Proteção de Dados Pessoais no Brasil e na Europa

Diariamente, cerca de 700 mil pessoas passam por certas estações de metrô em São Paulo tendo seus rostos filmados por câmeras que “adivinham” suas emoções, classificando os passageiros como “adulto feliz”, “jovem triste”, “mulher com raiva”, entre outros rótulos. O objetivo dessa iniciativa, intitulada Portas Digitais, consiste declaradamente em categorizar os usuários para exibir publicidade dirigida ao seu específico estado emocional. “E quase não tem como escapar”, pois, como o nome indica, as câmeras ficam bem nas portas dos vagões.[1]

A proteção dos dados pessoais é certamente um dos mais sensíveis desafios que o direito contemporâneo enfrenta em decorrência do extraordinário avanço tecnológico verificado nas últimas décadas. No Brasil, a proteção de dados pessoais encontra seu fundamento normativo na Constituição da República, que proclama no inciso X do artigo 5º a inviolabilidade da intimidade e da vida privada. Doutrina e jurisprudência reconhecem que o direito à privacidade abrange, hoje, não apenas a proteção à vida íntima do indivíduo, mas também a proteção de seus dados pessoais, alcançando qualquer ambiente onde circulem dados do seu titular, sendo certo que tais dados, longe de representarem “informações sem dono” livremente coletáveis na internet, exprimem uma abrangente projeção da personalidade humana, exigindo firme proteção da ordem jurídica.

Até o mês passado, o direito à proteção de dados pessoais encontrava uma tutela meramente reflexa em nossa legislação, sendo tangenciado por leis esparsas, como o Marco Civil da Internet (Lei nº 12.965/2014, que prevê a proteção de dados pessoais como um de seus princípios no artigo 3º, III, mas pouco detalha sobre o tema nos artigos 7º, VII a X, e 10 a 12), o Código de Defesa do Consumidor (Lei nº 8.078/1990, que traz regras específicas sobre bancos de dados e cadastros de consumidores nos artigos 43 e 44) e a Lei do Habeas Data (Lei nº 9.507/1997). O artigo 21 do Código Civil, embora também verse sobre a proteção da privacidade, representa a rigor uma inútil duplicação do que já afirma a própria Constituição. Diante da insuficiência destas disposições, os esforços para a construção sistemática de um direito à proteção de dados pessoais, dotado de uma lógica própria e funcionalizado à tutela da pessoa humana, recaíram sobre a doutrina, merecendo destaque a obra precursora de Danilo Doneda, Da Privacidade à Proteção de Dados Pessoais, Rio de Janeiro: Renovar, 2006 e o livro instigante de Laura Schertel Mendes, Privacidade, Proteção de Dados e Defesa do Consumidor, São Paulo: Saraiva, 2014.

Tais esforços, associados a uma bem-sucedida estratégia de articulação política, conduziram à sanção da Lei n. 13.709/2018, a Lei Brasileira de Proteção de Dados Pessoais. Ao longo de 2018, uma confluência de fatores, entre eles o escândalo de vazamento de dados envolvendo o Facebook e a Cambridge Analytica, impulsionou o andamento de diversos projetos de lei sobre dados pessoais que tramitavam lentamente no Congresso Nacional, já há alguns anos. Na Câmara dos Deputados, foi possível alcançar algum consenso entre diversos atores sociais envolvidos na matéria (pesquisadores, empresários e representantes da sociedade civil), logrando-se aprovar o Projeto de Lei nº 4.060/2012, que passou, sem alterações, pelo Senado Federal, e acabou sancionado pelo Presidente Michel Temer no último dia 14 de agosto. O texto tem sido merecidamente elogiado pela comunidade científica, representando um importante avanço do Brasil na proteção dos direitos fundamentais de seus cidadãos.

