Onde estamos

Al. Joaquim Eugênio de Lima, 680 - 1º andar - Jardim Paulista, São Paulo - SP

Entre em contato
 
“QUEM NÃO TEM CONDIÇÕES DE AVALIAR, COM RAZOÁVEL SEGURANÇA, QUAIS INFORMAÇÕES SOBRE SUA PESSOA SÃO CONHECIDAS, E QUEM NÃO PODE COMPREENDER, RAZOAVELMENTE, QUE UM POTENCIAL INTERLOCUTOR TENHA DADOS DA SUA PESSOA, PODE TER SUA LIBERDADE DE AUTODETERMINAÇÃO CONSIDERAVELMENTE TOLHIDA”
Não, referida passagem não guarda qualquer relação com o julgamento ocorrido ontem (07/05/20) na Suprema Corte do Brasil, mas sim com o Volkszählungsurteil (Julgamento do Censo – BvR 209/83), de 15.12.1983, ocorrido no Tribunal Constitucional Federal da Alemanha, um dos países pioneiros a apresentar alto grau de respeito jurídico à proteção de dados pessoais, que alcançou notória evidência quando referida decisão julgou parcialmente constitucional uma lei federal para a realização de censo demográfico no país, diante da coleta excessiva de dados que seria realizada em um contexto de perigo de um “Estado espião”, oriundo das previsões do livro 1984, de George Orwell.
 
Referida decisão foi paradigmática, inclusive internacionalmente, pois estabeleceu um marco mundial da proteção de dados pessoais, consagrando o conceito, ora fundamento da Lei Geral de Proteção de Dados (LGPD), da autodeterminação informativa.
Passados mais de 35 anos do julgamento em questão, na Alemanha,
certamente presenciamos ontem no STF um marco histórico no Brasil em termos de proteção de dados pessoais,
no julgamento de cinco Ações Diretas de Inconstitucionalidade (ADIs), em que o Plenário da Suprema Corte suspendeu a eficácia da Medida Provisória (MP) 954/2020, que prevê o compartilhamento de dados de usuários de telecomunicações com o IBGE para a produção de estatística oficial durante a pandemia do novo coronavírus (decisão por 10 votos x 1 voto).
 
Uma Medida Provisória contendo tão somente cinco artigos, recebeu 344 propostas de emendas, bem como motivou as mencionadas cinco ADIs, sob alegação de violação ao art. 5, incisos X (vida privada e intimidade), XII (comunicação de dados) e LXXII (habeas data) da CF. a ponto da Min. Rosa Weber, relatora do processo, na liminar deferida, consignar que:
As condições em que se dá a manipulação de dados pessoais digitalizados, por agentes públicos ou privados, consiste em um dos maiores desafios contemporâneos do direito à privacidade. 
 
E de fato, está corretíssima a Min. Rosa Weber em seu apontamento: Direitos fundamentais, como o da intimidade e da vida privada, ganharam maior necessidade de proteção legal, como por meio da LGPD, ainda sem sua eficácia plena, assim como da General Data Protection Regulation (GDPR), norma da União Europeia que inspirou a legislação brasileira, diante da quantidade avassaladora de dados coletados na era digital e do elevado grau de organização e inteligência empregado sobre eles (quantitativo e qualitativo), viabilizando análises valorativas, não apenas pelo Estado sobre os cidadãos, mas também por empresas privadas.
 
Tudo em razão da atual capacidade computacional de processamento, que não só viabiliza, mas também acelera a possibilidade de coleta, armazenamento, tratamento e compartilhamento de dados, em um período contemporâneo marcado pelo trinômio Big Data, Internet das Coisas e Inteligência Artificial, no qual máquinas trocam informações e comandos entre si, permitindo a execução de ações automáticas e atingindo diversos setores da economia e políticas públicas.
 
A leitura dos Considerandos 6 e 7, do GDPR, são bastante úteis ao tema, pois creditam a exigência de um quadro de proteção de dados mais sólido e coerente, diante da rápida evolução tecnológica e da globalização, que permitem às empresas privadas e às entidades públicas a utilização de dados pessoais numa escala sem precedentes no exercício das suas atividades, transformando a economia e a vida social.
 
Assim, a LGPD busca a proteção de direitos e garantias fundamentais da pessoa natural, equilibradamente, mediante a harmonização e atualização de conceitos de modo a mitigar riscos e estabelecer regras bem definidas sobre o tratamento de dados pessoais.
 
