Par Renato Afonso Gonçalves*

dans l'article antécédent nous dressons un aperçu historique de la protection des données personnelles, culminant avec l'édition du Règlement général sur la protection des données - RGPD européen, et de la Loi générale sur la protection des données brésilienne - LGPD.

Comme on le voit, le GDPR européen, le règlement (UE) 2016/679, est peut-être la loi de protection des données la plus importante à l'heure actuelle, car il cherche l'équilibre nécessaire entre le développement d'un énorme marché numérique et la protection des données personnelles , générant des réflexes même pour les nations qui entretiennent des relations commerciales avec l'Europe. Ce diplôme est le résultat d'un processus de maturation d'expériences dans le traitement de la matière dans les domaines législatif, réglementaire et jurisprudentiel.[I] C'est la reconnaissance que la matière acquiert des proportions énormes par rapport aux aspects économiques, sociaux et culturels.

Le RGPD, entré en vigueur le 25 mai 2018, est composé de 173 considérants et 99 articles, ce qui dénote non seulement la grande longueur du diplôme mais le souci du législateur européen à détailler son contenu afin de faciliter son application, bien qu'une ouverture législative et réglementaire soit prévue pour les États membres afin d'améliorer son application sur leurs territoires respectifs.[Ii]

Cette fois, le règlement européen tente d'établir le champ d'application matériel et territorial des règles ; établir des définitions, des principes et des conditions pour le traitement des différentes catégories de données personnelles ; conférer des droits aux titulaires de données personnelles ; établir des règles concernant les responsables de la manutention et leurs sous-traitants ; établir des règles pour le transfert international de données personnelles ; établir des mécanismes de contrôle publics et administratifs et des sanctions en cas de violation de ses préceptes ; et uniformiser la protection des données dans le cadre des relations de travail.

Dans un résumé très serré, nous essaierons de rappeler les principaux aspects du nouveau diplôme européen.

Il convient de rappeler que le but du RGPD est « de contribuer à la création d'un espace de liberté, de sécurité et de justice et d'une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au niveau du marché intérieur et au bien-être des personnes physiques ».[Iii] Avec cela, il ne s'agit pas d'interdire des activités économiques dans le monde numérique, au contraire, il s'agit de veiller à ce que ces activités soient exercées dans l'hypothèse du respect du droit fondamental à la protection des données, ce qui, par conséquent, garantit également un traitement équitable concurrence entre les agents économiques. Comme l'indique le considérant 7 du RGPD, « la sécurité juridique et la sécurité pratique des personnes physiques, des opérateurs économiques et des pouvoirs publics » doivent être renforcées.

Le diplôme en examen établit une notion large de « données personnelles »[Iv], qui sont considérées comme toute information se rapportant à une personne physique identifiée ou identifiable (personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, des identifiants par voie électronique ou à un ou plusieurs éléments propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique).

La même largeur a été utilisée pour la conceptualisation du traitement de données comme une opération ou un ensemble d'opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, conservation, adaptation ou altération, récupération, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, comparaison ou interconnexion, limitation, effacement ou destruction.[V] Avec cela, il est clair que le RGPD a considérablement élargi son spectre d'incidence, affectant les activités professionnelles ou commerciales qui ont comme présupposé ou instrument de développement une certaine forme de manipulation des données personnelles.

Il est à noter que le RGPD a établi une catégorisation des données personnelles et différents spectres de protection, en fonction de l'expression de la vie privée ou de l'intimité du sujet. Ce sont ce que la doctrine appelle les données personnelles sensibles (intimité) ou non sensibles (vie privée). Pour cette raison, l'article 9 du RGPD établit comme règle générale que "le traitement des données personnelles (sensibles) qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, ainsi que le traitement des données génétiques données personnelles, des données biométriques permettant d'identifier une personne de manière unique, des données relatives à la santé ou des données relatives à la vie sexuelle ou à l'orientation sexuelle d'une personne », donc, d'une plus grande responsabilité pour leurs violations.

