Interpretação da LGPD pelo Poder Judiciário e pela ANPD

A Lei Geral de Proteção de Dados Pessoais agora está totalmente operante. No âmbito judiciário, desde setembro de 2020, e na esfera administrativa, desde o último dia 1º, com a possibilidade de aplicação das sanções administrativas previstas no artigo 52 da lei pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD).

A LGPD, considerada por Danilo Doneda como elemento estruturante do modelo brasileiro de proteção de dados, traz os elementos para a instrumentalização desse sistema protetivo, os quais devem ser associados a outros recursos, como o engajamento em políticas públicas e a aplicação eficiente pela ANPD e pelo Poder Judiciário [1]

No Judiciário, decisões já analisam questões como ônus da prova do titular de pessoais, responsabilidade civil do controlador por ausência de consentimento do titular, litigância de má-fé do titular por ausência de provas do tratamento ilícito e relevância dos dados vazados para a responsabilização do controlador. A comunidade jurídica está atenta à interpretação da lei pelos órgãos que serão responsáveis por formar os primeiros precedentes sobre o tema de proteção de dados pessoais no Brasil.

Apesar de se tratar de uma lei contemporânea, o tema já é muito estudado pela doutrina brasileira, influenciada pelos sistemas jurídicos europeus, que desde 1977 possuem leis federais sobre o tema de proteção de dados pessoais, chamada Bundesdatenchutzgesetz [2]. Portanto, ouvir essas "vozes" que têm intimidade com o assunto significa nutrir a nossa jurisprudência com o que há de mais orgânico no universo de privacidade e proteção de dados.

Consequências decorrentes da vigilância dos cidadãos e da intrusão nas liberdades individuais através do uso de tecnologias de informação devem ser levadas em consideração nas decisões judiciais e administrativas. Na verdade, houve um consenso quase universal para formular políticas rígidas para minimizar as ameaças representadas pelo uso livre e não regulamentado e a manipulação de informações pessoais.

Trata-se de uma nova disciplina que se desconecta do componente isolamento, fruto de um longo processo de transformação do conceito de privacidade que evoluiu para a prevalência da autonomia e controle dos dados pessoais. A proteção de dados é mais ampla porque não visa apenas a tornar a proteção da privacidade concreta, mas também tende a proteger outros direitos e interesses como a liberdade de expressão, liberdade de religião e consciência, o livre fluxo de informação e o princípio da não discriminação.

No caso concreto, decisões que não interpretarem dados pessoais em congruência ao conceito legal, prejudicarão a amplitude da LGPD. Todos os dados pessoais são relevantes, ainda que coletados em bancos de dados públicos. O contrário desarticularia o conceito de que o titular é o senhor dos dados e tem o direito de controlá-los, ainda que diante de um tratamento lícito.

A decisão judicial ou administrativa deve assimilar que dados pessoais também podem estar implícitos na forma de dados comportamentais, por exemplo, de redes sociais, que podem ser vinculados a indivíduos. Por esse motivo, não é razoável medir o nível de proteção de dados pessoais em razão da pouca relevância que se mostrar para terceiros que o acessarem. Dados públicos ou de fácil acesso podem ser contrastados com dados considerados confidenciais, valiosos ou importantes por outros motivos, como receitas secretas, dados financeiros ou inteligência militar. Nesse sentido, é temerário interpretar que um vazamento de dados pessoais, com a qualificação comum de um indivíduo (nome, RG, CPF), fornecidos para acesso em portarias, aplicativos e sites de compras não estejam protegidos pela LGPD, com a ampla garantia dos direitos dos titulares previstos em seu artigo 18.

O que se pretende com a boa aplicação da LGPD é elevar a proteção de dados pessoais para um novo status, em que se possa equilibrar o estado de vulnerabilidade do cidadão diante do monopólio de informações pessoais na nova economia de dados.

O titular dos dados pessoais, na maioria dos casos, não possui consciência tecnológica e não compreende os potenciais riscos do tratamento de dados pessoais, seja em razão da complexidade da arquitetura tecnológica empregada em um sistema, seja em razão da opacidade encontrada nos dados coletados e suas combinações. Por essas questões, é dever do Estado, seja através do Poder Judiciário ou da ANPD, concretizar a proteção ao tratamento de dados pessoais como um direito básico, em razão da posição desigual do titular, frente ao controlador dos dados pessoais, seja na esfera pública ou privada.

Confrontar os direitos de proteção de dados com as medidas preventivas e boas práticas adotadas pelas organizações é o início do processo para garantir a proteção dos novos direitos fundamentais na sociedade da informação. Cabe indagar em cada caso a ser analisado pelos órgãos competentes o propósito da proteção de dados e em que medida se coaduna com o imperativo do controle sobre os dados pessoais.