Direito à Portabilidade de Dados Pessoais: caminhos para efetivá-lo

falta, regulamentação, LGPD

1.Introdução

Falaremos neste artigo sobre a portabilidade de dados pessoais conforme a Lei Geral de Proteção de Dados.

A Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD) estabeleceu diversos direitos aos titulares de dados pessoais. Nos termos do art. 5º, I do referido diploma, dados pessoais correspondem a informações relacionadas a pessoa natural identificada ou identificável.

Alguns dos direitos aos titulares de dados pessoais se originam diretamente dos princípios contemplados nas disposições preliminares da lei (art. 6º), outros são expressamente declarados no Capítulo III (arts. 17 a 22) daquela legislação[1].

Ressalte-se, desde já, que a lista de direitos não é exaustiva, ou seja, esse rol de direitos não exclui outros abarcados em outras legislações como o Código de Defesa do Consumidor – art. 45 da LGPD)[2].

Todos os direitos mencionados acima são de suma importância. Não há dúvidas. Neste breve texto, trataremos de um deles: o direito à portabilidade de dados pessoais (art. 18, V), sob a ótica dos caminhos para a sua aplicação prática.

2. Direito à Portabilidade na LGPD (art. 18, V da LGPD)

portabilidade, dados, pessoais

O instituto da portabilidade não é estranho ao mercado brasileiro. Ele já é adotado na prestação de serviços de telecomunicações[3] e de serviços bancários[4] há algum tempo.

Assim, é dada ao consumidor a possibilidade de trocar de prestador de serviços, em caso de sua insatisfação, sem ficar este aprisionado (consumer lock-in) a seu prestador de serviços nem atrelado a altos custos para trocá-lo (switching costs)[5].

Além disso, a ideia de algo portátil se refere à ideia de movimento, ou melhor, a compreensão de que alguma coisa possa ser transportada facilmente.

Semelhante ao que já ocorre nos setores de telecomunicações e bancário,  o direito à portabilidade dos consumidores titulares de dados pessoais (personal data portability) está previsto na LGPD (art. 18, V), o qual foi inspirado no Regulamento Geral de Proteção de Dados Europeu (GDPR), em seu art. 20[6].

Nos termos da LGPD, o titular de dados pessoais tem o direito de exigir do controlador, em relação aos seus dados tratados, a qualquer momento e mediante requisição expressa, a portabilidade dos seus dados a outro fornecedor de serviço ou produto, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial (art. 18, V), desde que esses dados não tenham sido anonimizados pelo controlador (§7º do art. 18).

De pronto e com o escopo de facilitar a exposição ao leitor, devemos esclarecer os significados de controlador e de dado anonimizado dados pela lei.

Sendo assim, o que seria um controlador? É uma pessoa natural ou jurídica, de direito público ou privado, que toma as decisões sobre o tratamento de dados pessoais (VI, art. 5º da LGPD). Já o dado anonimizado, por sua vez, seria aquele dado relativo a titular que não possa ser identificado, utilizando-se o uso de meios técnicos disponíveis e razoáveis quando do seu tratamento (III, art. 5º da LGPD).  

Não obstante, não podemos nos esquecer de mencionar que estão excluídos do direito à portabilidade dos dados pessoais os seguintes dados: i) relacionados a segredo comercial; ii) relacionados a segredo industrial; iii) previamente anonimizados pelo controlador (art. 18, V, parte final c/c §7º, art. 18 da LGPD) .

Dito isso, continuemos.

Como visto acima, a portabilidade é um direito posto à disposição do titular para migrar os seus dados pessoais de uma empresa à outra por meio de requisição expressa do titular de dados ao controlador dos seus dados.

A concretização do direito à portabilidade deve aumentar a autodeterminação informativa por parte do titular sobre os seus dados.

Assim, seria viabilizado o efetivo controle do titular sobre os seus dados para os mais diversos fins, com o seu gerenciamento e reutilização. Evita-se, nessa toada, que os consumidores fiquem presos a determinada empresa (lock in) ou padeçam de altos custos de troca de serviços (switching costs)[7].

Objetivos iguais aos do setor de telecomunicações e bancário.

É o que se espera.

