Lei Geral de Proteção de Dados: conceitos, princípios e bases legais da LGPD

LEI GERAL DE PROTEÇÃO DE DADOS: 

conceitos, princípios e bases legais da LGPD

GENERAL DATA PROTECTION LAW:

concepts, principles and legal bases of the LGPD

Clara Amédée Péret Motta

RESUMO

Análise da Lei nº13.709/2018, a Lei Geral de Proteção de Dados, que entrou em vigor no dia 18 de setembro de 2020. Será abordada inicialmente a evolução do Direito Digital no Brasil, apresentando também uma comparação com a norma reguladora da União Europeia. Também será analisada a Autoridade Nacional de Proteção de Dados criada pela nova lei e a alteração de sua natureza jurídica. Em seguida serão apresentados conceitos essenciais e serão expostos todos os princípios norteadores e discutidas as bases legais definidas pela lei para a possibilidade de tratamento de dados. Ao final do trabalho será feita uma exposição de casos em que houve um abuso no tratamento de dados e suas repercussões.

Palavras-chave: Lei Geral de Proteção de Dados. Evolução. Conceitos. Princípios. Bases Legais.

ABSTRACT

Analysis of the Law nº 13.709/2018, the General Data Protection Law, which came into force on September 18, 2020. Initially, will be discussed the evolution of digital law in Brazil, also presenting a comparison with the standard European Union regulatory authority. The National Data Protection Authority, created by the new law, and the change in its legal nature will also be analyzed. Then, essential concepts will be presented and all guiding principles will be exposed, also as the legal bases defined by law for the possibility of data processing. At the end of the work there will be an exposition of cases in which there was an abuse in the treatment of data and its repercussions.

Key-words: General Data Protection Law. Evolution. Concepts. Principles. Legal Bases.

1. INTRODUÇÃO

Em 14 de agosto de 2018 foi publicada e, após inúmeras alterações legislativas, aprovada em 18 de setembro de 2020, a Lei nº 13.709, também denominada de Lei Geral de Proteção de Dados (LGPD). Essa lei visa regulamentar o tratamento de dados pessoais, conferindo mais segurança jurídica aos consumidores, titulares de dados, e todos que lidam com informações pessoais no desenvolvimento de suas atividades de negócio. A LGPD busca proteger os direitos fundamentais de privacidade, autodeterminação informativa, liberdade de expressão, informação, comunicação e opinião, assim como a dignidade e o exercício da cidadania dos indivíduos. Com a publicação dessa lei, foi suprido o vácuo legal que havia em relação à atividade referente ao tratamento de dados pessoais.

Primeiramente será apresentada neste trabalho a evolução do conteúdo relativo ao direito à proteção de dados pessoais no Brasil, mostrando como o direito digital foi tratado no Direito brasileiro ao longo dos anos até ser definida uma lei específica para a matéria. Em seguida, será feita uma análise comparativa da LGPD com o Regulamento Geral de Proteção de Dados (RGPD) da União Europeia de 2016, apontando o quanto a lei brasileira sofreu influências externas. Na sequência, será analisada a Autoridade Nacional de Proteção de Dados, criada pela lei com viés regulatório e normativo, visando a aplicação da lei, assim como será abordada a mudança de sua natureza jurídica quando ocorreram vetos e alterações na lei.

Em um segundo momento, serão tratadas as definições legais trazidas pela Lei Geral de Proteção de Dados, essenciais para o entendimento de como foram classificados os dados -pessoais, sensíveis e anônimos. Também será esclarecido o conceito de tratamento de dados, ou seja, tudo aquilo feito com o dado, tanto por empresas privadas ou por órgãos públicos.

Serão apresentados todos os princípios norteadores da LGPD, possíveis de serem identificados em artigos da lei ou então por meio de interpretações. Serão feitas comparações com o Código Civil Brasileiro e com o Regimento Geral de Proteção de Dados, este tido como referência legislativa mundial no âmbito de tratamento de dados.

A nova lei define parâmetros para que o tratamento de dados ocorra sem infringir a privacidade dos titulares, como ao estabelecer regras de atuação para o Poder Público, garantindo que o governo e as empresas garantam mais segurança ao tratar os dados pessoais. Dessa forma, também será feita nesse trabalho uma apresentação detalhada de cada base legal estipulada pela lei para que esse tratamento seja feito da forma adequada.

Ao final, serão apresentados casos em que houve abuso no tratamento de dados, abordando como o ex-funcionário da Agência de Segurança Nacional dos Estados Unidos, Edward Snowden, expôs em 2013 a espionagem americana de seus cidadãos e de cidadãos de outros países. Também será esclarecido o caso da empresa Cambridge Analytica, envolvendo o compartilhamento de dados de milhões de usuários do Facebook e, ainda, a manipulação dos usuários por meio de anúncios direcionados de acordo com os dados coletados, como ocorrido nas eleições presidenciais de 2016 e na saída do Reino Unido da União Europeia. Será apresentado também o caso de vazamento de dados da plataforma Uber, em que a empresa foi hackeada e chantageada em 2017. Outro caso discutido é o vazamento de dados pessoais sensíveis e a coleta de dados excessivos feita no cadastro do aplicativo do então candidato à presidência dos Estados Unidos Joe Biden, situação causada por uma falha na empresa TargetSmart em 2020.

2. EVOLUÇÃO LEGISLATIVA, INFLUÊNCIA EUROPEIA E ANPD

2.1. Evolução histórica da lei

No Brasil, a privacidade e a proteção de dados foram colocadas como direitos fundamentais diante de sua grande relevância, sendo previstos no artigo 5º da Constituição Federal de 1988, em seu inciso X, em que é resguardada a inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas, e no inciso XII, que protege o sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas.

No entendimento do professor Tércio Sampaio Ferraz Junior^[1], a privacidade assegurada pela Constituição em relação ao sigilo de dados se restringe à interpretação de que protege apenas os dados relativos à sua comunicação. Essa interpretação também ficou visível quando do julgamento do Recurso Extraordinário nº 418.416 em 10 de maio de 2006, em que o Ministro Sepúlveda Pertence defendeu que “a proteção a que se refere o art. 5º, XII, da Constituição, é da comunicação ‘de dados’ e não dos ‘dados em si mesmos’, ainda quando armazenados em computador”.^[2] Contudo, pode-se afirmar que esse entendimento não abarca a realidade atual decorrente do Big Data, definido comumente como a obtenção de informação por meio de um infinito conjunto de dados com o intuito de gerar ideias úteis, bens e serviços de valor significativo.

Em conformidade com a Constituição, ao definir sobre o tema, o Código Civil prevê em seu artigo 21, como um direito inviolável a vida privada da pessoa natural.^[3] Também seguindo esse entendimento, o Código de Defesa do Consumidor define direitos básicos e invioláveis do consumidor, que podem ser feridos por algumas das práticas de negócios usadas para a captura de dados. No caput do artigo 43^[4], faz-se menção ao princípio da informação, determinando ser direito do titular ter informações sobre os dados coletados e armazenados, além de garantir a possibilidade da solicitação de exclusão.

O artigo também faz menção ao princípio da publicidade, em que o consumidor deve ser informado a respeito da coleta e armazenamento dos dados, e do princípio da exatidão dos dados pessoais, concedendo ao titular o direito de alterar os dados incorretos.

A legislação não era específica para proteção de dados, sendo que eventuais disposições eram segmentadas em diferentes áreas da atividade econômica, tendo como exemplo a Lei do Cadastro Positivo (Lei nº 12.414/2011) e a Lei de Acesso à Informação Pública (Lei nº12.527/2011), de forma que foi criado um sistema fragmentado e pouco responsivo. Também houve episódios pontuais que atraíram a atenção pública e foram rapidamente transformados em lei, como o caso da Lei nº 12.737/2012, conhecida como Lei Carolina Dieckmann, que dispõe sobre a tipificação criminal de delitos informáticos. Essa fragilidade e insegurança jurídica à qual se submetiam empresas que tinham como um dos pilares de seus negócios o tratamento de dados foi bastante criticada.

Em 23 de abril de 2014, foi promulgada a Lei nº 12.965, chamada de Marco Civil da Internet, que ratificou o que já havia sido vislumbrado pelas outras legislações: a garantia do princípio da privacidade na Internet, protegendo tanto a segurança quanto a privacidade dos dados pessoais ao restringir o acesso ou o uso de informações privadas. No artigo 7º^[5] da referida lei, estão elencados os direitos do usuário, que definem a proteção da confidencialidade e a inviolabilidade da vida privada digital e os fluxos de tráfego da internet, disponibilização de registros de conexão e de acesso a aplicações à internet resguardem a intimidade, a honra e a imagem de seus usuários.

Diante sua importância legal, o Marco Civil da Internet é considerado como uma das leis inspiradoras da Declaração de Direitos na Internet Italiana publicada em 13 de outubro de 2014. A lei abriu caminho para a Lei Geral de Proteção de Dados Pessoais, uma vez que relacionou proteções como direitos dos usuários de internet à inviolabilidade da intimidade e da vida privada, à preservação do sigilo das comunicações privadas pela rede, transmitidas ou armazenadas, o não fornecimento de dados pessoais coletados pela internet a terceiros sem prévio consentimento do usuário, além de ter estabelecido o dever de informar aos usuários acerca da coleta de dados sobre eles, quando houver justificativa para tal fato.

Em 2016, a União Europeia publicou o Regulamento Geral de Proteção de Dados (General Data Protection Regulation ou GDPR), com o propósito de assegurar maior privacidade aos indivíduos, garantindo uma maior transparência no processo de coleta e tratamento dos dados, e de acompanhar os avanços na regulação do mercado da comercialização de bens e serviços online. Em 25 de maio de 2018, a Lei de Proteção de Dados da União Europeia entrou em vigor e despertou a necessidade de outros países criarem leis específicas para a proteção de dados e fomentou o debate na implementação de leis a respeito do tema.

Em observância a esse novo contexto e diante da necessidade de tutela jurídica de defesa de dados pessoais, em 10 de julho de 2018, o Congresso Nacional aprovou o Projeto de Lei Complementar nº 53/2018 que deu origem à Lei Geral de Proteção de Dados. A Lei nº 13.709/2018 é a legislação brasileira que regula as atividades de tratamento de dados pessoais e foi sancionada em agosto de 2018 para entrar em vigor a partir de 16 de agosto de 2020. Acerca da harmonização do desenvolvimento da tecnologia e da preservação dos direitos de personalidade dos titulares de dados, atesta a professora adjunta de Direito Civil da Universidade de Brasília, Laura Schertel Mendes:

A importância do modelo de lei geral reside no fato de que ela constrói uma arquitetura regulatória que busca consolidar o tema de proteção de dados pessoais como um setor de políticas públicas, composto por instrumentos estatutários, sancionatórios, assim como por um órgão administrativo, responsável pela implementação e aplicação da legislação”. (MENDES, Laura Schertel. A lei Geral de Proteção de Dados Pessoais: um modelo de aplicação em três níveis. Caderno Especial LGPD. p. 35-56. São Paulo: Ed. RT, novembro 2019.)

Utilizando diferentes justificativas, como o curto período de tempo para que as empresas se adaptassem e se adequassem à lei, a morosidade na instalação da Autoridade Nacional de Proteção de Dados (ANPD), responsável por fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação e a crise diante no novo Coronavírus (COVID-19), surgiram diversos instrumentos estratégicos que tinham como objetivo prorrogar a vigência da LGPD. Dentre eles, deve-se destacar o Projeto de Lei nº 1.179/2020 e a Medida Provisória nº 959/2020.

Em 30 de março de 2020, o Projeto de Lei de nº 1.179/2020 surgiu com o objetivo de prorrogar a vigênciada LGPD para 1º de janeiro de 2021 com sanções aplicáveis a partir de 1° de agosto de 2021. No dia 03 de abril de 2020, este Projeto de Lei foi aprovado no Senado Federal e encaminhado à Câmara dos Deputados para revisão.

No dia 24 de abril de 2020, a Medida Provisória nº 959/2020 surgiu com o objetivo de modificar a redação relativa à vigência da LGPD de “24 meses após a data de sua publicação” (dois anos depois) para “em 3 de maio de 2021”. De forma que a prorrogação tanto da vigência quanto da aplicação de sanções seria a partir de 3 de maio de 2021. A Medida Provisória foi encaminhada à Câmara dos Deputados para análise.

