Princípios revolucionários do processamento do RGPD

Trecho do livro de Bruno DUMAY: DESCRIÇÃO DO GDPR – Para gestores, departamentos estratégicos e funcionários de empresas e organizações – Prefácio de Gaëlle MONTEILLER

O Artigo 5 é, tanto na letra quanto no espírito, revolucionário, se analisarmos honestamente as práticas em vigor antes de 2018.

"Os dados pessoais devem ser tratados de forma lícita, justa e transparente em relação ao titular dos dados" (parágrafo 1a). Embora se possa concordar que o processo foi lícito, é preciso reconhecer que os critérios de transparência e justiça foram pouco levados em consideração. Nenhuma pessoa cujos dados estavam sendo coletados foi informada dos métodos e finalidades dessa coleta. Se agora devemos cumprir esta nova disposição, e devemos, as mudanças que precisam ser feitas, tanto em termos de perspectiva quanto de prática, são consideráveis.

O parágrafo 1b do mesmo Artigo 5º é suficiente para nos espantar, ou melhor, para nos esclarecer ainda mais: "Os dados pessoais devem ser coletados para finalidades determinadas, explícitas e legítimas, e não devem ser tratados posteriormente de forma incompatível com essas finalidades". Em outras palavras, um diretor de marketing permanece responsável pelos dados coletados, mesmo que seu uso mude ao longo do tempo. E essa mudança não deve ser incompatível com os motivos invocados na origem da coleta. A noção de "finalidades determinadas e explícitas" poderia, por si só, se entendida em sentido estrito por um magistrado, reduzir os dados pessoais coletados a um único uso.

O parágrafo 1c também não é ruim: "Os dados pessoais devem ser adequados, relevantes e limitados ao necessário em relação às finalidades para as quais são processados (minimização de dados)." Chega de estratégias abrangentes e buscas abrangentes para recuperar o máximo de informações possível. Cada operação deve ser calibrada de acordo com um objetivo específico, e somente esse objetivo. A filosofia do texto reaparece aqui: trata-se de limitar ao máximo a divulgação de dados pessoais, para que nenhum indivíduo possa alegar ter sido privado de informações sobre si sem o seu consentimento.

O período de retenção também é abrangido (pelo parágrafo 1e do Artigo 5): não deve exceder "o necessário em relação às finalidades para as quais são tratados". Isso implica, sejamos claros, a destruição dos dados após o uso; isso, admitamos, não é nosso hábito.

A licitude do tratamento tem agora um fundamento, recordado no Artigo 6.º, que enumera seis condições, das quais pelo menos uma deve ser cumprida. Sendo as quatro últimas dedicadas a questões não comerciais, apenas as duas primeiras nos interessam. Ou "o titular dos dados consentiu no tratamento de dados pessoais para uma ou mais finalidades específicas", ou "o tratamento é necessário para a execução de um contrato no qual o titular dos dados é parte ou para tomar medidas a pedido do titular dos dados antes da celebração de um contrato". Fica, portanto, claro: para utilizar informações pessoais, o consentimento ou a celebração de um contrato são essenciais. Para um menor de 16 anos, idade que os Estados-Membros podem reduzir para 13 anos (a França acaba de optar pela maioridade numérica aos 15 anos), o consentimento deve ser dado pelo titular da responsabilidade parental (Art. 8.º, n.º 1). Ao dirigir-se a crianças, os termos devem ser escolhidos de acordo com a idade, para que a compreensão seja facilitada (Art. 12.º, n.º 1).

Em caso de litígio, o ônus da prova do consentimento recai sobre o controlador, não sobre a pessoa que se considera prejudicada (Art. 7). E tudo está previsto nas densas linhas do GDPR para dar à autoridade supervisora os meios para decidir se o consentimento foi efetivamente dado e para quê.

Não há mais espaço para a ambiguidade, com a qual todos brincam há vinte anos: "Se o consentimento do interessado for dado no contexto de uma declaração escrita que também diga respeito a outras questões, o pedido de consentimento deverá ser apresentado de forma que o distinga claramente dessas outras questões, de forma inteligível e facilmente acessível, e formulado em termos claros e simples" (art. 7-2). Este consentimento pode ser retirado a qualquer momento. E é proibido complicar o uso desta possibilidade: "É tão simples retirar o consentimento como dar o consentimento" (art. 7-3).

Isso não é novidade, pelo menos na França, mas é claramente reafirmado no Artigo 9: o tratamento que revele a origem racial ou étnica, as opiniões políticas, as crenças religiosas, o estado de saúde ou a orientação sexual das pessoas em questão é proibido (Art. 9-1), exceto em dez casos específicos relacionados ao direito trabalhista ou ao interesse público. Uma dessas exceções é interessante e surpreendente porque se afasta da natureza protetiva do texto: quando os dados são "manifestamente tornados públicos pela pessoa em questão" (Art. 9-2e). Nesse caso, as chamadas informações sensíveis podem ser reveladas; o que, dado o exibicionismo predominante, pode afetar muitas pessoas.