3. Aviso aos navegantes: o direito à portabilidade previsto na LGPD ainda não está regulado pela Autoridade Nacional de Proteção de Dados (ANPD)

“No meio do caminho tinha uma pedra / Tinha uma pedra no meio do caminho”, como o poeta Carlos Drummond de Andrade um dia recitou. Semelhantemente, os titulares de dados pessoais encontram um obstáculo no caminho da concretização do seu direito à portabilidade: a falta de regulamentação.

 O que isso quer dizer?

 Significa que a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República (art. 55-A)[8], deverá esmiuçar, por meio de exercício do seu poder regulamentar, como a portabilidade deverá ser feita no Brasil.

Afinal, como expressamente está previsto legalmente (art. 18, V da LGPD), o  poder regulamentar deste direito compete ao Conselho Diretor da ANPD (ANEXO I, art. 4º, II, “c”, do Decreto 10.474, de 26 de agosto de 2020, c/c art. 55-J, XIII da LGPD), depois de realizadas consulta e audiência públicas (§2º, art. 55-J da LGPD), com a ressalva de que as competências dos órgãos reguladores que possuem definição sobre tais procedimentos em suas áreas de atuação serão resguardadas.

Assim, ante a especificidade da regulamentação do direito à portabilidade, houve uma autorização legislativa para o exercício do poder regulamentar pela ANPD.

Mas, atente-se. 

A discrição administrativa relacionada ao poder regulamentar não se confunde com a delegação disfarçada do poder de legislar. Na discricionariedade administrativa, a legislação previamente estabeleceu o direito ou dever, com o estabelecimento dos requisitos a serem preenchidos bem como os elementos a indicar os seus destinatários. Ao passo que na referida delegação disfarçada de legislar, todos estes elementos (direito ou dever, requisitos e elementos) estão previstos apenas no regulamento, sem previsão na lei regulamentada[9].

No caso do direito à portabilidade de dados na LGPD, estamos diante da regular discrição administrativa do poder regulamentar.

Assim sendo, quais passos iniciais podem ser tomados para adoção de uma regulação satisfatória?

Como a LGPD não define os formatos em que os dados hão de ser transferidos nem a possibilidade de transmissão direta entre os agentes de tratamentos de dados, ao contrário do previsto no Regulamento Geral de Proteção de Dados Europeu (GDPR), seria oportuna a previsão de que o formato dos dados pessoais fosse estruturado e que pudessem ser lidos por sistemas de informação (machine readable) com a operação direta dos dados entre os agentes de tratamentos dos dados[10]. Obviamente, essas duas sugestões não abarcam toda a complexidade da regulamentação do direito à portabilidade. Diversas outras deverão ser feitas. Mas, ante a complexidade do trânsito de dados, surge um questionamento: só a regulação seria suficiente para garantir que os princípios e diretrizes da LGPD fossem respeitados?

4. Só a regulamentação seria suficiente para viabilizar a portabilidade de dados pessoais segura?

Pensa-se negativamente pela recente experiência europeia, principalmente, em virtude de recentes recomendações exaradas pelo Comitê Europeu de Proteção de Dados (CEPD).

No julgamento C-311/18 (Schrems II) do Tribunal de Justiça da União Europeia (TJUE), em 16 de julho de 2020, foi decidido que a tutela dos dados pessoais na área econômica europeia deve ser equivalente àquela adotada pela União Europeia, independentemente do destino geográfico dos dados pessoais[11].

A partir dessa decisão, o Comitê Europeu de Proteção de Dados (CEPD) emitiu, em sessão plenária, recomendações aos exportadores de dados sobre medidas complementares a fim de auxiliá-los com a finalidade de assegurar um nível de proteção de dados semelhantes àquela adotada pela União Europeia[12].

Em nosso país o direito à portabilidade nem regulamentado está. Mas quando isso acontecer, é provável que a ANPD, semelhantemente ao CEPD, irá indicar aos operadores de dados pessoais as melhores práticas a serem adotadas para incremento na proteção de dados pessoais, fortalecendo a segurança do direito à portabilidade e dando uma maior segurança jurídica à atuação dos operadores.