No dia 14 de maio de 2020, o Projeto de Lei nº 1.179/2020 foi aprovado na Câmara dos Deputados quanto aos dispositivos relativos às sanções, para que entrem em vigor em agosto de 2021. Quanto à vigência, seria debatida quando fosse apreciada a Medida Provisória nº 959/2020. Após isso, o Projeto de Lei foi reencaminhado ao Senado.

Em 19 de maio de 2020, o Senado Federal rejeitou o substitutivo da Câmara dos Deputados no Projeto de Lei nº 1.179/2020 e retomou o texto original da LGPD, para que a vigência da lei ocorresse em de agosto de 2020 e sanções aplicáveis para agosto de 2021, com a justificativa de que num momento de epidemia é preciso que se colete e se faça o uso de dados pessoais com base em parâmetros legais, garantindo a segurança e a privacidade dos processos. O Projeto de Lei nº 1.179/2020 foi então encaminhado para sanção presidencial.

No dia 10 de junho de 2020, foi sancionada a Lei nº 14.010/2020 que, dentre outras questões, altera a LGPD, determinando que as suas sanções só possam ser aplicadas a partir de 1º de agosto de 2021.

No dia 29 de junho de 2020, o Presidente do Congresso Nacional prorrogou por mais 60 dias a apreciação da MP 959/20.

No dia 25 de agosto de 2020, a Câmara dos Deputados votou a Medida Provisória 959/20, alterando sua data de vigência para o dia 31 de dezembro de 2020.

No dia 26 de agosto de 2020, o Senado reprovou o texto final. Em que pese o dispositivo da MP que tratava da LGPD tivesse sido retirado do texto, era necessário um trâmite constitucional de 15 dias para que o dispositivo fosse aprovado ou rejeitado pelo Presidente da República.

No dia 27 de agosto de 2020, foi publicado o Decreto nº 14.474/2020, aprovando a estrutura regimental e o quadro demonstrativo dos cargos em comissão e das funções de confiança da Autoridade Nacional de Proteção de Dados (ANPD).

No dia 18 de setembro de 2020, a Lei Geral de Proteção de Dados entrou em vigor, com exceção das sanções administrativas previstas na legislação que só poderão ser aplicadas a partir de agosto de 2021.

No dia 19 de fevereiro de 2021, o Projeto de Lei nº 500/21 surgiu com o objetivo de adiar para 1º de janeiro de 2022 a aplicação de multas às empresas que descumprirem a LGPD. Em contrapartida, no dia 24 do mesmo mês surgiu o Projeto de Lei nº 578/21, que determina a aplicação imediata de penalidades a empresas que descumprirem a LGPD.

2.2. Lei Geral de Proteção de Dados e o Regulamento Geral de Proteção de Dados

A Lei Geral de Proteção de Dados sofreu forte influência do Regulamento Geral de Proteção de Dados (GDPR) por ter valorizado a esfera da proteção de dados pessoais, através de sua aplicação extraterritorial, ao exigir conformidade de empresas situadas dentro e fora da União Europeia. Por mais que outros países tenham publicado anteriormente leis sobre a regulação da internet e da proteção de dados, nenhum país conseguiu ter uma regulamentação tão expressiva quanto a GDPR, de tal forma que a lei brasileira reproduziu grande parte de suas disposições. Assim, torna-se necessário a familiarização com os mecanismos da GDPR pois, além da influência legislativa, também há reflexos na atuação das empresas no Brasil, de forma que aquelas que tenham negócios com empresas europeias devem implementar práticas de compliance que atendam ao GDPR.

O texto – enorme, detalhado e contundente, foi aprovado em 2016, cumpriu dois anos de vacância e destina-se a todos aqueles que possuem negócios ou ofertem serviços com coleta/tratamento de dados pessoais, mesmo que gratuitamente, ao público europeu”. (Renato M. S. Opice Blum, GDPR – General Data Protection Regulation: Destaques da Regra Europeia e seus Reflexos no Brasil, Revista dos Tribunais Online, vol. 994/2018, p.205 a 221) 

Podemos destacar como os principais pontos da lei europeia adotados pela lei brasileira: a abrangência da lei na tutela dos dados pessoais e sensíveis; a obrigatoriedade do consentimento dos titulares para o tratamento de seus dados pessoais; o direito ao esquecimento; a avaliação de impacto da proteção de dados quando o tratamento for suscetível a riscos dos direitos e liberdades individuais dos titulares; implementação de um programa de governança corporativa com responsabilidade das empresas e sanções quando do descumprimento da lei.

Acompanho o entendimento de Papadopoulos (2016, p.894) no sentido de que é possível evoluir para se alcançar um ponto de equilíbrio ou um meio termo com os transplantes denominados heuristicamente de botânicos. As regras podem se deslocar, mas seu significado se adapta aos valores do país que a importa, desde que não sejam absolutamente discrepantes do seu significado no país de origem.

De acordo com o que foi observado pela análise comparativa entre a legislação nacional e estrangeira, conclui-se que o regime de proteção de dados da União Europeia pode ter sido transferido para o cenário brasileiro, pois as regras do GDPR têm significado compatível e são plenamente adaptáveis ao modelo brasileiro. Dessa forma, entende-se que, uma vez consumado o transplante jurídico, na acepção botânica, não haverá impactos negativos na uniformidade e no processo de harmonização entre os sistemas jurídicos nacional e europeu”.

(O TRANSPLANTE JURÍDICO DO REGULAMENTO GERAL DE PROTEÇÃO DE DADOS DA UNIÃO EUROPEIA (“GDPR”) PARA O DIREITO BRASILEIRO, Ludimila Santos Derbli, FGV Direito Rio, E-legis, Brasília, n. 30, p. 181-193, set./dez. 2019, ISSN 2175.0688)

O advogado Gustavo Tepedino, doutor em Direito Civil pela Universidade de Camerino, na Itália, e Chiara Spadaccini de Teffé, doutoranda em Direito Civil pela Universidade do Estado do Rio de Janeiro (UERJ), a respeito da LGPD, apontam:

A Lei Geral de Proteção de Dados brasileira e o Regulamento Geral Europeu sobre a Proteção de Dados 2016/679 (General Data Protection Regulation – GDPR) representam no contexto atual instrumentos para a proteção e garantia da pessoa humana, uma vez que facilitam o controle dos dados tratados, impõem deveres e responsabilidades aos agentes de tratamento e proporcionam segurança para que as informações circulem. Os dois sistemas encontram-se fortemente alinhados, como desejou o legislador brasileiro, para que a norma nacional, nos próximos anos, seja reconhecida como adequada ao sistema europeu, uma vez que isso facilitará a realizações de transações e cooperações com países do bloco. TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini de. Consentimento e proteção de dados pessoais na LGPD. In: FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (Coord.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. São Paulo: Thomson Reuters Brasil, 2019. p. 293.

É interessante destacar que a GPDR também influenciou a nova Lei de Privacidade do Consumidor da Califórnia^[6], que obriga empresas, como as gigantes da tecnologia Amazon, Facebook, Google e Uber, a informar quais tipo de dados coletam de seus clientes, os motivos pelos quais o fazem e com quem compartilham as informações. A lei permite que os usuários neguem a venda de suas informações pessoais para empresas terceiras. A lei dá aos californianos a capacidade de ter seus dados excluídos e torna mais difícil o compartilhamento ou venda de informações de crianças e adolescentes. A legislação também concede ao Procurador-Geral do Estado autoridade de fiscalização.

2.3. Autoridade Nacional de Proteção De Dados (ANPD)

A Autoridade Nacional de Proteção de Dados, também chamada de ANPD, constituída no dia 08 de março de 2021, tem por objetivo zelar pela implementação, fiscalização e monitoramento do cumprimento da Lei Geral de Proteção de Dados. Esse órgão nacional editará normas e publicará orientações e instruções normativas, uma vez que ainda existem algumas lacunas e informações incompletas na estrutura da Lei. Ainda não está definido como funcionará a fiscalização pela ANPD, contudo, há fortes influências e inspirações de outras legislações já vigentes ao redor do mundo, principalmente do Regulamento Europeu, como apresentado acima.

As atribuições da ANPD estão elencadas no artigo 55-J, em seus 16 incisos.^[7] Entre as suas funções estão: zelar pela proteção dos dados pessoais, assim como estimular a adoção de padrões técnicos, prevendo regulamentações específicas, diante de eventuais lacunas de aplicabilidade, como códigos de conduta setoriais e de certificações que possam garantir a observância das regras da norma, chamados de Códigos de Conduta e Certificação. Caberá à ANPD incentivar nas empresas a realização de relatórios de impacto, que são uma descrição de uma operação de tratamento de dados pessoais que a empresa execute juntamente com as medidas que tenha adotado para aumentar a segurança e mitigar o risco presente no tratamento.

Também será realizada pela ANPD a fiscalização e a aplicação de sanções em caso de tratamento de dados realizado em descumprimento à legislação. Dentre as sanções, podem ser aplicadas advertências, sanções administrativas, como proibição total ou parcial de tratamento de dados e multas, variando entre até 2% do faturamento da empresa, limitado a cinquenta milhões de reais por infração, tendo ainda a possibilidade de multa diária para compelir a entidade a cessar as violações.^[8]

No primeiro ano da GDPR, segundo estudo da International Association of Privacy Professionals (IAPP), foram apresentadas mais de 281 mil notificações em 27 países.^[9] Em relação ao papel fiscalizador da ANPD, diante da experiência europeia, é essencial que o órgão brasileiro de proteção de dados estabeleça um canal direto de comunicação com os titulares, de modo que facilite a apresentação de reclamações ou preocupações em relação ao tratamento destinado a dados pessoais nos casos em que as reclamações encaminhadas ao (os) controlador (es) não tenham sido efetivamente solucionadas. Assim, a ANPD deve, também, promover o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança.

A ANPD deve assegurar o efetivo cumprimento da lei, atuando por iniciativa própria, promovendo ações de cooperação com autoridades de proteção de dados pessoais de outros países, dispor sobre as formas de publicidade das operações de tratamento de dados pessoais e solicitar às entidades do poder público que realizem operações de tratamento de dados pessoais que informem especificamente o âmbito, a natureza e os demais detalhes dos tratamentos realizados nos dados; realizar ou determinar a realização de auditorias, no âmbito da atividade de fiscalização, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluindo o poder público.

A experiência trazida pela legislação europeia sobre a proteção de dados mostra a importância relacionada à existência de uma Autoridade Nacional específica para fiscalizar a aplicação da LGPD, de modo a garantir segurança jurídica, respeito ao direito à privacidade e proteção de dados dos titulares, fomentando o desenvolvimento socioeconômico do país, inserindo o Brasil no rol de países que conferem segurança jurídica relacionada à proteção de dados pessoais e à segurança da informação. Por fim, espera-se que a ANPD atue como facilitadora entre empresas, cidadãos e governo, promovendo medidas que difundam a cultura de proteção de dados no Brasil, tornando as previsões da LGPD mais claras, acessíveis e palatáveis, tanto para os titulares de dados quanto para os agentes de tratamento.

Durante a ausência da ANPD, imperam os parâmetros gerais de boas práticas e governança determinados pela LGPD, que devem ser ajustados de acordo com as especificidades de cada setor econômico. Dentre essas diretrizes pode-se destacar a necessidade de demonstrar o comprometimento em adotar processos e políticas internas que assegurem o cumprimento de normas relativas à proteção de dados pessoais, estabelecer uma relação de confiança com o titular dos dados por meio de atuação transparente, estar integrado à sua estrutura geral de governança, estabelecer mecanismos de supervisão internos e externos;  possuir planos de resposta a incidentes e remediação, se atualizar constantemente e realizar um efetivo e contínuo monitoramento, além de avaliações periódicas.

Esses procedimentos adotados pelas empresas durante esse período poderão ser reconhecidos, atualizados e publicados pela ANPD por meio da autorregulação regulada, prevista no artigo 50, §3º da LGPD.^[10] Assim, são conciliados os interesses do Estado e da sociedade, unindo o conhecimento da prática setorial e a necessidade de constante revisão de conceitos inerente à dinamicidade da sociedade atual.

É interessante ressaltar que, dos 120 países que possuem lei de proteção de dados, apenas 12 não criaram uma autoridade independente, como Angola e Nicarágua. Dentre os países da América Latina, Argentina, Panamá e Colômbia são exemplos de países que já possuem uma Autoridade de dados pessoais. Outros, como Chile e Brasil, estão se organizando para, em breve, também instituir as respectivas Autoridades.

