A Lei Geral de Proteção de Dados – LGPD de nº 13.709, de 14 de agosto de 2018, entrará em vigor em agosto de 2020 e trará mudanças significativas não apenas nas áreas dos negócios e empreendedorismo, como também em várias esferas do Direito. A LGPD regulamenta o tratamento de dados pessoais, que é toda e qualquer etapa de acesso a estes dados: coleta, fornecimento, transmissão, armazenamento, uso, dentre outros. Tais normas se aplicam aos dados tratados por pessoas naturais ou jurídicas e, inclusive, o Poder Público. Somente estão protegidos pela lei os tratamentos realizados no Brasil, ainda que quem o faça seja estrangeiro e a proteção deve ocorrer no meio físico ou digital.
Quanto à sua vigência, alguns de seus dispositivos já estão sendo aplicados, todavia a parte massiva da lei passará a vigorar a partir de agosto de 2020. Muitas empresas deverão se adaptar às novas regras e, para isso, deverão analisar seus recursos de segurança, reavaliar contratos e fatalmente investir em soluções e recursos de proteção e segurança de informações (dados). O prazo entre a publicação da lei e sua vigência, chamado “vacatio legis” é de 24 meses, pois o próprio legislador identificou as enormes dificuldades que existem para a adaptação.
Nos tempos atuais, a privacidade se tornou bastante escassa. Com os meios informatizados de captação de dados não há qualquer movimento que não seja registrado ou captado por alguém e que pode ser utilizado apara diversos fins. É o caso da técnica denominada “retargeting” que ocorre quando alguma pesquisa é feita em uma loja, por exemplo, e no dia seguinte o produto pesquisado está em todos os sites acessados. Pessoas rotineiramente têm seus aplicativos de conversa hackeados, fotos acessadas remotamente por estranhos que não deixam qualquer rastro sequer. Ou seja, empresas de todos os portes que têm acesso a dados pessoais de cliente ou empregados deverão se blindar ao máximo e, para isto, certamente deverão despender grandes quantias.
Aqui, se aborda as mudanças e impactos sobre o direito do trabalho, em especial nas relações de trabalho existentes. Importante ressaltar que nessas relações a proteção aos dados deverá ocorrer desde a fase pré-contratual até de fato a contratação. Ou seja, em um processo seletivo todos os dados pessoais fornecidos deverão ser objeto de proteção e respeitar as previsões da lei.
Dentre todas as alterações ao ordenamento trazidas pela lei destacam-se a necessidade de o proprietário do dado estar ciente sobre como será feito o tratamento (todas as etapas) e as finalidades para as quais serão utilizadas; o consentimento do proprietário do dado deve ser expresso e, se for fornecido por escrito, deverá constar de cláusula destacada das demais e pode ser revogado a qualquer momento mediante manifestação.
Desse modo, o empregador deverá manter todos os dados que receber em sigilo e os contratos de trabalho ou mesmo de prestação de serviços deverão ser revistos, a fim de que cumpram o determinado na LGPD, trazendo de forma explícita e fundamentada para quais finalidades os dados pessoais fornecidos serão utilizados.
Outro ponto bastante relevante da lei e que certamente afetará o mundo das relações de trabalho é que foram estipulados os chamados dados pessoais sensíveis. Tais dados têm maior proteção por aqueles que os tratam, e são eles: “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natura”. Ou seja, o empregador quando tiver conhecimento acerca da filiação ao sindicato de sua categoria pelo empregado, por exemplo, deverá proteger esta informação, sendo que não poderá torná-la pública ou repassar a terceiros sem o consentimento prévio e com explicação de sua utilização.
As empresas deverão ser cautelosas quanto à transmissão de dados a terceiros, como acontece na contratação de planos de saúde para o empregado, seguro de vida, contadoria, na terceirização de serviços e, até mesmo, ao sindicato eleito à filiação do empregado. Isso porque, antes da vigência da lei os dados pessoais eram transmitidos a estes terceiros sem necessidade de consentimento do proprietário do dado, no caso, o empregado. A partir da aplicação da LGPD não apenas será necessário o consentimento expresso como também a ciência quanto ao uso dos dados. Ou seja, o empregador deverá não apenas rever seus contratos como, de certa forma, fiscalizar a proteção aos dados feita por terceiros contratados por ele e que tenham acesso aos dados dos empregados ou prestadores.
