THE (UN)NECESSITY OF CATEGORIZING PERSONAL DATA AS SENSITIVE DATA PROVIDED FOR IN THE GENERAL LAW ON THE PROTECTION OF PERSONAL DATA (LGPD)
REGISTRO DOI: 10.69849/revistaft/ar10202505111902
Paulo Henrique de Souza Junior¹
Orientador: Jhon Kennedy Teixeira Lisbino²
RESUMO
Em uma sociedade na qual o conhecimento é uma das principais fontes de riqueza, a internet e as tecnologia da Informação e Comunicação (TIC) desempenham papel importante na disseminação rápida de informações, conectando pessoas, acelerando a produção, distribuição e utilização intensivas de informação nas redes, o que permite a reflexão acerca de como está sendo realizada a coleta, o armazenamento e a análise dessas informações e dados, por vezes sensíveis. esta pesquisa questiona quais as consequências da ausência dos dados pessoais no rol de dados sensíveis previstos na Lei Geral de Proteção de Dados (LGPD). Dessa forma, busca-se como objetivo geral do estudo investigar os impactos e a aplicabilidade da LGPD na proteção dos direitos à privacidade, liberdade e segurança dos dados pessoais no Brasil. Para tanto, foi identificada as bases legais para o tratamento de dados pessoais e sensíveis na LGPD, realizada a análise dos riscos de vazamentos e fraudes de dados pessoais e as medidas de proteção previstas pela LGPD e, em seguida, a avaliação das sanções previstas na LGPD e sua valência na responsabilização por crimes de dados. O presente trabalho foi desenvolvido sob a abordagem metodológica qualitativa, com método dedutivo e pesquisa bibliográfica e documental.
Palavras-Chave: LGPD. Dados Pessoais. Dados Sensiveis.
ABSTRACT
In a society in which knowledge is one of the main sources of wealth, the internet and Information and Communication Technology (ICT) play an important role in the rapid dissemination of information, connecting people, accelerating the production, distribution and intensive use of information on networks, which allows reflection on how the collection, storage and analysis of this information and data, sometimes sensitive, is being carried out. This research questions the consequences of the absence of personal data in the list of sensitive data provided for in the General Data Protection Law (LGPD). Therefore, the general objective of the study is to investigate the impacts and applicability of the LGPD in protecting the rights to privacy, freedom and security of personal data in Brazil. To this end, the legal bases for the processing of personal and sensitive data in the LGPD were identified, an analysis of the risks of personal data leaks and fraud and the protection measures provided for by the LGPD were carried out, and then the sanctions provided for in the LGPD and their value in liability for data crimes were assessed. This work was developed using a qualitative methodological approach, with a deductive method and bibliographic and documentary research.
Keywords: LGPD. Personal Data. Sensitive Data.
1 INTRODUÇÃO
A sociedade pós-industrial, impulsionada pelas Tecnologias de Informação e Comunicação (TICs), transformou o conhecimento e a informação em pilares da riqueza, alterando profundamente as dinâmicas sociais, políticas e econômicas. A proliferação da internet e das TICs intensificou a produção, distribuição e utilização de informações digitais, suscitando preocupações sobre a coleta, o armazenamento e a análise desses dados, especialmente os sensíveis. O aumento significativo no volume de dados coletados e armazenados por diversas instituições expõe os indivíduos a riscos consideráveis, como discriminação, fraudes financeiras e invasões de privacidade.
Em resposta a essa complexidade da era digital, foi necessário estabelecer mecanismos de regulamentação e proteção dos direitos individuais no ambiente online. A Europa implementou o General Data Protection Regulation (GDPR), e os Estados Unidos, a American Data Privacy and Protection Act (ADPPA), ambas com o objetivo primordial de salvaguardar dados pessoais e sensíveis. No Brasil, a promulgação da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados (LGPD), representou um marco significativo, inaugurando a política nacional de proteção de dados e visando proteger os direitos fundamentais à liberdade, privacidade e ao livre desenvolvimento da personalidade.
Um aspecto crucial da LGPD reside na distinção estabelecida entre dados pessoais e dados sensíveis, sendo este último considerado uma categoria específica do primeiro, carregando informações de natureza mais íntima. Consequentemente, a legislação impõe um tratamento mais rigoroso aos dados sensíveis, o que, paradoxalmente, pode expor os dados pessoais a uma maior vulnerabilidade a vazamentos e usos indevidos. Por isso, é fundamental reconhecer a intrínseca conexão entre dados pessoais e sensíveis, pois sua combinação pode revelar informações ainda mais detalhadas sobre um indivíduo.
Partindo dessa ótica, a presente pesquisa centraliza seu questionamento nas consequências da exclusão dos dados pessoais do rol de dados sensíveis previstos na Lei Geral de Proteção de Dados (LGPD). O objetivo geral deste estudo consiste em investigar os impactos e a aplicabilidade da LGPD na efetiva proteção dos direitos à privacidade, liberdade e segurança dos dados pessoais no contexto brasileiro.
Para alcance do objetivo proposto, o estudo se dedica a identificar as bases legais que fundamentam o tratamento de dados pessoais e sensíveis na LGPD. Posteriormente, será realizada uma análise detalhada dos riscos de vazamentos e fraudes de dados pessoais, bem como das medidas de proteção estabelecidas pela legislação. Por fim, a pesquisa avaliará as sanções previstas na LGPD e sua eficácia na responsabilização por crimes relacionados a dados.
A presente pesquisa se desenvolve através de uma abordagem qualitativa, com método dedutivo orientando o processo investigativo, partindo da análise de conceitos gerais, princípios e teorias existentes. A pesquisa é de cunho bibliográfica e documental.
