I – Introdução
Quando Edward Snowden, em 2013, promoveu aquilo que se conhece como um dos maiores incidentes de vazamento de dados, divulgando informações sigilosas de segurança dos Estados Unidos, descortinou uma preocupação já latente acerca da importância da proteção dos dados dos indivíduos e organizações.
A Lei Geral de Proteção de Dados (L. n. 13.709/2018), criada com base no GDPR – regramento de proteção de dados pessoais e/ou sensíveis dos cidadãos residentes na Europa –, surgiu para regulamentar, em solo brasileiro, o tratamento das informações dos brasileiros, bem como sua transferência e disponibilização de um agente a outro.
Para o presente artigo, é importante entender que, em uma relação negocial formalizada por meio de um contrato, deve haver cláusula que verse sobre a Proteção de Dados Pessoais, de modo a resguardar as partes e deixar o instrumento regular no cumprimento das disposições da lei específica.
II – A Lei Geral de Proteção de Dados
A proteção dos dados pessoais não é uma preocupação nova, se for considerado o surgimento de discussões sobre o tema a nível internacional; já em 1970 surgia lei sobre o assunto na Alemanha.
A criação em 2012 do GDPR (General Data Protection Regulation ou Regulamento Geral sobre a Proteção de Dados) trouxe à baila a necessidade premente de cuidado do assunto. Em 2018, já em vigor, o GDPR regulamentava todo o tratamento de dados da União Europeia, influenciando diretamente outros países a criarem códigos que tratassem o assunto.
Nessa esteira, houve bastante atividade legislativa em cima da tutela dos dados pessoais, iniciada com a Lei de Acesso à Informação (L. n. 12.527/2011), a Lei Carolina Dieckmann (L. n. 12.737/2012), a criação do Marco Civil da Internet (L. n. 12.965/2014), cujo objeto é estabelecer os “princípios, direitos e deveres do uso da internet no Brasil” e mais recentemente, a Lei Geral de Proteção de Dados (L. n. 13.709/2018).
Em que pese a sua edição em 2018, a Lei Geral de Proteção de Dados, mais comumente conhecida por LGPD, só passou a vigorar plenamente em 2021, quando a seção relativa às penalidades por descumprimento passou a operar seus efeitos.
É possível afirmar que a LGPD tutela com mais acuidade os direitos da personalidade do indivíduo[1] constitucionalmente garantidos[2] e replicados na legislação infraconstitucional por meio do Código Civil de 2002[3].
Cuida-se, pois, dos direitos fundamentais da intimidade, vida privada, honra e a imagem das pessoas que, se violados, geram indenização por dano moral ou material.
A LGPD é um verdadeiro microssistema que possibilita ao cidadão o controle sobre as informações relativas a si, bem como o conhecimento de como esses dados são utilizados pelas organizações, empresas e até mesmo pelo governo. Por meio dela são estabelecidos os padrões mínimos a serem considerados para o tratamento dos dados pessoais, sempre garantindo ao sujeito o protagonismo das decisões sobre os dados.
A Lei Geral de Proteção de Dados é baseada fundamentalmente no consentimento do titular dos dados pessoais, que vai definir se as informações poderão ser tratadas ou não pelo agente de tratamento (art. 7º, I, L. n. 13.709/2018).
Destaque-se que a referida lei tem como princípios basilares (i) respeito à privacidade; (ii) autodeterminação informativa; (iii) liberdade de expressão, informação, comunicação e opinião; (iv) inviolabilidade da intimidade, honra e imagem; (v) desenvolvimento econômico, tecnológico e de inovação; (vi) livre iniciativa, livre concorrência e defesa do consumidor; e; (vii) direitos humanos, livre desenvolvimento da personalidade, dignidade e o exercício da cidadania pelas pessoas naturais.
A qualquer tipo de tratamento a LGPD é aplicada; assim, conforme o art. 3º cabe a “[…] qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados […].”
Ao titular é conferido acesso facilitado aos seus dados pessoais e/ou sensíveis e às informações relativas ao tratamento, que devem, imperativamente, ser disponibilizadas de maneira clara, adequada e ostensiva (art. 9º, L. n. 13.709/2018).
Os dados pessoais poderão ser necessariamente tratados pelo agente de tratamento quando for provado o seu legítimo interesse, baseado em situações concretas, como: (i) apoio e promoção de atividades do controlador; e; (ii) proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.
Quando ocorrerem hipóteses que se encaixem no legítimo interesse do controlador, “[…] somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados”[4], devendo o controlador adotar as medidas de garantia da transparência do tratamento dos dados baseado em seu legítimo interesse.
