Em 14 de agosto, comemoramos cinco anos da publicação da Lei Geral de Proteção de Dados Pessoais, e neste primeiro quinquênio de existência, algumas reflexões e perspectivas futuras de regulamentação a ela correlatas se fazem de importante destaque.
A primeira delas diz respeito à conclusão pela ANPD (Autoridade Nacional de Proteção de Dados) de um dentre os oito de seus processos administrativos sancionadores em andamento, que resultou na aplicação de sanções de multa e de advertência por ofensas à LGPD à Telekall Infoservice, em razão da “oferta aos candidatos às eleições municipais de uma listagem de contatos de WhatsApp de eleitores de Ubatuba/SP para fins de disseminação de material de campanha eleitoral sem hipótese de tratamento; ausência de comprovação de registro das operações de tratamento de dados pessoais; ausência de envio do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento; falta de comprovação da indicação de encarregado”.
Dentre os dispositivos legais e regulamentares infringidos estão os artigos 7º e 11º da LGPD em razão da ausência de comprovação de hipótese legal de tratamento de dados pessoais, reforçando entendimento sobre dados pessoais regulados e protegidos pela lei e expurgando qualquer dúvida porventura ainda existente sobre a necessidade de base legal para o tratamento de dados pessoais extraídos de bases públicas de livre acesso em página web ou mesmo em redes sociais, utilizados para finalidade diversa da originalmente identificada.
Posto isso, quanto à caracterização de uma informação relacionada a pessoa natural como dado pessoal ou dado pessoal sensível, denota-se a importância de sua análise dentro de um complexo de informações, que, em conjunto, podem identificar a pessoa natural ou torná-la passível de identificação, atraindo a aplicação da LGPD ao caso posto em análise.
A título de exemplo, uma informação de geolocalização por si só pode não ser considerada como dado pessoal, eis que a partir de simples análise fora de delimitado contexto, não torna possível a identificação de pessoa natural a que ela se refere, porém, acrescida de outras informações, como por exemplo, endereço IP, essa identificação pode ser alcançada. Nesse sentido é também o enquadramento da imagem da pessoa natural enquanto dado pessoal simples em determinado contexto ou dado pessoal sensível em contexto de dados biométricos para identificação por meio de sistemas de leitura específicos para tanto.
Aliás, é o que se extrai do procedimento administrativo em questão, no qual a partir das informações prestadas pela autuada Telekall no sentido de que “nossa lista de contatos é segmentada e filtrada por região e bairro, o que personalização de sua comunicação com o eleitor […] você receberá a listagem com nome do usuário, número WhatsApp e endereço completo”, chegou-se à conclusão de que aplicável a LGPD ao caso e, portanto, competente a ANPD para o processo e julgamento administrativo do caso.
Outra perspectiva extraída do procedimento sancionatório diz respeito à extração de dados pessoais de base públicas, por muitos ainda considerado como fator que, em tese, afastaria a aplicação da LGPD, pelo simples fato de que, por serem públicas, “todos podem delas se utilizar”. Aliás, neste sentido foi a manifestação da autuada que, em sua defesa respondeu: “a nossa primeira impressão foi a de que, se os dados estão na web ou em redes sociais, eles seriam públicos e, portanto, poderiam ser utilizados (tratados) por qualquer pessoa”.
No entanto, ao extrair dados pessoais de base públicas devem os agentes de tratamento atentar-se ao disposto nos artigos 6º, I; 7º, §3º, 4º e 7º, todos da LGPD, que em conjunto indicam ser possível o tratamento destes dados para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades, ou seja, o dado pode ter acesso público para determinada finalidade, como por exemplo, processos judiciais de acesso público alocados nas bases de nossos Tribunais Pátrios. Porém, ao serem extraídos destas bases (cópias integrais dos autos, por exemplo) e utilizados para finalidades diversas, a hipótese de tratamento se altera, e com ela deve ser alterada também a base legal para tanto.