Isto posto, o artigo foi dividio em 3 (três) momentos, no qual em uma primeira parte será tratado sobre a discussão central acerca da Lei Geral de Proteção de Dados (LGPD) no Brasil, explorando sua fundamentação como extensão dos direitos fundamentais, especialmente a vida privada e a intimidade, e seu objetivo de proteger os direitos de liberdade e privacidade, bem como o livre desenvolvimento da personalidade.
A partir daí, será abordado as nuances entre os dados pessoais não sensíveis e sensíveis, no qual, apesar da responsabilização prevista na LGPD e da criminalização do vazamento em outros países, a menor rigidez na proteção de dados não sensíveis, aliada a uma possível negligência empresarial em investir em segurança, demonstra a necessidade de reconsiderar a classificação normativa.
Por último, será realizada análise acerca da normativa brasileira no contexto do ciberespaço como um ambiente virtual que, apesar de distinto do físico, exige a aplicação de normas jurídicas para responsabilizar atos ilícitos que transcendem fronteiras, de forma a representar um esforço para acompanhar as evoluções tecnológicas e garantir a segurança e a proteção dos direitos no ambiente digital.
2 LGPD: UM NOVO MARCO NA PROTEÇÃO DE DADOS PESSOAIS
É cediço que a proteção de dados pessoais configura uma extensão dos direitos fundamentais consagrados no ordenamento jurídico brasileiro, estreitamente vinculada à preservação da vida privada e da intimidade, à promoção da dignidade da pessoa humana e à prevenção de práticas discriminatórias, refletindo as dimensões da liberdade e igualdade individuais.
Diante de tais fundamentos, sustenta-se a autonomia do direito à proteção de dados como uma manifestação dos direitos da personalidade ou, alternativamente, a especialização da proteção constitucional à vida privada e intimidade, consolidando-se como um direito fundamental específico. Alinhada a essa perspectiva, a Lei Geral de Proteção de Dados (LGPD), em seu artigo 1º, estabelece como objetivo central a tutela dos “direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” (Brasil, 2018).
De maneira geral, a LGPD reafirma a plena proteção à pessoa humana ao instituir a obrigatoriedade de uma gestão segura e contínua em todas as etapas do ciclo de vida das operações que envolvem dados pessoais. Cabe destacar que a proteção dessas informações, sobretudo no caso dos dados sensíveis, embora inicialmente tratada como inerente à esfera individual e personalíssima, transcende a dimensão exclusivamente pessoal. Isso ocorre porque tais dados estão profundamente interligados, ou têm o potencial de ser conectados a informações de terceiros, configurando uma rede de interdependência que exige uma abordagem ampla e sistemática para sua tutela (Bedendo, 2019).
De outro modo, o maior receio manifestado pelos impactados pela LGPD reside na garantia dos direitos conferidos aos titulares, muitos dos quais representam inovações no arcabouço jurídico brasileiro, bem como nos procedimentos adotados pelos setores público e privado. Isso porque, a finalidade primordial da legislação não é resguardar as informações de maneira isolada, mas sim proteger a figura do indivíduo ao qual tais dados estão associados.
No que concerne à sua aplicabilidade e abrangência territorial, o artigo 3º, incisos I, II e III, da Lei Geral de Proteção de Dados dispõe que sua incidência se estende a todos aqueles que realizam operações de tratamento de dados pessoais. Essa norma alcança tanto pessoas naturais quanto jurídicas, públicas ou privadas, independentemente do meio utilizado para o tratamento, da localização geográfica da sede da entidade responsável ou mesmo do local em que os dados se encontram armazenados. A aplicação ampla se efetiva desde que os critérios do art. 3º da normativa sejam atendidos, reforçando o caráter extraterritorial e abrangente da proteção normativa, conforme veja-se:
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I – a operação de tratamento seja realizada no território nacional;
II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou (Redação dada pela Lei nº 13.853, de 2019) Vigência
III – os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional (Brasil, 2018).
Dos referidos incisos, depreende-se a abrangência da LGPD, que se estende a dados pessoais tratados fora das fronteiras brasileiras, desde que a coleta inicial tenha ocorrido em território nacional ou resulte de oferta de produtos ou serviços destinados a indivíduos localizados no Brasil (Rapôso et al., 2019).
Nesse mesmo sentido, Pinheiro (2020), esclarece que a lei se aplica mesmo em cenários em que os dados sejam processados por provedores de computação em nuvem cuja infraestrutura esteja situada fora do país, exigindo o cumprimento integral das disposições normativas estabelecidas pela LGPD. Essa interpretação reforça a natureza extraterritorial da legislação e sua capacidade de assegurar a proteção de dados pessoais em contextos globais.
Em contrapartida, a aplicação da LGPD encontra-se excluída em determinadas situações específicas. Conforme dispõe o artigo 4º, incisos I, II, III e IV, a legislação não se aplica ao tratamento de dados realizado por pessoa natural para finalidades exclusivamente privadas e sem caráter econômico, tampouco às atividades com propósitos exclusivamente jornalísticos ou artísticos. Além disso, estão fora do escopo da lei os tratamentos de dados destinados à segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, evidenciando as exceções voltadas a interesses de cunho privado ou de relevante interesse público (Teffé; Viola, 2020).
