A privacidade de dados pessoais vem, há tempos, sendo amplamente discutida pelos entes da sociedade global. Em 2016, a GDPR (General Data Protection Regulation, da sigla em inglês), que tramitava no parlamento europeu desde 2012, foi aprovada e passou a vigorar em 2018. A lei da União Europeia, elaborada para conferir aos cidadãos mais segurança em relação ao uso de suas informações pessoais, foi motivada por escândalos de vazamentos de dados por parte de grandes empresas.
O Brasil, inspirado pela GDPR, aprovou a Lei 13.709, de 2018, que criou a Lei Geral de Proteção de Dados (LGPD). Com diversas modificações em seu texto original e sendo extensivamente debatida, a tramitação da LGPD no Congresso brasileiro se estendeu até 2020 quando, por fim, entrou em vigor. A medida sofreu atrasos ocasionados, também, pela pandemia do Coronavírus e a necessidade de estruturar a criação Agência Nacional de Proteção de Dados (ANPD) – órgão vinculado à Presidência da República e responsável por fiscalizar o cumprimento da lei.
A LGPD tem como objetivo principal trazer mais segurança jurídica por meio da aplicação de normas que possam proteger os dados pessoais de todos os cidadãos brasileiros. Isso significa que empresas de todos os setores econômicos, sediadas ou não no Brasil, deverão se preparar para tratar adequadamente sua base de dados, atentando-se, especialmente, às informações que permitam a identificação direta ou indireta de um indivíduo.
Além da atenção dada aos dados pessoais como nome, número de documentos, endereços residenciais, dados bancários e preferências de consumo, a lei levanta, ainda, a necessidade de cuidados maiores com dados que considera “sensíveis”, ou seja, aqueles originados da identificação de origem racial, crenças religiosas, questões genéticas, orientação sexual, preferência política, entre outros, e deve haver um processo claro para a coleta, uso, tratamento, armazenamento e descarte de dados pessoais.
Outro fator importante é que a lei destaca o consentimento do cidadão como um de seus elementos cruciais. Dessa forma, para obter dados pessoais, as companhias precisarão de autorização – sendo necessário informar a finalidade de uso antes de coletar as informações solicitadas. Para além disso, o cidadão terá, ainda, o poder de solicitar que seus dados sejam removidos, revogar um consentimento ou até mesmo transferir dados para outro fornecedor de serviços.
A LGPD dispensa o consentimento somente em casos onde há a necessidade de cumprir uma obrigação legal, como é o caso da execução de políticas públicas previstas em lei, prevenção de fraudes contra o titular dos dados e atendimento a interesses legítimos, desde que não rompa com os direitos fundamentais reservados ao cidadão.
Diante desse cenário, tanto pequenas empresas de e-commerce como as maiores companhias do país deverão se adequar à LGPD. Em caso de não cumprimento das normas estabelecidas, a nova lei prevê a aplicação de penalidades, como multas de até 2% do faturamento anual da organização, com um limite bastante elevado por infração: R$ 50 milhões.
Os impactos da LGPD sobre a Lei de Acesso à Informação
Desde que passou a vigorar, a LGPD suscitou muitas dúvidas entre todos os agentes da sociedade – tanto sobre o seu funcionamento no setor privado, como em relação aos seus impactos para os cidadãos e os órgãos públicos. Nesse sentido, uma das maiores preocupações está relacionada ao conflito aparente entre a lei de proteção de dados e a Lei de Acesso à Informação (LAI), uma vez que, enquanto a LGPD busca resguardar a privacidade por meio de dados pessoais, a LAI tem como principal finalidade dar transparência às informações públicas, garantindo o direito à publicidade das atividades governamentais.
Criada em 2011, por meio da Lei 12.527, a LAI visa aumentar a transparência por parte da administração pública direta e indireta, nos poderes Judiciário, Legislativo e Executivo, em todas as esferas governamentais – municipais, estaduais, distrital e federal – ao disponibilizar a qualquer pessoa, seja ela física ou jurídica, informações de caráter público sem exigir nenhuma motivação para o pedido.
A principal diretriz da LAI, em consonância com a Constituição Federal de 1988, é que “a publicidade e a transparência das informações são a regra e o sigilo é a exceção“. Ou seja, qualquer dado sob a guarda do Estado deve, de regra, ser público. Apesar de seu esforço para fomentar a publicidade das informações e, com isso, trazer mais transparência aos processos públicos, a LAI – muito antes da LGPD existir – já apontava para a necessidade de tratamento de dados pessoais.
Segundo a lei, qualquer informação que torne um indivíduo identificável é considerada a exceção à regra, devendo ser preservada. Dessa forma, é possível entender que ambas as leis asseguram a privacidade dos cidadãos e que elas se complementam, especialmente no sentido de que cada uma tutela um bem jurídico específico, a proteção à privacidade e o direito à informação, ambos direitos fundamentais no sistema jurídico brasileiro.
Com isso, a harmonização entre as leis deve dar ao cidadão mais poder sobre o fornecimento ou não de seus dados. Ou seja, a LGPD influi na transparência pública no que diz respeito à coleta e análise de dados privados: o Estado deverá deixar mais clara a maneira como lidará com dados dos cidadãos e seguir com os cuidados de anonimização e preservação da privacidade.