Un autre aspect pertinent concerne le traitement licite[Vi] des données personnelles, qui ne se produit que si le titulaire respectif a donné son consentement pour une ou plusieurs finalités spécifiques, telles que la phase précontractuelle ou l'exécution d'un contrat ; pour l'exécution d'une obligation légale à laquelle le responsable du traitement est soumis ; pour la défense des intérêts vitaux de la personne concernée ou d'une autre personne physique ; pour l'exercice de fonctions d'intérêt public ou l'exercice de l'autorité publique dont est investi le responsable du traitement ; aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par des tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux du titulaire qui exigent la protection des données à caractère personnel, notamment si le titulaire est un enfant[Vii], hypothèse non applicable si le traitement des données est effectué par les autorités publiques dans l'exercice de leurs missions par voie électronique.

Ainsi, le traitement des données à caractère personnel ne peut avoir lieu que de manière licite, loyale et transparente, visant des finalités déterminées, explicites et légitimes, et ne peut être ultérieurement traité de manière incompatible avec ces finalités. Les données doivent être adéquates, pertinentes et limitées aux finalités pour lesquelles elles sont traitées (minimisation des données) et doivent être exactes, mises à jour et conservées de manière à permettre l'identification de leurs titulaires pendant la durée nécessaire aux finalités. pour lesquels ils sont traités (limitation de conservation), et peuvent être conservés pendant de longues périodes, à condition qu'ils soient traités exclusivement à des fins d'archivage dans l'intérêt public, ou à des fins de recherche scientifique, historique ou statistique.

La sécurité gagne en centralité dans le RGPD, visant à protéger les données personnelles contre les traitements non autorisés ou illicites, ainsi que leur perte, destruction ou détérioration accidentelles, avec l'adoption de mesures techniques ou organisationnelles appropriées, c'est pourquoi tous les responsables du traitement sont tenus pour responsables. -responsable de la manipulation, nécessitant l'enregistrement de toutes les activités de traitement et de gestion des risques, avec désignation d'un responsable et notification aux autorités compétentes de toute infraction.

Pour rendre ses règles efficaces, le RGPD établit des sanctions puissantes pour sa violation, permettant aux États membres de réglementer la matière à tout moment pour élargir le spectre d'efficacité. C'est ce que prévoit son article 58, accordant à chaque autorité de ses États membres un pouvoir de correction par des avertissements, des réprimandes, la détermination de l'adoption de procédures spécifiques, le retrait des certifications, l'application d'amendes pécuniaires importantes (article 83[Viii]), et détermination de la suspension de l'envoi de données à des destinataires dans des pays tiers ou à des organisations internationales.

Enfin, l'attention est attirée sur l'aspect de la territorialité qui vise à protéger les données personnelles des résidents européens partout dans le monde. L'article 3 du RGPD prévoit que le diplôme s'applique au traitement des données des résidents européens, que le traitement ait lieu à l'intérieur ou à l'extérieur de l'Union européenne.

Elle prévoit également son application lorsque le responsable du traitement ou le sous-traitant, non établi dans l'Union, propose des biens ou des services dans l'Union, ou entend contrôler le comportement de la personne concernée, à condition que ce comportement ait lieu dans l'Union européenne. Pour ces raisons, toutes les personnes qui établissent tout type de relation économique avec l'Union européenne doivent obligatoirement respecter le RGPD.

Suite à ce scénario, il en va de même pour le transfert des données des personnes résidant en Europe. C'est ce que détermine l'article 44 du RGPD, en prescrivant que « tout transfert de données à caractère personnel qui fait ou fera l'objet d'un traitement après transfert vers un pays tiers ou une organisation internationale n'est effectué que si, sans préjudice des autres dispositions du présent règlement, les conditions énoncées dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris en ce qui concerne les transferts ultérieurs de données à caractère personnel du pays tiers ou de l'organisation internationale vers un autre pays tiers ou une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à garantir que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis ».

Après une rapide analyse du RGPD, passons à la nouvelle LGPD brésilienne.

