O STF e a proteção dos dados pessoais

Sabe-se que mesmo já na metade da terceira década do século 21 ainda existem estados constitucionais onde um direito fundamental à proteção de dados não é reconhecido, pelo menos na condição de direito expressamente positivado na Constituição, muito embora tal direito seja, em vários casos, tido como implicitamente positivado, sem prejuízo de uma mais ou menos ampla regulação legislativa e administrativa, ademais de significativo desenvolvimento na esfera jurisprudencial.

No caso do Brasil, foi apenas em maio de 2020 que um direito fundamental autônomo e implicitamente positivado à proteção de dados pessoais foi reconhecido pelo STF (Supremo Tribunal Federal), em paradigmática decisão proferida pelo Plenário, chancelando provimento monocrático, em sede de liminar, da ministra Rosa Weber no bojo da ADI 6.387 MC-Ref/DF (julgada juntamente com as ADI’s 6.388, 6.389, 6.390 e 6.393).

Naquela ocasião, à míngua, ainda, da expressa previsão de tal direito, pelo menos na condição de direito fundamental explicitamente positivado no texto da CF, e a exemplo do que ocorreu em outras ordens constitucionais, o direito à proteção dos dados pessoais pode (e mesmo deve!) ser associado e reconduzido — exatamente como o fez o STF — a alguns princípios e direitos fundamentais de caráter geral e especial, como é o caso do princípio da dignidade da pessoa humana, do direito fundamental (também implicitamente positivado) ao livre desenvolvimento da personalidade, do direito geral de liberdade, bem como dos direitos especiais de personalidade mais relevantes no contexto, quais sejam — aqui nos termos da CF — os direitos à privacidade e à intimidade, e um direito à livre disposição sobre os dados pessoais, o assim designado direito à livre autodeterminação informativa.

Na sequência, em fevereiro de 2022, foi promulgada a Emenda Constitucional nº 15, que incorporou um direito fundamental à proteção de dados pessoais ao texto constitucional, designadamente, inserindo um novo inciso (LXXIX) no artigo 5º da CF, de acordo com o qual “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.

Com isso, o poder de reforma constitucional acabou chancelando a prévia decisão do STF, assegurando ao então ainda “novo” direito fundamental, a fruição, em sua plenitude, do regime jurídico reforçado assegurado aos demais direitos fundamentais, em especial, a sua condição de “cláusula pétrea”, a aplicabilidade imediata das normas que o definem, a vinculação direta e isenta de lacunas de todos os atores estatais e a proteção qualificada contra intervenções restritivas.

Sem que se vá aqui discutir em nível de detalhe o pioneiro julgado de maio de 2020, o fato é que, independentemente da inexistência de completo consenso sobre a sua integral correção (v.g., quanto ao adequado manejo, no caso, do princípio da proporcionalidade), no que diz respeito ao reconhecimento em si de um direito fundamental autônomo à proteção de dados pessoais, a decisão do STF foi merecidamente saudada e louvada no meio jurídico.

Assim, num certo sentido, para além dos pleitos de há muito esgrimidos em sede doutrinária (recorde-se aqui, dentre outras, as pioneiras e qualificadas contribuições do saudoso Danilo Doneda e de Laura Mendes) e do significativo e também determinante fato de que a EC 115 resultou de PEC do ano 2019, é possível afirmar que o STF foi o “criador” do direito fundamental à proteção de dados pessoais no Brasil.

Casos concretos

De lá para cá não foram poucas as ocasiões nas quais o STF voltou a se pronunciar sobre a matéria. Não sendo o caso de inventariar todas, seguem alguns exemplos.

Quando do julgamento, em 16.09.2020, da ADPF 509, relatoria do ministro Marco Aurélio, em se tratava, ao fim e ao cabo, da solução do embate entre o direito de acesso à informação e a proteção de dados, o STF reconheceu a constitucionalidade da chamada “lista suja” do trabalho escravo, uma vez que os autos de infração de auditores fiscais são públicos, conferindo publicidade às decisões definitivas, com a finalidade de garantir o acesso à informação sobre as políticas de combate ao trabalho escravo, não sendo de natureza sancionatória a publicidade de atos administrativos de inequívoco interesse público.+

Noutro caso apreciado pela Suprema Corte brasileira, Rcl 48.529 AgR, rel. min. Ricardo Lewandowski, julgado em 09.10.2021, a questão de fundo estava ligada ao vazamento de dados da Secretaria de Gestão do Trabalho e da Educação na Saúde, investigada na CPI da Pandemia de Covid-19. De acordo com a tese esgrimida na reclamação, teria ocorrido violação do disposto no MS 37.963/DF, no qual se decidiu sobre a necessidade de, nos casos de quebra de sigilo, ser preservada a confidencialidade do material para o grande público, protegendo-se os dados coletados.

