Reflexos da Lei Geral de Proteção de Dados em sede das investigações criminais
Por Joaquim Leitão Júnior
Introdução
A Lei Geral de Proteção de Dados passou a vigorar no último dia 18 de setembro de 2020, criando um cenário de maior segurança a todos no ambiente digital da República Federativa do Brasil e fora dele, inclusive no que diz respeito à conceituação e definição de dados pessoais e outros pontos afetos à pessoa humana.
Aspectos relevantes
Assim, para a lei em estudo dado pessoal é qualquer “informação relacionada a pessoa natural identificada ou identificável (art. 5º, inciso I)”.
Prosseguindo, a Lei Geral de Proteção de Dados definiu também que, parcelas de alguns dados estão sujeitos a tutela mais específicas, como os dados sensíveis e os dados atinentes às crianças e adolescentes[i], assegurando que dados tratados nos meios físicos e digitais devem ser curvar perante a lei em estudo. A lei definiu dado pessoal sensível[ii] como o “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5º, inciso II)”.
Verdadeiramente, temos de agora em diante um marco legal para regular o uso, a proteção e a transferência de dados pessoais no Brasil. Em síntese, a Lei Federal nº 13.709/2018 (LGPD) garante um maior controle por parte dos cidadãos sobre suas informações pessoais, exigindo em regra o consentimento explícito para coleta e uso dos dados pessoais e também obriga a oferta de opções para o usuário visualizar, corrigir e excluir esses dados.
Com isto, a lei agora em vigor sob os holofotes da segurança jurídica acaba por padronizar as normatizações e práticas conferidas à proteção aos dados pessoais de forma igualitária dentro do país e no mundo.
Questão não menos importante e inquietante surge perante os possíveis reflexos da Lei Geral de Proteção de Dados em sede das investigações criminais.
Para início de conversa neste ponto, a Lei Geral de Proteção Dados assinala claramente no art. 4º que ela (a legislação em comento) não incidirá quando os dados pessoais forem para fins exclusivamente de segurança pública e atividades de investigação e repressão de infrações penais (pontos que nos interessam para esta ocasião).
Logo, neste primeiro momento de inferência não haveria que se cogitar reflexos negativos, contudo, mais adiante no mesmo dispositivo é preconizado que será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público.
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II – realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III – realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
§ 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.
§ 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste artigo.
§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.
§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público. (Redação dada pela Lei nº 13.853, de 2019) Vigência
O art. 7º[i] e seguintes da mesma lex também permitem este fornecimento dos dados para a Autoridade Policial, Poder Judiciário e outros atores.
Com estas conclusões supra, embora a Lei em cotejo traga inúmeros pontos positivos em prol da investigação criminal, fato é que lastimavelmente se visualiza possíveis espaços normativos para continuidade de negativas de fornecimento de dados pessoais requisitados pelo Delegado de Polícia ou mesmo pelo Poder Judiciário, sob o pretexto falacioso de que a lei em tela vedaria esta conduta – o que é um reflexo negativo e problema ainda que distante no campo da suposição, pois a própria lei em cartaz entre outras legislações asseguram que nestas hipóteses os dados pessoais entre outros devem ser fornecidos.
Outro temor não descartado está relacionado à agilidade e facilidade também das informações que antes eram obtidas com maior rapidez e sem muitas burocracias pelas investigações, porém, agora com a vigência da Lei Geral de Proteção Dados tendem doravante passar a ser burocratizada (exigindo-se formalização de requisição e solicitação para a própria segurança jurídica por parte das pessoas jurídicas de direito privado, público e pessoa natural), isso quando não forem obstadas ou demorarem ser fornecidas por fontes que auxiliavam quase instantaneamente e substancialmente nas investigações criminais.
Dando sequência nas abordagens, preocupação não menos importante recai no possível pretexto a ser hasteado pelas pessoas jurídicas de direito privado, público e pessoa natural sob a vigência da Lei Geral de Proteção Dados para justificarem menor coleta de dados pessoais ou o fornecimento de dados pessoais.
Outro temor que podemos cogitar de possível reflexo negativo, refere-se ao armazenamento de dados pessoais por pessoas jurídicas privadas ou públicas. Estas pessoas terão condições de cumprir estes armazenamentos sem vazamentos ou vulnerabilidades? A gestão será facilitada ou dificultará o acesso dos órgãos de Polícia Judiciária incumbidos constitucionalmente de investigar?
