DEIRDRE DE AQUINO NEIVA

Advogada, desde 1995

Introdução

Nesse tema, inteligência artificial e Proteção aos Dados Pessoais, estão em vigor textos legais que conferem proteção às pessoas físicas e jurídicas, quanto a seus dados, como o Marco Civil da Internet (Lei n. 12.965/2014) e o Código de Defesa do Consumidor (Lei 8.078/1990). Sobre este último tema, debruçamo-nos em artigo anterior. 

A Lei Geral de Proteção dos Dados Pessoais (Lei Federal n. 12965/2018), cuja vigência está prevista para agosto de 2020, sendo certo que há projeto de lei em trâmite para estender essa vacatio legis (PL 5762/2019), para 15 de agosto de 2022, se inspirou na Lei de Proteção de Dados da União Europeia (GDPR). O Marco Civil da Internet, Lei n. 12.965/2014, reconhece o direito à proteção dos dados pessoais, entretanto, ainda de maneira vaga. Por conseguinte, a LGPD (Lei n. 12.965/2018) veio regulamentar a proteção e a privacidade dos dados pessoais, de modo a tornar possível seu exercício.

Como efeito, milhares de empresas brasileiras coletam, armazenam e processam dados pessoais de milhões de usuários e clientes, sejam pessoas físicas ou jurídicas. Você já se perguntou o que essas empresas fazem com seus dados? Estarão armazenados em locais seguros? Como a privacidade de seus dados pessoais é protegida? Há planos e protocolos para a minimização de danos em caso de exposição indevida, ataques ou violações de segurança?

Tais indagações e outras estão na finalidade precípua da Lei de Proteção de Dados (Lei n. 12.965/2018). Destarte, toda e qualquer operação que envolva tratamento de dados pessoais no Brasil – seja no mundo virtual, seja na realidade, com grandes conglomerados, ou médias e pequenas empresas – terão de se adaptar à LGDP.

Fundamentos

São fundamentos da Lei Geral de Proteção dos Dados Pessoais (Lei Federal n. 13.709, de 14 de agosto de 2018) (a) o respeito à privacidade, (b) a autodeterminação informativa,  (c) a liberdade de expressão, de informação, de comunicação e de opinião, (d) a inviolabilidade da intimidade, da honra e da imagem, (e) o desenvolvimento econômico e tecnológico e a inovação, (f) a livre iniciativa, a livre concorrência e a defesa do consumidor, (g) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Cite-se o trecho expresso do preceito em apreço:

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I – o respeito à privacidade;

II – a autodeterminação informativa;

III – a liberdade de expressão, de informação, de comunicação e de opinião;

IV – a inviolabilidade da intimidade, da honra e da imagem;

V – o desenvolvimento econômico e tecnológico e a inovação;

VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Dados Protegidos

As informações pessoais protegidas pela lei são quaisquer dados que permitam a identificação de uma pessoa natural ou os tornem possíveis (art. 5o, incisos I e II, Lei n. 13.709/2018), tais como nome e sobrenome, email, dados de cartão de crédito, dados bancários, endereços de IP, origem racial ou étnica, convicções políticas ou religiosas, filiações a partidos ou sindicatos, orientações sexuais ou filosóficas, sendo o presente rol meramente exemplificativo.

Cite-se o preceito, em apreço:

Art. 5º Para os fins desta Lei, considera-se:

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

São direitos das pessoas físicas e jurídicas, o acesso a todos os dados pessoais, possibilitando (via simples requerimento) a retificação, a atualização, a eliminação, o bloqueio, a portabilidade (o encaminhamento de suas informações pessoais a outras empresas), a listagem das entidades públicas e privadas com as quais compartilhou seus dados, dentre outros, tudo isso sem prejuízo de eventual reparação de danos na Justiça, consoante os arts. 17 e 18 do referido diploma legal, a saber:

Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I – confirmação da existência de tratamento;

II – acesso aos dados;

III – correção de dados incompletos, inexatos ou desatualizados;

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;    (Redação dada pela Lei nº 13.853, de 2019)     Vigência

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

Parágrafo 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.

Parágrafo 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

Parágrafo 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento,

Parágrafo 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:

I – comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou

II – indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

Parágrafo 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.

Parágrafo 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.      (Redação dada pela Lei nº 13.853, de 2019)      Vigência

Parágrafo 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.

Parágrafo 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.

A lei não protegerá somente os dados pessoais digitais, mas igualmente aqueles oriundos de coletas feitas em papel, como fichas de cadastro e cupons promocionais. Dados coletados por intermédio de imagens e sons também estarão englobados na proteção, assim que a Lei n. 13.709/2018 entrar em vigor.

Órgãos Governamentais de Proteção

A Lei nª 13.853/19 criou a Autoridade Nacional de Proteção de Dados (ANPD), prevista anteriormente na MP nº 869/18, como parte da Política Nacional de Proteção de Dados Pessoais e Privacidade.