2.3.1. Natureza Jurídica da ANPD

A expectativa da Autoridade Nacional de Proteção de Dados, tal qual como prevista no Projeto de Lei, era de que fosse uma autarquia federal, vinculada ao Ministério de Justiça, que gozaria de independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes e autonomia financeira. Contudo, de acordo com o texto da lei aprovado, a criação foi de uma autoridade de proteção de dados integrante ao poder Executivo. Segundo as razões de veto da medida provisória que previa a outra natureza da ANPD, o Poder Legislativo não poderia criar órgãos que resultassem em novos gastos ao orçamento, ou seja, o Legislativo não poderia criar órgãos que gerassem despesas para o Executivo, de forma que essa seria uma prerrogativa do próprio Poder Executivo.

O artigo 55-A determina que “fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República”.^[11] Sendo assim, a ANPD, não é uma autoridade totalmente independente em suas decisões e também depende do orçamento previsto pelo poder Executivo. Diante dessa nova natureza jurídica, muitos especialistas da área criticaram a criação da ANPD nesse modelo, justamente por dificultar as decisões da autoridade, retirando sua tecnicidade diante da dependência da opinião do Poder Executivo e talvez dificultando a aplicação de sanções para o setor público. Isso também pode vir a ser uma barreira para o Brasil ser considerado um país com nível de proteção adequado aos dados pessoais pela comunidade europeia, tendo em vista que o RGPD prevê a necessidade de autonomia técnica e financeira para a validação da autoridade.

Art. 55-A. §1º A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República. (Incluído pela Lei nº 13.853, de 2019)

Contudo, o parágrafo primeiro desse mesmo artigo define que essa natureza jurídica poderá mudar, prevendo sua transitoriedade. Caso seja transformada em entidade submetida ao regimento autárquico especial, a ANPD passará a integrar as agências reguladoras, tais como a ANATEL, ANS, ANAC, dentre outras. Porém, não é apresentada uma condicionante para que essa transformação efetivamente aconteça.

3. CONCEITOS

3.1. Dados Pessoais

Dados pessoais são toda e qualquer informação que identifique ou que possa vir a identificar uma pessoa natural. Portanto, incluem-se informações que identificam diretamente uma pessoa, tais como nome, endereço, RG, CPF, título de eleitor, CNH, Carteira de Trabalho, etc.; e informações que podem identificar uma pessoa, que são dados que, isoladamente não identificam nenhum indivíduo, mas que, quando combinados e analisados em conjunto podem identificar uma pessoa, como um número de IP (Internet Protocol) ou o número de identificação de funcionário dentro de uma empresa. Quando informações que podem identificar alguém passa a, de fato, identificar uma pessoa, esse dado se torna um dado pessoal. De acordo com o advogado Rafael Maciel^[12], Presidente do Instituto Goiano de Direito Digital, nomes de empresa, CNPJ e informações que não estejam relacionadas à pessoa natural não são considerados dados pessoais (MACIEL, 2019).

Em seu artigo 4º, o Regulamento Geral sobre a Proteção de Dados (GDPR), apresenta a definição de dados pessoais, conceito também adotado pelo Marco Civil da Internet:

«Dados pessoais», informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;^[13]

Dessa forma, entende-se que endereço, geolocalização, sexo, cookies coletados, cor do cabelo, o computador específico usado ou um animal de estimação podem ser considerados dados pessoais. É importante ressaltar que atualmente diante da correlação rápida de grandes e variadas bases de dados, praticamente todo e qualquer dado pode, eventualmente, ser considerado pessoal e, assim, submetido à lei.

3.2. Dados sensíveis

Dentro do conjunto de dados pessoais, existe o conjunto dos dados pessoais sensíveis, que são aqueles que, devido sua sensibilidade natural, podem levar a questões discriminatórias em face de seu titular. Logo, esses dados precisam de um tratamento distinto e de uma maior atenção. A definição dada pela LGPD aproxima-se da prevista na Lei do Cadastro Positivo (Lei 12.414/2011), cujo art. 3º, §3º, inciso II estabelece o conceito de “informações sensíveis” como “aquelas pertinentes à origem social e étnica, à saúde, à informação genética, à orientação sexual e às convicções políticas, religiosas e filosóficas”.

De acordo com a LGPD essas informações podem estar relacionadas à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural”. Impera ressaltar que os dados genéticos e biométricos, como íris e digitais, são dados imutáveis que identificam uma pessoa para sempre.

Tais dados podem gerar riscos significativos para os direitos e liberdades fundamentais a depender do contexto de sua utilização e, por essa razão, são submetidos a um regime especial para tratamento mais rigoroso. Como descreve o professor coordenador dos cursos de Proteção de Dados e Direito Digital do Instituto de Ensino e Pesquisa de São Paulo e do curso “Direito 4.0” da Fundação Armando Alvares Penteado, o advogado Renato Opice Blum:

Na atualidade, informações absolutamente sensíveis, como as de saúde, por exemplo, são coletadas e tratadas sem maiores cautelas por muitas instituições, empresas e, inclusive, pelo Poder Público. Detalhes da vida pessoal registrados em fotos e vídeos nas Redes Sociais (como orientação religiosa, política ou sexual) podem estar sendo compartilhados entre empresas e tratados sem conhecimento de seus titulares. Daí serem cada vez mais frequentes as notícias e os escândalos sobre compartilhamento indevido, vazamento de dados e acesso ilegal à comunicação de dirigentes de Estados”. (BLUM, Renato M. S. Opice. GDPR – General Data Protection Regulation: destaques da regra europeia e seus reflexos no Brasil. Revista dos Tribunais, São Paulo, v. 107, n. 994, ago. 2018, consulta pela plataforma Revista dos Tribunais On-line. p. 1)

3.3. Dados anônimos

Conforme o inciso III do artigo 5º da LGPD, dados anonimizados são dados relativos a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Em outras palavras, pode-se dizer que, originariamente, o dado era relativo a uma pessoa, mas passou por etapas que garantiram sua desvinculação com essa pessoa, como supressão, generalização, randomização ou pseudoanonimização, de forma que, mesmo que passe por meios técnicos, não é possível que se identifique a pessoa titular do dado. Pelo entendimento da GDPR, o dado se torna anônimo por meio da pseudoanonimização, que se define como

[...] o tratamento de dados pessoais de forma que deixem de poder ser atribuídos a um titular de dados específico sem recorrer a informações suplementares, desde que essas informações suplementares sejam mantidas separadamente e sujeitas a medidas técnicas e organizativas para assegurar que os dados pessoais não possam ser atribuídos a uma pessoa singular identificada ou identificável^[14]

Ao se tratar de dados relativos à saúde, por exemplo, faz-se necessário uma técnica de anonimização que garanta a real tutela daqueles dados pessoais, que o tratamento seja feito de forma lícita e legítima e que o usuário tenha plena consciência de como esse dado é tratado, armazenado e transferido a terceiros. Contudo, o anonimato é cada vez mais difícil de ser mantido, pois atualmente existem inúmeras formas de desanonimizar uma informação e reidentificá-la, ainda que aquela determinada informação tenha passado por técnicas de anonimização. Bruno Ricardo Bioni^[15], advogado especialista em privacidade e proteção de dados, explicita que para que não haja uma redundância normativa, já que os dados seriam potencial e provavelmente, dados relacionados a uma pessoa identificável, a LGPD, assim como a GDPR, valeu-se do critério da razoabilidade, de forma que o dado é considerado anônimo se a vinculação entre o dado e a pessoa não consiga ser realizada por meio de um esforço razoável, como utilizando ajuda de terceiros, por exemplo (BIONI, 2019).

Caso passe pela anonimização, o dado deixa de estar sujeito à proteção da LGPD, tendo em vista que tal dado perderá a possibilidade de associação, direta ou indireta, a um indivíduo. Porém, caso o processo seja revertido, a disciplina de proteção de dado passa novamente a incidir sobre aqueles dados.

3.4. Tratamento de dados

No artigo 5º, inciso X da LGPD é apresentada a definição de “tratamento” elaborada pelo legislador:

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.^[16]

Todo tratamento de dados, feito por empresas, órgãos públicos ou por pessoas físicas com finalidades econômicas, precisa, necessariamente, estar de acordo com todos os princípios da lei, sendo considerado irregular quando não observar a legislação e quando não fornecer a segurança que o titular dos dados espera.

Assim, tratamento de dados pode ser considerado como tudo aquilo que é feito com o dado, desde o momento em que ele entra no banco de dados até o momento em que sai dele. Sendo a coleta, o armazenamento, a transferência, alterações, a exclusão, e tudo o que se pode fazer com esse dado, entendido como tratamento.

Deve-se frisar que a LGPD regulamenta também o tratamento de dados pessoais de maneira não informatizada, ou seja, independentemente do meio empregado. Contudo, dada a eficiência dos meios informáticos, atualmente, é incipiente o tratamento por intermédio de outros meios, de forma que a previsão legislativa somente serve para inibir que se criem bancos de dados via outros recursos para fugir da regulamentação legal.

4. PRINCÍPIOS DA LGPD

4.1. Boa Fé

O princípio da boa-fé cria deveres de conduta aos integrantes da relação jurídica, não previstos em lei ou em contrato, de forma que as partes devem agir de acordo com padrões de conduta baseados na lealdade, probidade, honestidade, cooperação e legítima expectativa. Assim, cria-se um dever de cuidado para com a outra parte da relação jurídica, bem como estimula a necessidade de proteção da legítima expectativa do titular dos dados, impondo uma observância ética em todos as etapas do tratamento de dados. O professor da Universidade Federal do Rio Grande do Sul (UFRS) Bruno Miragem traz a seguinte explicação acerca do tratamento de dados, no âmbito da LGPD, no que se refere ao princípio da boa-fé:

No caso do tratamento de dados pessoais, a boa-fé fundamenta a tutela das legítimas expectativas do titular dos dados frente ao controlador (art. 10, II, da LGPD), o que se delineia, sempre a partir das circunstâncias concretas em que se deu o consentimento, a finalidade de uso e tratamento dos dados que foi indicada na ocasião e o modo como foram compreendidas as informações prévias oferecidas. A tutela da confiança do consumidor, neste caso, abrange tanto a crença nas informações prestadas quanto de que aquele que tenha acesso aos seus dados, por força do consentimento dado, não se comporte de modo contraditório a elas e respeite a vinculação à finalidade de utilização informada originalmente (MIRAGEM, Bruno. A Lei Geral de Proteção de Dados (Lei 13.709/2018) e o direito do consumidor. Revista dos Tribunais Online. Vol. 1009, nov/2019).

É importante ressaltar que o legislador da LGPD inseriu a boa-fé objetiva já no caput do art. 6º, estabelecendo os demais princípios aplicáveis ao tratamento de dados pessoais nos incisos, o que já demonstra certa preponderância ante os demais princípios.^[17]

4.2. Finalidade

Toda vez que houver tratamento de dados pessoais deve haver uma finalidade clara, específica e objetiva, ou seja, é preciso que haja uma finalidade pré-determinada para qualquer tratamento. Além disso, o titular de dados deve enxergar com clareza o porquê da entrega de seu dado. A ideia antes amplamente utilizada por inúmeras empresas de coletar dados para um futuro contato que talvez possa nem ocorrer, por exemplo, não é mais aceita.

Deve-se ressaltar que, quando há uma alteração na finalidade, o tratamento dos dados posterior torna-se incompatível, de forma que, quando essa situação ocorre, é necessário que quem realiza esse tratamento obtenha um novo consentimento ou explicite, se a base legal for outra, que houve uma mudança na finalidade para os titulares.

Outro ponto importante relacionado a esse princípio que deve ser ressaltado é que o Código Civil Brasileiro, em seu artigo 104 prevê que o objeto ilícito torna nulo o ato.^[18] Conforme dita o advogado Rafael Maciel,

O tratamento dos dados pessoais deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular. Aliado ao dever de transparência, o titular deve estar ciente da finalidade, a qual obviamente não pode ser justificada em atos ilegais, ainda que haja consentimento para tanto. (MACIEL, Rafael Fernandes. Manual Prático sobre a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18). RM Digital Education. 1ª Edição. Goiânia – GO. 2019. ISBN: 9781093409420)

4.3. Necessidade

O princípio da necessidade define que devem ser coletados apenas aqueles dados que, de fato, são necessários para atingir a finalidade para a qual o dado foi coletado, não sendo necessário recolher dados além daqueles específicos que servirão à finalidade pré-estabelecida. Esse princípio carrega consigo uma ideia de minimização da coleta, também chamada de data minimization, segundo a qual o tratamento deve valer-se apenas de dados absolutamente necessários para realizar com êxito o objetivo proposto. Contudo, infelizmente muitas empresas falham nesse ponto de coletar apenas os dados que são necessários à finalidade de tratamento.