Quanto à transmissão de dados pelo empregador aos órgãos públicos, para fins fiscais, ficou pela lei dispensado o consentimento do proprietário, eis que se trata de cumprimento de uma obrigação legal.
Outro ponto que se destaca é o fato de que muitos dos documentos em posse do empregador contêm dados sensíveis, como os atestados médicos. Fica o questionamento quanto ao uso em processos para fins de contestação pela empresa. Isto porque, é muito comum empresas levarem tais documentos aos autos de processos para comprovar afastamentos, abonos ou outros direitos.
Percebe-se que para se adequar à lei, as empresas deverão investir altos valores em tecnologia de proteção e evitar sansões como advertências e multas, que podem alcançar a quantia de R$ 50 milhões. Preocupa as pequenas empresas que, muitas vezes, têm recursos limitados, inclusive, para se manter e crescer no mercado e, agora, deverão investir em recursos de elevados valores.
Assim, diante de tantas mudanças, temos uma nova reforma trabalhista sendo que empresas e empregadores deverão se adaptar sob o risco de terem seus negócios findados, em virtude das multas altíssimas previstas em caso de infração das disposições. Dessa forma, o ideal é que todos os empregadores e empresas iniciem imediatamente a análise do que é preciso para se adaptar e cumprir a Lei Geral de Proteção de Dados.
O que começou como curiosidade referente a um novo direcionamento da autoridade do Reino Unido, o Information Comissioner’s Office (“ICO“), fornecido através de seu draft para consulta pública, referente a um novo Direct Marketing Code of Practice, tornou-se uma boa discussão, a qual merce maior atenção e já deixa alguns pontos de reflexão. Longe de exaurir o que está envolvido na presente discussão, o intuito é trazer uma análise mais detalhada da temática sugerida em artigo recente, conforme se verificará abaixo.
A continuação da discussão envolvendo o tema aqui proposto foi pensada, originalmente, em formato de artigo acadêmico, entretanto, a discussão excede o campo acadêmico e se mostra bastante relevante para a prática diária referente à proteção de dados e privacidade, motivo pelo qual optou-se pela publicação por meio menos formal e mais direto.
Conforme se verificará, é nítido o impacto da indecisão e da insegurança trazidas pelo presente impasse, uma vez que não se pode determinar com segurança qual base legal fundamentará determinado tratamento de dados. Ademais, o impacto se estende ao passo que, para cada decisão referente à fundamentação adequada do tratamento, medidas específicas são demandadas para fins de sustentação da base legal escolhida. Por exemplo, tomado como fundamento o consentimento, há que se definir a forma de gestão desse consentimento, bem como garantir quais meios serão utilizados para comprovação da devida adjetivação desse consentimento. Por outro lado, tomado como base o legítimo interesse, há que se realizar a Avaliação de Legítimo Interesse, a fim de garantir a correta análise de todos os pontos decorrente do uso da base legal como fundamentação de seu tratamento.
Assim, a determinação da base legal se mostra fundamental para, inclusive, definir quais serão as medidas a serem tomadas pelas organizações. Tratando-se de período de adequação à legislação cuja vigência está prevista para agosto de 2020, o impasse aqui presente é de grande impacto para Programas de Adequação, tanto em andamento quanto vindouros.
Para entender melhor a origem desse artigo, aconselha-se a leitura da provocação inicial (disponível aqui), entretanto, resumindo o escopo do que aqui se pretende abordar, no draft mencionado, referente ao Direct Marketing Code do ICO, a autoridade traz o fato de que, tendo em vista a aplicação das Privacy andElectronic Communications Regulations (as “PECR”) – legislação que regulamenta a ePrivacy Directive no Reino Unido – a determinadas situações envolvendo tratamento de dados pessoais e, considerando que as PECR exigem o consentimento para esse tipo de tratamento de dados pessoais, não haveria como o agente de tratamento fundamentar seu tratamento de dados em legítimo interesse para as hipóteses submetidas à aplicação das PECR, uma vez que o tratamento não seria aprovado na primeira etapa de uma Avaliação de Legítimo Interesse (o “LIA” na sigla em inglês).
