Opinião e Análise

Ana Frazão

<p align="justify">Esclarecidos os primeiros contornos do direito à portabilidade no artigo anterior (<a href="https://www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-e-mercado/nova-lgpd-direito-a-portabilidade-07112018" target="_blank" rel="noopener">Parte XI</a>), inclusive no que diz respeito à questão da interoperabilidade, passa-se, no presente artigo, a explorar os demais aspectos importantes do direito, mais uma vez buscando o diálogo com o GDPR.</p>
<p align="justify">Comparando-se a LGPD e o GDPR, é possível notar que, enquanto a descrição brasileira do direito à portabilidade enfatiza a transmissão dos dados para um novo controlador - "portabilidade dos dados a outro fornecedor de serviço ou produto" (art. 18, V) -, a europeia deixa claro que o titular dos dados tem o direito de recebê-los diretamente, assim como tem o direito de transmiti-los a novos controladores<a href="#sdfootnote1sym" name="sdfootnote1anc">1</a>. Logo, a ideia principal do GDPR é a de que o direito à portabilidade envolve a recepção e a guarda dos dados pessoais para usos futuros pelo próprio titular, que pode gerenciar e mesmo reutilizar os seus dados pessoais.</p>
<ul class="jota-article__internal-links">
<li>+JOTA:<a href="https://www.jota.info/cadastre-se"> Faça o cadastro e leia até dez conteúdos de graça por mês!<br />
</a></li>
</ul>
<p align="justify">Não é sem razão que o direito à portabilidade é definido pelo Guide to the <em>General Data Protection Regulation</em> (GDPR) inglês<a href="#sdfootnote2sym" name="sdfootnote2anc">2</a> como a possibilidade de o titular obter e reutilizar seus dados pessoais para os seus próprios propósitos diante de diferentes serviços. Consequentemente, o direito possibilita ao titular mover, copiar e transferir os seus dados pessoais facilmente de uma infraestrutura de TI para outra de modo seguro e sem afetar a sua possibilidade de uso.</p>
<p align="justify">Consequentemente, no contexto europeu, a transmissão direta para outros controladores é apenas uma das formas de exercício do direito à portabilidade. Tanto é assim que o art. 20, 2, do GDPR, deixa claro que “Ao exercer o seu direito de portabilidade dos dados nos termos do n. 1, o titular dos dados tem o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja tecnicamente possível.”</p>
<p align="justify">Apesar das diferenças das previsões normativas, o mesmo alcance também pode ser dado à portabilidade no Brasil, já que o fato de a definição brasileira fazer menção à transferência para outro controlador obviamente não afasta a possibilidade de o usuário obter diretamente tais dados do antigo controlador e gerenciá-los pessoalmente, transferindo ou não, em momento futuro, para um novo controlador.</p>
<p align="justify">Outra diferença entre as duas leis é que, no caso brasileiro, ao invés de delimitar o objeto do direito à portabilidade e as suas exceções, a LGPD restringe-se a condicionar o direito aos limites do segredo comercial e da regulamentação do controlador. Por essas razões, é interessante observar o alcance do direito na Europa, para o fim de se analisar em que medida a referida experiência pode ser um referencial interpretativo para a legislação brasileira.</p>
<p align="justify">No caso europeu, já se viu que o objeto do direito à portabilidade é mais restrito do que o do direito ao acesso, já que a base legal para o primeiro é o consentimento, a performance de um contrato ou decisões automatizadas. Ao assim fazer, o art. 20(1) do GDPR procurou aliviar o controlador da obrigação de portabilidade quando o processamento de dados for baseado em razões de ordem legal. Entretanto, o direito a portabilidade deverá prevalecer, segundo Ruth Janal<a href="#sdfootnote3sym" name="sdfootnote3anc">3</a>, sempre que o controlador tiver ilegalmente processado os dados.</p>
<p align="justify">Como afirma Lucio Studiero<a href="#sdfootnote4sym" name="sdfootnote4anc">4</a>, contrariamente ao que havia sido proposto pelo European Data Protection Supervisor, cuja pretensão era a de um maior alcance para o direito à portabilidade, o artigo 20 do GDPR acaba limitando o seu escopo aos dados pessoais diretamente oferecidos pelo titular. Assim, são excluídos os dados que o controlador possa ter obtido por outras fontes, tais como por meio de inferências a partir de seus próprios sistemas de processamento.</p>
<p align="justify">De toda sorte, advertem as<em> Guidelines on the right to data portability</em><a href="#sdfootnote5sym" name="sdfootnote5anc">5</a> que o termo “dados fornecedor pelo titular” deve ser entendido amplamente, motivo pelo qual apenas estão excluídos os dados inferidos ou derivados, tais como aqueles gerados pelos próprios provedores. Assim, o objeto do direito à portabilidade deveria abranger todos os dados que foram gerados de forma ativa e consciente pelo titular de dados, excluindo-se apenas aqueles que foram inferidos pelo controlador a partir dos seus instrumentos próprios, salvo nos casos de decisões automatizadas, que estão expressamente incluídas no objeto do direito à portabilidade por força do art. 20, 1, b, do GDPR.</p>
