Limites à Aplicação LGPD
Continuando nossa série, (se você não leu o primeiro texto, basta clicar aqui para conferir), hoje trataremos dos limites à aplicação da lei.
A Lei Geral de Proteção de Dados, em seu artigo 1º, expõe que a abrangência da lei se dá a dados pessoais, relacionado à pessoa natural, identificada ou identificável (art. 5º, I), em meio digitais ou físicos (art. 5º, IV), por pessoa natural ou por pessoa jurídica, almejando a proteção dos direitos de liberdade privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Isto posto, quanto a matéria em que incidirá, a proteção de dados que trata a lei é aquela derivada de pessoas físicas, especificamente, pessoas naturais, excluídas, portanto, pessoas jurídicas e pessoas falecidas.
Assenta-se, ainda, que essa proteção diz respeito ao tratamento de dados, seja de pessoa natural ou pessoa jurídica de direito público ou privado, conforme dispostos nos arts. 41, 42 e 44 do Código Civil.
Comparativamente, o art. 2 (1) da GDPR menciona as matérias que incidiram a norma, havendo similaridades com a norma brasileira.
Complementarmente, no que tange à aplicação territorial da lei, observa-se que o legislador brasileiro pugnou pela aplicação da lei a qualquer das pessoas tratadas no art. 1º, independentemente de se tratar de meio digital ou não, do local em que esteja, conforme consta-se do art. 3º. Em seguida, no art. 4º, expõe-se a que situações não há a aplicação da lei.
Novamente, observa-se uma similitude ao disposto pelo Regulamento europeu. Essa passagem, inicialmente, foi julgada como ambígua, tendo-se pugnado pela aplicação da legislação a controladores e processadores na União Europeia, independentemente se o processamento ocorreu ou não na União Europeia.
Nota-se, também, que em ambas as legislações inexistem menções à nacionalidade do titular dos dados, levando-se à interpretação de que as mencionadas legislações se aplicam a pessoas naturais que se encontrarem nos respectivos territórios nacionais, independentemente de sua cidadania.
Adicionalmente, cumpre mencionar discussão trazida no cenário europeu quanto a possibilidade da não aplicação do Regulamento em casos que o tratamento de dados, embora se proceda na União Europeia, nela não influa diretamente.
Pontua-se, assim, a existência de um caráter de moderação, eliminando da incidência da legislação em situações em que o nexo entre o Estado-Membro da União Europeia e de controle de dados seja relativamente fraco.
Comparativamente, no entanto, não se observa essa ressalva na legislação brasileira, não estando claro se haverá ponderação na tratativa de dados nos casos de incidência da lei.
Dessa forma, observa-se que a lei brasileira, inspirada no Regulamento Europeu, tratou como fator determinante o local de tratamento dos dados pessoais e o fato do dado ser originário de pessoa natural, dispensando o caráter da nacionalidade.
Assim, torna-se relevante o quesito territorialidade e, sendo cumprido, a lei poderá ser aplicada, inclusive, para empresas não nacionais.
[1] Art. 41. São pessoas jurídicas de direito público interno:
I – a União;
II – os Estados, o Distrito Federal e os Territórios;
III – os Municípios;
IV – as autarquias, inclusive as associações públicas;
V – as demais entidades de caráter público criadas por lei.
Art. 42. São pessoas jurídicas de direito público externo os Estados estrangeiros e todas as pessoas que forem regidas pelo direito internacional público.
Art. 44. São pessoas jurídicas de direito privado:
I – as associações;
II – as sociedades;
III – as fundações.
IV – as organizações religiosas;
V – os partidos políticos.
VI – as empresas individuais de responsabilidade limitada.
[2] O presente regulamento aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meios não automatizados de dados pessoais contidos em ficheiros ou a eles destinados.
[3] Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I – a operação de tratamento seja realizada no território nacional;
II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei.
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II – realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III – realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Caso precise de advogados especializados em direito digital, estamos à disposição. Nosso escritório de advocacia atende em Londrina e em todo o país.