A partir de agora, o termo PECR não será mais utilizado e será tratado como ePrivacy Directive, uma vez que PECR diz respeito, especificamente, à legislação do Reino Unido, ao passo que a ePrivacy Directive se refere à Diretiva 2002/58/CE, que origina não só as PECR como as demais regulamentações locais de cada país membro aderente.
Traçando um paralelo com a realidade brasileira, avaliou-se, no artigo mencionado como provocação inicial, que existe situação similar no ordenamento jurídico nacional, uma vez que a Lei 12.965/14, o Marco Civil da Internet (“MCI”) também determina que, para as atividades de tratamento de dados pessoais dentro do escopo de sua aplicação, dever-se-á garantir o consentimento do titular de dados como fundamentação do tratamento, excepcionando-se as hipóteses de previsão legal, que se limitam ao compartilhamento, nos moldes estabelecidos pelo art. 7º, VII do MCI.
Dessa forma, ao olharmos para os requisitos do legítimo interesse, conforme esclarecido de forma detalhada no artigo mencionado, há a necessidade de garantir, em primeira etapa de análise do legítimo interesse, sua “legitimidade”, o que implica, dentre outros fatores, a observância da legislação vigente. Assim, não resolvida a questão de aplicação do MCI em casos de tratamento de dados pessoais submetido ao seu escopo de aplicação, não haveria como fundamentar o tratamento de dados pessoais no legítimo interesse.
Em tese, a mesma discussão se estenderia para as outras bases legais previstas pela Lei Geral de Proteção de Dados, a Lei 13.709/18 (a “LGPD”), entretanto, foca-se no legítimo interesse por dois motivos: o primeiro é que sua utilização é bastante desejada pelas organizações e sua flexibilidade pode ensejar maiores benefícios às operações de mercado. O segundo se mostra pelo fato de que o legítimo interesse é a única base que enseja a realização de um teste, ou ao menos a documentação a fim de comprovar o cumprimento das condições previstas na legislação, sendo o LIA o único mecanismo que envolve uma análise objetiva da legitimidade, que por sua vez, enseja a avaliação de legalidade.
Da provocação trazida pelo artigo originário, algumas hipóteses de solução dessa situação foram levantadas e argumentos variados surgiram para sustentar algumas possibilidades. As principais hipóteses de solução são:
I. Considerar a derrogação tácita do consentimento do MCI e, portanto, a aplicação das bases legais da LGPD para as situações de tratamento de dados que estejam submetidas ao escopo de aplicação do MCI; e
II. Considerar o MCI legislação geral ao passo que a LGPD se mostraria legislação especial e, portanto, prevaleceria o disposto na LGPD no sentido de suas bases legais serem suficientes ao tratamento, sem necessidade de garantir o consentimento conforme determinado pelo art. 7º do MCI.
O intuito deste artigo será analisar, de maneira mais detalhada, a possibilidade de sustentação dessas duas hipóteses com base no disposto no ordenamento jurídico nacional, bem como utilizando alguns pontos de comparação com o cenário europeu.
Desde já, cabe destacar que o cenário europeu servirá de exemplo para determinadas situações, entretanto, a análise não deve ser feita como mera cópia ou importação do que lá vem sendo interpretado, seja pelas diferenças claras entre as naturezas jurídicas de cada diploma legal, seja pela necessidade de se formar entendimento nacional próprio do assunto.
Pois bem.
I. Derrogação Tácita
Essa hipótese de solução para a presente situação enseja a consideração da derrogação tácita do consentimento previsto pelo MCI em razão do que dispõe a LGPD. De início, cabe destacar o disposto no art. 2º da Lei de Introdução às Normas Brasileiras (a “LINDB”):
“Art. 2º, a lei terá vigor até que outra a modifique ou revogue.
§ 1º A lei posterior revoga a anterior quando expressamente o declare, quando seja com ela incompatível ou quando regule inteiramente a matéria de que tratava a lei anterior.”