Em respostas às provocações, argumentos costumeiros e utilizados, por exemplo, por provedores e outros destinatários (pessoa natural ou por pessoa jurídica de direito público ou privado) para dificultarem ou obstar o acesso com negativa dos dados pessoais de usuários, certamente enfraquecerão ainda mais – embora não se descarta de possível interpretação distorcida para os desavisados negar os dados pessoais também com base na indigitada lei, conforme se verá melhor em tópico adiante – , pois a abrangência da Lei Geral de Proteção de Dados é extraterritorial, ou seja, incide para as empresas situadas no Brasil ou fora do Brasil. Portanto, argumentos estéreis de pessoa jurídica de direito público e privada ou pessoa natural não estarem situadas no Brasil não as eximirão de cumprir os termos da lei em sua íntegra, lembrando que o próprio Código Civil de 2002 já é suficiente para rechaçar este argumento – entre outros diplomas que preconizam esta obrigatoriedade também.
Considerações finais
Por fim, entendemos que a Lei Geral de Proteção de Dados (Lei Federal nº 13.709/2018) trouxe reflexos positivos nas investigações criminais, em que esperamos que não seja utilizada de maneira distorcida pelos intérpretes mal intencionados – para a continuidade dos arbítrios na negativa de dados pessoais e sensíveis requisitados em sede de investigações – e nem seja pretexto para obstar ou dificultar o fornecimento ou acesso ágil e oportuno de dados fundamentais nas investigações, nos moldes praticados até então praticados costumeiramente, sob a luz do novo marco legal.
Delegado de Polícia no Estado de Mato Grosso, atualmente Diretor Adjunto da Academia de Polícia da Polícia Judiciária Civil do Estado de Mato Grosso. Pós-graduado em Ciências Penais pela rede de ensino Luiz Flávio Gomes (LFG) em parceria com Universidade de Santa Catarina (UNISUL). Pós-graduado em Gestão Municipal pela Universidade do Estado de Mato Grosso – UNEMAT e pela Universidade Aberta do Brasil. Colunista do site Justiça e Polícia, palestrante, coautor de obra jurídica e autor de artigos jurídicos.
Referências bibliográficas:
BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD). Publicado no DOU de 15.8.2018, e republicado parcialmente em 15.8.2018 – Edição extra. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: 20 set. 2020.
_____. O QUE MUDA COM A LGPD. SERPRO. Disponível em:<https://www.serpro.gov.br/lgpd/menu/a-lgpd/o-que-muda-com-a-lgpd>. Acesso em: 20 set. 2020.
_____. Lei Geral de Proteção de Dados entra em vigor. SENADO FEDERAL. Disponível em: <https://www12.senado.leg.br/noticias/materias/2020/09/18/lei-geral-de-protecao-de-dados-entra-em-vigor>. Acesso em: 20 set. 2020.
[i] CAPÍTULO II
DO TRATAMENTO DE DADOS PESSOAIS
Seção I
Dos Requisitos para o Tratamento de Dados Pessoais
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019) Vigência
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
§ 1º (Revogado). (Redação dada pela Lei nº 13.853, de 2019)
§ 2º (Revogado). (Redação dada pela Lei nº 13.853, de 2019) Vigência
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.
§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei. (Incluído pela Lei nº 13.853, de 2019) Vigência
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
[i] Seção III
Do Tratamento de Dados Pessoais de Crianças e de Adolescentes
Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
§ 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.
§ 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
§ 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
[ii] Seção II
Do Tratamento de Dados Pessoais Sensíveis
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou (Redação dada pela Lei nº 13.853, de 2019) Vigência
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.
§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei.
§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir: (Redação dada pela Lei nº 13.853, de 2019) Vigência
I – a portabilidade de dados quando solicitada pelo titular; ou (Incluído pela Lei nº 13.853, de 2019) Vigência
II – as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo. (Incluído pela Lei nº 13.853, de 2019) Vigência
§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. (Incluído pela Lei nº 13.853, de 2019) Vigência
Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
§ 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.
Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.
§ 1º A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais.
§ 2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro.
§ 3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências.
§ 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.