O escritório Crippa Rey Advogados, sempre atento às inovações legislativas e regulamentares, vem apresentar artigo sobre os dados sensíveis previstos pela LGPD – Lei Geral de Proteção de Dados, bem como as consequências que a não implementação pelas empresas e empresários individuais poderá acarretar em seus negócios.

A Lei Geral de Proteção de Dados (LGPD) ou Lei nº 13.709 foi sancionada no Brasil ainda em 14 de agosto de 2018. Foi só no último mês de agosto, contudo, que o Senado Federal aprovou a retirada do artigo 4º da Medida Provisória 959/2020, suprimindo o adiamento da vigência da LGPD nele previsto. No momento, aguarda-se a sanção do Presidente da República acerca do restante do projeto para que efetivamente entre em vigor a referida lei.

É importante frisar que o ordenamento brasileiro já contava com alguns dispositivos que visavam a proteção dos dados de maneira geral – como o próprio Código de Defesa do Consumidor, o Marco Civil da Internet, ou a Lei do Cadastro Positivo (Lei 12.414/2011), mas a LGPD aparece como um marco legal, no sentido de que legisla especificamente sobre o tratamento dos dados, bem como inova ao prever a existência de uma autoridade qualificada para fiscalizar o atendimento das normas e imputar aos responsáveis as respectivas sanções de descumprimento – nesse caso, a ANPD – Autoridade Nacional de Proteção de Dados, cuja estrutura foi recentemente criada pelo governo.

A principal proposta da LGPD é o desenvolvimento de mecanismos de tutela dos dados pessoais, mediante afastamento de práticas abusivas por parte de instituições públicas e privadas que possam eventualmente ferir os direitos fundamentais dos titulares, especialmente considerando o contexto de evolução tecnológica e de manuseio dos dados enquanto mercadoria.

Dessa forma, em que pese as sanções previstas pela lei só possam ser aplicadas a partir de 2021, já é sabido que as empresas e empresários, que estão recorrentemente na posição de controladores destas informações, precisarão implementar significativas mudanças internas para amoldar-se aos critérios da legislação. Isso porque, a observância aos direitos do titular dos dados pessoais figura em primeiro plano, implicando no dever de protegê-lo e de informá-lo sobre como, quando, e em que condições serão utilizadas as informações que optar fornecer.

Nessa linha, uma das consequências do uso indevido dos dados pessoais que busca combater a LGPD, e cujo fundamento se encontra justamente na mercantilização dos dados, é a segregação e eventual discriminação dos titulares.

Em decorrência disso, a LGPD se preocupou em tratar especificamente dos dados sensíveis, conceituados no artigo 5º, inciso II como dados pessoais relacionados a “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”.

Ao contrário dos dados anonimizados, também contemplados pela LGPD, os dados sensíveis são definidos como um tipo de dado pessoal, ou seja, tem essa particularidade porque são vinculados a um titular identificado ou identificável, através do nome ou do CPF, ou, ainda, de outras características que possam indicar que se referem a uma pessoa em específico e não a qualquer outra. É justamente por isso que exigem um tratamento especial, porque a má utilização dos dados sensíveis significa o comprometimento dos direitos fundamentais de uma pessoa identificada ou identificável – na categoria genérica de dado pessoal – e, para além disso, através da exposição inadequada de informações costumeiramente sensíveis, como etnia, religião, dentre outras, acima elencadas – na especificidade de dado sensível.

O modelo europeu no qual foi inspirada a legislação brasileira busca fundamentar, nos Considerandos 51 e 71, algumas medidas que precisam ser observadas para devida tutela dos dados sensíveis:

51. Merecem proteção específica os dados pessoais que sejam, pela sua natureza, especialmente sensíveis do ponto de vista dos direitos e liberdades fundamentais, dado que o contexto do tratamento desses dados poderá implicar riscos significativos para os direitos e liberdades fundamentais.

[…]

71. […] A fim de assegurar um tratamento equitativo e transparente no que diz respeito ao titular dos dados, tendo em conta a especificidade das circunstâncias e do contexto em que os dados pessoais são tratados, o responsável pelo tratamento deverá utilizar procedimentos matemáticos e estatísticos adequados à definição de perfis, aplicar medidas técnicas e organizativas que garantam designadamente que os fatores que introduzem imprecisões nos dados pessoais são corrigidos e que o risco de erros é minimizado, e proteger os dados pessoais de modo a que sejam tidos em conta os potenciais riscos para os interesses e direitos do titular dos dados e de forma a prevenir, por exemplo, efeitos discriminatórios contra pessoas singulares em razão da sua origem racial ou étnica, opinião política, religião ou convicções, filiação sindical, estado genético ou de saúde ou orientação sexual, ou a impedir que as medidas venham a ter tais efeitos. A decisão e definição de perfis automatizada baseada em categorias especiais de dados pessoais só deverá ser permitida em condições específicas.[1]

O propósito inquestionável da LGPD de proteger e garantir a participação e o controle de cada indivíduo sobre o tratamento dos seus próprios dados vem consolidado também pelo requisito do consentimento expresso do consumidor titular, previsto no artigo 7º, inciso I da lei.