O artigo 6º da LGPD desempenha a função de estabelecer os princípios fundamentais que orientam a legislação, promovendo sua compatibilidade e alinhamento com os padrões normativos internacionais. Embora não possuam força vinculativa direta, tais princípios servem como diretrizes essenciais para disciplinar e delimitar as atividades de tratamento de dados pessoais realizadas por agentes dos setores público e privado. A estrutura normativa visa assegurar que o titular das informações tenha resguardado seu direito à autodeterminação informativa, garantindo um equilíbrio entre o uso legítimo dos dados e a proteção de sua privacidade e liberdade, seguindo os princípios estabelecidos no art. 6º da normativa, conforme segue.
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas (Brasil, 2018).
Portanto, é imprescindível que os entes sujeitos à LGPD promovam uma reestruturação de suas práticas de governança corporativa, adotando uma abordagem alinhada aos princípios orientadores da lei, de modo a integrar sustentabilidade e conformidade em suas operações (Canedo et al., 2022).
2.1 Dados Pessoais x Dados Sensíveis
Em um primeiro momento, tem-se que os Dados Sensíveis configuram uma categoria distinta de informações pessoais, demandando um nível elevado de cautela por parte de controladores e operadores no seu tratamento.
Essa distinção decorre do entendimento de que tais dados possuem o potencial de causar prejuízos significativos à integridade, liberdade e dignidade do titular, podendo acarretar discriminação, perseguição ou outros danos que, em casos extremos, poderiam exigir medidas drásticas, como a mudança de domicílio ou até mesmo de país. Incluem-se nessa categoria informações relacionadas à origem racial ou étnica, convicções políticas, crenças religiosas, dados genéticos e biométricos, filiação sindical, condições de saúde, bem como aspectos relacionados à vida ou orientação sexual (Frazão; Oliva; Abilo, 2019).
A origem racial ou étnica constitui uma categoria sensível de dados pessoais, uma vez que, dependendo do contexto social e histórico, pode ser utilizada como base para práticas discriminatórias e atos de perseguição. Tal característica evidencia a necessidade de proteção jurídica reforçada para evitar a instrumentalização dessas informações de maneira prejudicial à dignidade e aos direitos fundamentais do titular (Frazão; Oliva; Abilo, 2019).
Por diante, as opiniões políticas são classificadas como DS devido ao elevado potencial de gerar conflitos e hostilidades em razão das divergências ideológicas presentes em diversos contextos sociais. O fanatismo político, em particular, pode resultar em situações extremas que colocam em risco a integridade física, moral e até mesmo a vida de indivíduos. Essa sensibilidade reforça a necessidade de proteção jurídica específica, a fim de resguardar o direito à liberdade de expressão e preservar a segurança dos titulares diante de possíveis perseguições ou discriminações motivadas por suas convicções políticas (Burkart, 2021).
Ademais, as convicções religiosas configuram-se também uma categoria de DS, visto que, em determinados contextos, podem ser utilizadas como fundamento para práticas discriminatórias e exclusão social. A intolerância religiosa, que persiste em diversas sociedades, tem o potencial de causar prejuízos à dignidade, liberdade e direitos fundamentais do titular (Sarlet; Ruaro, 2021).
Ainda mais, os dados genéticos, especialmente após os avanços no mapeamento do genoma humano, permitem a identificação detalhada de características únicas de um indivíduo, como preferências biológicas, tonalidade capilar, cor da pele, dos olhos e diversas outras particularidades. Por serem intrinsecamente únicos e imutáveis, esses dados possuem um caráter profundamente individual e inalienável, o que os enquadra na categoria de dados sensíveis (Sarlet; Ruaro, 2021).
Além disso, a filiação a sindicatos ou a organizações de cunho religioso, filosófico ou político se enquadra aos DS, devido sua exposição que pode impactar negativamente a vida do titular, especialmente no contexto profissional. A revelação dessas informações a empregadores ou outras entidades pode resultar em discriminação ou represálias, dependendo da postura da organização em relação às associações e crenças do trabalhador (Santos, 2020).
Os dados relacionados à saúde de um indivíduo integram uma das categorias mais sensíveis de informações pessoais, dado o potencial de exposição de condições médicas atuais ou pregressas que, em determinados contextos, podem gerar discriminação, estigmatização ou até mesmo comprometer a segurança e o bem-estar do titular. A divulgação inadequada desses dados pode levar a prejuízos irreparáveis, como exclusão social ou negativa de acesso a direitos e oportunidades (Santos, 2020).
Os dados referentes à vida ou à orientação sexual de um indivíduo representam uma dimensão particularmente sensível, dado o elevado risco de represálias, preconceitos e discriminações associados à sua exposição. Em contextos de intolerância, a divulgação dessas informações pode colocar o titular em situações de vulnerabilidade extrema, comprometendo sua segurança e, em casos mais graves, colocando sua vida em perigo (Burkart, 2021).
Com base na análise dos tipos de dados pessoais sensíveis mencionados, torna-se fundamental que as organizações identifiquem os mecanismos de armazenamento dessas informações e avaliem criticamente a real necessidade de sua retenção, especialmente devido aos riscos significativos que podem surgir para os titulares em caso de violação. Conforme destacado por Bioni (2021), o tratamento de dados sensíveis requer uma finalidade claramente delimitada, sendo imprescindível a obtenção do consentimento explícito do titular, exceto nos casos em que o processamento esteja vinculado a uma obrigação legal expressa.
Por outro lado, de acordo com o artigo 5º da LGPD, os dados pessoais correspondem às informações associadas a uma pessoa natural, denominada “titular dos dados”, que possibilitam sua identificação direta ou indireta. A LGPD define como dado pessoal qualquer elemento informacional relacionado a uma pessoa física identificada ou identificável (art. 5º, I, Lei nº 13.709/2018).