Poucos meses antes, em 25 de maio de 2018, entrara em vigor o Regulamento Geral de Proteção de Dados da União Europeia, mais conhecido como GDPR (General Data Protection Regulation), a mais importante normativa sobre o tema da proteção de dados no mundo. Aprovado pelo Parlamento Europeu em 2016 para substituir a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados), o novo Regulamento manteve-se fiel à tradição europeia de efetiva preocupação com a questão da privacidade e da proteção de dados, significando não uma ruptura com o sistema anterior, mas sim seu aprofundamento. Embora aplicável formalmente apenas no âmbito da União Europeia, a regra tem, na prática, alcance mundial, em razão da integração global típica da internet e da relevância do bloco europeu no contexto econômico internacional.

A Lei Brasileira de Proteção de Dados é marcadamente influenciada pelo GDPR. A diferença mais evidente entre os dois conjuntos de normas é o grau de detalhamento: enquanto o Regulamento europeu possui 99 artigos que disciplinam os mais diversos aspectos do tratamento de dados pessoais de modo minucioso, nossa lei conta com 65 artigos (alguns deles inteiramente vetados), muito mais “enxutos”. Longe de evidenciar qualquer defeito, esta distinção se explica pela diferença de contextos e experiências. Com efeito, o problema da proteção de dados é objeto de atenção pelos países europeus há décadas, já tendo sido inclusive tratado em legislações anteriores, enquanto no Brasil ainda estamos dando os primeiros passos na matéria. Além disso, o GDPR é um regulamento comunitário, destinado a viger em países com diferentes sistemas e tradições jurídicas, o que sem dúvida requer um regramento mais cuidadoso. Abstraída a verticalidade da disciplina, a proximidade entre as normas é inegável, sendo oportuna a análise de alguns pontos mais importantes.

A Lei n. 13.709 consagra como princípios da proteção de dados os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas (art. 6º), diretrizes que, de um modo geral, também norteiam o Regulamento europeu. O que se exige, em apertadíssima síntese, é que o tratamento de dados seja realizado sempre para propósitos consentâneos com a ordem jurídica, que o uso dos dados exigidos sejam circunscritos a estas finalidades e que o tratamento se dê de modo seguro e transparente. Outra convergência tem-se na proteção especial dispensada aos chamados dados sensíveis, ou seja, aquelas informações relacionadas aos aspectos mais íntimos da pessoa humana. Nessa esteira, assim como o GDPR (art. 9º), nossa lei condiciona o tratamento destes dados a uma manifestação específica e destacada de consentimento pelo titular, vinculado a finalidades específicas, dispensando-se tal consentimento apenas em hipóteses pontuais, como nos casos em que se provar indispensável à “tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias” ou à “realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis” (art. 11).

Quanto à proteção especial concedida às crianças, nosso projeto possui uma discrepância significativa em relação à norma europeia. O GDPR afirma que o tratamento de dados de crianças menores de 16 anos apenas será lícito com a autorização dos titulares das responsabilidades parentais, abrindo a possibilidade de que os Estados-Membros fixem uma idade inferior, desde que não ultrapassem o limite de 13 anos (art. 8º). O artigo 14 da Lei n. 13.709, embora determine que o tratamento de dados de crianças e adolescentes deva sempre ser feito em seu melhor interesse, limita, em seu §1º, às crianças (ou seja, pessoas com até 12 anos de idade incompletos, segundo o ECA) a exigência de que o tratamento seja autorizado por pelo menos um dos pais ou responsável legal. Sobre o tema, impõe-se recordar que a distinção entre crianças e adolescentes constante do ECA se dá justamente em razão do reconhecimento de uma gradativa aquisição de autonomia por parte da pessoa. Se, por um lado, a idade de 12 anos pode parecer muito baixa, desprotegendo jovens de 13 e 14 anos, talvez, por outro lado, seja irreal pensar que a coleta de dados de adolescentes de 17 anos se submeta ao consentimento dos pais. Daí a eleição pela norma europeia de um marco de 16 anos – exemplo que poderia ter sido seguido pelo legislador brasileiro.

