Direito à proteção de dados: a realidade de Brasil e Portugal

A proteção de dados pessoais é um direito fundamental desmembrado do princípio da dignidade da pessoa humana e previsto na Constituição do Brasil. Mesmo diante da proteção constitucional, o Brasil não dispunha de um diploma legal específico sobre a proteção de dados, lacuna que foi preenchida com a Lei de Proteção de Dados (Lei n.º 13.709/18), que alterou o Marco Civil da Internet.

O novo diploma é de suma importância, pois assegura transparência e medidas protetivas de forma a complementar os demais regulamentos existentes (Código de Defesa do Consumidor, Código Civil, e Marco Civil da Internet), proporcionando uma verdadeira transformação que viabilizará negócios em esfera nacional e internacional.

De maneira geral, pode-se dizer que a lei geral de proteção de dados insurge-se em contexto social cibernético livre, que surgiu da necessidade da proteção dos direitos fundamentais dos usuários quando seus dados são livremente disponibilizados a uma pessoa física ou jurídica, que tratará aquela informação disponibilizada em território nacional brasileiro ou em razão de atividades que lhe são inerentes, relativas a oferta de produtos ou serviços no Brasil.

Sob a ótica daquele que receberá a informação disponibilizada pelo usuário, no atual texto da lei (Art. 7.º), as empresas, dentre outras medidas, “deverão indicar um encarregado para que seja o elo de comunicação entre a empresa e o órgão da administração pública responsável por fiscalizar o cumprimento da lei, receber e processar reclamações além de prover o adequado treinamento dos colaboradores da empresa sobre proteção de dados”. Em caso de descumprimento as empresas poderão ser penalizadas, pagando multas de até 2% do faturamento até o limite de R$ 50 milhões por incidente, estando sujeitas ainda a outras sanções administrativas, nos termos do Art. 52 da Lei.

Recomenda-se, portanto, que as empresas estejam preparadas para se adaptar à lei, que começa a vigorar em fevereiro de 2020 em todo o território nacional.

Influência europeia

A legislação brasileira sofreu grande influência da europeia. O RGPD (Regulamento Geral de Proteção de Dados) entrou em vigor em maio de 2018. Contudo, a proteção de dados na União Europeia é tema desde a Diretiva 95/46/CE (24/10/1995), cujo objetivo era a proteção das liberdades dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.

O RGPD é um diploma legal que busca regular as relações das empresas nas operações que visem o tratamento dos dados pessoais, e uniformizar a questão do tratamento desses dados entre os países membros da União Europeia, sendo que a questão da proteção das pessoas singulares em relação ao tratamento de dados pessoais é considerado um direito fundamental, segundo o Art. 8º, nº 1, da Carta dos Direitos Fundamentais da União Europeia.

Referida diretiva foi revogada com a aprovação do Regulamento (UE) 2016/679 no que diz respeito à proteção das pessoas no tratamento dos seus dados pessoais e da livre circulação desses dados. O regulamento, além de substituir a antiga legislação, passou a considerar novas tecnologias como redes sociais, smartphones ou inteligência artificial.

Vale lembrar que o RGPD foi publicado em 2016, tendo um período transitório de 2 anos, entrando em vigor apenas em maio de 2018. As regras de proteção de dados conferem aos cidadãos da UE um maior controle sobre os seus dados pessoais e condições mais equitativas às empresas.

O regulamento enfatiza ainda a importância do consentimento, tal qual o ordenamento jurídico brasileiro, como um dos fundamentos legais para o tratamento dos dados. O usuário é quem determina se o site merece sua confiança, e assim o consentimento deve ser dado de forma explícita por meio de uma ação clara e afirmativa, indicando assim para que fim seus dados pessoais serão usados, tendo o conhecimento de que pode pedir para estes serem apagados a qualquer momento.

O RGPD e Portugal

O RGPD europeu tem aplicação direta em Portugal e entra em vigor mesmo sem estar estabelecida a lei nacional que o regulamenta. A aplicação do regulamento carece de legislação nacional que o adapte à realidade de cada país, e em Portugal a proposta de lei elaborada pelo Governo vai ainda ser discutida pelos deputados na especialidade.

Portugal, tal como os restantes dos Estados-membros da União Europeia, tem uma autoridade nacional em matéria de proteção de dados, em conformidade com o disposto na Convenção do Conselho da Europa para a Proteção das Pessoas, relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal e do seu Protocolo Adicional e com a aludida Diretiva 95/46/CE.

Referida autoridade em Portugal é a Comissão Nacional de Proteção de Dados (CNPD), que é a responsável por fiscalizar e controlar o cumprimento do regulamento, podendo os cidadãos recorrer a este órgão sempre que necessitem de esclarecimentos ou queiram fazer valer o direito à proteção dos seus dados.

Com o advento do novo regulamento, boa parte das empresas passam a ser obrigadas a nomear um profissional encarregado de proteção de dados, que terá por propósito ser um elo entre os titulares dos dados e a CNPD. Esse profissional é também o responsável por monitorar e auditar o tratamento dos dados.

O não cumprimento dos requisitos legais previstos pode acarretar sérias consequências para as empresas, uma vez que as coimas previstas são pesadas, podendo, nos casos menos graves, chegar a 10 milhões de euros ou 2% do volume de negócios anual a nível mundial, o que for maior; e nos casos mais graves, a 20 milhões de Euros ou 4% do volume de negócios anual a nível mundial, também o que for maior. Ademais, em caso de cometimento de infração, está em jogo a imagem junto ao mercado, pois nenhuma empresa quer estar envolvida em questões de quebra de confiança perante os seus clientes.

Como conclusão, as organizações empresariais devem demonstrar não só que estão em total conformidade com a letra do regulamento, mas que acima de tudo, sua governança está voltada para a prática de políticas internas e mecanismos de controle, a fim de minimizar riscos legais e estabelecer compromissos éticos a longo prazo.

Os desafios são muitos e há muita informação a ser absorvida pelas empresas brasileiras e portuguesas, que deverão preparar-se para a implementação de políticas, processos e medidas técnicas internas para alcançar o melhor equilíbrio possível entre o respeito pelos direitos dos usuários, de um lado, e os imperativos de sua atividade empresarial, de outro.