A partir do momento em que há coleta desnecessária de dados, começa a ocorrer um acúmulo de dados – também chamado de ativo tóxico - dentro do banco de dados da empresa. É chamada de Dark Data a categoria de dados que são constantemente coletados com pouca ou nenhuma utilidade, que não são necessários, que muitas vezes são fornecidos sem a consciência do titular. Essa coleta desnecessária de dados aumenta o risco de exposição e de maiores danos aos titulares, em casos de incidente de dados pessoais. Dessa forma, modelos de negócios, produtos ou serviços e, até mesmo, políticas públicas que envolvam necessariamente grandes massas de dados devem proporcionalmente apresentar técnicas de anonimização correspondentes aos altos riscos de reidentificação.

O princípio da necessidade também estabelece a eliminação dos dados mediante solicitação do titular ou quando cessa o tratamento, ou seja, quando os dados deixam de ser necessários. Assim, o ideal é que seja coletado apenas o que for necessário e na hora em que for necessário.

4.4. Transparência

Todo tratamento de dados deve ser transparente, ou seja, é preciso deixar claro para o titular o que será feito com seu dado, de forma que este princípio se faz presente em todo o processo de tratamento de dados. Os titulares precisam saber quais dados estão sendo coletados, com quem estão sendo compartilhados e por que eles estão sendo coletados, para que estes tenham autodeterminação informativa sobre os próprios dados, sendo a transparência imprescindível ao tratar da LGPD. Para o advogado Rafael Maciel, “o dever de transparência implica ao agente o dever de prestar informações claras, precisas e facilmente acessíveis sobre a realização do tratamento, protegido os segredos comercial e industrial” (MACIEL, 2019).

4.5. Qualidade dos dados

Esse princípio determina que os dados de um banco devem estar exatos e precisos, ou seja, devem ter sua qualidade intacta. Para isso, devem ser sempre atualizados, trazendo informações verídicas dos titulares. Esse princípio define que as empresas, órgão públicos e pessoas físicas que tratem dados com finalidades econômicas devem garantir aos titulares que seus bancos de dados sejam o mais fidedigno possível, visando a inviabilização de quaisquer danos aos titulares. Dessa forma, o banco de dados das empresas precisa estar com os dados atualizados, corretos e coerentes. Para o advogado Rafael Maciel, “os dados devem ter qualidade, ou seja, serem claros, exatos, relevantes e atualizados de acordo com a necessidade e a finalidade do tratamento” (MACIEL, 2019).

4.6. Não discriminação

Os dados não podem ser tratados com objetivos discriminatórios, de forma que toda vez que algum serviço ou produto for desenvolvido com base no banco de dados e em inteligência artificial, por exemplo, é preciso que a empresa esteja capacitada de meios para possibilitar a não discriminação de seus titulares.

Acerca desse princípio, o advogado Rafael Maciel defende que “nenhum dado coletado, independentemente de sua base legal ou finalidade exposta com consentimento válido, poderá ser tratado para fins discriminatórios ilícitos ou abusivos” (MACIEL, 2019).

Segundo o advogado e doutor em Direito Civil na Universidade do Estado do Rio de Janeiro Danilo Doneda^[19], é necessário que haja uma diferenciação acerca dos dados pessoais sensíveis, tendo em vista que esses dados possibilitariam uma utilização ainda mais discreta da informação pessoal, sendo devida a sua proteção não só em consagração ao direito à privacidade, mas também para proteger a dignidade da pessoa humana e os direitos à liberdade e à igualdade.

4.7. Segurança

Esse princípio visa a adoção de medidas que sejam aptas a impedir os ataques cibernéticos, realizados por hackers e crackers, que tem causado prejuízo a inúmeras empresas em todo o mundo, sendo este o risco mais visível em matéria de proteção de dados pessoais. Dessa maneira, sempre que há tratamento de dados, é preciso garantir que o processo seja feito da forma mais segura possível, sendo necessário que sejam buscados meios técnicos de segurança a fim de proteger os dados de ameaças internas e externas, evitando situações ilícitas.

São chamados privacy by design e by default os serviços, produtos e modelos de negócios que pensam na proteção de dados desde a concepção até a execução e oferecimento do produto e serviço, garantindo a proteção à privacidade e aos dados pessoais. Ainda, as configurações de privacidade, popularmente acessíveis por meio de dashboards em plataformas online, devem ser, por padrão, os mais protetivos.

O advogado Rafael Maciel lembra que a segurança e a prevenção não estão limitadas às medidas técnicas, mas também a medidas administrativas aptas a proteger incidentes, considerados desde o acesso não autorizado até a situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (MACIEL, 2019).

De acordo com a especialista em LGPD, a advogada Mariana de Toledo, cerca de 45% dos casos de vazamento de dados são oriundos de causas internas - de um funcionário que agiu de má-fé ou que cometeu um erro por negligência.^[20] Sendo assim, é importante que dados sejam segregados fisicamente e logicamente e que funcionários tenham acesso apenas aos dados que, de fato, são necessários para que realizem suas funções.

4.8. Prevenção

Esse princípio versa sobre a necessidade da adoção de medidas de prevenção, visando a não ocorrência de danos aos titulares de dados decorrentes do tratamento de dados pessoais. Sobre isso, explana o Procurador do Estado do Paraná Eduardo Luiz Busatta:

Cumpre aos agentes de tratamento de dados, nessa perspectiva, a efetiva averiguação dos riscos que recaem sobre sua atividade, o mapeamento dos pontos críticos e a realização das ações necessárias à mitigação dos riscos. Exige-se do agente de tratamento de dados uma efetiva política de gestão de riscos, em sentido amplo, que vai muito além da segurança de hardware e software”. (BUSATTA, Eduardo Luiz. Do dever de prevenção em matéria de proteção de dados pessoais. In: EHRHARDT JÚNIOR, Marcos; CATALAN, Marcos; MALHEIROS, Pablo (Coord.). Direito Civil e tecnologia. Belo Horizonte: Fórum, 2020. p. 25-56. ISBN 978-65-5518-036-7)

Os princípios da segurança e da prevenção estimulam o emprego de meios que assegurem a inviolabilidade dos dados tanto pela via física quanto remota a fim de prevenir a ocorrência de danos e prejuízos aos usuários e à sociedade em geral.

A prevenção passa por uma implementação da cultura em um programa de governança em privacidade que, a partir da consciência de todos atores sobre o tema, minimiza riscos de incidentes. A LGPD não exige que a empresa não tenha nenhum incidente de segurança, mas exige que ela esteja prevenindo um incidente e saiba agir corretamente no caso de um, para que os danos causados sejam minimizados.

4.9. Adequação

De acordo com esse princípio, o tratamento deve ser compatível com a finalidade informada. É preciso buscar os meios e os momentos mais adequados para realizar a coleta do dado. Esse princípio, portanto, gera mais segurança para a empresa, ao diminuir o risco de exposição.

4.10. Livre Acesso

O titular deve possuir livre acesso (de forma fácil, livre e gratuita) a todos os seus dados que uma empresa ou órgão público detiver em seu banco de dados. É preciso resguardar esse direito de autodeterminação informativa aos titulares, isto é, os titulares devem possuir controle do que está sendo feito com os dados. Com a vigência da LGPD, agora é possível solicitar a uma empresa um parecer sobre os dados de uma pessoa (quais dados ela possui, por que eles estão lá, com quem eles são compartilhados, há quanto tempo eles estão no banco de dados, etc) e essa empresa deve fornecer de forma livre, fácil, segura e gratuita essas informações ao titular.

De acordo com o advogado Rafael Maciel, “o titular dos dados tem o direito a realizar consulta facilitada e gratuita sobre a forma e a duração do tratamento e sobre a integralidade dos dados pessoais” (MACIEL, 2019).

4.11. Responsabilização e Prestação de Contas

Esse princípio se baseia no princípio europeu da GDPR da responsabilidade disposto no artigo 24, que estabelece que “tendo em conta a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, bem como os riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis”, cabe ao responsável pelo tratamento aplicar “as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o Regulamento”.

O agente de tratamento de dados é considerado como o responsável por agir de forma a proteger os interesses dos titulares, de modo que possui a obrigação de adotar medidas eficazes contra os riscos envolvidos. Além disso, o órgão público/pessoa física com finalidade econômica/pessoa jurídica de direito privado podem precisar prestar contas, futuramente, sobre a sua forma de tratamento de dados - demonstração, pelo agente, de quais medidas de cumprimento das normas de proteção de dados pessoais foram tomadas e, inclusive, da eficácia das mesmas. Assim, é importante que as empresas tenham arquivado tudo o que foi feito em relação aos dados pessoais, de forma que tenham um dossiê detalhado e comprobatório de todas as medidas tomadas no passado e no presente. O Procurador Eduardo Luiz Busatta apresenta a seguinte explicação acerca deste princípio:

A responsabilização importa na imposição do dever de efetiva realização das medidas aptas ao cumprimento das normas de proteção de dados, o que importa dizer, em um reforço à concretização factual do respeito devido aos direitos dos titulares dos dados pessoais. Por ele, busca-se a materialização dos direitos, a adoção de medidas de aproximação do ser com o dever ser. Já a prestação de contas conduz à efetiva demonstração das medidas tomadas. Assim, não basta agir de forma oportuna e adequada. É necessário prestar contas, demonstrar – ao titular dos dados, às autoridades judiciária e administrativa – que medidas foram tomadas e qual é sua eficiência. (BUSATTA, Eduardo Luiz. Do dever de prevenção em matéria de proteção de dados pessoais. In: EHRHARDT JÚNIOR, Marcos; CATALAN, Marcos; MALHEIROS, Pablo (Coord.). Direito Civil e tecnologia. Belo Horizonte: Fórum, 2020. p. 25-56. ISBN 978-65-5518-036-7)

O agente de tratamento de dados deve ser capaz de demonstrar a sua conformidade não apenas à Autoridade Nacional de Proteção de Dados (ANPD), mas também aos clientes, público em geral, organizações profissionais e associações, empregados, parceiros comerciais, investidores, observatórios de proteção à privacidade e imprensa. Segundo o entendimento da professora Laura Schertel Mendes, diante da análise desse princípio, é possível concluir que existe um sistema de corregulação, em que

[...] a efetividade de proteção de dados não reside apenas em ampliar o controle do indivíduo, mas também em atribuir responsabilidade a toda a cadeia de agentes de tratamento de dados pelos riscos do processamento de informações. Isso se justifica pelo fato de que tais agentes têm mais condições de implementar medidas técnicas e organizativas capazes de proteger os dados pessoais dos titulares. (MENDES, Laura Schertel. A lei Geral de Proteção de Dados Pessoais: um modelo de aplicação em três níveis. Caderno Especial LGPD. p. 35-56. São Paulo: Ed. RT, novembro 2019)

Impera ressaltar que, em caso de algum incidente de segurança, como vazamento de dados, surge a obrigação para o controlador de comunicar o ocorrido aos titulares e à Autoridade Nacional de Proteção de Dados (ANPD), que pode determinar sanções ou a adoção de medidas para mitigar os efeitos do incidente.

5. BASES LEGAIS

Bases legais são as hipóteses que a Lei trouxe para  autorizar que as empresas possam tratar dados. Em outras palavras, as bases justificam a fundamentação do tratamento.Para dados pessoais sensíveis, há uma restrição no uso de bases legais passíveis de serem utilizadas.

A LGPD apresenta o tratamento de dados como justificativa para o crescimento empresarial e para que as empresas atinjam os seus objetivos. Entretanto, todas as vezes em que dados forem tratados, é necessário que sejam levadas em consideração dez hipóteses que autorizam o tratamento. Caso não seja possível enquadrar a finalidade do tratamento de dados em alguma das bases legais, significará que o tratamento que o agente está executando não está em conformidade com a lei e que não poderá ser feito. Dessa forma, toda vez que for realizado o tratamento de um dado, é preciso uma finalidade e, para essa finalidade específica, deve ser encontrada uma hipótese na qual a lei autorize o tratamento.