Pode-se inferir que o conceito de “dado pessoal” abrange toda informação ou conjunto de informações organizadas e estruturadas que possibilitem a identificação inequívoca de um indivíduo. Exemplos típicos incluem o nome de uma pessoa, números de documentos de identificação, dados cadastrais fornecidos em transações comerciais, ou até mesmo um endereço de e-mail. Em suma, qualquer informação que permita identificar direta ou indiretamente um titular integra essa categoria, sendo inúmeras as possibilidades e circunstâncias relacionadas ao seu tratamento (Sá; Schneider, 2024).
2.2 As Hipóteses legais para o Tratamento de Dados
O conceito de “tratamento de dados pessoais”, conforme delineado no artigo 5º da Lei Geral de Proteção de Dados, abrange uma ampla gama de operações envolvendo a manipulação de informações pessoais, entre essas operações, incluem-se, sem se limitar a, atividades como coleta, acesso, compartilhamento, armazenamento e eliminação de dados.
Após a análise dos princípios fundamentais que regem a LGPD, é essencial observar que o tratamento de dados pessoais só pode ocorrer em circunstâncias específicas, previamente estabelecidas pela legislação, garantindo a conformidade e a proteção dos direitos dos titulares (Tabolka; Lang; Gai, 2024).
Uma das hipóteses para o tratamento de dados pessoais, conforme previsto na LGPD, é o fornecimento de consentimento expresso pelo titular. Para que o consentimento seja efetivamente classificado como “livre”, é imprescindível que o titular possua autonomia plena para decidir se concede ou não a permissão e tenha clareza sobre quais informações pessoais o controlador poderá acessar e processar, garantindo uma autorização consciente e informada para as operações de tratamento (Lima, 2019).
A segunda hipótese de tratamento de dados pessoais refere-se ao cumprimento de obrigações legais ou regulamentares impostas ao controlador. Nessas circunstâncias, quando houver previsão em normas jurídicas – sejam elas leis federais, estaduais, municipais, decretos, ou resoluções –, o tratamento dos dados poderá ser realizado com base nessa fundamentação legal específica.
Nessa situação, o tratamento assume caráter obrigatório, vinculado à necessidade de atender a um objetivo legalmente estipulado, dispensando a obtenção de consentimento prévio por parte do titular dos dados, dado o imperativo de conformidade com a norma jurídica aplicável (Lima, 2019).
A terceira hipótese autorizativa para o tratamento de dados pessoais encontra-se vinculada à atuação da administração pública, sendo aplicável ao tratamento e uso compartilhado de dados indispensáveis à implementação de políticas públicas, conforme estabelecido em leis, regulamentos ou instrumentos jurídicos equivalentes, como contratos e convênios.
A quarta hipótese permissiva para o tratamento de dados pessoais está relacionada à condução de estudos por instituições de pesquisa, desde que, sempre que viável, sejam adotadas técnicas de anonimização dos dados pessoais envolvidos. A previsão está alinhada ao disposto no artigo 5º, inciso XVIII, da Constituição Federal, que assegura a liberdade no exercício de atividades profissionais, desde que atendidas as qualificações exigidas em lei, reforçando a importância da pesquisa científica como instrumento de desenvolvimento social e político (Brasil, 1988).
Outra hipótese que autoriza o tratamento de dados pessoais refere-se à sua necessidade para a execução de um contrato ou para a realização de etapas preliminares relacionadas a um contrato no qual o titular figure como parte, mediante solicitação deste.
Conforme mencionado, toda e qualquer operação envolvendo dados pessoais, bem como seu respectivo tratamento, deve estar em conformidade com os princípios estabelecidos no artigo 6º da LGPD. Além disso, tais operações somente poderão ser realizadas caso estejam devidamente enquadradas em uma das hipóteses autorizadoras previstas no artigo 7º, assegurando que o tratamento esteja alinhado aos parâmetros legais e aos direitos fundamentais dos titulares (Tabolka; Lang; Gai, 2024).
3 A VULNERABILIDADE NO TRATAMENTO DE DADOS PESSOAIS: RISCOS E VAZAMENTOS
A classificação de dados pessoais fora da categoria de sensíveis, conforme estabelecido pela LGPD, permite um tratamento mais flexível dessas informações. Essa flexibilidade pode resultar em brechas significativas na proteção, expondo os titulares a riscos de vazamentos e fraudes. A subestimação do potencial de danos causados pela exposição de dados como CPF, endereço ou informações bancárias evidencia a necessidade de reconsiderar a classificação normativa, visando proteger efetivamente os direitos fundamentais à privacidade e à segurança informacional (Mendes, 2015).
Em diversos países, o vazamento de dados é tratado como uma infração criminal, e o Brasil integra esse grupo de nações com regulamentações rigorosas. A LGPD, nº 13.709/18, foi instituída em reconhecimento à relevância dos dados pessoais como ativos fundamentais. Esse entendimento foi reforçado pela Emenda Constitucional nº 115, promulgada em 10 de fevereiro de 2022, que inseriu a proteção de dados pessoais no rol de direitos e garantias fundamentais da Constituição Federal.
Dados como o Cadastro de Pessoa Física (CPF), embora não sejam classificados como sensíveis pela legislação, são frequentemente explorados em esquemas de fraude financeira e roubo de identidade. A ausência de uma proteção especial dificulta para os titulares a exigência de reparação ou mitigação dos danos, uma vez que as obrigações dos controladores de dados são menos rigorosas. Essa desconsideração simplifica a gestão pelas empresas, mas compromete a segurança dos titulares (Mendes; Bioni, 2019).
