Por Aline Fuke Fachinetti e Vitor Monacelli Fachinetti Junior -
A Lei Geral de Proteção de Dados Pessoas (LGPD) — Lei nº 13.709/18 — traz como um de seus princípios basilares a responsabilização e prestação de contas, que exige que aqueles que tratam dados pessoais (os denominados "agentes de tratamento") não apenas cumpram as obrigações da LGPD como também sejam capazes de demonstrar o cumprimento e eficácia delas. Essa terminologia é empregada na Europa com o termo accountability e foi bem absorvida pela legislação nacional sobre o tema.
Esse princípio exige a existência de uma governança relativa aos dados pessoais, assegurando o efetivo cumprimento das obrigações legais, bem como a realização de um conjunto de documentos ou ferramentas capazes de evidenciar esse cumprimento. Assim, torna-se essencial que os agentes de tratamento tenham o que denominamos "cadeia de custódia auditável".
Da mesma forma, no Direito Processual Penal, em mais uma reforma pontual, a proteção da prova é tratada com enfoque similar. A cadeia de custódia, conforme definição recente da Lei 13.964 de 2019 (com consequente introdução dos artigos 158-A a F no Código de Processo Penal), pode ser definida como o conjunto de procedimentos documentados que registram origem, identificação, coleta, custódia, controle, transferência, análise e eventual descarte de evidências.
De acordo com a mencionada lei, a cadeia de custódia compreende os seguintes procedimentos ou etapas:
"I — Reconhecimento: ato de distinguir um elemento como de potencial interesse para a produção da prova pericial;
II — Isolamento: ato de evitar que se altere o estado das coisas;
III — Fixação: descrição detalhada do vestígio conforme se encontra no local de crime ou no corpo de delito;
IV — Coleta: ato de recolher o vestígio, respeitando suas características e natureza;
V — Acondicionamento: procedimento por meio do qual cada vestígio coletado é embalado de forma individualizada, com anotação da data, hora e nome de quem realizou a coleta;
VI — Transporte: ato de transferir o vestígio de um local para o outro, utilizando as condições adequadas, de modo a garantir a manutenção de suas características originais, bem como o controle de sua posse;
VII — Recebimento: ato formal de transferência da posse do vestígio, que deve ser documentado;
VIII — Processamento: exame pericial em si, manipulação do vestígio de acordo com a metodologia adequada;
IX — Armazenamento: procedimento referente à guarda, em condições adequadas, do material a ser processado, guardado para realização de contraperícia, descartado ou transportado;
X — Descarte: procedimento referente à liberação do vestígio, mediante autorização judicial".
Percebe-se que o Código de Processo Penal é minucioso na conceituação de cada etapa da custódia da prova, podendo tais conceitos serem abarcados por outros ramos do direito, com as necessárias adequações.
Traçando um paralelo entre os conceitos da cadeia de custódia e o cumprimento da LGPD durante o ciclo de vida do dado pessoal, percebe-se que a reflexão sobre a aplicação da cadeia de custódia em ativos de dados pessoais é extremamente salutar, já que considera a documentação e a criação de uma trilha auditável em relação a todo ciclo de vida do dado pessoal e dos procedimentos correspondentes, com desenvolvimento (e execução contínua) de arquiteturas, políticas, práticas e procedimentos que permitam a gestão adequada às necessidades e requisitos de proteção dos dados pessoais.
A LGPD se aplica ao tratamento de dados, que é definido como "qualquer operação ou conjunto de operações realizadas sobre dados pessoais ou banco de dados, com ou sem o auxílio de meios automatizados, tais como coleta, armazenamento, ordenamento, conservação, modificação, comparação, avaliação, organização, seleção, extração, utilização, bloqueio, cancelamento, anonimização, pseudonimização e fornecimento a terceiros, por meio de transferência, comunicação, interconexão ou difusão", ou seja, todo o ciclo de vida do dado pessoal.
O reconhecimento notadamente ocorre quando da identificação dos ativos de dados pessoais tratados pela organização, devendo existir um controle efetivo desde a coleta, até o seu expurgo ou descarte, da mesma forma que trata o CPP ao dispor sobre a cadeia de custódia da prova.
Nessa seara, para uma gestão eficaz tanto desse ciclo de vida do dado dentro da organização quanto da criação de mecanismos de demonstração, faz-se necessário desenvolver essa cadeia, que permita tanto que os processos internos da empresa sejam gerenciados, como viabilize o exercício de direitos de titular (por exemplo, caso uma pessoa solicite o acesso aos dados pessoais tratados pela empresa) e também para eventuais defesa em investigações e processos administrativos e judiciais.
Existem outros pontos de contato entre as mencionadas legislações, como no artigo 158-A do CPP que dispõe que "o agente público que reconhecer um elemento como de potencial interesse a produção da prova pericial fica responsável por sua preservação". Na LGPD, no artigo 47, há a obrigatoriedade de todo aquele que intervir no tratamento de dados garanta a segurança em relação aos dados pessoais.
Outro exemplo é o artigo 37 da LGPD, que estabelece que "o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem", e, por sua vez, no artigo 158-E do CPP, se lê que "todas as pessoas que tiverem acesso ao vestígio armazenado deverão ser identificadas e deverão ser registradas a data e a hora do acesso". Isso tudo porque, sem o devido "registro histórico" do vestígio criminal, é quase impossível garantir a sua regularidade.
Assim, em razão das similaridades e pontos de contato traçadas entre os temas de proteção de dados pessoais e das especificidades e requisitos para cadeia de custódia em comento, é possível alavancar os conhecimentos acerca dos procedimentos da cadeia de custódia da prova para compreensão da necessidade de proteção de dados pessoais em todo o seu ciclo de vida.