É importante ressaltar que as bases legais não se sobrepõem, ou seja, não existe uma base legal principal e outras subsidiárias. Todas têm equiparação de efeitos, de forças, sendo que a empresa precisará utilizar qualquer uma delas para fundamentar cada finalidade do tratamento.

É necessário que se verifique qual das bases se encaixa como a mais adequada para aquela situação específica. Conforme o Portal da Privacidade, desenvolvido pelo escritório paulista Opice Blum, Bruno Abrusio e Vainzof Advogados Associados, na iniciativa privada, de acordo com levantamento realizado em agosto de 2019, 33% das atividades de tratamento de dados pessoais encontram fundamento no legítimo interesse, 32% em execução de contrato, 18% em cumprimento de obrigação legal ou regulatória e 8% no consentimento do titular.^[21]

5.1. Consentimento

A LGPD entende que há consentimento válido quando um titular de dados consente expressamente com a entrega e com o tratamento de dados, ou seja, quando ele livremente entrega seus dados, plenamente consciente do que aquilo significa do que será feito com eles. Quando o tratamento de dados envolver o compartilhamento destes com algum outro controlador, deve haver consentimento específico para que possa haver tal compartilhamento, ressalvadas as hipóteseslegais de dispensa de consentimento, respeitados, sempre, os princípios apresentados na lei.

As políticas de privacidade que são apresentadas em forma de contratos muito longos e possuem uma linguagem arcaica são inadequadas e não são aceitas pela LGPD como uma forma válida de consentimento, tendo em vista que a imensa porcentagem das pessoas que concorda com os termos e condições não lê realmente o documento. O ideal é que se busque o melhor e mais viável meio para obter esse consentimento, levando em consideração o porte da empresa e a tecnologia disponível.

Dessa forma, deve-se destacar que o consentimento deve ser livre, inequívoco, específico, informado e explícito. De acordo com o artigo 7º do GDPR, o pedido de consentimento deve ser conciso, transparente, inteligível e acessível.^[22] Além disso, o consentimento deve ser dado de modo inequívoco e poderá ser revogado a qualquer tempo:

As empresas que forem responsáveis por bancos de dados terão que criar estruturas tecnológicas que garantam o arquivamento do consentimento, assim como o cumprimento de outros direitos agora assegurados ao titular. De acordo com as regras anteriores, o consentimento deveria ser prévio e expresso, ou seja, fornecido em momento anterior ao início do tratamento e de maneira manifesta pelo titular dos dados. Agora, no entanto, com a qualificação de “livre, informado e inequívoco” (e, em alguns casos, específico), o consentimento deve ser concedido sem qualquer vício de vontade, com o titular munido de todas as informações necessárias para fornecê-lo e de maneira inequívoca. Ou seja, o foco do legislador está na consciência do titular dos dados em relação ao que será feito com seus dados pessoais pelos controladores e exige transparência dos controladores em relação a essa questão. Na nova lei, o consentimento abandona sua posição central na proteção de dados brasileira e se coloca de maneira horizontal em relação às demais hipóteses de tratamento elencadas (EJNISMAN; LACERDA, 2019).

No tocante ao consentimento e ao controle das informações pessoais, já existe entendimento no sentido de que, como a LGPD garante às pessoas naturais o controle sobre suas informações pessoais, caberá aos indivíduos decidir as informações que deverão ser submetidas ao público em geral.

O que se percebe, portanto, é que a LGPD é calcada na ideia de direito à autodeterminação informativa, que, como corolário dos direitos humanos, consiste em garantir às pessoas naturais o controle sobre suas informações pessoais, cabendo aos indivíduos a decisão sobre quais de suas informações devem ser submetidas ao público”. (CYRINO; LEITE, 2018, p. 405-406).

Assim, a LGPD dispensa o consentimento para os dados tornados manifestamente públicos pelo titular, sem prejuízo da observância dos princípios e garantias previstas. Além disso, o titular poderá revogar a qualquer tempo o seu consentimento, exceto quando o consentimento for dispensável. Essa revogação poderá ser requerida por meio de manifestação expressa do titular, por procedimento gratuito e facilitado. Além disso, o titular também poderá solicitar a exclusão de suas informações dos bancos de dados. Enquanto o consentimento possibilita o controle preventivo, a revogação permite o controle posterior do fluxo de dados pessoais, tendo em vista que o titular pode concluir que o tratamento não é adequado ou não atende mais aos seus interesses.

5.2. Obrigação Legal

Obrigação Legal é quando há uma lei, um instrumento normativo, um regulamento, uma portaria, uma norma ou uma Medida Provisóriaque obrigue o tratamento de dados pessoais. Nesses casos, não é preciso ter consentimento do titular, quando, por exemplo, uma lei obriga a empresa a coletar, armazenar ou transferir alguns dados específicos e, caso a empresa não faça isso, estará infringindo a legislação. Para estes casos, a solicitação de consentimento dos titulares se torna dispensável.

A Lei nº 13.787 de 27 de dezembro de 2018 determina que médicos e hospitais devem armazenar prontuários médicos pelo período de 20 anos para garantir a segurança futura do paciente. Por mais que o paciente deseje que algum prontuário seu seja removido, a vontade dele não será acatada devido a uma obrigação legal.

Outro exemplo é a determinação da CLT de quais dados devem constar na carteira de trabalho. Então, por mais que o funcionário não queira fornecer alguns dados, ele precisa os fornecer, porque há uma obrigação legal pré-existente. Outros exemplos: no momento de criação de um documento de identidade deve haver o fornecimento de determinados dados, no momento em que duas pessoas se casam, etc.

5.3. Processo Judicial ou Exercício Regular do Direito em Processo

A ideia por trás dessa base legal é de resguardo ao direito constitucional de acesso à Justiça, para mover ou se defender de uma ação judicial, seja em processos administrativos, judiciais e arbitrais. Para que as pessoas possam exercer esse direito de acesso à Justiça, de contraditório, ampla defesa, previstos na constituição, a pessoa tem a autorização para tratar dados para a finalidade de processos judiciais, administrativos e arbitrais. Com isso, faz-se desnecessário o consentimento do titular para que seus dados sejam utilizados para iniciar um processo contra ela.

Devemos ressaltar que não é possível afirmar se essa base autoriza servidores públicos, como juízes, promotores e defensores públicos, servidores de tribunais, por exemplo, a terem acesso a esses dados. A ANPD ainda completará as lacunas dessa base legal, contudo, adota-se o entendimento de que esses servidores precisam desse acesso especificamente para exercerem a designação de suas profissões - resguardar o acesso do titular à justiça, de forma que se espera que tais profissionais recebam a autorização.

5.4. Execução de Contrato

Não é preciso o consentimento do titular quando estão sendo tratados os dados para executar um contrato, ou seja, toda vez que houver uma obrigação advinda de um contrato e, para que aquela obrigação seja cumprida for necessário o tratamento de dados, essa base legal poderá ser utilizada. Existem muitas situações em que dados precisam ser transferidos para que seja entregue ao titular o serviço que ele contratou, é o caso de dados de terceiros, como, por exemplo, uma cerimonialista que necessita de dados dos noivos, convidados e para tratar com os fornecedores, ou dos aplicativos de delivery, que precisam transferir certos dados do titular para o restaurante e para o motoboy.

Portanto, quando houver um terceiro envolvido em uma relação contratual e o titular não fechar um serviço diretamente com esse terceiro, a base legal da execução de contrato servirá para a transferência de dados.

5.5. Pesquisa

A base legal de pesquisa é utilizada estritamente para situações de pesquisas - científicas, acadêmicas, históricas, tecnológicas etc. -, somente por órgãos específicos e o tratamento desses dados também precisa ser direcionado por um órgão de pesquisa.

Impera ressaltar que a LGPD especificou que a empresa deve possuir pesquisa em seu objeto social (seja no CNPJ ou no contrato/estatuto social), sendo que essas empresas, destinadas à pesquisa, não possuem fins lucrativos.

[...] XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico[...].^[23]

5.6. Políticas Públicas

A base legal das políticas públicas é utilizada para realização de políticas públicas, previstas em leis/regulamentos ou respaldadas em contratos públicos.  Essa base legal só pode ser usada pelos órgãos da administração pública, que, por sua vez, só podem tratar os dados com o objetivo de desenvolver políticas públicas.

Um exemplo de aplicação dessa base legal seria o caso de uma prefeitura querer melhorar o mapeamento das áreas de possíveis enchentes e alagamentos ou melhorar a qualidade do transporte público e, para isso, é autorizada pela base legal a fazer pesquisas na cidade sobre dados na relação de seus cidadãos.

5.7. Proteção da Vida

A base legal de proteção da vida dá embasamento para qualquer pessoa tratar os dados do titular caso ele esteja em risco iminente de vida, ou seja, caso essa pessoa esteja tentando proteger a vida do titular que tem risco real e concreto de vida. É importante ressaltar que não é preciso de consentimento quando se tratar dados para proteger a vida ou a integridade física de uma pessoa ou de um terceiro. Porém, isso só pode ser feito quando a vida de uma pessoa estiver em risco iminente, ou seja, se o dado não for tratado naquele exato momento, a vida daquela pessoa está seriamente em risco.

A situação da proteção da vida deve ser concreta e não abstrata. Um exemplo é o caso de ocorrer durante um vôo alguma emergência com uma pessoa que não tenha preenchido a informação do contato de emergência. Nessa situação a companhia aérea pode acessar seu banco de dados e verificar se há algum contato que essa pessoa informou no passado. Caso haja algum, a empresa pode coletar e usar aquele dado (que foi consentido no passado), com justificativa, no presente, na base legal de proteção da vida, já que, agora, não é necessário o consentimento do titular tendo em vista que o não tratamento daquela informação pode ser danoso à vida da pessoa.

5.8. Tutela da Saúde

Essa é uma base legal que legitima o tratamento de dados pessoais, quando este possibilitar que serviços ligados à saúde de um titular ocorram. Ou seja, essa base é para serviços de hospitais, consultas médicas, exames.

No art. 7º, inciso VIII, é informado que o tratamento de dados poderá ser feito “para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária". Contudo, a Autoridade Nacional de Proteção de Dados ainda editará qual é o escopo de profissionais abrangido pela lei, tendo em vista que a redação do artigo abre margem para diferentes interpretações. Até o momento, os profissionais do direito buscam auxílio em outras legislações consolidadas para fazer a interpretação dessa base legal.

5.9. Proteção do Crédito

Diferentemente de qualquer outro país, essa base legal está presente unicamente na legislação de proteção de dados do Brasil, em função do lobby massivo feito pelas instituições financeiras a fim de possuírem uma base legal. A base legal de proteção do crédito define que as instituições financeiras poderão tratar dados com o objetivo de proteger o crédito, ou seja, para justificar e autorizar o tratamento de dados para evitar situações de inadimplência. Os bancos e instituições de crédito, então, utilizarão dessa base legal visando a proteção do crédito e da própria instituição (de um possível não pagamento por um titular, por exemplo).

5.10. Legítimo Interesse

A base legal do legítimo interesse pode ser usada para apoiar a promoção das atividades da empresa, ou seja, para fomentar o modelo de negócio da empresa. Essa base é de uso exclusivo de membros da iniciativa privada, para pessoas jurídicas de direito privado e pessoas físicas que tratam dados com finalidade econômica.

Essa base legal será utilizada nas situações em que empresas e/ou pessoas precisarem tratar determinados dados, sempre se atentando para a justificativa e a necessidade - se é para promover seus interesses, para alcançar seus objetivos, para inovar, empreender, gerar empregos, movimentar a economia etc., e a empresa não conseguir encaixar aquele tratamento em nenhuma outra base legal.

Entretanto, para utilizar essa base legal, é necessário que a empresa realize o Teste do Legítimo Interesse, conhecido como LIA (Legitimate Interests Assessment). Caso a finalidade passe pelas quatro fases citadas a seguir, o interesse é legítimo e o tratamento de dados pode ser feito com essa base legal:

a)      Legitimidade do interesse: O que a empresa pretende fazer com os dados é legal? O ordenamento jurídico veda que a empresa faça isso?

b)     Necessidade: O dado a ser tratado é necessário? Preciso do tratamento do dado para atingir a finalidade que eu tenho como objetivo? Existe alguma outra base legal que eu possa usar se não essa?

c)      Balanceamento: Existe uma legítima expectativa do titular, no que se refere ao objetivo da execução do que a empresa planeja? Deve ser realizado um balanceamento dos interesses da empresa com os direitos e liberdades fundamentais dos titulares.

d)     Salvaguardas: É preciso resguardar transparência ao titular e que sejam utilizados mecanismos que protejam os dados e garantam a oposição ao tratamento de dados por parte do titular. Caso o titular opte pela exclusão dos dados dele, por exemplo, ele deve possuir essa opção gratuita e facilitada. O controlador, então, deverá realizar o descadastramento daquela pessoa, removendo seus dados do banco. Dessa forma, ele estará exercendo seus direitos e praticando efetivamente o princípio da transparência.