Comme on l'a vu, la LGPD est venue intégrer le cadre législatif existant jusqu'en 2018 pour la protection des données personnelles, renforçant ainsi la protection brésilienne de la vie privée, de l'intimité, de l'honneur, de l'image et de la dignité de la personne humaine.

La société brésilienne souhaitait depuis longtemps un diplôme spécifique sur le sujet, et l'édition du RGPD européen a précipité son approbation, dans la mesure où il est devenu stratégique et vital pour notre économie d'établir des niveaux de protection similaires à celui européen, afin de contribuer à la compétitivité internationale des entreprises brésiliennes.

Dans un premier temps, il convient de noter que la LGPD n'entrera en vigueur qu'en février 2020, précisément pour que la société brésilienne et le marché s'adaptent aux nouvelles exigences.

C'est une loi qui institue des principes à observer en la matière, stipulés dans la liste exemplaire de l'article 6, et qui envisage la figure de la bonne foi, esquissée et consolidée dans le droit civil.

Ainsi, les principes exprimés dans la LGPD sont : objectif – le traitement doit être effectué pour des finalités légitimes, déterminées, et sans possibilité de manipulation incompatible avec ces finalités ; adéquation – le traitement doit être compatible avec les finalités communiquées à la personne concernée ; avoir besoin – le traitement doit être limité au minimum nécessaire à la réalisation des finalités ; accès libre – les titulaires doivent se voir garantir une consultation aisée et gratuite sur la forme et la durée du traitement, ainsi que l'accès à l'ensemble de leurs données ; qualité des données – l'exactitude, la clarté, la pertinence et l'actualité des données doivent être garanties ; transparence – la fourniture d'informations claires et facilement accessibles par les titulaires doit être garantie ; sécurité – des mesures techniques et administratives capables de protéger les données contre tout accès non autorisé doivent être adoptées ; prévention – des mesures doivent être prises pour prévenir la survenance de dommages dus au traitement de données à caractère personnel ; non-discrimination – impossibilité de traitement à des fins discriminatoires ; responsabilisation et responsabilisation – démonstration de mesures efficaces pour observer et démontrer le respect des réglementations en matière de protection des données personnelles.

Ces principes guident toutes les activités qui traitent des données personnelles et sont combinés avec le devoir de la vie privée par la conception e confidentialité par défaut. confidentialité dès la conception ou la confidentialité dès la conception, est un concept lié à l'ingénierie des systèmes, qui prend en compte la confidentialité tout au long du processus de construction et d'exécution (en adoptant, par exemple, la pseudonymisation et le cryptage), en respectant les valeurs humaines tout au long du processus. Confidentialité par défaut ou protection par défaut, implique que les gestionnaires doivent s'assurer que les données personnelles sont traitées avec la plus haute protection de la vie privée (seules les données nécessaires doivent être traitées pour une courte période de conservation et avec une accessibilité limitée) afin que, par défaut, les données personnelles ne soient pas mis à la disposition d'un nombre indéfini de personnes. Le RGPD, dans son article 25, a défini positivement ces concepts, ce qui ne s'est pas produit avec le LGPD. Cependant, la conjonction des articles 6 et 46 de la LGPD nous permet de déduire que ces principes/concepts ont été adoptés par notre droit.

Comme le RGPD, notre loi définit le champ de son application matérielle et territoriale, en établissant des définitions, des principes et des conditions de traitement des différentes catégories de données personnelles. Il accorde également des droits aux détenteurs de données personnelles, établissant des règles pour les responsables du traitement et leurs sous-traitants, et décrivant les mécanismes de contrôle public et administratif et les sanctions en cas de violation de ses préceptes.

Contrairement au RGPD, notre loi pose le droit fondamental à l'autodétermination informative (article 2, II), ce qui est à notre avis un aspect positif, car il consolide cet acquis important de l'humanité face aux nouvelles technologies dans la culture juridique nationale .