Questão que causou alguma polêmica foi a positivação, no GDPR, do chamado “direito a ser esquecido”, alcunha conferida pelo próprio Regulamento ao direito ao apagamento de dados pessoais (art. 17). O GDPR impõe ao responsável pelo tratamento de dados pessoais o dever de apagar tais dados em algumas hipóteses, como quando estes deixam de ser necessários para a finalidade que motivou seu recolhimento, quando o consentimento para o tratamento é retirado ou, ainda, quando os dados forem tratados ilicitamente, por exemplo. A lei brasileira não emprega a mesma nomenclatura, mas também determina a exclusão dos dados após o término do tratamento, o que pode ocorrer quando os dados deixarem de ser necessários ou pertinentes ao alcance da finalidade específica almejada ou pelo exercício do direito de revogação do consentimento (arts. 15 e 16). Tais hipóteses, a rigor, não configuram consagrações legais do que se tem denominado direito ao esquecimento, que, apesar do nome, deve ser compreendido de modo mais estrito, como o direito de cada pessoa humana de se opor à recordação opressiva de determinados fatos perante a sociedade, que lhe impeça de desenvolver plenamente sua identidade pessoal, por enfatizar perante terceiros aspectos de sua personalidade que não mais refletem a realidade.[2] Ainda assim, não se deve ignorar a influência que a principiologia da Lei  13.709 pode vir a exercer sobre o debate atualmente instaurado nesse campo, especialmente no que toca a motores de busca.

Há que se registrar que a Lei n. 13.709 foi objeto de alguns vetos, merecedores de mais detida análise. O mais significativo deles, sem dúvida alguma, foi aquele aposto à criação da Autoridade Nacional de Proteção de Dados, agência reguladora que teria a atribuição precípua de zelar pela proteção dos dados pessoais. A razão do veto foi vício de iniciativa: uma lei de iniciativa parlamentar, ao criar tal Autoridade, feriria tecnicamente os arts. 2º e 61, §1º, II, da Constituição. O alegado vício poderia ter sido contornado de diferentes formas e a criação de uma Autoridade Nacional de Proteção de Dados pode, ainda, vir a ser objeto de um novo projeto de lei específico de iniciativa do Poder Executivo. O importante é não cair no equívoco de aprovar uma lei importante para a proteção de dados sem que haja alguém encarregado de fiscalizar seu cumprimento e sanar dúvidas sobre sua aplicação, tendo em vista a alta especialidade da matéria. A experiência de outros países mostra, ainda, que a autonomia e independência da Autoridade Fiscalizadora afigura-se indispensável, pois o Poder Público, não raro, é um dos grandes violadores da privacidade dos cidadãos. Daí o equívoco, a meu ver, de propostas que já começam a ser discutidas no Brasil para atribuir tal poder de fiscalização a órgãos de segurança que integram o Poder Executivo Federal.

O direito à privacidade encontrava-se, no Brasil, em uma espécie de hiato. Após o promissor tratamento dispensado ao tema pelo Constituição em 1988, fixando bases sólidas para sua proteção na realidade brasileira, a privacidade acabou sendo relegada a segundo plano pelo legislador ordinário. Paralelamente a isso, a extraordinária evolução tecnológica evidencia, de modo quase paradoxal, que a privacidade nunca esteve sob tanta ameaça. Merece aplausos, portanto, a aprovação da Lei de Proteção de Dados Pessoais, reafirmando o compromisso do Brasil com a realização do projeto constitucional e aproximando nosso país das melhores experiências internacionais em matéria de proteção de dados pessoais, sendo, contudo, urgente a efetiva criação de uma Autoridade de Proteção de Dados, para que todo o esforço que resultou na nova lei não acaba se mostrando pouco efetivo na transformação da realidade brasileira e na criação de uma verdadeira cultura da privacidade, que tanto nos faz falta.

Fonte: Carta Forense