Isso quer dizer que podemos aprender com a experiência oriunda da Europa. Sendo assim, quais foram as orientações dadas aos exportadores de dados pessoais pelo CEPD?

recomendações, exportadores, dados pessoais

 Foram seis orientações básicas[13]:

  1. conheça as suas transferências de dados pessoais (know your transfers);
  2. examine a confiabilidade das ferramentas utilizadas na transferência de dados pessoais (verify the transfer tool your transfer relies on);
  3. avalie a legislação e a aplicação prática dela por um terceiro país que possam minar a proteção dada pela legislação europeia (assess the law or practice of the third country);
  4. identifique e adote medidas suplementares de proteção (identify and adopt supplementary measures);
  5. realize procedimentos formais necessários para reforçar a adoção das medidas extras de proteção (take any formal steps the adoption of your supplementary measure may require);

reavalie constantemente os níveis de proteção dos dados na transferência para outros países e monitore as mudanças que possam afetá-la (re-evaluate at appropriate intervals the level of protection afforded to the data you transfer to third countries and to monitor if there have been or there will be any developments that may affect it).

5. Conclusão

O direito à portabilidade previsto na LGPD (art. 18, V) deverá trazer benefícios concretos aos titulares de dados pessoais. Contudo, para efetivar esse direito há obstáculos no caminho: a falta de regulamentação pela ANPD.

O poder de regulamentar da ANPD nesse tocante deve ser exercido diligentemente o mais breve possível. Acredita-se, contudo, que só isso não será suficiente. Deve-se ir além.   A experiência europeia pode servir de prelúdio à ANP, estimulando-a a emitir recomendações a fim de complementar a efetividade da segurança do trânsito de dados pessoais garantidas pela LGPD bem como trazendo uma maior segurança de boas práticas a serem seguidas pelas empresas do setor.

Referências bibliográficas

[1] FRAZÃO, Ana. Direitos básicos dos titulares de dados pessoais. Revista do Advogado, AASP, São Paulo, ano XXXIX, n. 144, p. 35-38, nov. 2019.

[2] LIMA, Cíntia Rosa Pereira de; RAMIRO, Lívia Froner Moreno. Direitos do Titular dos dados Pessoais. In: LIMA, Cíntia Rosa Pereira de (Coord.). Comentários à Lei Geral de Proteção de Dados: Lei n. 13.709/2018, com alteração da lei n. 13.853/2019. São Paulo: Almedina, 2020, p. 249.

[3] Regulamento Geral de Portabilidade (RGP) – Resolução nº 460, de 19 de março de 2007 da Agência    Nacional de Telecomunicações (ANATEL).

[4] Resolução 4.292, de 20 de dezembro de 2013 do Banco Central do Brasil (BACEN).

[5] CRAVO, Daniela Copetti. O Direito à portabilidade na Lei de Proteção de Dados. In: FRAZÃO, Ana; TEPEDINO, Gustavo; DONATO, Milena (Coords.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. 1 ed. [livro eletrônico]. São Paulo: Thomson Reuters Brasil, 2019, RB-12.2. n.p.

[6] LIMA, Cíntia Rosa Pereira de; RAMIRO, Lívia Froner Moreno, op. cit. p. 271.

[7] FRAZÃO, Ana. op. cit., p. 40.

[8] A ANPD poderá ser transformada posteriormente em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República no prazo de 2 (dois anos) da data da entrada em vigor da estrutura regimental da ANPD (§§1º e 2º, do art. 55-A).

            [9] MENDES, Gilmar Ferreira; COELHO, Inocêncio Mártires; BRANCO, Paulo Gustavo Gonet. Curso de Direito Constitucional. 2. ed. rev. e atual. São Paulo: Saraiva, 2008, p. 915-916.

            [10] LIMA, Cíntia Rosa Pereira de; RAMIRO, Lívia Froner Moreno, op. cit. p. 271-272.

[11] CNPD. Comitê Europeu aprova recomendações no seguimento de acórdão Schrems II. Disponível em: <a href="https://www.cnpd.pt" target="_blank" aria-label="<https://www.cnpd.pt/>. Acesso em 31 dez. 2020. n.p.

[12] Id. Ibid. n.p. [13] EUROPEAN DATA PROTECTION BOARD. Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. Brussels, 01/2020. 38 p.

Website | + posts

Mestre em Direito Civil (USP). Especialista em Direito Processual Civil (UNICAP). Advogado.

Artigos relacionados

Dever de Notificação dos Incidentes de Segurança com Dados Pessoais – Parte 1

Neste artigo, você compreenderá o que são incidentes de segurança à proteção de dados e como se efetivam as notificações dos incidentes de segurança. Assim, você verá os principais aspectos do dever de notificação dos incidentes de segurança com dados pessoais. Além disso, serão analisados os principais dispositivos do ISO 29.134/2017.

Respostas