Uma ação pretendida pelo Metrô de São Paulo para criar um sistema de reconhecimento facial de seus passageiros, a fim de melhorar e ampliar a segurança operacional, é um exemplo de como o direito à privacidade de dados impacta as ações do Poder Público. Após a divulgação do projeto, as Defensorias Públicas de São Paulo e da União, juntamente com organizações da sociedade civil, acionaram o Metrô judicialmente, exigindo que a estatal explicasse como seria realizado o processo para a coleta e tratamento dos dados dos passageiros – considerando que a medida traz inúmeros riscos, como o vazamento e venda de dados e até mesmo a identificação errônea.
Outro exemplo da necessidade da aplicação do tratamento de dados pessoais no poder público foi o recente vazamento de senhas de sistemas do Ministério da Saúde, o qual expôs informações de 16 milhões de pacientes de Covid-19. Ao contrário do que se imagina, a exposição não foi provocada por ataque de hackers ou por falhas de segurança no sistema, mas sim porque o hospital privado envolvido estava trabalhando junto ao Ministério em um projeto e, por essa razão, tinha acesso a uma planilha de senhas que permitiam o acesso a dados de pessoas que foram testadas, diagnosticadas ou internadas por Coronavírus nos 27 estados.
O vazamento forneceu dados dos pacientes com detalhes médicos considerados confidenciais e tanto pacientes da rede pública como da privada tiveram seus dados expostos. De acordo com a LGPD, é dever de quem opera e acessa os dados adotar medidas para evitar vazamentos e, com isso, tanto o hospital quanto o Ministério da Saúde podem ser responsabilizados e penalizados por dano coletivo – ainda que o vazamento das informações possa não ter sido proposital.
Sendo assim, a integração entre as duas leis fica ainda mais evidente. Se por um lado é possível saber, pela LAI, que dados são armazenados pelo Estado, por meio da LGPD a administração pública terá que deixar claro o tratamento que dará às informações, aumentando, dessa maneira, a transparência e a segurança.
A transparência no Brasil e o uso indevido da LGPD
De maneiras diferentes, tanto a LAI quanto a LGPD possuem princípios voltados ao tratamento de dados pessoais que respeitam a confidencialidade, integridade e segurança dos cidadãos. Além disso, indo na contramão da preocupação inicial, a LGPD não só não deveria trazer prejuízos ou reduzir o escopo da aplicação da LAI, como também complementaria a legislação. Isso porque, por meio da LAI, os órgãos públicos deverão continuar disponibilizando informações públicas, especialmente dados quantitativos, sem violar a privacidade dos indivíduos. E já a LGPD não deixará de ser aplicada em caso de má conduta em relação ao fornecimentos de dados privados, eliminando, assim, qualquer possibilidade de conflito prático entre as duas leis.
Contudo, há um receio com bases bem fundamentadas de que dispositivos da LGPD possam ser utilizados para restringir o acesso a dados governamentais, causando um impacto negativo no grau de transparência pública, o qual já é bastante baixo, especialmente no governo federal.
Em 2020, houve uma redução significativa dos acessos concedidos pela administração pública em relação ao total de pedidos realizados com base na Lei de Acesso à Informação. A taxa neste ano foi apenas de 58% contra média de 71,8% nos anos anteriores (2016, 2017, 2018 e 2019). O número de justificativas consideradas “controversas” pelo Executivo para negar solicitações via LAI aumentou quatro vezes de janeiro de 2019 a junho de 2020 – menor concessão de acesso da história da LAI no período. Respostas como “trabalho adicional”, “desproporcional” e “pedido genérico” foram usados em cerca de 40% das negativas. Além disso, o uso de “dados pessoais” para recusar um pedido de acesso já foi usado em 20% das requisições. Os dados fazem parte de relatório elaborado pela Transparência Brasil.
Em ranking que avalia os portais de transparência das unidades federativas quanto às contratações emergenciais, doações e medidas de estímulo econômico e proteção social realizadas durante o enfrentamento da pandemia do Covid-19 no Brasil, o governo federal figurou em penúltimo lugar, com 49,3 pontos de 100, ficando à frente somente de Roraima, que obteve 40,5 pontos. Em primeiro lugar estão Alagoas, Ceará, Espírito Santo e Rondônia, todos com pontuação máxima.
Os levantamentos demonstram a preocupação de uma possível supressão de dados como estratégia adotada pela administração pública, em um sistema já fragilizado, e evidenciam a necessidade de todos os agentes da sociedade estarem atentos à atuação dos órgãos públicos, de modo que possam combater ações indevidas que violem direitos fundamentais, a fim de contribuir para a construção de um governo mais transparente.
A LGPD é um ganho cultural significativo e perfeitamente alinhado com os desafios da sociedade da informação. A expectativa é que a nova legislação venha se somar às conquistas de transparência, não podendo, de modo nenhum, servir de pretexto para qualquer tipo de restrição ao acesso a dados públicos e maior opacidade da atuação governamental.