Analisando o que dispõe o artigo, resta patente o fato de que esta hipótese se encaixaria na segunda opção trazida pela redação, no sentido de que não se trata, aqui, da revogação expressa por parte da LGPD em face do MCI, bem como não se configura a regulação inteira da matéria por parte LGPD. Dessa forma, resta apenas a hipótese em que há a revogação de lei anterior pela lei posterior em razão de incompatibilidade de seus dispositivos.
Para que se sustentasse a derrogação tácita, nesse caso, o que seria analisado seria o aspecto temporal (critério lex posterior), no sentido de que a lei nova revoga a antiga em caso de incompatibilidade constatada. Não se confunde com o aspecto referente à especialidade, onde o que se analisa é o caráter de generalidade ou especialidade da lei (lei geral ou lex especialis), o qual será analisado na segunda hipótese deste texto.
Assim, o que se analisa é o fato de que, sendo a LGPD posterior ao MCI, aplicar-se-ia o critério de temporalidade de maneira que a LGPD, como lei posterior, revogaria o MCI em razão de incompatibilidade. O que resta verificar, pois, é se existe, de fato, essa incompatibilidade.
A incompatibilidade surgiria do fato de que o MCI estipula a necessidade de garantia do consentimento para tratamento de dados pessoais, conforme estipulado por seu art. 7º, ao passo que a LGPD prevê variadas hipóteses de fundamentação do tratamento de dados, dentre elas, o consentimento.
A princípio, cabe analisar detalhadamente o que dispõe o art. 7º do MCI no que diz respeito à exigência do consentimento. É a redação do artigo e dos dois incisos referentes ao tema:
“Art. 7º. O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;”
Primeiramente, é importante destacar a exceção trazida pelo inciso VII do artigo, que remete à hipótese em que o tratamento – exclusivamente limitado ao compartilhamento – pode ser fundamentado em “hipóteses previstas em lei“. Em seguida, o artigo aborda o tratamento de dados de maneira geral, no inciso IX, onde estipula o consentimento expresso.
Há que se considerar, num primeiro momento, que o consentimento foi considerado como um “direito” do titular de dados e não como uma base legal para tratamento de dados pessoais, como nos moldes da LGPD. Não é o objetivo esmiuçar essa questão através desse artigo, devendo ser o consentimento, pois, considerado como base legal assim como na LGPD. Entretanto, deve-se ter em mente que o diploma estabelece um direito a ser garantido ao usuário de internet que, na LGPD, seria qualificado como titular de dados pessoais.
Interpretando livremente em um primeiro momento, nota-se que, aparentemente, não há incompatibilidade entre o que dispõe LGPD e MCI, uma vez que não há na LGPD qualquer supressão do consentimento, pelo contrário, há sua previsão expressa como uma das hipóteses previstas pela nova lei. O que poderia haver seria a interpretação no sentido de que, implicitamente, ao abrir a possibilidade para outras hipóteses de fundamentação legal, a LGPD seria incompatível com o MCI nesse sentido, uma vez que o MCI não previa outras hipóteses, entretanto, há que se ponderar sobre essa forma de interpretação.
Um primeiro ponto é que o art. 7º, IX do MCI não prevê a exclusividade do consentimento de forma expressa, ao se referir a tratamento de dados de forma geral. O que o texto do diploma faz é trazer uma hipótese de fundamentação (ainda que em forma de direito) e não prever outras, não dispondo também quanto à proibição de outras. Portanto, na ausência de qualquer outra previsão que tratasse do assunto, entendia-se o consentimento como “única” fundamentação legal para o tratamento de dados pessoais dentro do escopo do MCI (guardada a exceção do art. 7º, VII).
Caso contrário é o que prevê o inciso VII do art. 7º, que expressamente veda o compartilhamento de dados, condicionando sua ocorrência ao consentimento, o que ensejaria uma incompatibilidade, não fosse pela sequência de sua redação, que estabelece: “ou nas hipóteses previstas em lei“. Mostra-se clara a possibilidade de consideração das bases previstas pela LGPD nesse sentido.
Não seria, portanto, desarrazoado, cogitar a hipótese de que não há uma incompatibilidade entre LGPD e MCI e, sim, uma extensão das possibilidades por parte da LGPD no que se refere às hipóteses de fundamentação legal para tratamento de dados pessoais. Acontece que essa extensão, em tese, precisaria respeitar a limitação no que diz respeito ao escopo de aplicação do MCI, se interpretado dessa forma.