Quando o tratamento a ser realizado é de dados pessoais comuns são dispostas dez bases legais, sendo possível usar qualquer uma para justificar o tratamento de dados. Contudo, quando o tratamento a ser feito é de dados pessoais sensíveis, há uma diferenciação e restrição no uso das bases.

A primeira diferenciação é a de que a base legal do consentimento se sobrepõe a todas as outras. Dessa forma, quando a natureza do dado for sensível, a primeira base legal a ser procurada é a do consentimento. Contudo, se o consentimento for extremamente oneroso para as duas partes ou não for possível de ser realizado, há a busca por outra base que legitime o tratamento do dado de forma subsidiária. Além disso, a redação da base legal de execução de contratos, quando estamos falando de dados sensíveis, muda sua redação e essa base legal é incluída como "exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral".

Portanto, quando é feito um tratamento de dados, a primeira coisa a ser analisada deve ser sempre a natureza do dado, ou seja, a categoria do dado pessoal (comum ou sensível) para que posteriormente seja feita a análise de qual base legal é a mais adequada.

5.11. Proteção à Fraude

Verifica-se que, em relação a dados sensíveis, não existe legítimo interesse do controlador, proteção ao crédito ou execução de contrato (expressamente). Em contrapartida, surge uma nova base legal: Proteção à Fraude.

Essa base legal é aplicável somente a dados sensíveis no caso de utilização de dados biométricos para proteger o titular de alguma fraude como, por exemplo, biometria em bancos.

6. CASOS DE ABUSO DE TRATAMENTO DE DADOS

6.1. Edward Snowden

Edward Snowden era um empregado da empresa Dell que trabalhava em escritórios da Agência de Segurança Nacional dos Estados Unidos (NSA, em inglês) com total acesso às informações coletadas.^[24] Ele revelou em junho de 2013 como os Estados Unidos espionava seus cidadãos e de outros países, incluindo chefes de Estado, através da Internet e de escutas telefônicas. Esse caso evidenciou a forte relação da Agência de Segurança Nacional dos Estados Unidos, um órgão público, com empresas privadas.

Dentre as denúncias feitas por Snowden, a que mais se destacou foi sobre o programa PRISM, que coletava dados diretamente de servidores de empresas como Facebook, Google, Apple, Yahoo! e Microsoft. Inicialmente, as empresas negaram fornecer acesso aos seus servidores, porém Glenn Greenwald, jornalista britânico que trabalhou com Snowden na divulgação do caso, revelou em seu livro “No Place to Hide: Edward Snowden, the NSA, and the U.S. Surveillance State” (Sem lugar para se Esconder) que o governo procurou essas empresas para garantir uma certa “cooperação”.^[25]

O Brasil foi um alvo importante dessa espionagem, incluindo a Petrobras e a então Presidente Dilma Rousseff. O caso provocou um grande distanciamento diplomático com os Estados Unidos, tendo a presidente à época cancelado sua visita de Estado à Casa Branca e posteriormente utilizado como pauta em discurso na Assembleia Geral da ONU do mesmo ano^[26], enfatizando a necessidade de esforços multilaterais:

As tecnologias de informação e comunicação não podem ser o novo campo de batalha entre os Estados. Esse é o momento de criarmos as condições para evitar que o espaço cibernético seja instrumentalizado como arma de guerra, por meio da espionagem, da sabotagem, dos ataques contra sistemas e infraestrutura de outros países. A ONU deve desempenhar um papel de liderança no esforço de regular o comportamento dos Estados frente a essas tecnologias, e a importância da Internet, dessa rede social, para a construção da democracia no mundo”. (ROUSSEFF, 2013).

6.2. Cambridge Analytica

Houve um aumento na preocupação com a proteção de dados, principalmente após o escândalo de vazamento de dados do Facebook, a mais famosa rede social mundial que possui informações privadas de milhões de usuários, as quais foram compartilhadas indevidamente com a empresa britânica de big data e marketing político Cambridge Analytica, gerando um grande conflito sociopolítico, com grande reflexo nas eleições presidenciais norte-americanas em 2016 e na saída do Reino Unido da União Europeia.

A Cambridge Analytica era uma empresa de consultoria, criada em 2014, voltada ao data marketing, ou seja, a empresa, através de conteúdo online, criava propagandas altamente direcionadas (microtargeted content), utilizando dados para alterar comportamentos de audiências. A empresa trabalhou com o time responsável para a campanha de Donald Trump nas eleições de 2016, nos Estados Unidos, e na Europa a empresa foi contratada pelo grupo que promovia o Brexit (a saída do Reino Unido da União Europeia). O responsável por revelar a prática, capaz de usar os dados coletados para criar um sistema que permite predizer e influenciar as escolhas dos eleitores, foi o funcionário da empresa Christopher Wylie.

Um pesquisador associado à Universidade de Cambridge, Aleksandr Kogan, havia criado um mecanismo onde certos aplicativos dentro da plataforma Facebook colhiam dados dos usuários sem consentimento (curtidas, postagens e mensagens privadas), além de coletar também dados dos amigos do usuário que utilizou o aplicativo por meio de uma brecha nas normas do Facebook. Kogan vendeu seu trabalho para a Cambridge Analytica, que então utilizou os dados coletados para identificar grupos específicos de eleitores e exibir em cada grupo específico mensagens que influenciaram as votações políticas.

Mark Zuckerberg, CEO do Facebook, ao ser convocado a depor no Congresso estadunidense e no Parlamento britânico, recusou o último, mas compareceu a dois dias de depoimentos em Washington. Ao ser questionado em seu depoimento, o CEO admitiu que, antes da revelação pelo funcionário da consultoria, já tinha conhecimento que dados de seus usuários haviam sido coletados indevidamente, mas confiou na Cambridge Analytica para solucionar a questão e colocar fim ao uso indevido dos dados. Na audiência do dia 27 de julho de 2020 sobre o monopólio do Facebook, Google, Amazon e Apple, Mark disse que “estavam focados em combater a interferência nas eleições e comprometidos na luta contra o discurso de ódio”^[27]. O CEO também afirmou que desde 2016 a empresa adota um sistema de inteligência artificial altamente sofisticado que trabalha juntamente com a polícia e agências de inteligência do governo americano para identificar ameaças não só nos Estados Unidos, mas em todo o mundo.

Apesar de ainda ser discutido o quanto as estratégias utilizadas pela consultoria, favoráveis a saída do Reino Unido da União Europeia e ao candidato eleito Donald Trump, efetivamente afetaram os processos democráticos, o uso indevido de dados sem o consentimento dos usuários recaiu sob a responsabilidade do Facebook. O atual chefe de campanha de Donald Trump, Steve Bannon, e diretor da campanha digital de 2016, alegou, na época, ter publicado 5,9 milhões de anúncios no Facebook, em contraste com os 66.000 de Hillary Clinton.^[28]

Alexander Nix, ex-CEO da Cambridge Analytica, apresentou uma declaração dizendo que licenciaram legalmente os dados do Facebook, que apenas fizeram uma proposta de trabalho para o “Leave.EU”, campanha fundada para organizar a saída do Reino Unido no referendo de 2016, e que não utilizaram a liquidação da empresa na época do escândalo para fugir das responsabilidades legais.

A investigação, resultado da denúncia dos jornais The New York Times e The Guardian, também chegou à Comissão Federal de Comércio (FTC), órgão que supervisiona práticas em relação ao consumidor, e ficou constatado que havia ocorrido caso semelhante de coleta ilegal de dados do Facebook em 2011 e já haviam sido acordadas algumas diretrizes em relação ao uso dos dados pessoais coletados, o que culminou na multa de US$5 bilhões em 2019. A FTC também chegou a um acordo no início de 2019 com Alexander Nix e com o desenvolvedor de aplicativos Aleksandr Kogan, exigindo que eles apaguem ou destruam qualquer informação pessoal que tenham coletado.

Quanto aos depoimentos frente ao Congresso norte-americano, ficou clara a tentativa de regulação por parte de alguns parlamentares, que deixaram o CEO desconfortável e fornecendo respostas insatisfatórias. Por outro lado, vários políticos ali presentes demonstraram grande desconhecimento sobre o funcionamento do Facebook, o que contribuiu para inviabilizar alguma possível regulação.

Estima-se que 87 milhões de informações pessoais foram coletadas pela empresa britânica indevidamente, segundo a revista Exame, demonstrando a necessidade iminente de haver maior proteção das empresas em relação aos dados de seus usuários.^[29] No início de 2018 foi noticiado que o governo norte-americano estava estudando a criação de uma lei de proteção de dados, juntamente com o setor privado. Como o caso com a Cambridge Analytica só foi revelado em 2018, os níveis de confiança dos usuários no Facebook eram altos até 2017, na faixa de 79%, caindo para 27% um ano depois.^[30]

O Ministério Público do Distrito Federal e Territórios (MPDFT), por meio da Comissão de Proteção de Dados Pessoais, que tem como objetivo orientar sobre as políticas públicas e normas de segurança visando a integridade das informações pessoais dos brasileiros, abriu um inquérito sobre o uso de dados de brasileiros pela Cambridge Analytica, tendo em vista que a empresa de consultoria começou a operar no Brasil em 2017, ou seja, um ano antes das eleições presidenciais. Diante do fato de que cerca de 443 mil usuários brasileiros estavam envolvidos no caso do vazamento de dados, o Ministério da Justiça e Segurança, com base no Código de Defesa do Consumidor, aplicou multa de R$ 6,6 milhões ao Facebook em processo que investigou o compartilhamento indevido de dados de usuários pela consultoria de marketing político da Cambridge Analytica, concluindo pela existência de prática abusiva por parte do Facebook.^[31] Conforme a decisão, o Facebook Inc. e Facebook Serviços Online do Brasil se enquadram como fornecedores, nos termos do artigo 3º do Código Do Consumidor^[32],

[...] na medida em que colocam à disposição dos consumidores brasileiros os serviços e produtos associados à plataforma Facebook, sendo aqueles, a priori, destinatários finais de tais serviços e produtos, ainda que esses últimos não sejam remunerados pelos consumidores”.

De acordo com o governo brasileiro, o Facebook também falhou ao não oferecer informação adequada aos seus usuários, a respeito das consequências do padrão de configuração de privacidade, especialmente quanto aos dados dos amigos e amigos de amigos dos usuários e a relação com os dados compartilhados com desenvolvedores de aplicativos que tais amigos viessem a utilizar.

No Reino Unido, o Facebook aceitou pagar em outubro uma multa de 500 mil libras (cerca de 580 mil euros ou R$ 2,58 milhões) pelo escândalo da Cambridge Analytica. A Itália, por sua vez, multou o Facebook em 10 milhões de euros por conta do escândalo Cambridge Analytica.^[33]

No segundo semestre de 2018, o Facebook reconheceu o vazamento de fotos de mais de 6,8 milhões de usuários, quando um erro permitiu que outros aplicativos acessassem fotos postadas na rede social sem o intuito de compartilhamento com amigos ou outros usuários.^[34] Também foi anunciada uma falha de segurança que expôs cerca de 50 milhões de usuários da rede social, mas não foram indicados quais dados dos usuários foram acessados por hackers.^[35]

Depois dos recentes ocorridos, o Facebook aumentou a recompensa que paga a pessoas que encontram bugs na plataforma. A rede social foi uma das primeiras grandes empresas do setor de tecnologia a trabalhar com o sistema de "caça de erros" (bug bounty), que premia terceiros que encontrem bugs e notifiquem a plataforma. Desde que foi instalado em 2011, o programa já pagou mais de US$ 7,5 milhões, tendo sido pagos cerca de US$ 1,1 milhão em prêmios em 2018 e o maior valor individual, US$ 50 mil.

6.3. Uber

Em outubro de 2016, a plataforma Uber sofreu um ataque cibernético e 57 milhões de pessoas, entre passageiros e motoristas, tiveram seus dados roubados. A situação foi denunciada por Dara Khosrowshahi, CEO do aplicativo desde agosto de 2017, que informou que, em novembro de 2017, a empresa de transporte executivo pagou US$ 100 mil aos hackers para que eles ficassem em silêncio e apagassem os dados.