La nouvelle loi brésilienne pour la protection des données personnelles devient la droit général en la matière, qui irradie des commandes dans tous les domaines du droit et doit être appliquée et interprétée systématiquement à partir des préceptes constitutionnels de la matière. Par conséquent, le LGPD a un caractère matriciel qui aura un impact sur plusieurs secteurs de l'économie et de l'activité de l'État.

Cette fois, en règle générale, toute manipulation, collecte ou traitement de données personnelles effectué sur le territoire national, dont les titulaires se trouvent au Brésil, est soumis à la loi brésilienne, quel que soit le lieu ou la nationalité de la personne qui les traite. Est exemptée de son application la manipulation par une personne physique à des fins privées ; réalisées à des fins journalistiques ou artistiques ou académiques ; effectués à des fins de sécurité publique, de défense nationale, de sûreté de l'État ou de recherche et de répression d'infractions pénales, hypothèses qui seront soumises à leurs propres règles, dans le respect de la légalité de la procédure, des principes généraux de protection et des droits du titulaire.

La manipulation des données personnelles des enfants et des adolescents a été envisagée dans la LGPD, qui traite du sujet à l'article 14, en rappelant que dans ces cas, la loi doit être appliquée et interprétée conformément au Statut de l'enfant et de l'adolescent - ECA, et le code civil. Contrairement au RGPD, notre loi ne fixe pas de limite d'âge à la personne concernée pour favoriser le consentement de manière autonome, établissant seulement que "le traitement des données personnelles des enfants doit être effectué avec le consentement spécifique et éminent donné par le moins un des parents ou tuteur légal » (§ 1er de l'article 14). Ainsi, nous comprenons que l'art. 2 de la LCE, qui considère qu'une personne est âgée de moins de douze ans en tant qu'enfant.

Dans le sillage du RGPG, la loi brésilienne n'a pas hésité à affronter la question de l'anonymisation des données, c'est-à-dire l'utilisation de moyens techniques raisonnables disponibles au moment du traitement, par lesquels les données perdent la possibilité d'association, directe ou indirecte , à un particulier. Comme indiqué, ces données ne sont pas considérées comme personnelles, sauf lorsque le processus d'anonymisation peut être inversé, en utilisant exclusivement des moyens propres ou par des efforts raisonnables, en tenant compte de facteurs objectifs tels que le coût et le temps pour inverser le processus d'anonymisation (pseudo-anonymisation).

Un autre aspect remarquable est celui qui fait référence à la responsabilité civile pour les dommages aux données personnelles, une matière traitée de manière très similaire à celle prévue par le Code de la protection des consommateurs - CDC. Au passage, le texte du nouveau diplôme a eu raison de souligner que les atteintes aux données personnelles dans les relations avec les consommateurs feront l'objet d'une enquête en intégration avec la CDC (article 45 de la LGPD).

Ainsi, reconnaissant la possibilité de survenance de dommages pécuniaires, moraux, individuels ou collectifs par les agents de traitement, l'article 40 de la LGPD établit la règle générale de solidarité entre le responsable du traitement et l'exploitant lorsque ce dernier ne respecte pas les obligations du législation sur la protection des données ou lorsqu'il n'a pas suivi les instructions légales du responsable du traitement. Les responsables du traitement sont également solidaires lorsqu'ils sont directement impliqués dans le traitement ayant causé un dommage à la personne concernée.

Des exceptions à cette règle de solidarité sont prévues à l'article 43 de la LGPD. Ce sont : lorsque le responsable du traitement (responsable du traitement ou exploitant) prouve qu'il n'a pas traité les données à caractère personnel qui lui sont confiées ; lorsqu'il prouve que, bien qu'il ait effectué le traitement des données personnelles qui lui sont confiées, il n'y a pas eu violation de la législation sur la protection des données ; ou prouver que le dommage est imputable à la seule faute de la personne concernée ou de tiers.Pour ce système, la loi réserve la possibilité d'action en retour, et la protection collective devant les tribunaux avec l'application de la CDC et de la loi sur l'action civile.