Aliás, oportuno destacar que, com relação aos critérios para aplicação de multa às entidades de direito privado em casos de vazamento de dados pessoais, após requerimento da Comissão de Desenvolvimento Econômico da Câmara dos Deputados foi designada para a data de 15 de agosto do corrente ano audiência pública para, dentre outros pontos, discutir-se acerca da possibilidade de supressão da expressão “por infração”, constante no inciso II, do artigo 52 da LGPD, bem como sobre a necessidade de destinação mais específica dos valores arrecadados por meio das sanções pecuniárias, atualmente direcionados ao Fundo de Defesa de Direitos Difusos, conforme disposição expressa do §5º, do referido artigo 52.
A segunda e não menos importante reflexão necessária nesta data diz respeito à regulação do uso da Inteligência Artificial no Brasil e discussões a ela correlatas, especialmente aquelas voltadas ao impacto de seu uso nos direitos da personalidade do titular de dados. Relacionado ao tema, a LGPD, em seu artigo 20, dispõe sobre o direito dos titulares em solicitar à revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais [1], porém deixa em aberto a limitação desta revisão, surgindo o seguinte questionamento: esta revisão deve ser feita por humanos ou por máquina?
Sobre o tema, destacam-se as discussões, ainda não encerradas, envolvendo os Projetos de Lei (PLs) nº 5.051/2019, 21/2020 e 872/2021, que estabelecem fundamentos, princípios e diretrizes para o desenvolvimento e a aplicação da inteligência artificial no país, bem como o relatório final da comissão de juristas responsável por subsidiar elaboração de substitutivo sobre inteligência artificial no Brasil, nos quais emerge o posicionamento no sentido de ser essencial a previsão de possibilidade de intervenção humana, introduzindo componente humano no processo decisório automatizado.
Ainda que não encerradas as discussões e ante o cada mais constante uso e livre acesso no seio social a ferramentas de Inteligência Artificial resta o alerta sobre o uso consciente destas ferramentas, compreendendo seus benefícios sem deixar de lado os riscos que trazem à privacidade e proteção de dados, bem como aos direitos da personalidade dos titulares de dados, especialmente em relação as vieses de discriminação e tratamentos indevidos. Sobre o tema, no decorrer deste ano alguns exemplos chamaram a atenção do operador do direito, como o caso colombiano de uso de ChatGPT por magistrado para redação de sentença, ou mesmo a aplicação de multa por litigância de má-fé pelo TSE (Tribunal Superior Eleitoral) a advogado que tentou intervenção como amicus curiae por meio de petição redigida pelo ChatGPT.
Neste contexto destaca-se a importância de estruturação de Programa de Governança de Dados pelos agentes de tratamento de dados pessoais, a fim de que, em meio às constantes alterações e surgimento de novas tecnologias consigam garantir o cumprimento das disposições trazidas pela LGPD e legislações que com ela dialogam, como o Marco Civil da Internet e o Código de Defesa do Consumidor.
Sob a perspectiva social, estes cinco anos nos mostraram a importância do estabelecimento sólido de uma cultura de proteção de dados, para o qual contribuem operadores do direito, entidades privadas, e especialmente a ANPD, enquanto entidade garantidora do direito fundamental à proteção de dados pessoais.
Em conclusão, pode-se afirmar que temos um longo caminho para o alcance da plena regulamentação da proteção de dados pessoais e temas a ela conexos, como por exemplo, o mencionado uso de inteligência artificial ou mesmo a questão da tributação na economia digital, no entanto as conquistas até o momento alcançadas e os constantes debates suscitados na esfera acadêmica e legislativa mostram que seguimos no caminho correto.
Como se vê, há muito o que comemorar!
Raíssa Varrasquim Pavon é advogada do escritório Ernesto Borges Advogados e especialista em Direito Digital e Proteção de Dados.