Artigo
Artigo
Sete anos do GDPR: impactos na LGPD e o uso de dados para prevenção a fraudes
crédito imagem: Freepik
O General Data Protection Regulation (GDPR) ou Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, em vigor pleno desde 25 de maio de 2018, estabeleceu um novo paradigma global em privacidade e proteção de dados pessoais. Embora seja uma legislação europeia, seu impacto se estende além das fronteiras do Espaço Econômico Europeu (EEE), podendo afetar empresas e governos em diversos países, incluindo o Brasil.
Neste breve artigo, destacamos como o GDPR influenciou o cenário brasileiro, tendo inspirado e contribuído para a aprovação da Lei Geral de Proteção de Dados (LGPD).
1. O GDPR e sua robusta proteção aos titulares de dados
Em 2012, diante dos novos desafios econômicos e sociais impostos pela era digital, a Comissão Europeia propôs uma atualização legislativa, na forma de um Regulamento Geral de Proteção de Dados, mecanismo de direito comunitário, com vistas a garantir uma maior proteção e controle dos indivíduos sobre seus dados, assegurando um conjunto mais robusto e harmônico de regras no âmbito da União Europeia e gerando maior confiança no ambiente online para o desenvolvimento da economia digital.
O regulamento trouxe uma ampliação e um fortalecimento dos princípios e regras de proteção de dados já existentes na legislação anterior, a Diretiva 95/46. Dentre as principais mudanças, destaca-se: o fortalecimento dos direitos dos indivíduos no ambiente on-line; a necessidade de considerar a proteção de dados no desenvolvimento de novas tecnologias, ao prever a proteção de dados por desenho e por padrão (privacy by design e privacy by default); a previsão do princípio da accountability, que atribui responsabilidade a toda a cadeia de agentes de tratamento, públicos ou privados, que devem ter condições de demonstrar o cumprimento da legislação; e a aplicação extraterritorial da legislação.
O regulamento europeu tem impulsionado um movimento global de aprovação de legislações de proteção de dados, em virtude, principalmente, dos padrões elevados para as transferências internacionais de dados para os países terceiros, uma vez que nenhum país deseja ser excluído de um mercado tão importante, como o europeu.
2. A Influência do GDPR na LGPD
A Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018), em vigor desde 18 de setembro de 2020, foi fortemente inspirada no GDPR. De modo geral, pode-se afirmar que há uma alta convergência regulatória em proteção de dados, ao redor do mundo. Isso decorre do fato de que a maioria das legislações foram estruturadas sobre as mesmas bases principiológicas, tendo, como parâmetro regulatório, no âmbito europeu, a Convenção 108, primeiro instrumento internacional vinculativo sobre proteção de dados, de 1981, modernizada em 2018.
No Brasil, os debates que antecederam a sanção da LGPD duraram quase uma década. A eficácia plena do regulamento europeu, que ocorreu em 25 de maio de 2018, é considerada como um dos principais fatores para a aceleração dos debates legislativos, que culminaram com uma aprovação unânime pelo Congresso, seguida da sanção presidencial, ocorrida em agosto do mesmo ano.
Ao analisarmos as duas legislações, é perceptível a semelhança entre elas, sendo inegável a grande influência do GDPR na lei brasileira. Há uma convergência significativa entre os princípios do GDPR e da LGPD, resultado tanto da influência do sistema europeu de proteção de dados sobre a legislação brasileira quanto de uma harmonização global dos fundamentos que orientam esse campo. De igual modo, ocorre similaridade em relação aos direitos dos titulares, com pequenas diferenças normativas, como no direito ao esquecimento, não previsto na lei brasileira, e nas decisões automatizadas, em que o texto normativo brasileiro não garante a revisão humana, diferentemente da expressa previsão contida na legislação europeia.
Do ponto de vista da licitude das atividades de tratamento, ambas as leis estabelecem em rol taxativo as hipóteses que legitimam o tratamento de dados, as chamadas bases legais, tanto para os dados sensíveis como para os não sensíveis.
3. O tratamento de dados para prevenção às fraudes
Atualmente, muito tem se falado em prevenção e combate às fraudes cibernéticas, atividade que requer o tratamento de muitos dados pessoais, inclusive de dados sensíveis, como é o caso de dados biométricos para fins de reconhecimento facial.
Nesse sentido, importa esclarecer que o tratamento de dados pessoais para fins de prevenção a fraudes é uma atividade lícita e altamente necessária em todos os setores da sociedade, especialmente em setores como o financeiro, o varejo e o setor público. Trata-se de atividade essencial para a integridade dos serviços públicos e privados, proteção de ativos, da reputação institucional e da própria segurança dos titulares de dados.
