceito de “proteção de dados” ingressou no sistema jurídico internacional com a Convenção 108 (Conselho da Europa), em 1981, como uma demanda necessária diante da automatização e do tratamento de dados que começava a ser adotado mundialmente.
Inicialmente, a União Europeia editou a Diretiva 95/46, que estabelecia regras para o tratamento de dados pessoais, cabendo a cada país membro a criação de lei nacional específica para a incorporação do conteúdo normativo de forma equânime.
Os anos de 2013 e 2014 foram decisivos à normatização da proteção de dados mundialmente, posto que os escândalos internacionais de espionagem da NSA (Agência Nacional de Segurança dos Estados Unidos), e de compartilhamento de dados e de direcionamento de notícias, tanto da Cambridge Analytica, quanto do Facebook, chacoalharam os noticiários.
Em 2016, a União Europeia decidiu editar o Regulamento 2016/679, conhecido como, General Data Protetion Regulation (GDPR), Regulamento Geral de Proteção de Dados (RGPD), caracterizada por ser uma legislação transnacional, cujo teor dispensa a criação de leis nacionais para a regulamentação do tratamento e da proteção de dados pessoais em seus países-membros.
Diante da vigência da Lei Geral de Proteção de Dados Europeia, o Congresso Nacional aprovou o Projeto de Lei Complementar n. 53/2018, que, em seu teor possui maiores similitudes ao GDPR, culminando na promulgação da Lei n. 13.709/2018, a Lei Geral de Proteção de Dados.
A LGPD está promulgada, porém, ainda não está vigente no arcabouço jurídico pátrio e dispõe sobre o tratamento de dados pessoais, bem como a proteção dos direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da pessoa natural.
A política legislativa adotada é a consideração de tais elementos como direitos que somente podem ser informados e repassados a outrem por meio de autorização expressa e personalíssima de seu titular, ou em decorrência de uma das demais hipóteses de tratamento estipulada na lei.
Conceitualmente, a nomenclatura “dado pessoal” vincula-se a todos e quaisquer dados que possam identificar um indivíduo frente à coletividade, assim, são dados pessoais os nomes próprio, os números de documentos pessoais, como CPF, Registro Geral e Carteira Nacional de Habilitação, os endereços comerciais e residenciais, os registros fotográficos, os endereços de IP de conexão, os caracteres de placas de veículos, dentre outros.
Importante salientar que a referida norma atua como parceira às boas práticas de integridade e sigilo empresariais, posto que estabelece critérios, ou seja, hipóteses de tratamento para que os dados pessoais sejam devidamente protegidos e, possivelmente, analisados para interesses de mercado.
Ademais, os dados podem ser divididos entre dados pessoais e dados sensíveis, cuja diferenciação reflete nas possibilidades de tratamento e manipulação pelos agentes envolvidos. Então, o tratamento de dados pessoais, bem como de dados sensíveis, pode ser feito desde que a finalidade do tratamento seja enquadrada em uma das hipóteses dispostas nos incisos dos artigos 7º e 11º da referida lei.
Ressalta-se, ainda, que as medidas normatizadas pela LGPD trazem segurança jurídica para a manipulação de dados, culminando na ausência de violações a bancos de dados empresariais; e, caso a invasão ocorra, a responsabilização efetiva dos responsáveis.
Atualmente, a LGPD se encontra em dupla análise para a o início de sua vigência: do Congresso Nacional, com a avaliação do teor da Medida Provisória n. 959/2020, que, em seu texto, estabelece que a vigência dar-se-á somente em 03/05/2021; e, por outro lado, do Presidente da República, que tem até o dia 10/06/2020 para analisar o Projeto de Lei n. 1.179/2020, que dentre diversos assuntos, tem no artigo 20 disposição sobre a LGPD, restabelecendo a entrada em vigor da referida lei para 16/08/2020, mantendo a prorrogação dos artigos que tratam da aplicação das penalidades com vigência para 01/01/2021, podendo vetar ou sancionar o referido projeto.
Todavia, apesar da discussão quanto à data inicial de vigência, o ambiente jurídico-empresarial deve se preparar, o quanto antes, para as adaptações quanto ao sistema de tratamento e manipulação de dados de acordo com as políticas de zelo à intimidade e à privacidade individuais.