Em contrário ao exposto acima, está o argumento de que a LGPD derrogou tacitamente o MCI, em parte por conta do que prevê o artigo 1º da LGPD, cuja redação se destaca:
Art. 1º. Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
O que se defende é que a previsão do trecho “inclusive nos meios digitais” ensejaria uma derrogação do MCI, entretanto, poderia ser argumentado no sentido de que não se limitaria a análise da LGPD às bases legais por ela trazidas, restando o fato de que a previsão extensiva aos meios digitais não conflita com o MCI, de maneira que o restante das disposições da LGPD se estendem, sim, ao escopo de atuação do MCI.
Nesse sentido, cabe menção ao §2º do art. 2º da LINDB:
§2º. A lei nova, que estabeleça disposições gerais ou especiais a par das já existentes, não revoga nem modifica a lei anterior.
Assim, é possível a sustentação de que a LGPD traz novas disposições gerais e especiais sobre o tema, a par das condições já previstas pelo MCI
Ademais, há também ponto importante a ser considerado, que se refere ao fato de que a LGPD revogou, expressamente,os dispositivos do MCI que pretendia revogar, sendo, no mínimo, curioso, sustentar que um ponto tão importante quanto uma eventual incompatibilidade de bases legais fosse deixado em aberto, ensejando uma derrogação tácita.
Se analisado em caráter comparativo o cenário europeu, guardadas as diferenças existentes na natureza dos diplomas legais, vemos situação similar entre o Regulamento Geral de Proteção de Dados (“RGPD”) e a ePrivacy Directive.
O Recital 30 do RGPD prevê o conceito de “online identifiers” relacionado a dados pessoais e, portanto, traz o escopo de aplicação da ePrivacy Directive. Dessa forma, o fato de que o RGPD se aplica a situações que estariam sujeitas ao escopo de aplicação da ePrivacy Directive, se mostra similar ao que encontramos entre o escopo de aplicação da LGPD – “inclusive nos meios digitais” – e a incidência do que prevê o MCI.
Entretanto, no caso do RGPD, há o disposto nos artigos 95 e no Recital 173, os quais deixam clara a limitação do RGPD no que diz respeito à aplicação da ePrivacy Directive, no sentido de que, naquilo que especificamente regulamenta a ePrivcay Directive, o RGPD não deverá ser aplicado.
O tema referente à aplicação do RGPD ou da ePrivacy Directive não surgiu com o draft publicado recentemente pelo ICO, mas já foi objeto, inclusive, de consulta realizada pela Autoridade Nacional de Proteção de Dados da Bélgica, consulta essa que originou a Opinion 05/2019 emitida pelo European Data Protection Board (EDPB). Extrai-se trecho relevante quanto à aplicação da ePrivacy Directive em caso de conflito:
Finally, article 95 of the GDPR and recital (173) GDPR confirm the lex generalis-lex specialis relationship between the GDPR and the ePrivacy Directive, with the article 95 providing that the GDPR shall not impose additional obligations on natural or legal persons in relation to processing in connection with the provision of publicly available eletronic communications services in public communication networks in the EU in relation to matters for which they are subject to specific obligations with the same objective set out in the ePrivacy Directive.
Assim, nota-se que o critério de especialidade foi aplicado no caso para determinar que a ePrivacy Directive deveria prevalecer, no sentido de que o RGPD seria diploma com natureza geral com relação à proteção de dados pessoais, ao passo que a ePrivacy Directive teria o caráter de especialidade para tratar do tema em determinadas hipóteses.
No Brasil não há, na LGPD, a previsão expressa como no formato do Recital 173 ou mesmo do art. 95 do RGPD, a fim de solucionar a questão envolvendo o MCI.
Entretanto, há na LGPD o que dispõe o art. 64, cuja redação é:
Art. 64. Os direitos e princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte.
Dessa forma, aparentemente, se há a possibilidade de interpretação do art. 1º da LGPD como uma derrogação tácita do MCI, em razão da extensão de seu escopo aos meios digitais, o art. 64, por outro lado, pode ensejar justamente o contrário, no sentido de reforçar a garantia de “direito” ao consentimento fornecida pelo art. 7º do MCI.