<p align="justify">Para facilitar a compreensão da questão, Ruth Janal<a href="#sdfootnote6sym" name="sdfootnote6anc">6</a> oferece o interessante exemplo dos sensores que medem a frequência cardíaca do titular de dados, para entender que estão cobertos pelo direito à portabilidade, sob o fundamento de que, em todos os casos em que a coleta dos dados se baseou no consentimento do sujeito, há um elemento ativo de oferta de dados pelo titular. Acrescenta a autora que, se o objetivo do referido direito é também o empoderamento do titular e o aumento da competição no mercado, tais finalidades apenas serão alcançadas se o direito a portabilidade puder ser estendido aos dados providos pelas condutas dos usuários e o uso de gadgets e serviços.</p>
<p align="justify">Por esse raciocínio, podem ser considerados como dados suscetíveis de portabilidade o histórico do uso de determinado website ou serviço, como o serviço de buscas, dados a respeito de tráfego e localização, dentre outros. Entretanto, há inúmeras situações que podem ensejar dúvidas e questionamentos, tais como ratings reputacionais.</p>
<p align="justify">Só é importante advertir que o próprio GDPR expressamente ressalva que o direito à portabilidade não se aplica ao tratamento necessário para o exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento, assim como não pode prejudicar os direitos e as liberdades de terceiros<a href="#sdfootnote7sym" name="sdfootnote7anc">7</a>.</p>
<p align="justify">Além dos limites expressamente previstos no GDPR, o Considerando 73 ainda possibilita que o direito da União ou dos Estados-Membros imponha outras restrições à portabilidade<a href="#sdfootnote8sym" name="sdfootnote8anc">8</a> quando for necessário para garantir a segurança pública, a proteção da vida humana, especialmente em resposta a catástrofes naturais ou provocadas pelo homem, a prevenção, a investigação e a repressão de infrações penais ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública ou violações da deontologia de profissões regulamentadas, bem como para outros objetivos importantes de interesse público geral da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro.</p>
<p align="justify">Como se pode observar, no contexto europeu, as dúvidas sobre a extensão do direito à portabilidade são consideráveis, até porque o seu objeto acabou sendo mais restrito do que o do direito ao acesso. Ao explorar as dificuldades que daí decorrem, Lucio Studiero<a href="#sdfootnote9sym" name="sdfootnote9anc">9</a> afirma que o titular poderá inclusive contornar os limites mais restritos do direito à portabilidade, exercendo seu direito de acesso - inclusive no que diz respeito aos dados inferidos pelo controlador originário - e depois transferindo todos os dados obtidos a outro controlador.</p>
<p align="justify">As controvérsias observadas no cenário europeu, entretanto, ajudam a criar algumas balizas interpretativas para a aplicação do direito à portabilidade no contexto brasileiro, análise que será feita no próximo artigo da presente série.</p>
<p align="justify">--------------------------------------</p>
<div id="sdfootnote1">
<p align="justify"><a href="#sdfootnote1anc" name="sdfootnote1sym">1</a> O art. 20, 1, do GDPR, é claro ao afirmar que “O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento (...)”</p>
</div>
<div id="sdfootnote2">
<p><a href="#sdfootnote2anc" name="sdfootnote2sym">2</a> https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/. <span lang="en-US">Acesso em 31.10.2018.</span></p>
</div>
<div id="sdfootnote3">
<p align="justify"><a href="#sdfootnote3anc" name="sdfootnote3sym">3</a><span lang="en-US"> Data Portability – a Tale of Two Concepts, 8J Intell. Prop. Info. Tech &amp; Elec. Com. L. 59 (2017)</span></p>
</div>
<div id="sdfootnote4">
<p align="justify"><a href="#sdfootnote4anc" name="sdfootnote4sym">4</a> <span lang="en-US">Bringing your data everywhere: a legal reading of the right to portability, 3 Eur. Data Prot. L. Rev. 119 (2017).</span></p>
</div>
<div id="sdfootnote5">
<p align="justify"><a href="#sdfootnote5anc" name="sdfootnote5sym">5</a><span lang="en-US"> ARTICLE 29 DATA PROTECTION WORKING PARTY. Guidelines on the right to data portability. file:///D:/Users/User/Downloads/wp242_rev01_enpdf.pdf. Acesso em 31.10.2018.</span></p>
</div>
<div id="sdfootnote6">
<p align="justify"><a href="#sdfootnote6anc" name="sdfootnote6sym">6</a><span lang="en-US"> Op.cit.</span></p>
</div>
<div id="sdfootnote7">
<p align="justify"><a href="#sdfootnote7anc" name="sdfootnote7sym">7</a> Ver art. 20, (3) e (4).</p>
</div>
<div id="sdfootnote8">
<p align="justify"><a href="#sdfootnote8anc" name="sdfootnote8sym">8</a> Na verdade, o Considerando estende-se igualmente a vários outros direitos, tais como de informação, acesso e retificação ou apagamento de dados pessoais, oposição, às decisões baseadas na definição de perfis, dentre outros.</p>
</div>
<div id="sdfootnote9">
<p align="justify"><a href="#sdfootnote9anc" name="sdfootnote9sym">9</a> Op.cit.</p>
</div>


smartphone-569059_1280

https://images.jota.info/wp-content/uploads/2021/09/copy-of-jota-logo-high-cmyk.jpeg

JOTA

Série analisa as repercussões para a atividade empresarial

Nova LGPD: ainda sobre o direito à portabilidade

Série analisa as repercussões para a atividade empresarial