Mas, voltemos ao histórico julgamento do STF:
 
A MP 954/20
 
  • Objetivo: compartilhamento de dados por empresas de telecomunicações prestadoras do Serviço Telefônico Fixo Comutado – STFC e do Serviço Móvel Pessoal – SMP com a Fundação Instituto Brasileiro de Geografia e Estatística – IBGE.
  • Prazo: durante a situação de emergência de saúde pública de importância internacional decorrente do coronavírus, de que trata a Lei nº 13.979, de 6 de fevereiro de 2020.
  • Espécies de dados envolvidos: disponibilizar à Fundação IBGE, em meio eletrônico, a relação dos nomes, dos números de telefone e dos endereços de seus consumidores, pessoas físicas ou jurídicas.
  • Finalidade: exclusivamente pelo IBGE para a produção estatística oficial, com o objetivo de realizar entrevistas em caráter não presencial no âmbito de pesquisas domiciliares.
  • Limitações: vedação ao IBGE em disponibilizar os dados a quaisquer empresas públicas ou privadas ou a órgãos ou entidades da administração pública direta ou indireta de quaisquer dos entes federativos.
  • Medidas de transparência e segurança: o IBGE deve informar, em seu sítio eletrônico, as situações em que os dados foram utilizados e divulgará relatório de impacto à proteção de dados pessoais, nos termos da LGPD. Superada a situação de emergência de saúde pública do COVID-19, os dados serão eliminados.
Assim, é inegável:
  1. Que a produção de pesquisas estatísticas seriam aptas a ensejar uma MP, atendendo aos requisitos de relevância e urgência diante da criticidade da pandemia existente no país;
  2. A credibilidade do IBGE no exercício da sua competência constitucional de realização de estatísticas oficiais (art. 21, inciso XV, da CF).
 
OS VÍCIOS DA MP
 
“O livre desenvolvimento da personalidade pressupõe, sob as modernas condições do processamento de dados, a proteção do indivíduo contra levantamento, armazenagem, uso e transmissão irrestritos de seus dados pessoais (…)  Uma ordem social e uma ordem jurídica que a sustente, nas quais cidadãos não sabem mais quem, o que, quando, e em que ocasião se sabe sobre eles, não seriam mais compatíveis com o direito de autodeterminação na informação” Volkszählungsurteil (Julgamento do Censo – BvR 209/83)
As ADIs foram propostas basicamente por violação da MP aos artigos 1º, inciso III, e 5º, incisos X e XII da Constituição Federal, os quais asseguram, respectivamente, a dignidade da pessoa humana; a inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas; e o sigilo dos dados, englobando também a autodeterminação informativa.
 
Portanto, o ponto nevrálgico da discussão, é o direito à autodeterminação informativa, pois ”não existem mais dados insignificantes no contexto do processamento eletrônico de dados” (Julgamento do Censo alemão), garantindo ao titular (o indivíduo) o papel de protagonista em relação ao tratamento dos seus respectivos dados.
 
1) FINALIDADE?
Conforme descrito anteriormente, a finalidade do tratamento apontada na questionada MP se resume a “produção estatística oficial”, no entanto não esclarece a norma quais e que tipo de pesquisas serão realizadas, tão pouco como que as pesquisas realizadas contribuiriam com o combate à pandemia. Ainda, eventual pesquisa realizada nesse período teria tempo hábil para combater o COVID-19?
Portanto, o primeiro vício apontado é a falta de precisão da finalidade do tratamento dos dados almejados.
 
2) PROPORCIONALIDADE?
O tratamento de dados pessoais deverá ser limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades precisamente previstas.
Seriam disponibilizados dados de todos os brasileiros que tem acesso a telefonia móvel e fixa (mais de 200 milhões), com o objetivo de realizar entrevistas em caráter não presencial, parecendo ser desproporcional o eventual benefício de um censo a ser realizado por amostra domiciliar se comparado ao volume de dados requeridos.
Ainda, como muito bem lembrou Laura Schertel, em recente artigo, tal questão contraria o Regulamento Sanitário Internacional da OMS, incorporado pelo Decreto n. 10.212/ 2020, que determina que não devem existir “processamentos [de dados] desnecessários e incompatíveis”, com o propósito de “avaliação e manejo de um risco para a saúde pública” (art.45, 2, “a”).
 
3) SEGURANÇA?
A MP prevê que o IBGE divulgará relatório de impacto à proteção de dados pessoais (RIPD), nos termos da LGPD.
O RIPD está previsto no art. 5º, inc. XVII, da LGPD, como documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação dos riscos. 
Assim, em conjunto com outras medidas, o RIPD daria efetividade a diversos princípios da LGPD, especialmente sobre a necessidade do agente de tratamento: (i) adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de violações, sejam elas acidentais ou dolosas; (ii) adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; e a (iii) demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais. Inclusive, da eficácia dessas medidas, que devem ser adotadas desde a fase de concepção do projeto que envolva o tratamento de dados pessoais até a sua execução.
Ou seja, a falha aqui é prever o RIPD após o compartilhamento e potencial uso dos dados e não previamente, o que impede a potencial avaliação e mitigação de todos os riscos elencados.
Interessante notar que no GDPR (Art. 35(9)) há previsão do agente de tratamento solicitar a opinião dos titulares de dados sobre o tratamento previsto, sem prejuízo da defesa dos interesses públicos ou da segurança das operações de tratamento.
 