Assim, mostra-se inviável atestar a sustentação da derrogação tácita sem a interpretação da autoridade competente e do Judiciário, ademais, parece de difícil sustentação essa hipótese dados os fatos mencionados, entretanto, patente é o fato de que é um ponto a ser considerado e discutido.
II. O Critério de Especialidade: o MCI como lei gerale a LGPD como lex especialis
A segunda hipótese a ser considerada como possível solução para a questão aqui tratada diz respeito à aplicação do critério de especialidade a um eventual conflito, de maneira que a LGPD prevaleceria em caso de divergência com o MCI.
Relembrando, a discussão está relacionada à impossibilidade de fundamentação do tratamento de dados pessoais no legítimo interesse em razão da necessidade de cumprimento do MCI, o qual dispõe sobre a obrigação de garantir o consentimento para tratamento de dados pessoais.
Assim como no caso da aplicação do critério de temporalidade e a consequente derrogação tácita mencionada acima, para que se possa argumentar nesse sentido, há necessidade de partir do pressuposto de que há um conflito entre os regramentos, a fim de que o critério possa ser aplicado e decidida a questão de acordo com o aspecto da especialidade.
Afirma-se que há necessidade de partir desse pressuposto, uma vez que, a impossibilidade de uso do legítimo interesse não necessariamente implica em conflito entre as normas, de maneira que, se assim o fosse, qualquer outro impeditivo legal – seja um dispositivo de regulação setorial que determinasse uma base legal, seja a própria garantia de direitos e liberdades fundamentais -, que impedisse a aprovação de um tratamento de dados em um procedimento de LIA, também seria interpretada como um conflito com a base legal do legítimo interesse e a mesma celeuma precisaria ser resolvida. Dessa forma, o que, aparentemente, existe na presente discussão, é um fator que impede a sustentação necessária à base legal do legítimo interesse como determinada pela metodologia do LIA,metodologia estapautada pela redação do próprio artigo e em farto material estrangeiro, em especial a Opinion 06/2014, do Article 29 Data Protection Working Party.
A consideração da existência desse fator como conflito é que enseja a discussão trazida por esse texto e a análise das possíveis alternativas para solução. Dentre elas, a aplicação do critério de especialidade esclarecido nessa segunda hipótese.
Para tratar dessa possível solução, é importante mencionar trabalho publicado por Leonardo Netto Parentoni e Henrique Cunha Souza Lima, denominado Protection of Personal Data in Brazil: Internal Antinomies and International Aspects. Os autores analisaram o que qualificaram como antinomias entre a LGPD e o MCI e, após esclarecimento dos conflitos apresentados, passaram a analisar o fato de acordo com o critério da especialidade.
No entendimento dos autores a LGPD se mostraria lex specialis, ao passo que o MCI se apresentaria como lei geral. Destaca-se o principal parágrafo para esse texto, onde a ideia central da argumentação pode ser avaliada:
Summing up, when considering only the micro-system of personal data protection, the BGDPL would be general in relation to the various sectoral laws that also deal with this matter, such as the Code of Consumer Protection. Differently, when considering the whole structure of Internet regulation in Brazil, the general law is the BCFI, and the BGDPL and BCL are special in relation to it. This point is controversial and there will probably be divergent positions in the legal literature, with enourmous practical consequences. The authors herein intended to briefly contribute to the debate, since the discussion is still incipient in Brazil.
De maneira muito acertada, destacam os autores a incipiência da discussão no Brasil, o que demonstra a enorme necessidade de abordagem mais aprofundada do tema, entretanto, alguns pontos podem ser avaliados de forma divergente da conclusão apresentada pelo autor.
Nota-se que o ponto determinante da análise da especialidade, com base no que dispuseram os autores, é o prisma através do qual se analisa a especialidade da lei. Explica-se.
Na primeira parte do parágrafo, partindo do prisma referente ao campo da proteção de dados e privacidade, exemplificam os autores que a LGPD seria considerada uma lei geral quando comparada com legislações que, de certa forma, apenas tangenciam questões referentes à privacidade e à proteção de dados em seus dispositivos, utilizando como exemplo o Código de Defesa do Consumidor (“CDC”) em comparação com a LGPD, no sentido de que seria o CDC uma legislação cujo escopo é toda a proteção referente à relação consumerista, esbarrando de maneira específica em alguns pontos relacionados à proteção de dados e privacidade, ao passo a LGPD abrange questões de proteção de dados tanto em relações consumeristas, como em outras relações entre titulares e agentes de tratamento. Assim, se mostraria a LGPD lei geral, ao passo que o CDC seria lex specialis.
Na segunda parte do parágrafo, defendem os autores o argumento de que, com relação ao MCI, o prisma é alterado e a interpretação é de que, tendo em vista o escopo de regulamentação do MCI, referente à Internet em geral, seu caráter seria de lei geral, ao passo que a LGPD se mostraria como lex specialis.
Repetindo o que afirmam os autores, o tema ainda é incipiente e carece da devida análise, entretanto, parece razoável entender que, da mesma forma como estabelecida a relação pelos autores, com base no mesmo parágrafo, conseguir-se-ia justificar posição justamente contrária, no sentido de que, sob o prisma da proteção de dados pessoais, a LGPD se mostraria lei geral, ao passo que o MCI se apresenta como lex specialis.
Assim, o que determinará a especialidade que ensejaria a prevalência de um ou outro regramento é o prisma através do qual se observa, sendo de difícil sustentação afirmar que, com certeza, a interpretação será em um ou em outro sentido.
A título exemplificativo e reforçando o fato de que não seria razoável meramente importar a interpretação europeia, especialmente considerando a diferença das naturezas envolvidas nos diplomas legais, há que se mencionar que o critério de especialidade foi considerado pela Opinion 05/2019 do EDPB, que considerou a ePrivacy Directive como lex specialis, demonstrando que o prisma considerado parece ter sido o escopo da questão analisada, ou seja, questões relacionadas à proteção de dados e privacidade. Destaca-se trecho explicativo da Opinion:
“A number of provisions of the ePrivacy Directive ‘particularise’ the provisions of GDPR with respect to the processing of personal data in the eletronic communications sector. In accordance with the principle lex specialis derrogate lex generali, special provisions prevail over general rules in situation which they specifically seek to regulate. In situations where the ePrivacy Directive ‘particularises’ (i.e. renders more specific) the rules of the GDPR, the (specific) provisions of the ePrivacy Directive shall, as ‘lex specialis’, take precedence over the (more general) provisions of the GDPR.“
Apesar da ressalva quanto às diferenças que merecem resguardo, é claro o paralelo que pode ser traçado com a situação brasileira, se observado o prisma da proteção de dados, no sentido de que a LGPD seria lei geral ao passo que o MCI lei especial.
Um ponto relevante do artigo proposto pelos autores é que há menção à teoria do diálogo das fontes. É interessante destacar um trecho:
“The second ground for the argument is the theory of the dialogue of sources, widely accepted by Brazilian case-law, especially when the case under ruling involves the protection of vulnerable groups. By and large, data subjects can be considered vulnerable with regard processing agents. Therefore, that theory could be applied. And according to it, provisions more protective of the vulnerable group should overlap and apply to current cases, even if provided for in different laws.”
Considerando a situação em que um suposto conflito entre LGPD e MCI se daria sob o aspecto de aplicação do consentimento ou do legítimo interesse como base legal, tendo em vista a natureza do consentimento e sua maior protetividade ao titular de dados, se comparado à amplitude do legítimo interesse, aparentemente, de acordo com o disposto pelos autores, pela teoria proposta, o MCI deveria prevalecer.
Por fim, encerrando a análise dessa hipótese, fato é que a argumentação poderá se dar voltada a dois resultados diferentes, portanto, careceria de posicionamento das autoridades competentes para qualquer tomada de decisão mais segura. Ademais, observando o exemplo europeu e avaliando o cenário nacional, a interpretação no sentido de considerar o MCI lex specialis não soa absurda, por mais graves que sejam suas consequências.
Conclusão
A sensação aos(às) valentes que até aqui chegaram é de que muito se falou e pouco se concluiu. Ou, ainda, pode parecer que a intenção do texto é uma apologia ao consentimento do MCI, entretanto, pelo contrário, o intuito é transparecer uma preocupação mais do que qualquer outra coisa.