O aplicativo informou que duas pessoas de fora da empresa tiveram acesso aos dados dos usuários, que estavam armazenados em um serviço de nuvem terceirizado. As informações roubadas incluíam nomes, endereços de e-mail e números de telefone de usuários da Uber, além de nomes e números de licenças de 600 mil motoristas dos EUA. De acordo com o CEO, o antigo presidente e fundador da empresa, Travis Kalanick, já havia se envolvido em outros escândalos de falta de ética nos negócios.^[36] O diretor de segurança da empresa Joe Sullivan também foi demitido.

Na Austrália, cerca de 1,2 milhão de utilizadores tiveram seus dados pessoais comprometidos e estima-se que 196 mil usuários brasileiros tiveram dados pessoais expostos.^[37] Diante disso, a Uber firmou um acordo com a Comissão de Proteção dos Dados Pessoais do Ministério Público do Distrito Federal e Territórios (MPDFT), notificando todos os atingidos em solo brasileiro através de e-mails para os clientes, informando sobre o ocorrido e pedindo desculpas pelo inconveniente, garantindo não ter havido qualquer fraude com tais dados.

Já no acordo firmado entre a Uber e os 50 estados americanos e o Distrito de Columbia, a empresa admite a responsabilidade, se compromete a informar eventuais incidentes futuros e a pagar US$ 148 milhões de multa.^[38] Visando melhorar a segurança dos usuários, a Uber contratou um diretor de privacidade e um diretor de confiança e segurança, como informado pelo diretor jurídico da empresa, Tony West.

6.4. App Joe Biden

No dia 11 de setembro de 2020 houve uma falha no aplicativo oficial de campanha do então candidato à presidência dos Estados Unidos Joe Biden e dados pessoais sensíveis relativos à opção de voto de milhares de americanos foram expostos. O aplicativo permitia que o apoiador incentivasse familiares e amigos a votar no candidato ao fazer o download da sua lista telefônica, para saber quais conhecidos também eram apoiadores do candidato.

O aplicativo carregava e combinava os contatos do usuário com os dados do eleitor fornecidos pela TargetSmart, uma empresa de marketing político que afirma ter arquivos sobre mais de 191 milhões de americanos. Quando uma correspondência na lista de contatos era encontrada, o aplicativo exibia o nome do eleitor, idade e aniversário, e em qual eleição recente ele votou. De acordo com o aplicativo, isso ajuda os usuários a encontrar pessoas que você conhece e os encoraja a se envolver. Embora muitos desses dados já possam ser públicos, a falha tornou fácil para qualquer pessoa acessar as informações de qualquer eleitor usando o aplicativo.

A empresa App Analyst, descobriu que poderia enganar o aplicativo para obter as informações pessoais criando um contato em seu telefone com o nome completo do eleitor. Além disso, também foi descoberto que o aplicativo extrai muito mais dados do que realmente exibe. Ao interceptar os dados que entram e saem do dispositivo, ele viu informações muito mais detalhadas e privadas, incluindo o endereço residencial do eleitor, data de nascimento, sexo, etnia e filiação a partidos políticos, como republicano ou democrata.

A campanha Biden corrigiu a falha e lançou uma atualização do aplicativo no mesmo dia em que foi identificado o erro. O porta-voz da campanha de Biden, Matt Hill, disse:

Fomos informados sobre como nosso desenvolvedor de aplicativos terceirizado estava fornecendo campos adicionais de informações de dados disponíveis comercialmente que não eram necessários. Trabalhamos com nosso fornecedor rapidamente para corrigir o problema e remover as informações. Estamos comprometidos em proteger a privacidade de nossa equipe, voluntários e apoiadores sempre trabalharão com nossos fornecedores para isso. (WHITTAKER, Zack. A bug in Joe Biden’s campaign app gave anyone access to millions of voter files. TechCrunch, 14 de setembro de 2020. Disponível em: https://techcrunch.com/2020/09/14/biden-app-voter-files/?guccounter=1. Acesso em: 30 set. 2020.)

Conforme Mike Czin, o porta-voz da TargetSmart, o erro foi cometido por um desenvolvedor progressivo de aplicativos que permitiu que uma quantidade limitada de dados disponíveis estivesse acessível a outros usuários, contudo, o problema foi identificado e corrigido rapidamente.

É usual que as campanhas políticas americanas comercializem e compartilhem grandes quantidades de informações do eleitor, chamadas de arquivos eleitorais, que incluem informações básicas como o nome do eleitor, geralmente endereço residencial e informações de contato e partidos políticos nos quais os titulares dos dados estão registrados. Embora muitos desses dados possam estar disponíveis publicamente, as empresas políticas tentam enriquecer seus bancos de dados com dados adicionais de outras fontes para ajudar as campanhas políticas a identificar e direcionar eleitores decisivos.

Contudo, lapsos de segurança envolvendo esses vastos bancos de dados, como essa falha no aplicativo de Joe Biden, levam ao questionamento da capacidade de as empresas políticas conseguirem manter esses dados seguros.Outra situação de vazamento de dados envolvendo a TargetSmart ocorreu em 2017, quando um arquivo com dados de cerca de 600.000 eleitores do Alasca foi compilado e deixado em um servidor exposto sem uma senha. Também relacionado à empresa, recentemente em 2018, cerca de 15 milhões de registros de eleitores do Texas foram encontrados em um servidor exposto e não seguro, poucos meses antes das eleições de meio de mandato nos EUA.

7. CONSIDERAÇÕES FINAIS

O compartilhamento de dados surge como uma preocupação no cenário jurídico em razão dos desdobramentos da conectividade e da grande troca de informações e armazenamento de dados por empresas, intensificados na medida em que mais equipamentos têm a possibilidade de interação virtual, o que impacta os direitos constitucionais de privacidade e dados pessoais, tais como preferências, localizações, rotinas e informações confidenciais. Nesse contexto, o Direito brasileiro tenta acompanhar as mudanças sociais e tem dado passos para a evolução do Direito Eletrônico e suas aplicações. Por ainda ser um tema novo na seara jurídica, muito deve se aprofundar no assunto, e ainda surgirão doutrinas e jurisprudências que solidificarão entendimentos práticos sobre a questão.

Após essa análise da Lei Geral de Proteção de Dados e diante dos casos apresentados, entende-se que os dados pessoais, tidos como uma extensão da personalidade, merecem proteção adequada, compatível com sua superioridade hierárquica substancial, com relação aos interesses meramente econômicos dos agentes de tratamento. Dessa forma, caberá à doutrina e à jurisprudência densificar e concretizar os princípios definidos na lei, a fim de que sejam aprimoradas boas práticas e tecnologias de tratamento de dados pessoais seguras e éticas, de acordo com a legítima expectativa, evitando, com isso, que ocorram lesões aos direitos dos titulares durante o tratamento dos dados.

O campo que a LGPD visa regular avança a passos largos, dificultando o acompanhamento pelo Direito, o que torna regulações mais minuciosas rapidamente obsoletas. Dessa forma, a técnica legislativa adotada pela nova lei é adequada para o contexto, tendo em vista que se vale de princípios, que permitem, diante de sua amplitude semântica e vagueza conceitual, o estabelecimento de procedimentos flexíveis de regulação, o que é imprescindível ao tratar de dados pessoais.

A LGPD terá um impacto na sociedade como poucas leis tiveram, uma vez que, hoje, praticamente toda e qualquer prática se vale do uso de dados pessoais. Em uma época de grandes vazamentos de informações e escândalos quanto ao uso indevido de dados pessoais, como apresentado, adequar-se às leis se torna uma necessidade e até mesmo uma vantagem competitiva por aumentar a confiança do consumidor nas empresas em conformidade. Empresas de todos os setores terão que se adaptar, e uma nova cultura sobre o uso adequado de dados deverá ser formada, o que não será fácil, tendo em vista que o Brasil está no início da vigência da lei, diferentemente de outras regiões do mundo, como a Europa.

A LGPD sofreu uma grande influência do Regimento Geral de Proteção de Dados da União Europeia de uma forma benéfica, tendo em vista que diante de uma matéria pouco regulada tanto no Brasil como em outros países, esta última serviu de referência para a elaboração da lei brasileira. Também deve ser ressaltado que, apesar de já ter sido iniciado o processo de implementação da nova lei no Brasil, ainda há regulações a serem estipuladas pela ANPD, que também devem ser favorecidas pelas experiências e inovações legislativas de países que estão avançando nesse campo.

Diante do contexto atual de intensas mudanças, mas muita insegurança sobre quais serão os padrões aceitáveis pela ANPD, espera-se que sejam suficientes as medidas estabelecidas para a proteção dos usuários e seus dados pela Lei Geral de Proteção de Dados, bem como seja realizada a aplicação das responsabilizações por infrações cometidas por empresas ou órgãos públicos, a fim de que seja resguardado o direito constitucional da privacidade.

REFERÊNCIAS

AGRELA, Lucas Agrela. O escândalo de vazamento de dados do Facebook é muito pior do que parecia. Exame, 6 abr, 2018. Disponível em: https://exame.com/tecnologia/o-escandalo-de-vazamento-de-dados-do-facebook-e-muito-pior-do-que-parecia/ Acesso em: 25 set. 2020.

BIONI, Bruno Ricardo. Compreendendo o conceito de anonimização e dado anonimizado. 2019. Disponível em: http://www.tjsp.jus.br/download/EPM/Publicacoes/CadernosJuridicos/ii_9_anonimiza%C3%A7%C3%A3o_e_dado.pdf?d=637250349860810398. Acesso em: 17 set. 2020.

BLUM, Opice, Renato Muller da Silva.  GDPR –General Data Protection Regulation: destaques da regra europeia e seus reflexos no Brasil. DSpace ALMG. Disponível em: http://dspace.almg.gov.br/handle/11037/28636. Acesso em: 17 set. 2020

BRASIL. Constituição da República Federativa do Brasil de 1988. In: Vade mecum saraiva compacto. 21. ed. São Paulo: Saraiva Educação, 2019.

BRASIL. Lei nº 12.737, de 30 de novembro de 2012. Lei Carolina Dieckmann. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2012/lei/l12737. Acesso em: 17 set. 2020.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Marco civil da internet. Vade Mecum saraiva compacto. 21. ed. São Paulo: Saraiva Educação, 2019.

BRASIL. Lei n° 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm. Acesso em: 17 set. 2020.

BRASIL.Superio Tribunal Federal, Tribunal Pleno, Recurso Extraordinário n^o. 418.416, 10, maio, 2006. Disponível em: http://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=AC&docID=395790. Acesso em: 17 set. 2020.

BROTTO, Natália; CAMARGO, Pedro Henrique Dalgallo. Autoridade Nacional de Proteção de Dados, aspectos pendentes de regulação e cultura de proteção de dados. In: PIRONTI, Rodrigo (Coord.). Lei Geral de Proteção de Dados: estudos sobre um novo cenário de Governança Corporativa. Belo Horizonte: Fórum, 2020. p. 91-103. ISBN 978-65-5518-043-5.

BUSATTA, Eduardo Luiz. Do dever de prevenção em matéria de proteção de dados pessoais. In: EHRHARDT JÚNIOR, Marcos; CATALAN, Marcos; MALHEIROS, Pablo (Coord.). Direito Civil e tecnologia. Belo Horizonte: Fórum, 2020. p. 25-56.

CALIFORNIA Consumer Privacy Act. Lei de Privacidade do Consumidor da Califórnia. 24 de setembro de 2018. Disponível em: https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB112. Acesso em: 04 out. 2020

CANABARRO, Diego R. A contribuição do Brasil para o Marco Civil da Internet na Itália. Disponível em: http://observatoriodainternet.br/post/a-contribuicao-do-brasil-para-o-marcocivil-da-internet-na-italia. Acesso em: 18 set. 2020.

CASTRO, Bárbara Brito de. Direito digital na era da internet das coisas. Revista Fórum de Direito na Economia Digital. Belo Horizonte, ano 3, n. 04, p. 79-98, jan./jun. 2019.

CAVALCANTI, Natália. A Lei Geral de Proteção de Dados do Brasil na era do big data. Belo Horizonte: Tecnologia Jurídica & Direito Digital – Editora Fórum, 2018.

