Danilo Doneda
Ingo Wolfgang Sarlet
Laura Schertel Mendes
Otavio Luiz Rodrigues Júnior
A recente entrada em vigor da Lei Geral de Proteção de Dados (LGPD) é o ponto culminante de um processo de formulação e amadurecimento da matéria que remonta a pelo menos 15 anos, desde que sua estrutura começou a ser esboçada em meio às discussões sobre um padrão de proteção de dados para os países do Mercosul. Hoje, com primeira LGPD brasileira passando a integrar, ainda que não – por ora – de forma plena[1], o ordenamento jurídico pátrio, as atenções se voltam aos impactos da nova normativa e à sua necessária harmonização com os elementos da nossa ordem jurídica que não foram cunhados considerando a proteção aos dados pessoais como um direito fundamental e um parâmetro concreto.
É nesse contexto que ora inauguramos, com alegria e honra, este novo espaço no JOTA com a missão de fomentar e informar o debate sobre a implementação do novo marco normativo e do direito fundamental à proteção de dados no contexto jurídico-institucional brasileiro. Para tal, observaremos periodicidade quinzenal, com artigos da lavra dos titulares da coluna bem como de convidados, nacionais e estrangeiros, cuja contribuição seja relevante para os seus objetivos, abordando temas atuais, fornecendo elementos que permitam melhor contextualizar o debate e, ainda, lançando uma mirada para o futuro – pois a proteção de dados é tema essencialmente dinâmico, e o panorama de e hoje certamente não é o mesmo que teremos daqui a cinco ou dez anos.
Conforme havia observado o jurista Stefano Rodotà, a implementação da proteção de dados é um processo tanto jurídico-institucional quanto cultural. A LGPD chega em um momento intensamente afinado com inúmeras demandas de alta relevância, como a dos cidadãos por maior controle e transparência no uso de seus dados, com a consideração da proteção de dados como um direito autônomo e fundamental pelo Supremo Tribunal Federal (ADIs n. 6387, 6388, 6389, 6390 e 6393[2]), bem como no concernente à mudança de processos internos referentes ao tratamento de dados pessoais em diversas empresas e organizações. O momento é muito auspicioso para que o impacto da proteção de dados seja considerado, portanto, em todas estas instâncias. Há, ainda, outro elemento que alça a importância deste debate, que é a transversalidade da matéria: há impactos jurídicos, culturais ou sociais da proteção de dados em parte substancial das searas do direito, ressaltando a necessidade de entendimentos harmônicos até mesmo entre setores e realidades que estão bastante afastados entre si como condição essencial para que o cidadão tenha efetivo controle sobre seus dados. O “geral” na LGPD é um dos seus mais fortes atributos.
A LGPD proporciona, igualmente, uma lufada de modernidade no ordenamento jurídico pátrio, com a consolidação do reconhecimento dos interesses jurídicos nos dados pessoais e na necessidade de proteger o seu titular ao mesmo tempo em que se estabelecem regras para a sua utilização. A centralidade dos dados pessoais em diversos processos sociais e econômicos deixa claro que esta atualização, mais que uma opção, é imprescindível. Há, naturalmente, elementos que resistam à esta novidade e que não raro se fazer sentir em arranjos jurídico ou institucionais que insistem em paradigmas datados, questão que também será objeto desta coluna.
É justamente neste ponto que a interpretação e jurisprudência constitucional se apresentam como elemento de vanguarda, tão importante quanto a própria LGPD para assegurar que a proteção de dados goze de efetiva cidadania no sistema jurídico pátrio. Ponto de partida para qualquer análise que tenha a pretensão de ser constitucionalmente adequada, diz respeito à já referida consagração de um direito fundamental à proteção de dados pessoais como direito autônomo pelo STF, porquanto é à luz de tal direito, combinado com outros princípios e direitos fundamentais, que todo e qualquer ato do poder público e mesmo de agentes privados deverá ser compreendido e aplicado, o que também se aplica à LGPD.