No caso ora referido, contudo (Rcl. 48.529 AgR), o relator, que votou acompanhado dos demais integrantes da Segunda Turma, sublinhou o fato de que os documentos que vieram a público não têm caráter privado, pelo fato de terem relação com suposta violação, pela reclamante, de seus deveres éticos e profissionais.

Em 23/2/2023, quando do julgamento da ADC 51, relatoria do ministro Gilmar Mendes, o STF decidiu que autoridades brasileiras podem solicitar dados diretamente aos provedores de internet sediados no exterior para a elucidação de investigações criminais, se essas empresas operarem no Brasil. Conforme a Suprema Corte, tal requisição está prevista no artigo 11 do Marco Civil da Internet e no artigo 18 da Convenção de Budapeste. A decisão inclui também a comunicação aos poderes Executivo e Legislativo sobre a necessidade de aprovação de uma LGPD Penal e de novos acordos de cooperação para regular a obtenção de conteúdo eletrônico.

Outro julgamento importante ocorreu em 13 abril de 2023, no julgamento da ADI 5.545, relatoria do ministro Luiz Fux, o STF invalidou a coleta compulsória de material genético no momento do parto para alimentar banco genético com informações de mães e bebês. A lei do RJ, declarada inconstitucional, previa ainda que os dados cadastrados deveriam ficar à disposição da Justiça para serem utilizados em caso de eventual troca de bebês. Para a Corte, dados genéticos são considerados sensíveis e estão sujeitos à guarda mais cuidadosa, com rígido protocolo de segurança e privacidade.

Noutra decisão envolvendo a proteção de dados pessoais, desta feita de 6/2/2024, a 2ª Turma do STF, no âmbito do HC 222.141, relatoria do ministro Ricardo Lewandowski, anulou provas obtidas sem autorização judicial a partir de dados preservados em contas da internet, que não podem ser utilizadas em investigação criminal, ademais de considerar indevido o acesso ao conteúdo telemático de pessoa investigada relativamente a alegadas irregularidades no Departamento Estadual de Trânsito do Paraná.

Tema de extrema relevância, é o do compartilhamento de dados pessoais e os seus limites. Nesse sentido, não há como deixar de referir o julgamento do mérito da ADI 6.529, rel. ministra Cármen Lúcia, j. em 11/10/2021. De acordo com trecho da ementa do Acórdão, aqui transcrita, a ADI foi julgada parcialmente procedente para, “confirmando-se o julgado cautelar, dar interpretação conforme ao parágrafo único do artigo 4º da Lei nº 9.883/1999 estabelecendo-se que:

a) os órgãos componentes do Sistema Brasileiro de Inteligência somente podem fornecer dados e conhecimentos específicos à Abin quando comprovado o interesse público da medida, afastada qualquer possibilidade de o fornecimento desses dados atender a interesses pessoais ou privados;
b) qualquer solicitação de dados deverá ser devidamente motivada para eventual controle de legalidade pelo Poder Judiciário;
c) mesmo presente interesse público, os dados referentes às comunicações telefônicas ou dados sujeitos à reserva de jurisdição não podem ser compartilhados na forma do dispositivo legal, decorrente do imperativo de respeito aos direitos fundamentais;
d) nas hipóteses cabíveis de fornecimento de informações e dados à Abin, são imprescindíveis procedimento formalmente instaurado e existência de sistemas eletrônicos de segurança e registro de acesso, inclusive para efeito de responsabilização em caso de eventual omissão, desvio ou abuso”.

Mediante tal decisão, o STF reafirma não apenas a fundamentalidade do direito à proteção de dados pessoais, como agrega importantes critérios e diretrizes para a sua compreensão e aplicação, em especial no que diz com o controle judicial das medidas restritivas e dos seus respectivos requisitos.

Na sequência, em 15/9/2022, o STF julgou parcialmente procedentes a ADI 6.649 e a ADPF 695, para o efeito de conferir interpretação conforme a normas veiculadas pelo Decreto 10.046/2019. Segundo se extrai do voto do ministro Gilmar Mendes, relator das ações, o compartilhamento de dados passa a ter cada vez mais uma posição central na atuação do Estado, sobretudo no que se refere às políticas públicas, de tal sorte que pressupõe a conformidade com a LGPD, notadamente do ponto de vista da indicação de propósitos legítimos, específicos, e explícitos para todas as etapas do tratamento.

Assim, as finalidades primárias e secundárias, caso necessário, devem ser devidamente compatibilizadas, vez que o compartilhamento, em si, deve ser restrito ao mínimo e balizados pelo cumprimento dos requisitos, das garantias e dos procedimentos legais.

Ainda segundo o voto do relator, o compartilhamento dos dados pessoais entre os órgãos públicos exige o enquadramento no que dispõe o artigo 23, I, da LGPD, notadamente quanto à publicidade das hipóteses nas quais cada entidade governamental compartilha ou tem acesso aos dados. Em suma, o entendimento do ministro relator foi de que o acesso de órgãos e de entidades governamentais ao Cadastro Base do Cidadão fica condicionado ao que outrora foi referido.