Fato é que o objetivo desse texto não é abraçar qualquer interpretação como definitiva, considerando que, até o momento, com relação às argumentações encontradas, nenhuma pareceu solucionar por completo a questão de forma objetiva, dependendo, todas, de grande esforço interpretativo e de forte aspecto subjetivo na decisão.
Conforme mencionado durante o texto, a problemática aqui abordada merece maior atenção, uma vez que, dado o cenário atual, é inviável atestar, com segurança e propriedade, qual estratégia adotar para as operações de tratamento submetidas ao escopo do MCI. Como dito, graves são as consequências de uma tomada de decisão que se mostre, futuramente, equivocada. Desde prejuízos referentes a procedimentos inadequados realizados (LIAs desnecessários, por exemplo), até consequências pela não adoção de procedimentos adequados (gestão do consentimento, por exemplo), os danos e prejuízos podem ser bastante consideráveis.
Para organizações, a insegurança se dá no sentido de vivenciar “na pele” as consequências dessa indecisão e insegurança, ao passo que para prestadores de serviços, as consequências vão desde sua reputação no mercado, referente à qualidade de seus serviços e à tecnicidade de suas orientações, até eventuais consequências decorrentes de obrigações contratuais, com clientes eventualmente prejudicados por decisões equivocadas.
Para reguladores, a realidade também não será fácil, o enforcement realizado com essa incerteza carecerá de rápida ação e tão logo vigore a LGPD direcionamento e decisões referentes à qual interpretação prevalecerá serão cruciais para a adequada aplicação dos dispositivos.
Fato é, portanto, que essa insegurança não gera nada mais do que efeitos negativos e, considerando o período de adequação em que a lei se encontra, ainda, não surpreenderia, tampouco soaria extrema ou desarrazoada, a defesa de uma iniciativa legislativa que tenha por objetivo sanear a questão. São conhecidas as complicações de um trâmite legislativo dessa espécie, entretanto, é também notória a complicação do trâmite administrativo e judicial envolvendo lides controversas e insegurança jurídica.
Se poucas podem ser as afirmações conclusivas, uma delas é a de que o tema merece maior atenção para que possa ser, de fato, solucionado.
Matheus Sturari, CIPMAdvogado na CMT – Carvalho, Machado e Timm Advogados | Proteção de Dados e Privacidade
A Comissão Especial criada na Câmara dos Deputados para analisar a PEC 17/2019, que coloca a proteção de dados no rol dos direitos e garantias fundamentais na Constituição Federal, aprovou nesta terça-feira, 10, o relatório do deputado Orlando Silva (PCdoB-SP), que foi favorável pela aprovação da proposta. Na reunião, Orlando apresentou um complemento de voto ao texto que leu na reunião que aconteceu no último dia 4 de dezembro. A este noticiário, Orlando disse que quer votar em Plenário ainda hoje o relatório aprovado na Comissão Especial.
No Complemento de voto, o deputado apresentou dois ajustes no relatório original. Primeiro, retirou a expressão “e outros aspectos institucionais” do texto proposto para o inciso XXVI do art. 21, para enfatizar que a futura Lei que irá criar a agência reguladora deverá tratar apenas da criação estrita do órgão. Dessa forma, segundo o parlamentar, será assegurada maior perenidade à Lei 13.709/2018 (Lei de Proteção de Dados Pessoais – LGPD). A segunda modificação foi explicitar de maneira clara no texto constitucional a independência desse órgão regulador, como forma de dar mais ênfase e destaque a esse atributo do futuro órgão. “Assim, a Lei, a ser formulada pelo Poder Executivo, deverá criar o órgão à semelhança das atuais agências reguladoras”, diz no complemente de voto apresentado na reunião.
“Consolidando no plenário este texto, estaremos fechando o ciclo normativo da proteção de dados no Brasil”, disse o parlamentar, que também cobrou do governo agilidade na instalação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). “Nós temos uma expectativa para que o governo tome providências para a instalação da ANPD o quanto antes. Queremos que o governo ande mais rápido, para regular aspectos não normatizados da LGPD, pois a lei não trata de tudo. Tudo que não é especifico será tratado pela ANPD”, finalizou o deputado.
