Fora pontuais regulamentações setoriais que disciplinavam direta ou indiretamente a exploração e proteção de dados, o Direito brasileiro não contava com uma legislação específica quanto aos dados pessoais.
Para sanar tal deficiência, entrará em vigor em 16/08/2020 a Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais – tema de vital pertinência à competitividade comercial do País e à estruturação objetiva do exercício da liberdade e da privacidade no ambiente informático.
O art. 5º desta lei traz um conceito geral de dado pessoal, que é definido bastante abertamente como a “informação relacionada à pessoa natural identificada ou identificável”.
Trata-se, portanto, de gênero cujas espécies são os dados sensíveis – assim entendidos como os “dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural”; e os dados anonimizados – definidos (por construção curiosa, aliás) como os “relativos a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento” (inciso III).
LGPD
Além dos conceitos legislativos nacionais, é oportuno ainda colacionar a definição adotada pelo regulamento da União Europeia sobre o tema – cujo art. 4º, I conceitua ‘dado pessoal’ como qualquer informação relativa uma pessoa natural identificada ou identificável, o assim chamado “titular de dados”.
Titular de dados, a seu turno, é definido pelo regulamento europeu como a “pessoa natural que pode ser identificada, direta ou indiretamente, em especial por referência a um identificador como um nome, um número de identificação, dado de localização, um identificador online ou por um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social desta pessoa natural”.
É de justificar a pertinência do conceito alienígena à notória complexidade de sua construção (em comparação ao menos com a Lei nº 13.709/18); o que pode ser creditado, dentre outros, à reconhecida experiência legislativa da UE a respeito do tema, notadamente desde a Diretiva 95/46/EC, que aplicava ao bloco europeu orientações relativas à proteção individual em termos de processamento de dados pessoais.
Sem prejuízo, pode-se também cogitar, a par da própria LGPD, da existência de “metadados”, que ora se define, para os fins da Lei, como aqueles que de si não derivam informações sobre a pessoa natural, mas que ao cabo de uma análise lógica de seu conjunto/volume de dados (por exemplo, via Big Data) se pode extrair a construção de um perfil comportamental individual, que então permite a identificação pessoal.
Tal construção se assenta no art. 12, § 2º da LGPD, pelo qual “poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada”.
A propósito, convém se atentar que o valor dos metadados se tornou um ativo estratégico de grande relevância na dinâmica da vigilância governamental do ambiente digital, sobretudo após a ascensão de movimentos “jihadistas” globais e o crescimento de ameaças terroristas na virada da década de 2000.
Nesse sentido destaca o emblemático caso “Digital Rights Ireland e Seitlinger”, julgado em 08/04/2014 pela Corte de Justiça de União Europeia. Por ocasião de seu julgamento, a Corte europeia bem observou que diferentes tipos de metadados “podem fornecer informações muito precisas a respeito da vida privada das pessoas cujos dados são retidos, como os hábitos da vida diária, locais de residência permanente ou temporária, movimentações diárias ou de outra natureza, atividades, relações sociais e os ambientes sociais frequentados” 1.
A par disso, fica claro que os metadados (e os dados não-estruturados em geral) hoje bem podem ser depurados e analisados em seu conjunto para identificação de indivíduos específicos. Se outrora “os dados sobre dados” revelavam muito pouco sobre o titular que os produz, hodiernamente – sobretudo com o avanço das técnicas de análise de Big Data –, conjuntos de metadados coletados em massiva quantidade já permitem revelar informações, inclusive sensíveis, de usuários; arriscando, assim, a eficácia dos processos de “anonimização” que a própria
legislação busca garantir e impor.
Autores:
Este artigo foi escrito em parceria pelos dois autores a seguir:
Tarcísio Teixeira
Advogado especializado em Direito Digital e Proteção de Dados. Doutor e Mestre em Direito Empresarial pela USP.
Autor, dentre outros livros: Lei Geral de Proteção de Dados – comentada artigo por artigo; Proteção de Dados –
fundamentos jurídicos; Curso de direito e processo eletrônico: doutrina, jurisprudência e prática. E-mail:
contato@tarcisioteixeira.com.br.
Américo Ribeiro Magro
Mestrando em Direito Negocial pela Universidade Estadual de Londrina (UEL). Especialista em Interesses Difusos e Coletivos pelo Centro Universitário Antônio Eufrásio de Toledo. Especialista em Direito Eleitoral pela Universidade de Santa Cruz do Sul (UNISC). Advogado. Autor do livro Proteção de Dados – fundamentos jurídicos. E-mail: americomagro@hotmail.com.
Referência
1 JASMONTAITE, Lina; BURLOIU, Valentina Pavel. Lithuania and Romania to Introduce Cybersecurity Laws. In:
Privacy, Data Protection and Cybersecurity in Europe. Cham: Springer, 2017, p. 138.
___________________________________________________________________________
Gostou desse artigo? Não esqueça de avaliá-lo! Quer fazer parte do time de articulistas do portal, tem alguma sugestão ou crítica? Envie um e-mail para redacao@ecommercebrasil.com.br