DA IMPORTÂNCIA HISTÓRICA DO JULGAMENTO
Se a LGPD já estivesse em vigor e a Autoridade Nacional de Proteção de Dados (ANPD) em plena atividade, fatalmente o nível de maturidade para a edição de normas, como a MP em questão, seria maior, de forma que potencialmente elas já nasceriam em conformidade com os preceitos constitucionais e legais de proteção de dados (normas privacy by design).
Bastariam observar alguns dos importantes artigos da LGPD, como:
  • Art. 2º , II – fundamento da autodeterminação informativa;
  • Art. 6º – princípios: finalidade; adequação: necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; e responsabilização e prestação de contas;
  • Arts. 15 e 16 – término do tratamento e eliminação dos dados pessoais: verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; ou fim do período de tratamento;
  • Art. 23, I – informação das hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
  • Art. 32. A ANPD poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.
Além da eficácia plena da LGPD e de uma ANPD forte, técnica e independente atuando, também é de suma relevância a aprovação da Proposta de Emenda Constitucional 17/2019, que altera a CF para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.
Isso porque proteção de dados pessoais é muito mais do que apenas um desdobramento do direito à intimidade e à privacidade, mormente na era digital, conforme mencionado anteriormente. Seria garantido um tratamento diferenciado ao tema, tornando-o praticamente imutável.
Porém, enquanto tudo isso não é realidade no contexto jurídico brasileiro, o julgamento do STF em questão, certamente será um marco paradigmático em nosso país, com efeitos contundentes e positivos, como o Julgamento do Censo foi para a Alemanha.
Dos votos dos ministros da nossa Suprema Corte é possível extrair que o futuro Acórdão será uma verdadeira Carta Magna em termos de proteção de dados pessoais.
Vejamos alguns deles (fonte: migalhas):
  • A relatora, ministra Rosa Weber, ressaltou a generalidade da norma, já que a MP não definiu apropriadamente “como” e “para que” seriam utilizados os dados coletados: “Ao não definir apropriadamente como e para que serão utilizados os dados coletados, a norma não oferece condições para a avaliação da sua adequação e necessidade. Desatende, assim, a garantia do devido processo legal.”
 
  • O Min. Alexandre de Moraes ressaltou que apesar da vida privada e do sigilo de dados não são direitos absolutos, a MP não contem parâmetros constitucionais de “adequação”, “razoabilidade” e “proporcionalidade”;
  • O Min. Edson Fachin entendeu que a situação de emergência do COVID-19 não pode gerar um regime de incompatibilidade com a previsão de proteção dos dados, ressaltando que a MP intervém “fortemente” na esfera da vida privada dos indivíduos e que tal intervenção poderia ser razoável mediante o reforço de garantias procedimentais;
  • O Min. Luís Roberto Barroso reconheceu o “enorme risco” envolvendo o sigilo de dados, com a crescente das milíciais digitais e do hackamento de sistemas, bem como que a MP precisaria de um debate público mais amplo. Ainda, que a norma está em curso e sujeita à apreciação do Congresso, podendo ser aperfeiçoada posteriormente;
  • O Min. Luis Fux também entendeu pela generalidade da MP em contraposição com a previsão constitucional de direito fundamental para a proteção de dados pessoais. Que a medida está na contramão da norma da OMS, a qual destacou que não se deve pleitear dados desnecessários durante a pandemia. Que a MP ultrapassa todos os limites fixados sobre a proteção de dados;
  • O Min. Gilmar Mendes, citando o livro “21 lições para o Século XXI”, do historiador Yuval Harari, ressaltou que a problemática em debate não se trata apenas de se ter acesso aos dados, mas, sim, a enorme possibilidade da manipulação das informações dos cidadãos. Afirmou que a norma é “altamente deficitária” nas salvaguardas mínimas das proteções constitucionais;
  • A Min. Cármen Lúcia frisou que não é sob a desculpa da pandemia que se vai abrir mão de garantias constitucionais, ao afirmar que a medida provisória vai além;
  • A única divergência foi do Min. Marco Aurélio, ao considerar que é a sociedade quem perde com a impossibilidade de o IBGE realizar uma pesquisa para o implemento de políticas públicas durante uma pandemia, pois os dados seriam usados exclusivamente pelo IBGE com o objetivo de realizar entrevistas por telefone para fins de pesquisa: “O IBGE não vai interceptar”, afirmou.
A esperança é que o referido julgamento desperte no legislativo e no executivo um olhar mais cuidadoso para o tema, visando que tenhamos a aprovação da PEC 17, a constituição da ANPD e a eficácia plena da LGPD, o que certamente trará ainda mais segurança jurídica para entidades públicas e privadas, além de proteção adicional ao indivíduo.
Enquanto isso não ocorre, felizmente o STF demonstra estar atento, nos brindando com esse importante julgamento.
Com a palavra final, o Min. Lewandowski:
“O maior perigo para a democracia nos dias atuais não é mais representado por golpes de Estado tradicionais, perpetrados com fuzis, tanques ou canhões, mas agora pelo progressivo controle da vida privada dos cidadãos, levado a efeito por governos de distintos matizes ideológicos, mediante a coleta maciça e indiscriminada de informações pessoais, incluindo, de maneira crescente, o reconhecimento facial.”
 
*Rony Vainzof é sócio do Opice Blum, Bruno, Abrusio e Vainzof Advogados, advogado, professor e árbitro especializado em Direito Digital e Proteção de Dados desde 2004.
Share: