Nova LGPD: direito à portabilidade. Uma das grandes inovações da LGPD foi ter previsto, em seu art. 18, V, o direito à “portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador”.
Trata-se, portanto, de direito que tem como um de seus objetivos principais o empoderamento e o reforço da autodeterminação informativa do titular. Com efeito, a portabilidade procura viabilizar o efetivo controle do titular sobre os seus dados para os mais diversos fins, possibilitando que sejam gerenciados e reutilizados, inclusive com o objetivo de facilitar a migração do titular para serviços concorrentes. Com isso, evita-se que os consumidores fiquem presos a determinado ofertante (efeito lock in) em virtude das dificuldades ou mesmo dos altos custos de troca (switching costs) que decorreriam da “perda” dos dados.
Daí a ideia de que o direito à portabilidade, para atingir tais propósitos, deve ser fácil, gratuito e assegurado de modo a permitir a usabilidade dos dados com eficiência e segurança.
Além da proteção ao titular dos dados, o direito à portabilidade tem também importantes implicações concorrenciais, pois, partindo da premissa de que os dados são os mais importantes insumos da economia movida a dados – ou até mesmo essential facilities -, a portabilidade pode facilitar a transferência de dados para fins de ingresso de novos entrantes ou start-ups no mercado ou mesmo para estimular a competição entre rivais já existentes, evitando que a acúmulo de dados por apenas um ou determinados players possa ser uma verdadeira barreira à entrada ou fator que comprometa a rivalidade com agentes menores.
Além dos desdobramentos concorrenciais, o direito à portabilidade ainda pode gerar diversos benefícios ao mercado, já que pode também ser utilizado para a troca de dados entre serviços complementares, facilitando a vida dos interessados. Um bom exemplo é o caso de uma plataforma de alugueis de imóveis que, a pedido do usuário, envia seus dados para a seguradora do seu imóvel, a fim de que esta possa quantificar melhor o risco.
Como já se demonstrou, a LGPD define o direito à portabilidade de forma bastante sucinta, ainda mais se compararmos com as previsões do GDPR europeu, que são acompanhadas de importantes considerandos. Nesse sentido, o art. 20, do regulamento europeu, deixa claro que “O titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados pessoais foram fornecidos o possa impedir, se: a) O tratamento se basear no consentimento dado nos termos do artigo 6.o, n.o 1, alínea a), ou do artigo 9.o, n.o 2, alínea a), ou num contrato referido no artigo 6.o, n.o 1, alínea b); e b) O tratamento for realizado por meios automatizados.”
Tal artigo deve ser compreendido à luz do Considerando 68, que assim prevê:
“Para reforçar o controlo sobre os seus próprios dados, sempre que o tratamento de dados pessoais for automatizado, o titular dos dados deverá ser autorizado a receber os dados pessoais que lhe digam respeito, que tenha fornecido a um responsável pelo tratamento num formato estruturado, de uso corrente, de leitura automática e interoperável, e a transmiti-los a outro responsável. Os responsáveis pelo tratamento de dados deverão ser encorajados a desenvolver formatos interoperáveis que permitam a portabilidade dos dados. Esse direito deverá aplicar-se também se o titular dos dados tiver fornecido os dados pessoais com base no seu consentimento ou se o tratamento for necessário para o cumprimento de um contrato. Não deverá ser aplicável se o tratamento se basear num fundamento jurídico que não seja o consentimento ou um contrato. Por natureza própria, esse direito não deverá ser exercido em relação aos responsáveis pelo tratamento que tratem dados pessoais na prossecução das suas atribuições públicas. Por conseguinte, esse direito não deverá ser aplicável quando o tratamento de dados pessoais for necessário para o cumprimento de uma obrigação jurídica à qual o responsável esteja sujeito, para o exercício de atribuições de interesse público ou para o exercício da autoridade pública de que esteja investido o responsável pelo tratamento. O direito do titular dos dados a transmitir ou receber dados pessoais que lhe digam respeito não deverá implicar para os responsáveis pelo tratamento a obrigação de adotar ou manter sistemas de tratamento que sejam tecnicamente compatíveis. Quando um determinado conjunto de dados pessoais disser respeito a mais de um titular, o direito de receber os dados pessoais não deverá prejudicar os direitos e liberdades de outros titulares de dados nos termos do presente regulamento. Além disso, esse direito também não deverá prejudicar o direito dos titulares dos dados a obter o apagamento dos dados pessoais nem as restrições a esse direito estabelecidas no presente regulamento e, nomeadamente, não deverá implicar o apagamento dos dados pessoais relativos ao titular que este tenha fornecido para execução de um contrato, na medida em que e enquanto os dados pessoais forem necessários para a execução do referido contrato. Sempre que seja tecnicamente possível, o titular dos dados deverá ter o direito a que os dados pessoais sejam transmitidos diretamente entre os responsáveis pelo tratamento.”
Conclui-se, portanto, que, no âmbito europeu, o direito à portabilidade incide quando o tratamento de dados for automatizado, quando decorrer do consentimento do titular ou quando for necessário para o cumprimento de um contrato. Todas as demais hipóteses estão fora do seu alcance, o que inclui aquelas em que o tratamento decorrer de obrigações legais a que o controlador esteja vinculado. Também fica claro que, em nenhum caso, o exercício do direito à portabilidade pode prejudicar direitos de terceiros, assim como a necessidade de se assegurar a compatibilidade entre o direito à portabilidade com o direito ao apagamento ou esquecimento.
Também decorre da leitura do GDPR, especialmente à luz do Considerando 68, que, embora o direito à portabilidade seja um encorajamento à interoperabilidade, ele não cria a obrigação de que agentes mantenham sistemas interoperáveis, devendo os conflitos daí resultantes ser resolvidos com base no que for tecnicamente possível.
Surge aí uma importante discussão relacionada à própria viabilidade da portabilidade pois, não obstante os seus nobres propósitos, a sua eficácia depende essencialmente do equacionamento do problema da interoperabilidade entre o controlador que irá enviar os dados e o titular ou o novo controlador que irá recebê-los. Por essa razão, as Guidelines on the right to data portability atestam que, sem standards que levem à interoperabilidade, o direito à portabilidade é destinado a permanecer mais como uma declaração de princípio do que um real e efetivo instrumento para a autodeterminação individual no ambiente digital.
Daí por que o primeiro desafio para a compreensão do direito à portabilidade diz respeito aos seus pressupostos técnicos. Como bem diagnostica Lucio Studiero, a dificuldade da questão decorre do fato de o GDPR parecer querer imputar aos controladores uma obrigação de desenvolver o que alguns scholars definiram como export-import-module, ou seja, um software que é capaz de exportar dados de um serviço e importar para um segundo serviço. Entretanto, fica claro, pelo próprio Considerando 68, que o direito do titular não cria uma obrigação para que controladores adotem ou mantenham sistemas de processamento que sejam tecnicamente compatíveis.
Dessa maneira, não se sabe ao certo como o direito à portabilidade pode ser exercido caso os dois sistemas – o que envia e o que recebe dados – não forem compatíveis. A dificuldade fica ainda maior diante da multiplicidade dos dados – que vão de dados biométricos a likes e frequências cardíacas, dentre inúmeros outros -, cuja variação possibilita múltiplas alternativas de registro e estruturação.
Por essa razão, as Guidelines on the right to data portability concluem que as expressões relacionadas a como os dados devem ser enviados no exercício do direito à portabilidade são, na verdade, meras especificações para meios em relação aos quais o resultado desejado é a interoperabilidade. Entretanto, sem que se saiba o que efetivamente se pode cobrar dos controladores, fica difícil delimitar o alcance do direito.
Sob essa premissa, as exigências a serem importas aos controladores para atender a pedidos dos titulares de dados devem ser razoáveis e pertinentes, havendo até discussões sobre o direito do controlador de se opor à portabilidade ou mesmo de cobrar pelo atendimento do direito sempre que o pedido envolver providências que se mostrem manifestamente excessivas ou desproporcionais.
Logo, há bons fundamentos para sustentar que o alcance do art. 20 do GDPR está restrito ao que for tecnicamente possível de ser exigido dos controladores, raciocínio que pode ser aplicado igualmente ao caso brasileiro, até diante das preocupações da LGPD com a razoabilidade dos meios técnicos, inclusive do ponto de vista dos custos. Como exemplo, cita-se a importante regra do art. 12, § 1º, da LGDP, relacionada ao que se pode esperar dos controladores em relação à anonimização: “A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios”.
Por outro lado, não se pode negar que a questão é tão sensível que a própria LGDP previu, em seu art. 40, que “A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.”
Certamente que, com a devida regulamentação, seria muito mais fácil assegurar a interoperabilidade a partir de critérios razoáveis e factíveis, o que é especialmente importante para pequenas e médias empresas, em relação às quais há que se encontrar um meio-termo para que possam cumprir adequadamente as obrigações da LGPD por meio de ferramentas adequadas e compatíveis, sobretudo do ponto de vista do custo.
Enquanto não se resolvem as divergências e, no caso do Brasil, não se tem nem mesmo previsão normativa sobre a autoridade nacional, questiona-se em que medida a boa-fé que deve imperar nas relações entre controladores e titulares de dados levaria ao menos à inversão do ônus da prova contra o controlador, de forma que caberia a ele comprovar que, dentro do possível, adotou as medidas necessárias e adequadas para viabilizar o direito à portabilidade.
Além das discussões relacionadas à dimensão técnica e operacional, o direito à portabilidade suscita ainda inúmeras outras questões, que serão abordadas no próximo artigo da presente série.
Fonte: JOTA por ANA FRAZÃO – Sócia do Gustavo Tepedino Advogados. Professora de Direito Civil e Comercial da UnB. Ex-Conselheira do CADE.
Veja também:
- Fórum da Lei de Proteção de Dados e GDPR
- Contas do Internet Banking do HSBC-US são violadas por hackers
- Vulnerabilidade na Libssh é muito fácil de ser explorada
- CrowdStrike solução AV sem Assinatura!
- Falha permite escalada de privilégio afeta a maioria das distribuições Linux
- Hackers exploram vulnerabilidade de zero day da Cisco ASA e FTD
- Como nível C contribui para uma postura de segurança mais forte
- LGPD-SP – A proteção estadual de dados pessoais e o PL 598/2018
- IBM adquire distribuidor Linux Red Hat por US $ 33,4 bilhões
- 10 maneiras de manter-se seguro online
- Empresas “cyber ready” apresentam melhores resultados
Deixe sua opinião!