É sabido que a Lei 13.709/18 – Lei Geral de Proteção de Dados, é considerada no ambiente acadêmico como uma das leis mais importantes a ser incorporada em nosso ordenamento jurídico a partir de maio de 2021. Em verdade, pelo seu texto original, a lei já estaria em vigor, porém, em razão de um veto do então presidente Michel Temer, referente a criação da Autoridade Nacional de Proteção de Dados (ANPD), posteriormente instituída pela Medida Provisória 869/18 e convertida na Lei 13.853/19; e pelo surto mundial de coronavírus, entendeu por bem o Congresso Nacional em postergar a vigência da lei.
Leia também: Caso Tiktok: a privacidade do público infantil não pode esperar
Nesse sentido, buscaremos abordar nos próximos textos aspectos específicos atinentes à LGPD . Seu conteúdo é inovador e causará forte impacto nas relações de consumo, servindo como mais um instrumento normativo na defesa dos interesses dos consumidores.
A LGPD é a mais pura tradução dos tempos atuais, no qual boa parte das relações pessoais e de consumo migraram para os ambientes virtuais. Nesse contexto, ter acesso às informações pessoais dos consumidores se tornou o grande objetivo de grandes grupos econômicos.
O consumidor não é apenas visto como um comprador ou cliente em potencial de um produto ou serviço. À sua pessoa foi agregado um valor abstrato, intangível, formado pela universalidade de comportamentos, desejos, compras, opiniões e buscas feitas em ambiente virtual. A essa universalidade de bens intangíveis deu-se o nome de “dados pessoais”, e a eles é que se busca dar especial atenção. Todavia, um instrumento normativo não se dá do dia para a noite, mas sim, é resultado de um processo histórico de demandas da sociedade que, ao final, será traduzido em lei.
No que tange à evolução histórica da proteção de dados, citamos alguns elementos marcantes, tais como, o julgamento alemão de 1983 do Tribunal Constitucional, que reconheceu o direito fundamental à autodeterminação informativa, servindo como marco temporal no reconhecimento de que havia uma matéria autônoma chamada “Proteção de Dados”, diferente da tutela à privacidade, vez que a determinação informativa é justamente garantir ao cidadão a palavra final no controle de seus dados.
Tal perspectiva se consolidou de forma definitiva nos anos 2000, quando a nova edição da Carta de Direitos Fundamentais da União Europeia reconheceu em seu Art. 8º a Proteção de Dados como um direito autônomo, destacado do Direito à Privacidade (Art. 7º).
Para compreendermos como as normas de proteção de dados se estruturaram historicamente, temos que fazer referência a dois grandes modelos: “Modelo Europeu de Proteção de Dados” e o “Modelo Norte-Americano de Proteção de Dados. O primeiro é baseado na ideia de que os dados pessoais somente podem ser tratados se houver uma base legal, isso é, dentro de algumas hipóteses anteriormente previstas em lei. Permite-se que ocorra o tráfego de dados pessoais dos cidadãos se ancorado na legislação. O modelo europeu é centralizador, concentrando o dever de fiscalizar a aplicação da lei e de impor sanções a uma autoridade independente com competência para agir em todos os países membros do bloco.
Na Europa, desde 1970 encontramos as emanações das primeiras leis de proteção de dados, todas unificadas a partir de 1995. Nesse sentido, o General Data Protection Regulation (GDPR), é o regulamento geral de proteção de dados europeu, é a lei que hoje em dia vale para todos os países europeus, devendo ter aplicação harmônica e conjunta com a legislação própria de cada país membro.
O GDPR é a lei diretamente aplicável a toda União Europeia, mas sua edição não representou inovação legislativa no que concerne à proteção de dados pessoais, haja vista que a maioria de suas disposições já se encontravam em leis europeias pré-1995. Por essa razão, a GDPR não causou na Europa o forte impacto que a LGPD deverá causar no Brasil, vez que a lei limitou-se a adaptar e harmonizar alguns pontos destoantes entre os países membros.
Por sua vez, o “Modelo Norte-Americano de Proteção de Dados” não pode ser denominado propriamente um modelo, tendo em vista a falta de uniformidade nas normas aplicadas em cada estado. Nos EUA encontramos leis que tratam somente de determinados entes, sejam públicos ou privados. Há uma lei que trata de privacidade perante a União e outras tantas que tratam de questões estaduais, ou até regionais, muito específicas. Um exemplo dentro desse emaranhado de legislações é a lei americana de proteção ao crédito, que foi aqui quase que literalmente transposta para o art. 43 do CDC, obrigando a notificação do consumidor em caso de abertura de cadastro.
Nesse sentido, as normas americanas de proteção de dados apresentam caráter setorial, dizendo respeito a algum aspecto da proteção de dados das pessoas. Não há, portanto, uma normativa geral, muito embora haja demanda e tendência para uma unificação. O estado da Califórnia, por exemplo, aprovou recentemente uma norma bastante relevante e consistente na proteção dos dados pessoais e, por sua importância estratégica para a economia dos EUA, pode servir como paradigma para os outros estados Além da influência californiana, há pressões políticas internacionais, posto que os protocolos internacionais de tratamento de dados exigem que o país receptor ou fornecedor dos dados tenha legislação específica de proteção.
Leia também: Acessibilidade: a defesa do consumidor para todos
Diante dos modelos apresentados, verificamos que o adotado pelo Brasil reproduz a visão europeia de proteção de dados. Assim como a GDPR é aplicável a todos os estados membros da UE, a LGPD será aplicada a todos os estados federativos nacionais. De igual forma, ambas apresentam como ente fiscalizador da norma uma autoridade concentrada, responsável pela sua observância e aplicações de eventuais sanções.