A decisão do STF acima referida foi proferida no julgamento das ADIs n. 6387, 6388, 6389, 6390 e 6393 representa uma verdadeira evolução em relação à jurisprudência anterior do STF, expressa em julgados como o RE 418.416-8/SC, relator ministro Sepúlveda Pertence, 10.05.2006 e o HC 91.867/PA, relator ministro Gilmar Mendes, 24.04.2012. Isso porque a interpretação constitucional conferida foi a de que qualquer dado que leve à identificação de uma pessoa merece proteção constitucional. Nesse sentido, tem-se uma ampliação da tutela constitucional, podendo-se aplicar tal direito fundamental a uma multiplicidade de casos envolvendo a coleta, o processamento ou a transmissão de dados pessoais, em razão de não se ter um conteúdo fixo de garantia, nem limitá-lo apenas às informações pertencentes à esfera privada.[3]
Nos termos do voto do ministro Gilmar Mendes, Esse direito fundamental autônomo e com contornos próprios, seria extraído de uma: “[C]ompreensão integrada do texto constitucional lastreada (i) no direito fundamental à dignidade da pessoa humana, (ii) na concretização do compromisso permanente de renovação da força normativa da proteção constitucional à intimidade (art. 5º, inciso X, da CF/88) diante do espraiamento de novos riscos derivados do avanço tecnológico e ainda (iii) no reconhecimento da centralidade do Habeas Data enquanto instrumento de tutela material do direito à autodeterminação informativa. ”[4]
Nesse sentido, no que diz respeito à fundamentação constitucional de um direito fundamental autônomo à proteção de dados pessoais, observa-se, primeiramente que a Constituição Federal de 1988 garante a inviolabilidade da intimidade e da vida privada (art. 5.º, X, da CF), de onde se extrai uma proteção ao dados íntimos e privados. A proteção dos dados pessoais, por outro lado também encontra salvaguarda parcial e indireta mediante a previsão da ação de habeas data (art. 5.º, LXXII, da CF), ação constitucional, com status de direito-garantia fundamental autônomo, que precisamente busca assegurar ao indivíduo o conhecimento e mesmo a possibilidade de buscar a retificação de dados constantes de registros ou bancos de dados de entidades governamentais ou de caráter público, ao mesmo tempo em que se trata de uma garantia procedimental do exercício da autodeterminação informacional[5]. Afinal, se a Constituição prevê uma garantia processual referente dos dados pessoais, é de se inferir essa garantia existe para tornar efetivo um direito material, qual seja, o direito fundamental à proteção de dados pessoais.
Dessa forma – de acordo com o entendimento adotado pelo STF – o direito à proteção dos dados pessoais pode (e mesmo deve!) ser associado e reconduzido a alguns princípios e direitos fundamentais de caráter geral e especial, como é o caso do princípio da dignidade da pessoa humana, do direito fundamental (também implicitamente positivado) ao livre desenvolvimento da personalidade, bem como dos direitos especiais de personalidade mais relevantes no contexto, quais sejam – aqui nos termos da CF – os direitos à privacidade e à intimidade, ademais e com particular ênfase, o assim chamado direito à livre autodeterminação informativa.
Dada a sua relevância não apenas para a compreensão do conteúdo e alcance do direito fundamental à proteção de dados na CF, mas também para efeitos de seu diálogo com a legislação, jurisprudência e mesmo doutrina sobre o tema, importa sublinhar que diversos diplomas legais em vigor já dispõem sobre aspectos relevantes da proteção de dados, destacando-se aqui a Lei de Acesso à Informação (Lei 12.527/2011), o assim chamado Marco Civil da Internet (Lei 12.965/2014) e o respectivo Decreto que o regulamentou (Decreto 8.771/2016), e, mas especialmente, a nova Lei Geral de Proteção de Dados – LGPD, que finalmente entrou em vigor (18.09 p.p.), destacando-se que a sua parte sancionatória só venha a viger em 2021 e a Autoridade Nacional de Proteção de Dados ainda não tenha sido implementada e iniciado as suas atividades.
Assim, uma compreensão/interpretação/aplicação constitucionalmente adequada do direito fundamental à proteção de dados deverá sempre ser pautada por uma perspectiva sistemática, que esse direito não pode prescindir do diálogo e da interação (por vezes marcada por concorrências, tensões e colisões) com outros princípios e direitos fundamentais, que, dentre outros pontos a considerar, auxiliam a determinar o seu âmbito de proteção, inclusive mediante o estabelecimento de limites diretos e indiretos.
Assim, não se pode conceber o direito à proteção de dados de forma absoluta. Afinal, as informações pessoais integram a órbita de representação da pessoa no corpo social, o que demanda escolhas feitas em lei ou na Constituição, que demandem seu processamento ou sua exposição.
A limitação desse direito fundamental, no caso concreto, exige, (i) um fundamento constitucional, no sentido da promoção de um objetivo constitucionalmente legítimo, (ii) com a clareza necessária sobre a finalidade do tratamento de dados, para que se avalie o nível de intervenção no direito fundamental, (iii) que atenda às exigências do testde de proporcionalidade, quais sejam, a adeção, a necessidade e da proporcionalidade em sentido estrito (razoabilidade) da medida restritiva. Além disso, devem ser adotadas (iv) as providências preventivas mínimas de cunho procedimental e organizacional, orientadas à segurança dos cidadãos envolvidos e à diminuição dos riscos de danos a seus direitos da personalidade. Em verdade, quanto mais grave for essa restrição, mais contundentes devem ser as justificativas, os critérios e as precauções para tal fim, sob pena de se legitimar intervenções na vida privada em nome de fins genéricos ou necessidades coletivas abstratas.[6]
O que é de particular relevância no caso brasileiro – justamente pela existência, além da nova LGPD, de outras leis que versam sobre o tema – é ter sempre presente a necessidade de não apenas zelar pela consistência constitucional do marco normativo infraconstitucional no tocante aos diplomas legais isoladamente considerados, mas também de promover sua integração e harmonização produtiva, de modo a superar eventuais contradições e assegurar ao direito fundamental à proteção de dados, sua máxima eficácia e efetividade.