Une autre mesure similaire à celle préconisée par le CDC est celle qui prévoit le renversement de la charge de la preuve en faveur de la personne concernée, lorsque l'allégation est crédible, qu'il n'y a pas suffisamment de preuves aux fins de produire des preuves, ou lorsque la production de preuves par la personne concernée entraîne une charge excessive.

Contrairement au RGPD qui prévoit un délai de 72 heures, le LGPD prévoit uniquement l'obligation du responsable de traitement de communiquer, dans un délai raisonnable, à l'Autorité Nationale et à la personne concernée la survenance d'un incident de sécurité pouvant entraîner des risque ou dommage. Notre loi a échoué à ce stade car il n'y a pas d'éléments pour définir un délai raisonnable, qui sera éventuellement en charge de la réglementation par l'Autorité nationale. Dans ce cas, l'Autorité nationale peut adopter des mesures similaires à la rappeler consumériste, comme une large diffusion du fait dans les médias (hypothèse très gênante pour l'image du contrôleur), ainsi que d'autres mesures qu'il juge nécessaires pour inverser ou atténuer les effets de l'incident.

En ce qui concerne le transfert international de données personnelles (articles 33 à 36), la loi brésilienne a suivi la voie du RGPD, ne l'autorisant que pour les pays ou organisations internationales qui offrent un degré de protection des données personnelles adéquat à celui prévu dans le LGPD ou lorsque le responsable du traitement offre et prouve le respect, par des dispositions contractuelles, des normes d'entreprise, des sceaux, des certificats et des codes de conduite régulièrement délivrés, avec un contenu défini ou vérifié par l'Autorité nationale.

Une autre exigence indispensable pour le transfert international de données à caractère personnel est la nécessité d'un consentement spécifique de la personne concernée, qui doit être mis en évidence et distinct des autres finalités.

Enfin, en matière de sanctions administratives, le LGPD a bien fait de fixer des sommes importantes. Ainsi, en fonction de chaque cas spécifique, l'Autorité Nationale, après avoir conclu la procédure administrative et garanti une pleine défense, peut fixer l'avertissement ; amende simple pouvant aller jusqu'à 2% de la facturation de la personne morale privée, du groupe ou du conglomérat au Brésil au cours de son dernier exercice financier, limitée au total à 50.000.000,00 XNUMX XNUMX R$ par infraction ; amende journalière ; rendre publique l'infraction et bloquer les données personnelles auxquelles l'infraction se rapporte jusqu'à sa régularisation.

Comme on le voit, le monde numérique a atteint un degré de développement extraordinaire. La dépendance technologique croissante de l'humanité ne fait qu'augmenter la quantité et le flux de données personnelles disponibles pour les technologies perturbatrices. La protection de la vie privée, de l'intimité, de l'image et des données personnelles est une tâche indispensable pour l'équilibre nécessaire dans le monde post-moderne.

Par conséquent, à l'instar de ce qui s'est passé en Europe, la société civile et les entreprises brésiliennes doivent s'adapter à la LGPD, comme un besoin urgent dans le monde de plus en plus globalisé de l'économie numérique.

Ainsi, les entreprises devraient instituer ou revoir la manière dont elles collectent, manipulent, stockent et traitent les données personnelles. Cette adaptation est très précieuse dans tous les sens, de la consolidation de la fiabilité de ces entreprises face aux consommateurs et aux clients, à la possibilité de conditions égales pour la concurrence internationale. En ce sens, la protection des données et la conformité sont des hypothèses de base de l'activité commerciale au XNUMXe siècle.

La LGPD est à bien des égards proche, car dans une certaine mesure inspirée, du RGPD européen. Cependant, bien qu'elle représente un bon début, nous pensons que la nouvelle loi laisse à désirer à bien des égards, ne réglementant pas ou réglementant insuffisamment, des questions telles que : les données personnelles dans les relations de travail ; dans l'éventail des enquêtes pénales et des infractions administratives ; vidéosurveillance; droit à l'oubli; biotechnologie; profilage ; sous-traitant; aspects techniques de la sécurité, de la conduite et de la certification ; coopération et cohérence; liberté d'expression et d'information; documents publics; traitement effectué par des entités religieuses, entre autres.