Desse modo, incidentes como o megavazamento ocorrido em janeiro de 2021, que expôs informações de mais de 223 milhões de brasileiros, ilustram a gravidade da falta de proteções adequadas. Nesse episódio, dados como CPF, nome, sexo, data de nascimento, informações de veículos e CNPJs foram comprometidos, demonstrando que informações supostamente comuns podem ter um impacto devastador na vida das pessoas (Souto, 2020).
Nesse contexto, o artigo 42 da LGPD estabelece que os agentes de tratamento de dados, sejam controladores ou operadores, são obrigados a reparar os danos materiais e morais causados pela violação de dados. Além do mais, a ausência de mecanismos de segurança adequados pode ser caracterizada como negligência, configurando uma violação ao dever de cuidado imposto pela legislação. Esse caso também destaca a necessidade de uma atuação mais incisiva da ANPD, tanto no monitoramento preventivo quanto na aplicação de sanções administrativas. A relação entre os direitos fundamentais de privacidade e a responsabilidade das empresas por falhas na segurança dos dados mostra que é essencial equilibrar os interesses econômicos das corporações com a proteção integral dos direitos individuais, conforme previsto no artigo 5º da Constituição Federal, que garante a inviolabilidade da vida privada e a reparação por danos morais decorrentes de sua violação (Souto, 2020).
Por conseguinte, os vazamentos geram não apenas danos morais e materiais aos titulares, mas também desafios legais para as empresas. Sob a LGPD, organizações podem enfrentar multas consideráveis e danos à reputação como mencionados anteriormente. Entretanto, a ausência de classificação sensível para determinados dados reduz a gravidade atribuída a essas violações, criando um ambiente de menor responsabilização e incentivo à negligência (Doneda, 2021).
Organizações que tratam dados pessoais devem adotar políticas robustas de governança e segurança, independentemente da classificação legal dos dados. Estratégias como anonimização e encriptação podem reduzir os riscos de vazamentos, mas requerem investimento contínuo em infraestrutura e treinamento. Muitas empresas, entretanto, preferem limitar seus gastos, especialmente quando a lei não exige medidas adicionais (Marineli, 2019).
O enfrentamento do crime de vazamento de dados exige uma postura ativa tanto por parte dos indivíduos quanto das organizações, que devem adotar práticas eficazes para proteger suas informações. Entre essas medidas, destacam-se a criação de senhas robustas, a ativação de mecanismos de autenticação multifator e a atualização constante de softwares e sistemas para corrigir vulnerabilidades.
No caso das empresas, é crucial investir na capacitação de seus colaboradores por meio de treinamentos voltados à segurança da informação, além de considerar a contratação de especialistas em segurança cibernética para monitorar e mitigar riscos potenciais. Essas estratégias visam reduzir a exposição a ataques e aumentar a resiliência frente a ameaças digitais (Teixeira, 2022).
4 A APLICAÇÃO DE SANÇÕES PENAIS EM CRIMES VIRTUAIS ENVOLVENDO O COMPARTILHAMENTO INDEVIDO DE DADOS PESSOAIS
O conceito de ciberespaço remete a um ambiente virtual, distinto do mundo físico, que é formado pela conexão global de redes computacionais. Ele constitui um domínio digital no qual as interações humanas ocorrem por meio de dispositivos tecnológicos e sistemas de comunicação, como a internet.
Nesse cenário, os indivíduos podem realizar uma ampla gama de atividades, desde a comunicação interpessoal e o compartilhamento de dados até transações comerciais e a produção de conteúdo digital. A distinção entre o espaço virtual e o físico vai além das dimensões geográficas, refletindo também a flexibilidade das estruturas digitais em oposição à rigidez do espaço físico. Entretanto, conforme argumenta o filósofo Pierre Lévy, esses espaços não são mutuamente exclusivos, mas coexistem e se complementam, formando um ecossistema integrado onde as características de um influenciam o outro (Santos, 2023).
A aplicação de normas jurídicas no ciberespaço enfrenta barreiras significativas devido à sua natureza globalizada, descentralizada e em constante transformação. Esse “não espaço”, como é frequentemente denominado, desafia as concepções tradicionais de jurisdição, já que crimes cometidos no ambiente virtual frequentemente transcendem fronteiras territoriais. Contudo, apesar da aparente abstração do ciberespaço, os atos ilícitos praticados nesse contexto inevitavelmente geram consequências no mundo físico.
Assim, o principal desafio jurídico reside em estabelecer mecanismos efetivos para responsabilizar os agentes infratores, independentemente da localização do crime, garantindo que os efeitos das condutas digitais sejam adequadamente tratados pelas legislações nacionais e internacionais (Carneiro, Santos, Edler, 2022).
O Brasil consolidou sua posição no enfrentamento aos crimes cibernéticos ao aderir à Convenção de Budapeste, instrumento internacional do Conselho Europeu que aborda o combate ao cibercrime. Essa adesão, oficializada por meio do Decreto nº 11.491, de 12 de abril de 2023, representa um avanço enorme na harmonização das políticas nacionais com os padrões internacionais. A Convenção salienta a necessidade de um esforço global e uniforme para lidar com crimes virtuais, reconhecendo que sua natureza transnacional exige cooperação entre os Estados e atualização contínua das legislações domésticas para enfrentar os desafios emergentes (Texeira, 2022).