CNJ. Recomendação nº 73. Recomenda aos órgãos do Poder Judiciário brasileiro a adoção de medidas preparatórias e ações iniciais para adequação às disposições contidas na Lei Geral de Proteção de Dados – LGPD. Disponível em: https://atos.cnj.jus.br/atos/detalhar/3432. Acesso em: 22 ago. 2020.

CIRIACO, Douglas. Vazamento de dados da Uber atingiu 196 mil brasileiros. Disponível em: https://www.tecmundo.com.br/seguranca/129236-vazamento-dados-uber-atingiu-196-mil-brasileiros.html. Acesso em: 30 set. 2020.

CYRINO, Marina; LEITE, Douglas. Desafios atuais para a tutela do direito fundamental à privacidade: Lei Geral de Proteção de Dados, consentimento e regulação. In: HACHEM, Daniel Wunder; LEAL, Fernando Angelo Ribeiro; MENDONÇA. José Vicente Santos de (org). Transformações do direito administrativo: o Estado administrativo 30 anos depois da Constituição de 1988. Rio de Janeiro: Escola de Direito do Rio de Janeiro da Fundação Getúlio Vargas, 2018.

DAVID, Cleber. Lei Geral de Proteção de Dados. Revista Fórum de Direito na Economia Digital.  Belo Horizonte, ano 3, n. 05, p. 61-85, jul/dez. 2019.

DONEDA, Danilo. Da privacidade à proteção de dados pessoais. Rio de Janeiro: Renovar, 2006, p. 163.

EDWARDS, J. Sheryl Sandberg: Facebook knew about Cambridge Analytica 2 1/2 years ago but didn't follow up. Business Insider, 06 de abril de 2018. Disponível em: https://www.businessinsider.com/sheryl-sandberg-facebook-knew-about-cambridge-analytica2018-4. Acesso em: 20 set. 2020.

EJNISMAN, Marcela Waksman; LACERDA, Maria Eugenia. O consentimento na internet na nova Lei Geral de Dados Pessoais. Brasília: JOTA, 2019. Disponível em: https://www.jota.info/opiniao-e-analise/colunas/coluna-do-tozzinifreire/lei-geral-de-dadospessoais-01012019. Acesso em: 17 set. 2020.

FACEBOOK afirma que nova falha permitiu acesso a fotos de 6,8 milhões de usuários. G1: Rio de Janeiro 04 dez. 2018. Disponível em: http://g1.globo.com/economia/tecnologia/noticia/2018/12/14/facebook-afirma-que-nova-falha-permitiu-acesso-a-fotos-de-68-milhoes-de-usuarios.ghtml. Acesso em: 24 set. 2020.

FACEBOOK descobre ataque virtual que afeta quase 50 milhões de perfis. G1: Rio de Janeiro 29 set. 2018. Disponível em: https://g1.globo. com/economia/tecnologia/noticia/2018/09/28/facebook-diz-que-descobriu-falha-na-seguranca-que-afeta-quase-50-milhoesde-perfis.ghtml. Acesso em: 24 set. 2020.

FERRAZ, Tércio. Sigilo de dados: o direito à privacidade e os limites à função fiscalizadora do Estado. Revista da Faculdade de Direito, São Paulo, v. 88, 1993, p. 446-447.

GOMES, Ana Maria Silveira Sasso. Autoridade Nacional de Proteção de Dados (ANPD). In: PIRONTI, Rodrigo (Coord.). Lei Geral de Proteção de Dados: estudos sobre um novo cenário de Governança Corporativa. Belo Horizonte: Fórum, 2020. p. 83-89. ISBN 978-65-5518-043-5.

GOVERNO FEDRAL. MJSP multa Facebook em R$ 6,6 milhões. 30 de dezembro de 2019, Brasília. Disponível em: https://www.gov.br/mj/pt-br/assuntos/noticias/mjsp-multa-facebook-em-r-6-6-milhoes. Acesso em: 30 set. 2020.

GREENWALD, G. et al. Edward Snowden: the whistleblower behind the NSA surveillance revelations. The Guardian, 11 de junho de 2013. Disponível em: https://www.theguardian.com/world/2013/jun/09/edward-snowden-nsa-whistleblower-surveillance. Acesso em: 13 set. 2020.

GREENWALD, G. No Place to Hide: Edward Snowden, the NSA and the Surveillance State. London: Penguin Books Ltd:  England. 2014.

KANTER, J. Trust in Facebook has spectacularly nosedived after its enormous data

breach. Business Insider, 17 de abril de 2018. Disponível em: https://www.businessinsider.com/facebook-trust-collapses-after-cambridge-analytica-datascandal-2018-4. Acesso em: 19 set. 2020.

MACIEL, Rafael Fernandes. Manual Prático sobre a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18). RM Digital Education. 1ª ed. Goiânia, 2019.

MAYER, J. New evidence emerges of Steve Bannon and Cambridge Analytica's role in Brexit. New Yorker, 17 de novembro de 2018. Disponível em: https://www.newyorker.com/news/news-desk/new-evidence-emerges-of-steve-bannon-and-cambridge-analyticas-role-in-brexit. Acesso em: 12 set. 2020.

MENDES, Laura Schertel. A lei Geral de Proteção de Dados Pessoais: um modelo de aplicação em três níveis. Caderno Especial LGPD. P. 35-56. São Paulo: Ed. RT, novembro, 2019.

MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor.-Linhas ferais do direito fundamental.  Rio de Janeiro: Saraiva. 249 p., 2014.

MENDES, Laura Schertel; DONEDA, Danilo. Lei de proteção de dados não pode morrer na praia. Folha de São Paulo, 2018. Disponível em: https://www1.folha.uol.com.br/opiniao/2018/07/laura-schertel-mendes-e-danilo-doneda-lei-de-protecao-de-dados-nao-pode-morrer-na-praia.shtml. Acesso em: 23 set. 2020.

MINAS GERAIS. Lei Geral de Proteção de Dados – LGPD. Governo de Minas Gerais, maio, 2020. . Disponível em: https://cge.mg.gov.br/phocadownload/manuais_cartilhas/pdf/Cartilha%20LGPD4%202.pdf  Acesso em: 23 set. 2020.

MINISTÉRIO da Justiça multa Facebook em R$ 6,6 milhões em apuração sobre compartilhamento de dados. G1: Rio de Janeiro, 30 de dezembro de 2019. Disponível em: https://g1.globo.com/economia/tecnologia/noticia/2019/12/30/ministerio-da-justica-multa-facebook-em-r-66-milhoes-em-apuracao-sobre-compartilhamento-de-dados.ghtml. Acesso em: 24 set. 2020

MONTEIRO, Renato. Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada. 2018. Disponível em: https://www.jota.info/opiniao-e-analise/colunas/agenda-da-privacidade-e-da-protecao-de-dados/lgpd-analise-detalhada-14072018. Acesso em 21 set. 2020.

ONE Trust DataGuidance et Baptista Luz Advogados Comparing privacy laws: GDPR v. LGPD. Latest Edition, 02 de maio de 2019. Disponível em: Acesso em: 18 mai. 2020

ONLINE Platforms and Market Power: Examining the Dominance of Amazon, Apple, Facebook, and Google. YouTube, 29 de julho de 2020. Disponível em: https://www.youtube.com/watch?v=WBFDQvIrWYM&feature=emb_title. Acesso em: 29  julho 2020.

PARENTY, Thomas J.; DOMET, Jack J. Como avaliar riscos cibernéticos. Harvard Business Review Brasil, 3 abr. 2020. p. 54

PIGATTO, Jaqueline Trevisan. O papel das corporações transnacionais na governança global da Internet: Google e Facebook nas discussões sobre neutralidade da rede e política de dados (2013-2018). 18 de fevereiro de 2020. 208 f. Dissertação (Mestrado em Relações Internacionais) UNESP/UNICAMP/PUC-SP. Programa de Pós-Graduação em Relações Internacionais San Tiago Dantas, São Paulo, 2020.

PIRONTI, Rodrigo (Coord.). Lei Geral de Proteção de Dados: estudos sobre um novo cenário de Governança Corporativa. Belo Horizonte: Fórum, 2020. 254 p. ISBN 978-65-5518-043-5.

PORTAL da Privacidade. 1 ano para a LGPD: Confira as bases legais mais utilizadas. 14 de agosto de 2019. São Paulo. Disponível em: https://www.portaldaprivacidade.com.br/1-ano-para-a-lgpd/. Acesso em 30 set. 2020.

PRIVACIDADE Hackeada, Karim Amer e Jehane Noujaim. Netflix, 2019. (114 min). Acesso em: 03 out. 2020.

REINO UNIDO. Privazyplan. UE Regulamento Geral sobre a Proteção de Dados. Conteúdo. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016. Relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) [...]. Alemanha, 5 set. 2018. Disponível em: https://www.privacy-regulation.eu/pt/. Acesso em: 19 set. 2020.

ROBERTS, S. et al. What is the Cambridge Analytica scandal? - video explainer. The Guardian: Nova Iorque, 19 de março de 2018. Disponível em: https://www.theguardian.com/news/video/2018/mar/19/everything-you-need-to-know-about-the-cambridge-analytica-expose-video-explainer. Acesso em: 12 set. 2020.

ROUSSEFF, D. Discurso na abertura do Debate Geral da 68ª Assembleia-Geral das Nações Unidas: Nova York, 24 de setembro de 2013. Biblioteca Presidência. Disponível em: http://bit.ly/32HspiS. Acesso em: 13 set. 2020.

SARTORI, Ellen Carina Manias. Privacidade e dados pessoais: a proteção contratual da personalidade do consumidor ria internet. Revista de Direito Civil Contemporâneo, São Paulo, v. 9, ano 3, p. 49-104, out/dez 2016.

TCE/SC. Seminário no TCE/SC mostra como é a GDPR, lei de proteção de dados europeia que serviu de base para o modelo brasileiro. 05 de novembro de 2019. Disponível em: http://www.tce.sc.gov.br/intranet-acom-icon/noticia/51360/semin%C3%A1rio-no-tcesc-mostra-como-%C3%A9-gdpr-lei-de-prote%C3%A7%C3%A3o-de-dados. Acesso em: 04 out. 2020

TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini de. Consentimento e proteção de dados pessoais na LGPD. In: FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (Coord.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. São Paulo: Thomson Reuters Brasil, 2019. p. 293.

THE INTERNATIONAL Association of Privacy Professionals (IAPP). GDPR One Year Anniversary– Infográfico, 2019. Disponível em: https://iapp.org/resources/article/gdpr-one-yearanniversary-infographic/. Acesso em: 21 set. 2020.

TOLEDO, Mariana. Dados são o “novo petróleo” – O que isso significa?. Agosto, 2020. Disponível em: < https://www.youtube.com/c/MarianadeToledo/videos >. Acesso em: 14 ago. 2020.

UBER admite que omitiu ataque hacker que roubou dados de 57 milhões de usuários em 2016. G1: Rio de Janeiro, 21 de novembro de 2017. Disponível em: https://g1.globo.com/economia/tecnologia/noticia/uber-admite-ter-sido-alvo-de-ataque-hacker-que-roubou-dados-de-57-milhoes-de-usuarios-em-2016.ghtml. Acesso em: 30 set. 2020.

UBER pagará US$ 148 milhões por vazamento de dados. ISTO É: São Paulo, 27 de setembro de 2018. Disponível em: https://www.istoedinheiro.com.br/uber-pagara-us-148-milhoes-por-vazamento-de-dados/. Acesso em: 05 out. 2020.

VAINZOF, Rony. A prorrogação das sanções da LGPD e a relevância da ANPD. Revista Consultor Jurídico, 12 de junho de 2020. Disponível em: https://www.conjur.com.br/2020-jun-12/rony-vainzof-lgpd-relevancia-anpd. Acesso em: 30 set. 2020.

VASCONCELOS, Fellipe Paraguassú de Almeida Torres de. Lei geral de proteção de dados pessoais: requisitos para o consentimento válido e interesse legítimo. 2020. Monografia (Bacharelado em Direito) - Faculdade de Ciências Jurídicas e Sociais, Centro Universitário de Brasília, Brasília, 2020. Disponível em: https://repositorio.uniceub.br/jspui/handle/prefix/14214. Acesso em: 29 set. 2020.

WHITTAKER, Zack. A bug in Joe Biden’s campaign app gave anyone access to millions of voter files. TechCrunch, 14 de setembro de 2020. Disponível em: https://techcrunch.com/2020/09/14/biden-app-voter-files/?guccounter=1. Acesso em: 30 set. 2020.