Já o conceito de consentimento descrito pela LGPD no artigo 5º, XII, é outra das influências adotadas do Regulamento Geral Europeu[2], na medida em que condiciona enfaticamente a viabilidade do tratamento dos dados pessoais somente após a “manifestação livre, informada e inequívoca” do titular dos dados[3].

Na tentativa de viabilizar essa exigência, observa Bruno Miragem que ao consentimento são atribuídos: requisitos substanciais, sendo aqueles que dizem respeito à qualidade do consentimento – conhecimento, compreensão, manifestação de vontade informada, finalidade determinada; e requisitos formais, em decorrência da exigência de ser inequívoco, o consentimento deve ser escrito ou por outro meio capaz de demonstrar a manifestação de vontade do titular. [4]

É preciso observar também que o consentimento expresso do titular vem imediatamente vinculado a outro conceito fundamental, qual seja, a noção de finalidade específica, consoante previsão do artigo 8º, §4º da LGPD. Nesse ponto, a lei visa a garantir que a aceitação uma vez emitida pelo titular não seja utilizada para situação diversa daquela com a qual conscientemente concordou. Havendo mudanças na finalidade previamente indicada, as empresas ou empresários que dispuserem dos dados deverão alertar e novamente questionar o consumidor, inexistindo qualquer impedimento de que o consentimento antes concedido seja revogado.

Já que no que se refere ao consentimento no caso de dados sensíveis, considerando a sensibilidade subjacente aos mesmos e aos conteúdos a que se vinculam, assim como a consequente potencialidade lesiva que apresentam, a LGPD previu separadamente no artigo 11, inciso I, que somente será eficaz se apresentado de forma específica e destacada, para finalidades específicas.

Assim, é possível constatar que, além dos requisitos atinentes aos dados pessoais lato sensu e, destarte, aplicados aos dados sensíveis enquanto espécie, a lei prevê uma exigência específica com relação aos dados sensíveis: a de que o consentimento ao tratamento dos mesmos seja destacado. Essa exigência ressalta o que já se vem discutindo neste artigo, acerca da impossibilidade de persistir qualquer ambiguidade, aos olhos do titular, sobre o que está anuindo em fornecer, motivo pelo qual o próprio controlador dos dados deve facilitar e destacar essas informações.

Dessa forma, verifica-se que o agente que pretender realizar o tratamento dos dados – seja empresa ou eventual pessoa física detentora de dados de terceiros – deve atentar não só aos vícios de consentimento já previstos pelo Código Civil e às normas do Código de Defesa do Consumidor, mas também às hipóteses específicas previstas pela LGPD e aos requisitos nela previstos. Serão considerados nulos todos os consentimentos que deixarem de atender a alguma das exigências determinadas pela legislação atinente à matéria.

Ademais, é fundamental que os agentes se atentem a estes requisitos, porque a lei indica o controlador como responsável pela comprovação de que as exigências atinentes ao consentimento foram devidamente observadas, motivo pelo qual caberá aos mesmos o ônus de produzir a prova de que o consentimento é eficaz e válido e, consequentemente, de que se utiliza dos dados de maneira adequada à lei.

Por fim, é importante registrar que, não obstante a LGPD preveja algumas situações em que o consentimento é dispensado, mesmo nesses casos persiste a obrigação, por parte do agente responsável pelo tratamento, de observância aos demais princípios e direitos assegurados pela legislação.

Colocamo-nos, como de costume, à inteira disposição para maiores consultas acerca do tema, complementando informações, debatendo o assunto ou prestando outros esclarecimentos.

[1] Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016R0679. Data de acesso: 01 de maio de 2020.

[2] MIRAGEM, Bruno. A Lei Geral de Proteção de Dados e o Direito do Consumidor. Editora: RT, 2019. p. 18

[3] TEPEDINO, Gustavo; TEFFÉ, Chiara Spadaccini. Consentimento e proteção de dados pessoais na LGPD. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato. Lei Geral de Proteção de Dados pessoais e sua repercussão no direito brasileiro. Editora. RT, 2019, p. 298.

[4] MIRAGEM, Bruno. A Lei Geral de Proteção de Dados e o Direito do Consumidor. Editora: RT, 2019. p. 19