Outro ponto relevante são as competências do Comitê Central de Governança de Dados, na medida em que, segundo o relator, deveriam ser restringidas às que foram expressas no artigo 21, VI, VII e VIII, do Decreto nº 10.046/2019, desde que se atue no estabelecimento e na prevenção de mecanismos rigorosos no controle de acesso ao Cadastro Base do Cidadão, ou seja, dito de outro modo, que os órgãos e entidades públicas têm o dever de demonstrar a real necessidade de acesso e de compartilhamento dos dados.

Para tanto — ainda de acordo com o que se extrai do voto —, a referida permissão somente deverá ser concedida para que sejam alcançados propósitos legítimos, específicos e explícitos, sendo limitada às informações que sejam indispensáveis ao atendimento do interesse público, nos termos do artigo 7, III, bem como do artigo 23, caput, I, da Lei nº 13.709/2018.

Além disso, para fins de compartilhamento de dados, foi estabelecida a obrigação de formulação de uma justificativa prévia e minudente, baseada no emprego da proporcionalidade, da razoabilidade e da principiologia da LGPD, tanto para a necessidade de inclusão de novos dados pessoais na base integradora quanto no que toca à escolha das bases temáticas do Cadastro Base do Cidadão.

Outro ponto a ser destacado é o fato de que o ministro Gilmar Mendes fixou orientação no sentido da adoção de medidas de segurança, designadamente, de um sistema eletrônico de registro de acesso para efeitos de responsabilização em casos abusivos.

Agregou, ainda, que o compartilhamento nas atividades de inteligência deve seguir os critérios estabelecidos em legislação própria, bem como parametrizados pela decisão do STF no já analisado caso envolvendo a Abin. Importa destacar, na mesma toada, a responsabilidade civil do Estado pelos danos causados aos particulares em consonância com a dicção do artigo 42 e ss. da LGPD, inclusive com o direito de regresso contra os servidores e agentes públicos responsáveis pelo ato ilícito, em caso de culpa ou de dolo.

Nesse mesmo sentido, decisão que confirmou a medida liminar no MS 36.150/DF, rel. ministro Luís Roberto Barroso, j. em 10.10.2022, anulando a determinação do TCU ao Inep para entrega de dados individualizados do Censo Educacional e do Enem dos anos de 2013 a 2016, requisitados para auditoria do Programa Bolsa Família, assim como as sanções impostas à autoridade responsável pela entrega dos dados.

À vista do exposto, é possível afirmar que o STF, embora sem ainda ter desenvolvido o tema e sem se pronunciar diretamente sobre ele, já está dando guarida ao que se tem designado de um princípio — e correspondente dever — de separação informacional dos poderes, que tem por objetivo impor limites ao compartilhamento irrestrito e descontrolado de dados pessoais, em especial limitando o fenômeno da concentração informacional de poderes.^[1]

Tal linha de entendimento, contudo, parece ter sido flexibilizada quando do julgamento da ADI 4.906, relator ministro Nunes Marques, em 11/9/2024, ocasião na qual o STF, ao mesmo tempo reconhecendo que “o direito fundamental à proteção de dados e à autodeterminação informativa (CF, artigo 5º, LXXIX) impõe a adoção de mecanismos capazes de assegurar a proteção e a segurança dos dados pessoais manipulados pelo poder público e por terceiros”, considerou constitucionalmente legítimo o “compartilhamento direto de dados cadastrais genéricos com os órgãos de persecução penal, para fins de investigação criminal, mesmo sem autorização da Justiça”, de modo a afastar inclusive uma reserva de Jurisdição nesses casos.

Sem prejuízo de outras decisões relevantes, que, considerado o espaço disponível, não puderam ser apresentadas, ainda que sumariamente, o que se percebe é que o STF, apesar de uma certa flexibilização no tocante ao compartilhamento de dados pessoais, tem atuado prevalentemente com firmeza na sua proteção, o que, em se confirmando tal tendência, apenas vem a reforçar o seu papel crucial nessa seara.

___________________________________________________

Gerenciamento de cookiesCLIQUE E CONHEÇA O LIVRO DO AUTOR

LEIA TAMBÉM

• Direitos fundamentais, meio ambiente e clima em 2024: uma retrospectiva na perspectiva jurisprudencial
• O início do julgamento da ADI 5.728/DF e a (in)constitucionalidade da EC 96/2017 (Vaquejada)
• Acordo de Paris, proibição de retrocesso e dever de progressividade

NOTAS

^[1]. Para maior desenvolvimento do tema, v. SARLET, Ingo Wolfgang; SARLET, Gabrielle Bezerra Sales. Separação Informacional de Poderes no Direito Constitucional Brasileiro, 74 p., 2022, parecer publicado na página do Data PrivacyBR Research. Disponível em: https://www.dataprivacybr.org/documentos/separacao-informacional-de-poderes-no-direito-constitucional-brasileiro/. Acesso em: 20 nov. 2022.