Além dessa adesão, o Brasil já conta com o Marco Civil da Internet, estabelecido pela Lei nº 12.965 de 2014, que regula o uso da internet no país. Conhecida como a “Constituição da Internet”, essa legislação tem como objetivo principal estabelecer direitos, deveres e garantias para usuários, provedores de serviço e o governo. Ela abrange aspectos como liberdade de expressão, proteção de dados, privacidade, e a neutralidade da rede, constituindo um marco regulatório que assegura a governança da internet no Brasil. O Marco Civil é frequentemente citado como uma referência no âmbito internacional pela abrangência de suas disposições (Teixeira, 2022).
Entre os aspectos centrais do Marco Civil da Internet está a garantia do direito à privacidade. A legislação protege os dados pessoais dos usuários, assegurando que qualquer coleta ou uso de suas informações somente seja realizado mediante consentimento expresso. Essa proteção visa evitar abusos e reforçar a confiança dos cidadãos no uso das plataformas digitais. Com a integração da Convenção de Budapeste e a aplicação do Marco Civil, o Brasil avança em sua capacidade de proteger seus cidadãos no ambiente virtual, alinhando-se às melhores práticas globais para garantir segurança e transparência nas relações digitais (Silva; Vilarinho, 2022)
Outra legislação de destaque no enfrentamento aos crimes cibernéticos é a chamada Lei Carolina Dieckmann, originada do Projeto de Lei nº 2.793/2011, de autoria do deputado Paulo Teixeira. A tramitação do projeto ocorreu em regime de urgência no Congresso Nacional, resultando em sua aprovação e sanção em um tempo profundamente reduzido, se comparado a outros projetos sobre delitos informáticos. Essa agilidade legislativa reflete a urgência do tema, dada a crescente incidência de crimes digitais no país e a necessidade de ferramentas legais eficientes para combatê-los (Bedendo, 2019).
A Lei Carolina Dieckmann surgiu a partir da aprovação do Projeto de Lei nº 35/2012, que, por sua vez, derivou de propostas anteriores, como o Projeto de Lei nº 84/1999, conhecido como Lei Azevedo. Após sofrer modificações e adaptações, foi consolidada pela Lei nº 12.737/2012, cujo objetivo primordial é tipificar e combater crimes cibernéticos. Essa evolução legislativa demonstra o esforço do legislador em acompanhar as transformações tecnológicas e suas implicações jurídicas, buscando criar mecanismos para prevenir e punir condutas ilícitas no ambiente virtual (Pompeu et al., 2022).
O nome da lei foi popularizado em razão de um caso envolvendo a atriz Carolina Dieckmann, que teve seu dispositivo eletrônico invadido, resultando no roubo e na divulgação não autorizada de fotos íntimas na internet. A ampla repercussão do episódio gerou pressão social por uma resposta legislativa, catalisando a criação de um marco normativo voltado ao combate de crimes informáticos. O caso evidenciou a vulnerabilidade de informações pessoais no ambiente digital e a necessidade de proteger os indivíduos contra atos invasivos que possam comprometer sua privacidade e dignidade (Almeida, 2018).
A Lei Carolina Dieckmann trouxe inovações importantes ao ordenamento jurídico brasileiro, incluindo a tipificação de delitos informáticos no Código Penal. Por meio dos artigos 154-A e 154-B, o legislador estabeleceu como crime a invasão de dispositivos informáticos sem autorização do titular, com o objetivo de acessar, modificar ou destruir informações ali contidas. Essa norma permite a responsabilização penal de indivíduos que, deliberadamente, violam sistemas informáticos com a intenção de causar prejuízos à vítima, reforçando o compromisso do Estado em garantir a proteção de dados e a privacidade no ambiente digital.
A sanção penal em casos de compartilhamento indevido de dados, portanto, não se limita à punição do infrator, mas busca também prevenir a reincidência e restabelecer a confiança social no uso das tecnologias digitais. Diante disso, o desenvolvimento de um arcabouço jurídico robusto, aliado à capacitação das autoridades para investigação e aplicação das normas, é essencial para assegurar a eficácia no enfrentamento dos crimes virtuais e a proteção dos titulares de dados no contexto digital (Silva; Vilarinho, 2022).
Em suma, o ciberespaço, embora distinto do mundo físico, tornou-se um domínio crucial para as interações humanas, demandando a aplicação de normas jurídicas eficazes apesar de sua natureza globalizada e descentralizada. O Brasil tem avançado significativamente nesse sentido, com a adesão à Convenção de Budapeste, que promove a cooperação internacional contra o cibercrime, e a implementação do Marco Civil da Internet, que estabelece direitos e deveres no ambiente online, incluindo a proteção da privacidade. A Lei Carolina Dieckmann, impulsionada pela urgência de combater crimes informáticos como invasão de dispositivos e divulgação não autorizada de dados, representa outro marco importante ao tipificar tais condutas no Código Penal, buscando responsabilizar os infratores e proteger os titulares de dados.
O desenvolvimento e a aplicação dessas legislações demonstram o esforço do Brasil em acompanhar as rápidas transformações tecnológicas e seus impactos jurídicos. A combinação de instrumentos internacionais como a Convenção de Budapeste e leis domésticas como o Marco Civil da Internet e a Lei Carolina Dieckmann fortalece a capacidade do país de enfrentar os desafios do cibercrime, proteger a privacidade e garantir a segurança no ambiente digital. Contudo, a constante evolução das ameaças cibernéticas exige um acompanhamento contínuo e aprimoramento das leis e das práticas de investigação, visando assegurar a efetividade da proteção dos cidadãos no ciberespaço.
5 CONSIDERAÇÕES FINAIS
A presente análise explicitou a intrínseca relação entre a ascensão da sociedade da informação, impulsionada pelas TICs, e a crescente importância da proteção de dados pessoais no cenário jurídico brasileiro, notadamente sob a égide da Lei Geral de Proteção de Dados (LGPD). A análise demonstrou que a vasta produção e circulação de informações digitais, embora motor de desenvolvimento, engendra riscos substanciais à esfera privada, à liberdade individual e à segurança informacional, demandando um arcabouço regulatório robusto e eficiente.
A LGPD estabelece uma distinção crucial entre dados pessoais e dados sensíveis, conferindo a estes últimos um regime de tratamento mais rigoroso, dada a sua potencialidade de gerar danos significativos aos titulares. Dados sensíveis, como origem racial ou étnica, convicções políticas, crenças religiosas, dados genéticos e biométricos e outros são reconhecidos por sua capacidade de ensejar discriminação, perseguição ou outras formas de prejuízo. O tratamento desses dados exige, em regra, o consentimento explícito do titular e está sujeito a bases legais específicas, refletindo a preocupação do legislador em proteger informações intrinsecamente ligadas à dignidade da pessoa humana.
Por outro lado, a LGPD define dados pessoais como informações que permitem a identificação, direta ou indireta, de uma pessoa natural, abrangendo exemplos como nome, CPF, RG. Embora não gozem da mesma proteção reforçada conferida aos dados sensíveis, a análise dos riscos de vazamentos e fraudes demonstrou a vulnerabilidade dessas informações e o potencial de danos materiais e morais significativos decorrentes de sua exposição indevida.
A possibilidade de ocorrências de incidentes de segurança sublinha a importância de uma proteção eficaz para todos os tipos de dados pessoais, independentemente de sua classificação. A ausência de uma equiparação no nível de proteção pode, paradoxalmente, expor os dados pessoais a uma maior fragilidade, considerando a sua ampla utilização em diversas transações e interações sociais e econômicas.
No enfrentamento dos crimes cibernéticos, o Brasil tem avançado com a adesão a instrumentos internacionais como a Convenção de Budapeste e a promulgação de leis como o Marco Civil da Internet e a Lei Carolina Dieckmann. Essas normativas, complementadas pela LGPD, buscam estabelecer mecanismos de responsabilização para condutas ilícitas no ambiente digital, incluindo aquelas relacionadas ao tratamento inadequado e ao compartilhamento indevido de dados pessoais. A tipificação de crimes como a invasão de dispositivos informáticos e a divulgação não autorizada de informações reforça a necessidade de um sistema jurídico capaz de responder eficazmente às ameaças no ciberespaço.
A efetividade da LGPD na salvaguarda dos direitos à privacidade, liberdade e segurança perpassa pela compreensão da interdependência entre dados pessoais e sensíveis, a distinção estabelecida pela lei, embora pertinente para reconhecer a maior sensibilidade de certas informações, não deve implicar uma subestimação dos riscos associados ao tratamento inadequado de dados pessoais.
Observa-se que o maior desafio reside em implementar práticas de governança e segurança robustas para todos os tipos de dados, aliadas a uma fiscalização eficaz e à conscientização dos titulares, a fim de garantir um ambiente digital mais seguro e respeitoso aos direitos fundamentais, bem como buscando um equilíbrio dinâmico entre a inovação e a proteção dos direitos individuais.
REFERÊNCIAS
ALMEIDA, Álvaro. Crimes Virtuais: Invasão De Privacidade À Luz Da Lei Carolina Dieckmann. 2018. Disponível em: https://aberto.univem.edu.br/bitstream/handle/11077/1778/Artigo%20Alvaro%20Eduardo.pdf?sequence=1. Acesso em 20 nov. 2024.
BEDENDO, Thaynara; JUNIOR, Paulo. Lei Geral De Proteção De Dados Pessoais Nas Relações Do Comércio Eletrônico (Lei N. 13.709/2018). 2019.
BIONI, Bruno. Proteção de dados pessoais: a função e os limites do consentimento. 3 ed. Rio de Janeiro: Forense, 2021.
BRASIL. Constituição da República Federativa do Brasil. Brasília, 1988. Disponível em: https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 10 nov. 2024.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 10 nov. 2024.
BURKART, Daniele. Proteção de dados e o estudo da LGPD. 2021.Disponível em: https://repositorio.unesp.br/items/d3f31333-1765-4c9b-998e-036640aee715. Acesso em 28 nov. 2024.
CANEDO, Edna et al. Guidelines adopted by agile teams in privacy requirements elicitation after the Brazilian general data protection law (LGPD) implementation. Requirements Engineering, v. 27, n. 4, p. 545-567, 2022.
CARNEIRO, Lucas; SANTOS, Jackson; EDLER, Gabrie. Direito Cibernético: O Impacto Gerado Pela Lei Carolina Dieckmann No Combate Aos Crimes Virtuais Realizados Contra As Crianças E Adolescentes. Revista Ibero-Americana de Humanidades, Ciências e Educação, v. 8, n. 11, p. 2061-2080, 2022.
COSTA, Thalys. O uso da tecnologia de reconhecimento facial e a violação a dados biométricos sob a luz da Lei Geral de Proteção de Dados. 2020. Disponível em: https://repositorio.ufersa.edu.br/items/d43e4977-0a09-41a7-8210-0ff855f255e4. Acesso em 15 set. 2024.
SILVA, Kethelyn da; VILARINHO, Daniel. Crimes Cibérneticos: Avanços Trazidos Com A Lei Carolina Dieckman. Facit Business and Technology Journal, v. 3, n. 39, 2022.
LIMA, Cíntia de. Comentários à Lei Geral de Proteção de Dados: Lei n. 13.709/2018, com alteração da Lei n. 13.853/2019. Almedina Brasil, 2020.