Em consonância ao modelo europeu, a LGPD elenca, em seus artigos 52 a 54, as sanções administrativas cabíveis àquelas pessoas físicas e jurídicas que estejam em desacordo com seus preceitos, cuja aplicação se concretizará por meio das decisões da Autoridade Nacional de Proteção de Dados, órgão federal vinculado ao Poder Executivo Federal.
Em caso de condenação administrativa, as sanções poderão variar entre a imposição de advertência, de multa simples ou multa diária e, ainda, a suspensão e a proibição do tratamento de dados pelos infratores, de acordo com os incisos I a XII, do artigo 52. Nesse sentido, mister se faz a identificação dos sujeitos diretamente envolvidos com o tratamento de dados para a análise das condutas infracionais possivelmente cometidas individualmente.
Em seu teor, a LGPD prevê a existência de quatro sujeitos distintos e diretamente vinculados aos dados pessoais:
- a) Titular: pessoa física que forneceu, expressamente, os dados a determinada empresa;
- b) Controlador: pessoa, física ou jurídica, de direito público ou privado, que detém o poder de decidir sobre como os dados pessoais serão tratados e para quais finalidades eles serão direcionados no processo interno da empresa;
- c) Operador: pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados de acordo com as orientações dadas pelo controlador – ou seja, o operador atua ela opera o tratamento dos dados.
- d) Encarregado: pessoa física indicada pelo controlador e pelo operador para atuar como elo entre o titular dos dados e a Autoridade Nacional de Proteção de Dados;
Salienta-se, ainda, que, a LGPD prevê somente condutas sancionatórias em âmbito administrativo. Contudo, a natureza jurídica intrínseca aos dados pessoais poderá gerar a incidência de condutas criminais por seus manipuladores, ou seja, pelo operador e também pelo controlador de dados.
Como exemplos de condutas criminosas, podemos citar o artigo 307 do Código Penal (falsa identidade) e o artigo 21 da Lei n. 7.429/1976 (falsa identidade para realização de operação de câmbio). Especificamente quanto aos servidores públicos, ressalta-se a possibilidade de incidência do artigo 313-B (modificação ou alteração não autorizada de sistema de informações), contudo esse assunto será tratado em artigo próprio.
Diante da união entre LGPD e o cometimento de condutas criminosas, uma questão basilar deve ser respondida: como serão tratadas as situações que envolvam acessos, tratamentos e manipulações indevidas de dados pessoais?
Inicialmente, deve identificar os sujeitos envolvidos na infração penal entre agente interno e agente externo. Como agente interno, percebem-se aqueles que possuem o acesso aos dados por serem controladores, operadores ou encarregados; já por agente externo, percebe-se a atuação de sujeito estranho à relação de tratamento de dados – como, por exemplo, os hackers. Aqui, ater-se-á a discussão quanto aos sujeitos internos, posto que a atuação dos hackers será tratada, exclusivamente, pela legislação penal pátria.
Por conseguinte, a LGPD atuará, exclusivamente, em ilícitos administrativos, punindo-os com as sanções supramencionadas. Isto é: a responsabilização administrativa vincular-se-á a responsabilidade objetiva da prática da conduta, em consonância às normas de Direito Público vigentes.
Contudo, caso seja identificada alguma conduta criminosa na atuação de tais agentes, caberá ao Direito Penal a análise acerca da responsabilização subjetiva do agente criminoso.
Portanto, os reflexos penais inerentes à LGPD vinculam-se a condutas possivelmente praticadas pelos agentes internos à manipulação e ao tratamento de dados pessoais e à existência de condutas previamente tipificadas no arcabouço jurídico-penal brasileiro.
Referências
https://www.cnpd.pt/home/legis/internacional/Convencao108.htm
https://jus.com.br/artigos/72286/do-acesso-nao-autorizado-a-internet
https://oglobo.globo.com/mundo/eua-espionaram-milhoes-de-mails-ligacoes-de-brasileiros-8940934
PORTO, Viviane de Araújo. Descomplicando a Lei Geral de Proteção de Dados. Goiânia (Go), 2020.
Artigo escrito pelas voluntárias do Grupo de Crimes Cibernéticos do IGDD:
Viviane de Araújo Porto, advogada
Patricia Arantes, Grupo de Crimes Cibernéticos
Coordenação: Dyego Bezerra, advogado.