Il est vrai qu'il appartiendra à la doctrine et à la jurisprudence de combler les éventuelles lacunes et antinomies résultant de cette situation. La création même de l'Autorité nationale de protection des données liée à l'administration directe, en collaboration avec la présidence de la République, met en évidence la mer de difficultés qui se présentera à l'avenir. Il était impératif de créer une autarcie spéciale avec plus d'indépendance institutionnelle, fonctionnelle et financière, pour adapter notre système aux normes internationales.

Nous verrons très probablement les conflits d'intérêts économiques découlant de l'application de la LGPD frapper aux portes des juridictions supérieures, comme ce fut le cas avec le monument civil de l'internet et les relations autour de la whatsapp, qui traite des limites de l'intervention de l'État dans le développement et l'utilisation de la cryptographie. La loi positive sur l'enregistrement est l'exemple le plus clair et le plus flagrant de conflit avec la LGPD, notamment en ce qui concerne le sujet du consentement du titulaire des données personnelles.

Des questions telles que celles impliquant l'activité de Cambridge Analytica dans le processus de le Brexit et aux élections américaines, commencent à s'élever au Brésil avec des accusations de prolifération fausses nouvelles lors des élections présidentielles de 2018. L'influence juridique américaine qui traite le sujet sous l'angle du droit de propriété contraste avec la conception européenne d'encadrer le droit à la protection des données personnelles dans le champ des droits de l'homme. La schizophrénie vivait dans le monde juridique du pays (droit civil x common law) influencera grandement l'avenir de la LGPD.

Le Brésil traverse une profonde crise politique, économique, sociale et institutionnelle rarement vue dans notre histoire. Autoritarisme des agents publics, mépris flagrant de l'ordre constitutionnel et des droits de l'homme, haine et intolérance, fleurissent nuit et jour dans la rue et surtout dans le monde numérique.

C'est dans ce scénario que le LGPD est né. Un bon début, qui pourrait être mieux. Un avenir à construire selon des lignes tortueuses, qui nécessitera beaucoup de travail et de dépassement du monde juridique pour mettre en œuvre la protection complète des données personnelles au Brésil.

*Renato Afonso Gonçalves, avocat, est doctorant en sciences historiques et juridiques à la faculté de droit de l'université de Lisbonne.

[I]Faites attention aux arrêts paradigmatiques de la Cour de justice de l'Union européenne : Digital Rights Ireland, 2014 – Affaires C-293/12 et C-594/12 ; Google Spain SL et Google Inc, 2014 (affaire C-131/12) ; et Maximillian Schrems, depuis 2015 – Affaire C-362/2014. COUR DE JUSTICE DE L'UNION EUROPÉENNE. Disponible sur : https://curia.europa.eu/jcms/jcms/j_6/pt/.

[Ii]À titre d'exemple, au Portugal, la loi nº 58/2019, du 08 août 2019, a été promulguée, qui assure la mise en œuvre, dans l'ordre juridique national, du règlement (UE) 2016/679, relatif à la protection des personnes physiques avec concerne le traitement des données à caractère personnel et la libre circulation de ces données. Disponible sur : https://www.cnpd.pt/.

[Iii]Considérant 2 du RGPD.

[Iv]Article 4, 1, RGPD.

[V]Article 4 du RGPD.

[Vi]Article 6 du RGPD.

[Vii]L'article 8 du RGPD exige le consentement des parents ou tuteurs pour le traitement des données personnelles des personnes de moins de 16 ans. En revanche, le règlement permet aux lois des États membres de réduire cette limite, qui ne peut être inférieure à 13 ans.

[Viii]Ils peuvent aller de 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial de l'entreprise à 20 millions d'euros ou 4 % des ventes annuelles mondiales de l'entreprise.