SÁ, Priscila de; SCHNEIDER, André. Reflexões Sobre A Taxatividade Do Rol Dos Dados Pessoais Sensíveis. Themis: Revista da Esmec, v. 22, n. 1, p. 45-69, 2024.
TEFFÉ, Chiara de; VIOLA, Mario. Tratamento de dados pessoais na LGPD: estudo sobre as bases legais. Civilistica. com, v. 9, n. 1, p. 1-38, 2020.
DONEDA, Danilo. Da privacidade à Proteção de Dados Pessoais. São Paulo: Thomson Reuters Brasil, 2019. p. RB-1.1. E-book. Disponível em: https://proview.thomsonreuters.com/launchapp/title/rt/monografias/215543393/v2/page/R B-2.1. Acesso em: nov. 2024.
SANTOS, Flávia dos. A lei geral de proteção de dados pessoais (LGPD) e a exposição de dados sensíveis nas relações de trabalho. Revista do Tribunal Regional do Trabalho da 10ª Região, v. 24, n. 2, p. 145-151, 2020.
FRAZÃO, Ana; OLIVA, Milena; ABILO, Vivianne. Compliance de dados pessoais. In: TEPEDINO, Gustavo; FRAZÃO, Ana; OLIVA, Milena Donato (Coords.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no Direito Brasileiro. São Paulo: Thomson Reuters, 2019.
JIMENE, Camilla. Da Segurança e do Sigilo de Dados. In: MALDONADO, Viviane Nóbrega; OPICE BLUM, Renato. LGPD: Lei Geral de proteção de Dados Comentada. 3. ed. São Paulo: Thomson Reuters Brasil, 2021, p. 355-386.
LI, Xiaodan. Research on the Protection of Personal Sensitive Information and Privacy Data on the Internet Under Legal Regulations. International Journal of Network Security, v. 26, n. 2, p. 200-205, 2024.
LIMA, Caio. Lei Geral de Proteção de Dados Comentada. 2.ed. São Paulo: Revista dos Tribunais, 2019, p.183-184.
MARINELI, Marcelo. Privacidade e Redes Sociais Virtuais. São Paulo: editora Revista dos Tribunais, 2019. p. RB-3.2.
MENDES, Laura. A vulnerabilidade do Consumidor quanto ao Tratamento de Dados Pessoais. Vol102. Revista de Direito do Consumidor. São Paulo: Revista dos Tribunais. v. 102, p. 19-43, nov/dez, 2015.
MENDES, Laura; BIONI, Bruno. O Regulamento Europeu de Proteção de Dados Pessoais e a Lei Geral de Proteção de Dados Brasileira: Mapeando Convergências na Direção de um Nível de Equivalência. Revista de Direito do Consumidor, São Paulo: Revista dos Tribunais. v. 124, p. 157-180, Jul/Ago, 2019.
MIRAGEM, Bruno. A Lei Geral de Proteção de Dados (Lei 13.709/2018) e o direito do consumidor. Revista dos Tribunais, v. 1009, 2019.
PECK, Patrícia. Direito Digital. 7ª. Ed. São Paulo: Saraiva, 2022.
PELOSO, Fabrício et al. A lei geral de proteção de dados pessoais em empresas brasileiras: uma análise de múltiplos casos. Suma de negocios, v. 10, n. 23, p. 89-99, 2019.
PINHEIRO, Patricia. Proteção de Dados Pessoais: Comentários à Lei n. 13.709/2018-LGPD, 2020.
POMPEU, Ana et al. Crimes Cibernéticos: A Ineficácia da Lei Carolina Dieckmann. 2022.
RAPÔSO, Cláudio et al. Lgpd-lei geral de proteção de dados pessoais em tecnologia da informação: Revisão sistemática. RACE-Revista de Administração do Cesmac, v. 4, p. 58-67, 2019.
SANTOS, GLENDA. Cibercriminalidade: o dilema da sociedade atual na utilização dos espaços virtuais. 2022. Juazeiro do Norte/ CE.
SARLET, Gabrielle; RUARO, Regina. A proteção de dados sensíveis no sistema normativo brasileiro sob o enfoque da Lei Geral de Proteção de Dados (LGPD)–L. 13.709/2018. Revista Direitos Fundamentais & Democracia, v. 26, n. 2, p. 81-106, 2021.
SOUTO, Gabriel. Vazamento de dados no setor privado brasileiro: a gestão do risco como parâmetro para a responsabilidade empresarial. Revista de Direito e Novas Tecnologias. Vol.7/2020.
STOICA, Camelia; SAFTA, Marieta. Theoretical and practical issues relating to the right to the protection of personal data. Juridical Tribune/Tribuna Juridica, v. 5, n. 2, 2015.
TABOLKA, Laure; LANG, Lilian; GAI, Emanuelle. Princípios Da Lei Geral De Proteção De Dados E O Exercício Do Direito De Oposição Do Titular. In: Desafios Do Direito Frente Às Novas Tecnologias. Editora Científica Digital, 2024. p. 132-149.
TEIXEIRA, Tarcisio. Direito Digital e Processo Eletrônico. 7ª. Ed. São Paulo: Saraiva, 2022.
¹Bacharelando do Curso de Direito, do Centro Universitario Santo Agostinho (UNIFSA). email: phjunirsouza2@gmail.com.
²Orientador e Professor no Centro Universitario Santo Agostinho (UNIFSA). Mestre em Criminologia pela Universidade Fernando Pessoa (UFP), Especialista em Direito Constitucional (ESTACIO/CEUT) E-mail: jhonlisbino@unifsa.com.br