Constituição, Empresa e Mercado

Dados pessoais

Nova LGPD: ainda sobre o direito à portabilidade

Série analisa as repercussões para a atividade empresarial

Imagem: Pixabay

Esclarecidos os primeiros contornos do direito à portabilidade no artigo anterior (Parte XI), inclusive no que diz respeito à questão da interoperabilidade, passa-se, no presente artigo, a explorar os demais aspectos importantes do direito, mais uma vez buscando o diálogo com o GDPR.

Comparando-se a LGPD e o GDPR, é possível notar que, enquanto a descrição brasileira do direito à portabilidade enfatiza a transmissão dos dados para um novo controlador – “portabilidade dos dados a outro fornecedor de serviço ou produto” (art. 18, V) -, a europeia deixa claro que o titular dos dados tem o direito de recebê-los diretamente, assim como tem o direito de transmiti-los a novos controladores1. Logo, a ideia principal do GDPR é a de que o direito à portabilidade envolve a recepção e a guarda dos dados pessoais para usos futuros pelo próprio titular, que pode gerenciar e mesmo reutilizar os seus dados pessoais.

Não é sem razão que o direito à portabilidade é definido pelo Guide to the General Data Protection Regulation (GDPR) inglês2 como a possibilidade de o titular obter e reutilizar seus dados pessoais para os seus próprios propósitos diante de diferentes serviços. Consequentemente, o direito possibilita ao titular mover, copiar e transferir os seus dados pessoais facilmente de uma infraestrutura de TI para outra de modo seguro e sem afetar a sua possibilidade de uso.

Consequentemente, no contexto europeu, a transmissão direta para outros controladores é apenas uma das formas de exercício do direito à portabilidade. Tanto é assim que o art. 20, 2, do GDPR, deixa claro que “Ao exercer o seu direito de portabilidade dos dados nos termos do n. 1, o titular dos dados tem o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento, sempre que tal seja tecnicamente possível.”

Apesar das diferenças das previsões normativas, o mesmo alcance também pode ser dado à portabilidade no Brasil, já que o fato de a definição brasileira fazer menção à transferência para outro controlador obviamente não afasta a possibilidade de o usuário obter diretamente tais dados do antigo controlador e gerenciá-los pessoalmente, transferindo ou não, em momento futuro, para um novo controlador.

Outra diferença entre as duas leis é que, no caso brasileiro, ao invés de delimitar o objeto do direito à portabilidade e as suas exceções, a LGPD restringe-se a condicionar o direito aos limites do segredo comercial e da regulamentação do controlador. Por essas razões, é interessante observar o alcance do direito na Europa, para o fim de se analisar em que medida a referida experiência pode ser um referencial interpretativo para a legislação brasileira.

No caso europeu, já se viu que o objeto do direito à portabilidade é mais restrito do que o do direito ao acesso, já que a base legal para o primeiro é o consentimento, a performance de um contrato ou decisões automatizadas. Ao assim fazer, o art. 20(1) do GDPR procurou aliviar o controlador da obrigação de portabilidade quando o processamento de dados for baseado em razões de ordem legal. Entretanto, o direito a portabilidade deverá prevalecer, segundo Ruth Janal3, sempre que o controlador tiver ilegalmente processado os dados.

Como afirma Lucio Studiero4, contrariamente ao que havia sido proposto pelo European Data Protection Supervisor, cuja pretensão era a de um maior alcance para o direito à portabilidade, o artigo 20 do GDPR acaba limitando o seu escopo aos dados pessoais diretamente oferecidos pelo titular. Assim, são excluídos os dados que o controlador possa ter obtido por outras fontes, tais como por meio de inferências a partir de seus próprios sistemas de processamento.

De toda sorte, advertem as Guidelines on the right to data portability5 que o termo “dados fornecedor pelo titular” deve ser entendido amplamente, motivo pelo qual apenas estão excluídos os dados inferidos ou derivados, tais como aqueles gerados pelos próprios provedores. Assim, o objeto do direito à portabilidade deveria abranger todos os dados que foram gerados de forma ativa e consciente pelo titular de dados, excluindo-se apenas aqueles que foram inferidos pelo controlador a partir dos seus instrumentos próprios, salvo nos casos de decisões automatizadas, que estão expressamente incluídas no objeto do direito à portabilidade por força do art. 20, 1, b, do GDPR.