São direitos do titular, dentro do tratamento dos dados, obter do controlador (i) a confirmação da existência do tratamento; (ii) o acesso aos dados; (iii) a correção de dados incompletos, inexatos ou desatualizados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; (v) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (vi) eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses do art. 16 da LGPD[5]; (vii) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; e; (viii) revogação do consentimento, nos termos do § 5º do art. 8º[6] da LGPD.
II – A importância da inserção de uma cláusula de Proteção de Dados no Contrato
É certo que a Lei Geral de Proteção de Dados promove o equilíbrio das assimetrias de poder sobre as informações pessoais do titular de dados e os agentes de tratamento.
Sendo o Consentimento a premissa basilar a ensejar ou não o tratamento dos dados pessoais, é importante que seja ele inequívoco, demonstrado por escrito ou por outro meio que prove a manifestação de vontade do titular (art. 8º, L. n. 13.709/2018).
Em uma relação negocial, em que se possa hipoteticamente promover o tratamento de dados pessoais e/ou sensíveis, importante se faz a elaboração e inserção de uma disposição de Proteção de Dados Pessoais a regulamentar o referido tratamento.
Nessa toada, o contrato e, mais especificamente, a cláusula contratual é o meio hábil ao estabelecimento das condições específicas para o tratamento dos dados pessoais por ambas as partes.
O art. 8º, § 1º da LGPD corrobora a importância dessa ferramenta, ao informar que o consentimento, quando fornecido por escrito, deverá “[…] constar de cláusula destacada das demais cláusulas contratuais.”.
O texto da cláusula contratual destacada, em homenagem ao Princípio da Transparência, deve fornecer ao titular informações claras e acessíveis sobre o tratamento dos dados e os agentes de tratamento (art. 6º, VI, L. n. 13.709/2018[7]).
Sobre o referido postulado, norteador da elaboração da cláusula destacada a figurar nos contratos, entende-se ser ele imprescindível ao objetivo da LGPD, que é promover a proteção da privacidade e do livre desenvolvimento da personalidade. Isto porque não há como garantir tal tutela sem que o titular – verdadeiro dono dos dados pessoais – entenda claramente como será o tratamento de suas informações.
É possível inferir ainda que as questões relativas à transparência têm ganhado relevo e importância decorrentes da crescente preocupação com a clareza das informações e a disponibilização destas em linguagem acessível e sem quaisquer barreiras de cunho técnico.
A título meramente exemplificativo, a cláusula contratual destacada deve constar de seção específica do contrato; para a sua construção, as partes podem se valer das definições contidas no art. 5º da L. n.13.709/2018, que informam objetivamente os principais termos a serem utilizados no contexto do tratamento dos dados.
Devem ser delimitadas as obrigações das partes, as hipóteses de responsabilidade solidária por força de lei (art. 42 da L. n. 13.709/2018), a possibilidade de direito de regresso de uma parte à outra (art. 42, § 4º da L. n. 13.709/2018), bem como o dever de indenizar e a responsabilidade do agente de tratamento perante as autoridades.
É necessário, outrossim, que a eventual transferência dos dados por um agente a outro (“controlador-controlador” ou “controlador-operador”) seja regulamentada entre as partes por meio de um acordo, que definirá quais atividades de transferência de dados pessoais poderão ser realizadas, assim como as categorias de titulares, modalidades de dados pessoais e forma de tratamento autorizadas.
Por fim, ressalta-se ser imperativa a adequação das empresas aos ditames da Lei Geral de Proteção de Dados vigente, pautando-se elas sempre no correto tratamento dos dados pessoais, a fim de evitar sejam submetidas às pesadas sanções ali previstas.
III – Referências
BRASIL. Constituição (1988). 22ª Ed. São Paulo: Saraiva, 2016.
BRASIL. Lei n. 10.406, de 10 de janeiro de 2002. Brasília: 2002.
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Brasília, 2018.
NEGREIROS, Teresa. Teoria do Contrato: novos paradigmas. 2ª Ed. Rio de Janeiro: Renovar, 2006.
PINHEIRO, Patrícia Peck. Direito Digital. 6ª Ed. São Paulo: Saraiva, 2016.
VENOSA, Silvio de Salvo. Direito Civil: contratos. 21ª Ed. São Paulo: Atlas, 2021.
[1] Art. 1º. Esta lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
[2] Art. 5º, X, CRFB/1988.
[3] Art. 11, CC/2002.
[4] Art. 10, § 1º, L. n. 13.709/2018.
[5]Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I – cumprimento de obrigação legal ou regulatória pelo controlador; II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou; IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
[6]Art. 8º, § 5º: “§ 5º: O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.”
[7] Art. 6º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: […] VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