Isso quer dizer que todo e qualquer ato normativo e, de resto, todas as ações e omissões do poder público que estejam ou venham a estar em desconformidade com as exigências decorrentes da proteção constitucional dos dados pessoais na condição de direito fundamental são passíveis de serem controladas pelo Poder Judiciário, destaque para aquelas medidas que veiculem restrições constitucionalmente ilegítimas relativamente à proteção de dados pessoais.
Vale destacar que somente neste ano o STF já proferiu pelo menos quatro decisões relevantes que envolviam diretamente o tema da proteção de dados pessoais. Para além do caso do IBGE, o tema foi tratado na ADPF 695 (Caso Abin/Denatran), na ADI 656 (Cadastros de dependenets químicos) e na ADI 6.529 (Caso Sisbin). Nesse último caso, a Corte decidiu que os órgãos componentes do Sistema Brasileiro de Inteligência (Sisbin) somente podem fornecer dados e conhecimentos específicos à Agência Brasileira de Inteligência (Abin) quando for comprovado o interesse público da medida, afastando qualquer possibilidade desses dados atenderem a interesses pessoais ou privados.
Como se percebe, o tema da proteção de dados adentrou de vez a jurisprudência constitucional brasileira no ano de 2020, exatamente o ano em que se iniciou a vigência da LGPD. Coincidência ou não, fato é que isso trará inúmeros impactos para as atividades dos poderes Legislativo e Executivo, visto que os seus atos se vinculam diretamente ao controle de constitucionalidade e à interpretação das normas constitucionais. É de esperar, assim, que se ampliem os debates sobre os parâmetros constitucionais para a coleta, uso e compartilhamento de dados no Brasil nas mais diversas áreas jurídicas, como o direito penal, o direito civil e o direito trabalhista, entre outras.
É na perspectiva desse novo marco constitucional e legal da proteção de dados pessoais no Brasil, sempre em sintonia e com um olhar voltado para o direito internacional dos direitos humanos e os desenvolvimentos no âmbito do direito estrangeiro, que este espaço será dedicado à apresentação e discussão dos inúmeros temas e problemas, ademais dos desafios e perspectivas relacionados à proteção dos dados pessoais.
O episódio 48 do podcast Sem Precedentes faz uma análise sobre a atuação do Supremo Tribunal Federal (STF) em 2020 e mostra o que esperar em 2021. Ouça:
[1] Note-se que a parte LGPD relativa às sanções teve sua entrada em vigor postergada para maio de 2021 e a ANPD ainda não está em atividade.
[2] Nos dias 6 e 7 de maio de 2020, o Supremo Tribunal Federal (STF) proferiu uma decisão histórica para o desenvolvimento da disciplina jurídica relativa à proteção de dados pessoais no Brasil. Com a impressionante maioria de 10 votos favoráveis, o Plenário da Suprema Corte referendou a Medida Cautelar concedida pela Ministra Rosa Weber, relatora das Ações Diretas de Inconstitucionalidade (ADIs) n. 6387, 6388, 6389, 6390 e 6393. Desse modo, o Tribunal suspendeu a eficácia da Medida Provisória n. 954/2020 que, em seu art. 2°, caput, determinava que empresas de telecomunicações compartilhassem nome, número de telefone e o endereço de seus consumidores de telefonia móvel e fixa com o Instituto Brasileiro de Geografia e Estatística (IBGE).
[3] ALBERS, Marion. Informationelle Selbstbestimmung. Baden-Baden: Nomos, 2005, p. 212; SCHLINK, Bernhard. Die Amtshilfe: Ein Beitrag zu einer Lehre von der Gewaltenteilung in der Verwaltung. Berlim, 1982, pp. 192 ss.
[4].Voto disponível em: https://www.conjur.com.br/dl/pandemia-reforca-necessidade-protecao.pdf Acesso: 19 de maio de 2020.
[5] MENDES, Laura Schertel. Habeas Data e autodeterminação informativa: dois lados da mesma moeda. Revista Direitos Fundamentais & Justiça, a. 12, n. 39, p. 185-216, jul./dez. 2018.
[6] Para uma visão mais detalhada dessa discussão, vide MENDES, Laura Schertel. Habeas Data e Autodeterminação Informativa: os dois lados da mesma moeda. Direitos Fundamentais & Justiça, Belo Horizonte, ano 12, n. 39, p. 185-216, jul./dez. 2018, p. 204-213.