Neide A. D. De Sordi
Sobre a lei de proteção de dados pessoais
Em 10 de julho de 2018, o Senado aprovou o Projeto de Lei Complementar 53/2018, Lei Geral de Proteção de Dados Pessoais – LGPD (1), que estabelece o marco legal sobre a proteção aos dados pessoais coletados na internet pelo poder público e iniciativa privada.
O projeto aguarda a sanção presidencial. Com essa lei, que atende aos interesses de diversas organizações da sociedade civil, o Brasil se alinha a outros 125 países, que já possuem legislação semelhante. Nesse sentido, destaca-se o Regulamento (UE) 2016/679, do Parlamento Europeu e do Conselho da União Europeia, conhecido como Regulamento Geral sobre a Proteção de Dados, que entrou em vigor em maio de 2018.
O Projeto de Lei Complementar estabelece princípios, garantias, direitos e obrigações referentes à proteção da pessoa natural, quanto ao tratamento de dados pessoais. Ele define dado pessoal como qualquer informação relacionada à pessoa natural identificada ou identificável (tais como nome, endereço, e-mail, idade, estado civil e situação patrimonial entre outros) e dado pessoal sensível, como qualquer um que revele: a orientação religiosa, política ou sexual; a convicção filosófica; a procedência nacional; a origem racial ou étnica; a participação em movimentos políticos ou sociais; além de referências sobre saúde, genéticas ou biométricas do titular dos dados. Como se pode observar, um grande conjunto de informações.
O texto prevê a exigência de consentimento do cidadão para o tratamento dos dados, exceto quando se tratar de utilização pelo Poder Público, para o cumprimento de obrigação legal, execução contratual ou “quando necessário para atender aos interesses legítimos do responsável ou de terceiros”, bem como quando aqueles forem tornados públicos pelo titular – como informações postadas em redes sociais.
A lei entra em vigor em 18 meses após a sua promulgação, prazo para o poder público se preparar para o seu cumprimento. Dentre as previsões específicas, consta que os dados devem ser interoperáveis e compartilhados internamente para a implementação de políticas públicas.
Além disso, cria a Autoridade Nacional de Proteção de Dados (ANPD), na forma de agência reguladora com conselho diretor composto de três membros, tendo ainda um conselho nacional multissetorial, com 23 integrantes, a quem compete definir as diretrizes estratégicas desse novo órgão. Tal modelo assemelha-se ao Comitê Gestor da Internet, com representantes do Executivo, Câmara, Senado, Conselho Nacional de Justiça e Conselho Nacional do Ministério Público, sociedade civil, setor empresarial e academia, e apresentando um assento para o próprio CGI.br.
A LGPD amplia tacitamente o disposto no art. 31 da Lei de Acesso à Informação de Dados (LAI), que já previu a proteção dos dados pessoais e, explicitamente, revoga incisos no art. 7º da Lei nº 12.965, de 23 de abril de 2014, que estabelece o marco civil da internet, relativos ao fornecimento de dados pessoais.
Conceitos e princípios arquivísticos na LGPD
Muitos dos conceitos e dispositivos da Lei ainda não foram adequadamente esclarecidos, o que poderá se dar com a regulamentação da matéria. No entanto, pode-se observar que diversas operações previstas são nitidamente atividades arquivísticas.
A expressão tratamento de dados, com 112 ocorrências no texto legal, é definida no art. 3º, XV como “qualquer operação ou conjunto de operações realizadas sobre dados pessoais ou banco de dados, com ou sem o auxílio de meios automatizados, tais como coleta, armazenamento, ordenamento, conservação, modificação, comparação, avaliação, organização, seleção, extração, utilização, bloqueio, cancelamento, anonimização, pseudonimização e fornecimento a terceiros, por meio de transferência, comunicação, interconexão ou difusão”.
O art. 4º, II aborda os princípios da pertinência e da integridade, e o inc. III trata da conservação dos dados e também do armazenamento destes, que deve ocorrer apenas com a identificação dos seus titulares e pelo período necessário às finalidades do tratamento (temporalidade). Ainda no inc. V do art. 4º, V, a transparência no tratamento de dados aborda questões que podem ser traduzidas como requisitos para a preservação digital. A segurança da informação é objeto do inc. VI, que evoca “a necessidade de técnicas atualizadas e compatíveis com os padrões internacionais, que sejam aptas a proteger os dados pessoais de destruição, perda, alteração, difusão, coleta, cópia ou acesso indevido e não autorizado”. O inc. VIII do art. 4º trata da adoção de medidas técnicas adequadas para minimizar os riscos oriundos do tratamento de dados pessoais. Inclusive o § 3º do art. 55, que trata das atribuições da ANPD, prevê a possibilidade de designação de organismos de certificação de ações relacionadas à transferência internacional de dados pessoais.
Essa segurança da informação mencionada deve incluir requisitos de confidencialidade, integridade, disponibilidade e autenticidade. A segurança pressupõe a adoção de boas práticas de gestão documental, fundamentadas no modelo conceitual OASIS (Open Archival Information System), entre outras estratégias que visam evitar a obsolescência tecnológica e permitir o acesso aos documentos por longo prazo.
A adoção de ferramentas de auditoria dos repositórios como o TRAC (Trustworthy Repositories Audit & Certification) poderia subsidiar a avaliação de riscos de perda, acesso indevido e uso ilegítimo de dados pessoais. Ainda no art. 4º, o parágrafo único menciona a necessidade de conservação de dados por órgãos e pessoas jurídicas de direito público ou realizada para fins históricos, estatísticos e científicos, atribuições incontestes dos arquivos, que são atendidas com estratégias de preservação de documentos em repositórios confiáveis, autênticos e acessíveis.
A adoção de plano de classificação e de tabelas de temporalidade poderia atender ao estabelecido pelo art. 5º, VI sobre os direitos básicos do titular ao cancelamento, a seu requerimento e ao término da relação entre as partes, dos seus dados pessoais em quaisquer bancos de dados, ressalvadas outras hipóteses legais.
O art. 5º criou atribuições e as figuras responsáveis por elas. Além do titular dos dados, inc. V, foram previstos: VI – controlador: a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII – operador: a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; VIII – encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional; IX – agentes do tratamento: o controlador e o operador. O art. 33 estabelece as responsabilidades desses agentes envolvidos no tratamento dos dados. Lamentavelmente, a colaboração de arquivistas não foi prevista.
As instituições Arquivísticas e a LGPD
Essa análise não é exaustiva. Vários dispositivos não abordados indicam a necessidade de aplicação de princípios arquivísticos e a compreensão de que o tratamento de dados pessoais compreende um conjunto de requisitos de boas práticas de gestão documental.
Lamentavelmente, o Conarq não integra o conselho nacional multissetorial composto de 23 representantes, a ser criado para definir as diretrizes estratégicas da autoridade nacional de proteção de dados também a ser criada, embora o projeto de lei tenha ficado em tramitação por seis anos.
As disposições finais e transitórias da norma, art. 46, estabelecem o Ministério da Ciência, Tecnologia, Inovações e Comunicações como autoridade competente, em caráter transitório, enquanto que a ANPD fica subordinada ao Ministério da Justiça.
Como ainda não se definiram as ações e procedimentos para a implantação da LGPD, as instituições arquivísticas e o Conarq podem atuar proativamente na regulamentação da matéria, especialmente no sentido de recepcionar as exigências desse novo marco legal dentro do arcabouço da legislação arquivística.
Os arquivos poderão ser parceiros das administrações públicas, de forma a não ser necessária a criação de novas unidades para o atendimento à LGPD, a exemplo do ocorrido na implementação da LAI, quando foram criados os e.SICs. Especialmente em relação à LAI, os arquivos poderiam ter-se firmado como unidades preferenciais da administração pública para a tarefa de atendimento à transparência passiva, por serem a unidade curadora da documentação institucional.
Como outros 125 países já adotarão legislação de proteção aos dados pessoais, certamente a experiência de muitos deles poderá ser útil para a adoção de boas práticas de gestão desses dados. O fortalecimento das instituições arquivísticas e do seu papel é de muita relevância em um mundo em permanente transformação, onde muitas profissões e suas agências rumam para a obsolescência e a extinção.
O papel das unidades de arquivo nos órgãos públicos tem-se modificado sensivelmente com a transformação digital. A custódia dos documentos arquivísticos analógicos sempre foi de responsabilidade das instituições arquivísticas, que lhes garantiam a autenticidade e o acesso a longo prazo. Porém, a transformação digital trouxe novas demandas e oportunidades. Os sistemas informatizados de documentos e processos eletrônicos fazem parte da estratégia governamental de transformação digital. A preservação digital desses processos e documentos só pode ser garantida com a adoção de boas práticas arquivísticas e estratégias que visam evitar a obsolescência tecnológica e permitir o acesso aos documentos por longo prazo, garantindo a autenticidade.
No entanto, com os documentos digitais, a custódia dos documentos arquivísticos digitais passou a ser exercida pela área de Tecnologia da Informação, que, na maioria das vezes, desconhece normas e padrões para a preservação de longo prazo de tais documentos. O retorno da gestão dessa cadeia de custódia aos arquivos é condição para que, no futuro, essas unidades não sejam definidas como de guarda de documentos em papel, produzidos antes da transformação digital.
(2) BRASIL. CONGRESSO NACIONAL. Senado Federal. Comissão de Assuntos Econômicos. Parecer nº 64, de 2018. da Comissão de Assuntos Econômicos, sobre o Projeto de Lei da Câmara n° 53, de 2018, que dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014, e sobre o Projeto de Lei do Senado n° 330, de 2013, do Senador Antônio Carlos Valadares, que dispõe sobre a proteção, o tratamento e o uso dos dados pessoais, e dá outras providências, e sobre o Projeto de Lei do Senado n° 131, de 2014, que dispõe sobre o fornecimento de dados de cidadãos ou empresas brasileiros a organismos estrangeiros, e sobre o Projeto de Lei do Senado n° 181, de 2014, do Senador Vital do Rêgo, que estabelece princípios, garantias, direitos e obrigações referentes à proteção de dados pessoais. Diário do Senado Federal, Brasília, DF, 4 jul. 2018. p. 652-671. Relator: Ricardo Ferraço.