Trata-se de um órgão de natureza jurídica transitória, que pode migrar para a administração pública federal indireta, em regime de autarquia especial, vinculado à Presidência da República com os objetivos de zelar pela proteção de dados pessoais; fiscalizar e aplicar sanções administrativas; promover e divulgar informações sobre normas e políticas públicas acerca da proteção de dados pessoais e medidas de segurança; e promoção de ações de cooperação com autoridades de proteção de dados pessoais de outros países; dentre outras competências.

A propósito, cite-se o preceito, incluído pela Lei nº 13.853, de 2019, in verbis:

Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República.                

Parágrafo 1º A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.                 

A mesma norma (Lei n. 13.853, 2019) instituiu também o Conselho Nacional de Proteção de Dados Pessoais e Privacidade, com representantes do Executivo, do Legislativo e do Judiciário; do Ministério Público; da sociedade civil; de instituições científicas; e do setor empresarial, a saber:

Art. 55-C. A ANPD é composta de:                

I – Conselho Diretor, órgão máximo de direção;                 

II – Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;                   

III – Corregedoria;                 

IV – Ouvidoria;                 

V – órgão de assessoramento jurídico próprio; e                

VI – unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei.   

Esse Conselho tem entre suas competências a proposição de diretrizes estratégicas, a elaboração de relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados, a realização de estudos e debates (Lei n. 13.853/2019):

Art. 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:                  

I – propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;                 

II – elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;                   

III – sugerir ações a serem realizadas pela ANPD;      

IV – elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e                     

V – disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.      

Principais Infrações e Penalidades

É direito das pessoas físicas e jurídicas, titulares de dados pessoais, portanto, peticionar contra a empresa ou a instituição governamental que controle seus dados à ANPD, acerca de violação às normas de proteção de dados.

Caso seja possível, deve-se tentar contato com a empresa ou organização responsável, mediante requerimento expresso para a obtenção de informações ou outra providência em relação a seus dados, como eliminação etc. Tal requerimento não terá nenhum ônus ao titular. Nunca é demais lembrar sobre os órgãos de defesa dos consumidores, em caso de silêncio ou omissão das empresas ou organizações, desde, é claro, que a relação seja consumerista.

A responsabilidade administrativa das empresas se sujeitam a penalidades, desde advertência à multa simples de 2% do faturamento anual até o limite de 50 milhões de reais por infração. Além, eventualmente, da publicização de sua má-gestão de dados. Citem-se os preceitos:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  (Incluído pela Lei nº 13.853, de 2019)   

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  (Incluído pela Lei nº 13.853, de 2019)  

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Por fim, em casos de irregularidades, inconformidades legais ou atos ilícitos, o titular dos dados também poderá exercer seus direitos em juízo, caso haja a necessidade da reparação pelos danos materiais ou morais sofridos.

Inteligência Artificial e a Proteção dos Dados Pessoais

Note-se que pesquisadores e cientistas brasileiros já demonstraram sua preocupação, junto ao Congresso Nacional, com a necessidade de se garantir a proteção dos dados pessoais e a privacidade dos cidadãos nos sistemas de inteligência artificial, entendendo-se esta última (IA), como qualquer técnica computacional que simule o comportamento humano. 

Na segurança pública, um exemplo de uso de dados pessoais pela IA são as câmaras de reconhecimento facial. São, assim, novas profissões necessárias as de cientistas de dados e engenheiros de privacidade, em razão dessa preocupação. *

*Fonte: Agência Câmara de Notícias

Parece haver, por exemplo, algumas claras milícias digitais, em favor de determinadas ideologias e partidos políticos, por exemplo, formadas, provavelmente por perfis fakes (falsos) ou robôs, com a intenção de denegrir a imagem de desafetos políticos e destruir reputações, em franca desobediência ao direito à imagem, consagrado no art. 5o da Constituição de 1988, no Código Civil Brasileiro e em outros textos legais do nosso ordenamento jurídico.

A manipulação de dados pessoais pela Inteligência Artificial também pode envolver ofertas de produtos e serviços, como já noticiado em artigo anterior, afetando diretamente à liberdade de escolha do consumidor brasileiro, protegida em legislação própria.

Extraterritorialidade

Note-se que, embora a Lei de Proteção de Dados Pessoais mencione território nacional em diversos preceitos, a aplicação é extraterritorial, isto é, o dever de conformidade superará os limites geográficos do Brasil. Em outras palavras, toda empresa estrangeira que, com filial no Brasil ou não, que ofereça serviços ao mercado nacional, ou colete e trate dados de pessoais naturais ou jurídicas, localizadas em território brasileiro, estará sujeita à nova lei.

Quid Juris?

Como se depreende da extensão da Lei n. 13.709/2018 e da possível necessidade de mais tempo para sua vacatio legis, as questões que envolvem a inteligência artificial e a proteção de dados pessoais, a necessidade evidente de extraterritorialidade da lei e outras estão longe de serem dirimidas. 

Quid juris uma empresa com sede na Irlanda do Norte coleta dados de um cidadão brasileiro e os encaminha para uma empresa de eletrodomésticos com sede nos Estados Unidos, que veicula no instagram pessoal deste cidadão brasileiro publicidade personalizada, mas indesejável, sobressaltando-o em sua paz e tranquilidade?

Essa questão singela e prosaica é apenas uma em infinitas possibilidades…