Um método perigoso da LGPD (Daniel Becker e Luiza Leite)

A Lei Geral de Proteção de Dados (LGPD), para bem ou para mal, é um divisor de águas no país. Enquanto cria uma consciência coletiva e aproxima o Brasil de um padrão internacional de proteção de dados e privacidade, também coloca em xeque o desenvolvimento econômico e a inovação pelo tom cinzento de seus diversos conceitos jurídicos indeterminados e principiológicos. Mas não é só. A inércia do executivo em estruturar a Autoridade Nacional de Proteção de Dados (ANPD) torna ainda mais difícil a sua compreensão e aplicação.

Como não poderia deixar de ser, com a entrada em vigor deste novo marco regulatório, os pedidos por parte de titulares de dados explodiram. Os novos direitos que agora podem ser exigidos os atraem como mariposas até a lâmpada – seja pela curiosidade, seja pela vontade de exercer a cidadania, seja até mesmo por oportunismo. Há um arquétipo quase jungiano de participação na mudança de paradigma regulatório.

Quando o assunto é o direito à exclusão, há um falso arquétipo de controle absoluto supostamente outorgado pela LGPD. Haverá muita frustração, pois este (in) consciente coletivo parece ter sido moldado em uma fôrma defeituosa, a saber: (i) a hipervalorização do consentimento como base legal – que se sabe que representa no máximo 5% das operações de tratamento de dados do controlador médio – e o (ii) desconhecimento do caráter vinculante dos termos e condições e políticas de privacidade para determinados efeitos.

O que Jung não explica nesse caso é que, na maior parte das vezes, o pedido de exclusão de dados pessoais não poderá ser atendido pelo controlador responsável por seu tratamento. Para não haver dúvidas, vale citar alguns exemplos. Quando houver a obrigatoriedade legal ou fiscal de guarda de determinados dados pessoais de um colaborador, a resposta para o exercício do direito de exclusão será uma retumbante recusa. Da mesma forma, se houver a existência de uma operação de tratamento de dados que tenha origem em um instrumento contratual, a resposta será igualmente negativa, devendo ser apontado, como prazo de guarda, a prescrição contratual de dez anos, tal como previsto no Código Civil e pelo Superior Tribunal de Justiça.

Outro choque ocorre quando analisamos o direito à exclusão vis-à-vis o princípio da necessidade. Inspirado no princípio da minimização do Regulamento Geral de Proteção de Dados da União Europeia (GDPR), o standard exige que o tratamento envolva apenas dados necessários para o atingimento da respectiva finalidade. Quais dados, portanto, devem ser excluídos e quais devem ser mantidos? Não há resposta objetiva para tal indagação, o que torna o cumprimento do direito extremamente problemático. Utilizando o exemplo acima relacionado ao tratamento de dados com base em execução do contrato e o prazo prescricional previsto no Código Civil, é certo que esses dados pessoais dificilmente poderão ser excluídos – afinal, diante dos princípios da eventualidade e da ampla defesa no processo civil brasileiro, qualquer exclusão poderá cerceá-los e prejudicar a defesa do controlador em juízo contra o titular que visa ter seus dados excluídos.

É preciso deixar bem claro que dados indevidamente excluídos podem trazer mais dor de cabeça do que uma solicitação legitimamente não atendida. Para remediar a patologia do direito irrestrito à exclusão, é importante que as companhias realizem o mapeamento de suas operações e uma detida atribuição de bases legais para tratamento de dados, treinem seus prepostos e/o desenvolvam sistemas para responder adequadamente cada pedido de exclusão, será único e merecerá uma análise cuidadosa.

Daniel Becker e Luiza Leite são, respectivamente, sócio do Lima e Feigelson Advogados e diretor de Novas Tecnologias no Centro Brasileiro de Mediação e Arbitragem (CBMA); CEO da Dados Legais e pesquisadora em regulação e novas tecnologias na Universidade Federal do Rio de Janeiro (UFRJ)

VALOR ECONÔMICO