Para facilitar a compreensão da questão, Ruth Janal6 oferece o interessante exemplo dos sensores que medem a frequência cardíaca do titular de dados, para entender que estão cobertos pelo direito à portabilidade, sob o fundamento de que, em todos os casos em que a coleta dos dados se baseou no consentimento do sujeito, há um elemento ativo de oferta de dados pelo titular. Acrescenta a autora que, se o objetivo do referido direito é também o empoderamento do titular e o aumento da competição no mercado, tais finalidades apenas serão alcançadas se o direito a portabilidade puder ser estendido aos dados providos pelas condutas dos usuários e o uso de gadgets e serviços.

Por esse raciocínio, podem ser considerados como dados suscetíveis de portabilidade o histórico do uso de determinado website ou serviço, como o serviço de buscas, dados a respeito de tráfego e localização, dentre outros. Entretanto, há inúmeras situações que podem ensejar dúvidas e questionamentos, tais como ratings reputacionais.

Só é importante advertir que o próprio GDPR expressamente ressalva que o direito à portabilidade não se aplica ao tratamento necessário para o exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento, assim como não pode prejudicar os direitos e as liberdades de terceiros7.

Além dos limites expressamente previstos no GDPR, o Considerando 73 ainda possibilita que o direito da União ou dos Estados-Membros imponha outras restrições à portabilidade8 quando for necessário para garantir a segurança pública, a proteção da vida humana, especialmente em resposta a catástrofes naturais ou provocadas pelo homem, a prevenção, a investigação e a repressão de infrações penais ou a execução de sanções penais, incluindo a salvaguarda e a prevenção de ameaças à segurança pública ou violações da deontologia de profissões regulamentadas, bem como para outros objetivos importantes de interesse público geral da União ou de um Estado-Membro, nomeadamente um interesse económico ou financeiro importante da União ou de um Estado-Membro.

Como se pode observar, no contexto europeu, as dúvidas sobre a extensão do direito à portabilidade são consideráveis, até porque o seu objeto acabou sendo mais restrito do que o do direito ao acesso. Ao explorar as dificuldades que daí decorrem, Lucio Studiero9 afirma que o titular poderá inclusive contornar os limites mais restritos do direito à portabilidade, exercendo seu direito de acesso – inclusive no que diz respeito aos dados inferidos pelo controlador originário – e depois transferindo todos os dados obtidos a outro controlador.

As controvérsias observadas no cenário europeu, entretanto, ajudam a criar algumas balizas interpretativas para a aplicação do direito à portabilidade no contexto brasileiro, análise que será feita no próximo artigo da presente série.

————————————–

1 O art. 20, 1, do GDPR, é claro ao afirmar que “O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento (…)”

2 https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/. Acesso em 31.10.2018.

3 Data Portability – a Tale of Two Concepts, 8J Intell. Prop. Info. Tech & Elec. Com. L. 59 (2017)

4 Bringing your data everywhere: a legal reading of the right to portability, 3 Eur. Data Prot. L. Rev. 119 (2017).

5 ARTICLE 29 DATA PROTECTION WORKING PARTY. Guidelines on the right to data portability. file:///D:/Users/User/Downloads/wp242_rev01_enpdf.pdf. Acesso em 31.10.2018.

6 Op.cit.

7 Ver art. 20, (3) e (4).

8 Na verdade, o Considerando estende-se igualmente a vários outros direitos, tais como de informação, acesso e retificação ou apagamento de dados pessoais, oposição, às decisões baseadas na definição de perfis, dentre outros.

9 Op.cit.


Faça o cadastro gratuito e leia até 10 matérias por mês. Faça uma assinatura e tenha acesso ilimitado agora

Cadastro Gratuito

Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito