Conujr – O protagonismo da transparência na LGPD

A Lei Geral de Proteção de Dados (LGPD) elenca em seu artigo 6º [1] dez princípios que, adicionados ao princípio da boa-fé, norteiam a licitude dos tratamentos de dados pessoais discriminados no artigo 5º, inciso X, da lei.

Na prática, significa concluir que, inobstante um tratamento de dados preencher os demais requisitos legais, tais como finalidade legítima, correto enquadramento de bases legais estabelecidas no artigo 7º, entre outros, impõe-se que os princípios sejam devidamente respeitados [2].

Nesse contexto, cabe especial atenção ao princípio da transparência que nada mais é do que informar ao titular, de forma clara e em momento anterior, a razão pela qual os seus dados estão sendo coletados e tratados, a finalidade e todo o caminho pelo qual o dado irá percorrer ao longo do seu ciclo de vida.

Coerente concluirmos, portanto, que como titulares de dados que somos, a capacidade decisória está intrinsicamente condicionada ao conhecimento prévio que nos é fornecido e relacionado ao que de fato ocorrerá com os nossos dados pessoais.

Informações referentes à finalidade do tratamento, ao tempo do armazenamento, às medidas de segurança que são adotadas para protegê-los e com quem serão compartilhados são obrigatórias.

Sem dúvida, a ausência dessas informações de forma clara e precisa fere o direito à autodeterminação informativa, impondo a ilicitude do tratamento. O princípio da autonomia da vontade exige que aquele que decide assim o faça munido integralmente da realidade dos acontecimentos, pois somente dessa forma poderá sopesar os prós e os contras da sua tomada de decisão. Riscos e benefícios precisam ser avaliados para que o titular decida de forma livre, positiva ou negativamente ao que lhe está sendo proposto.

Parece simples cumprir a obrigação de informar ao titular sobre o passo a passo do processamento dos seus dados pessoais, mas na prática essa realidade tem se mostrado um dos maiores desafios dos controladores. Alguns exemplos recentes merecem ser mencionados para reflexão.

Recentemente, uma decisão proferida pela Justiça do Trabalho de São Paulo, e que se encontra em sede recursal, deferiu a perícia no algoritmo utilizado pelo aplicativo Uber para fins de compreensão dos critérios de preferências e restrições na distribuição de chamadas dos motoristas, bem como nos mecanismos de avaliação, indução, premiação, restrições e sanções decorrentes do tempo em que o motorista fica à disposição na plataforma dada a opacidade de como esses critérios são definidos pelos algoritmos do aplicativo [3]. A falha na explicação dos mecanismos de avaliação dos motoristas pelo controlador justificaria a decisão mencionada.

Na União Europeia, em maio do corrente ano, a Agência de Proteção de Dados da Noruega notificou previamente a empresa Discus Inc, com sede na Califórnia, Estados Unidos, da intenção de aplicação da multa no valor de 25 milhões de euros, tendo como um dos fundamentos da infração a falha do controlador em prover aos titulares da Noruega informações de acordo com o estabelecido nos artigos 5 [1], 12 [1], e 13 do Regulamento Geral de Proteção de Dados [5].

A autoridade de proteção de dados, no caso em questão, entendeu que a empresa falhou em seu dever de transparência, eis que coletava através de cookies de terceiros no site, informações dos seus usuários e ainda compartilhava os dados pessoais com terceiros sem o conhecimento dos mesmos.

Falhou o controlador em comunicar o titular previamente à coleta dos dados pessoais, conforme determina o artigo 13, 1 e 2 do Regulamento Geral de Proteção de Dados (RGPD), o qual elenca as informações específicas e obrigatórias, tais como a identidade e o contato do controlador, a finalidade do processamento e a sua base legal, os destinatários, a existência do direito de acesso, eliminação e oposição ao tratamento.

A nossa Lei Geral de Proteção de Dados [6], inspirada no Regulamento Europeu, contém obrigações equivalentes em seu artigo 9º, incisos I a VII, determinando que sejam revelados ao titular, antes da coleta dos dados, a finalidade específica do tratamento, a sua forma e duração, os dados de identificação e o contato do controlador, informações sobre o compartilhamento de dados e para qual finalidade estão sendo compartilhados, responsabilidades dos agentes de tratamento e os direitos do titular.

O descaso com a observância do princípio da transparência representa na União Europeia aproximadamente 30% por cento das condenações impostas pelas autoridades de proteção de dados, atribuindo aos controladores o ônus de arcarem com pesadas multas.

Ressalvados a salva guarda do segredo industrial e comercial, a Lei Geral de Proteção de Dados concede especial protagonismo ao princípio da transparência [7], o qual está intimamente ligado aos princípios da accuntability e da prestação de contas.

Conclui-se, assim, que é de suma importância que os controladores dispensem especial atenção e recursos na escolha de profissionais qualificados para confecção dos documentos pertinentes ao processamento de dados que pretendem realizar, de forma que esses documentos traduzam ao titular o motivo pelo qual os seus dados estão sendo tratados e as condições que envolvem os respectivos tratamentos.

Independentemente da existência de hipóteses legais autorizadoras é impositivo que o dono do dado pessoal tenha pleno conhecimento de todas as circunstâncias que envolvem a vida útil do mesmo, sob pena do controlador incorrer em infração à lei de proteção de dados, tornando-se passível da aplicação das sanções pela Agência Nacional de Proteção de Dados (ANPD).

Afinal, o titular nunca poderá ser surpreendido!

[1] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 16 jun. 2021.

[2] Ibidem.

[3] TRIBUNAL SUPERIOR DO TRABALHO. Ministro suspende realização de perícia técnica no algoritmo da Uber. 31 maio 2021. Disponível em: http://tst.jus.br/-/ministro-suspende-realiza%C3%A7%C3%A3o-de-per%C3%ADcia-t%C3%A9cnica-no-algoritmo-da-uber. Acesso em: 16 jun. 2021.

[4] GENERAL DATA PROTECTION REGULATION – GPDR. Disponível em: https://gdpr-info.eu/. Acesso em: 16 jun. 2021.

[5] Ibidem.

[6] BRASIL. Presidência da República. Lei 13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Redação dada pela Lei nº 13.853, de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em: 16 jun. 2021.

[7] Ibidem.

Fonte: Conjur