Esse tipo de tratamento busca identificar comportamentos atípicos, acessos suspeitos ou transações irregulares por meio da coleta e análise de dados pessoais.
No âmbito da LGPD, o tratamento de dados com essa finalidade encontra respaldo principalmente no legítimo interesse do controlador, previsto no art. 7º, IX e na garantia da prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, previsto no art. 11, II, g, para o tratamento de dados pessoais sensíveis, como dados biométricos.
Ambas as hipóteses exigem que o tratamento seja necessário para a finalidade pretendida de prevenção a fraudes, que observe os princípios de proteção de dados como finalidade, necessidade, adequação, transparência, livre acesso, qualidade dos dados, segurança, prevenção, não discriminação e responsabilização, prestação de contas e que respeite os direitos e liberdades fundamentais dos titulares, com a adoção de salvaguardas adequadas.
No General Data Protection Regulation (GDPR), a prevenção a fraudes é reconhecida como um interesse legítimo do controlador, sendo necessário demonstrar a prevalência desse interesse sobre os direitos e liberdades do titular. O GDPR exige que o tratamento seja transparente, proporcional e acompanhado de medidas técnicas e organizacionais adequadas.
Assim, tanto a LGPD quanto o GDPR autorizam o tratamento de dados para fins de prevenção a fraudes, mas condicionam sua licitude a existência de uma hipótese legal, observância de princípios de proteção de dados, avaliação de riscos e respeito aos direitos fundamentais dos titulares.
Conclusão
Os arranjos normativos mais modernos, como é o caso do GDPR e da LGPD, pautados no incremento do controle dos titulares sobre seus dados e na atribuição de mais flexibilidade e responsabilidade aos agentes de tratamento no cumprimento de seus deveres legais, impulsionam o desenvolvimento social e econômico, fomentando o livre fluxo informacional, mas, ao mesmo tempo, garantem a proteção da personalidade dos indivíduos diante dos riscos que o tratamento de dados pessoais pode lhes ocasionar.
Sem dúvida, a entrada em vigor do GDPR, que esse ano completa sete anos de vigência, trouxe um novo paradigma global no que se refere ao tratamento de dados pessoais, inspirando outras legislações, como foi o caso da legislação brasileira, ao proporcionar maior segurança para os titulares de dados e para as instituições públicas e privadas que necessitam tratar dados pessoais.
Ao incorporar práticas inspiradas no GDPR, o Brasil fortalece sua posição estratégica no cenário internacional, promovendo padrões mais elevados de governança de dados e reafirmando a centralidade dos direitos individuais em um mundo digital cada vez mais interconectado.
Para o Serpro, a conformidade legal vai além do mero cumprimento normativo, constituindo uma oportunidade estratégica de protagonismo ético e tecnológico no cenário digital atual. Nesse contexto, o fortalecimento de estruturas especializadas em Segurança da Informação, Privacidade e Proteção de Dados, e Combate à Fraude Cibernética torna-se não apenas necessário, mas essencial à proteção dos dados tratados em serviços críticos ao Estado e à sociedade.
Referências
SIROTHEAU, Débora. LEAL; Martha. O Sistema Europeu de Proteção de Dados: uma jornada de empoderamento do indivíduo. In: MENDES, Laura Schertel; ALVES, Fabrício da Mota; JUNQUILHO, Tainá Aguiar; BADARÓ, Rodrigo; SARLET, Ingo Wolfgang; FUJIMOTO, Mônica Tiemy (Orgs). Direitos Fundamentais na Era Digital. Porto Alegre: Fênix, 2023. P. 93-114.
PARLAMENTO EUROPEU. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016. (Regulamento Geral sobre a Proteção de Dados). Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 04 out. 2023.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Lei/L13709.htm. Acesso em 30 jul. 2023.
PINHEIRO, Alexandre Sousa. Comentário ao Regulamento Geral de Proteção de Dados. Coimbra: Edições Almedina, 2018.
____________________
Sobre a autora
Débora Sirotheau é gerente do Departamento de Combate à Fraude Cibernética do Serpro. Analista de TI com pós-graduação em redes de computadores pela UFPA. Advogada pós-graduada em Privacidade e Proteção de Dados Pessoais pela Faculdade de Direito da Universidade de Lisboa e pela Escola Superior do Ministério Público do RS.Certificada CIPM E CDPO/BR pela IAPP. Certificada NIST CSF 2.0 e NIST RMF. Conselheira titular do CNPD/ANPD. Vice-Presidente da Comissão Especial de Proteção de Dados da OAB Nacional. Palestrante. Professora convidada de proteção de dados em cursos de pós-graduação.