Resumo: O artigo traça breve histórico sobre a legislação da proteção de dados pessoais no mundo e demonstra como a assimilação da necessidade da proteção de dados passa, primeiro, por uma mudança cultural na percepção da privacidade. Revela também alguns institutos próprios da proteção de dados e principais desafios que são e ainda serão enfrentados na implantação da LGPD no setor público.
Palavras-chave: Proteção de dados, LGPD, desafios, setor público. Cultura de privacidade.
1. INTRODUÇÃO
Vivemos na sociedade hiperconectada, com uma circulação inimaginável de dados pessoais. Hoje, a informação é o elemento principal para desenvolvimento social e econômico, razão pela qual são utilizados termos como sociedade da informação e economia da informação[1] para qualificar o momento coletivo em que vivemos.
Os países europeus já se preocupam com a proteção de dados pessoais há décadas, sendo a lei de Hesse, na Alemanha, de 1970, a primeira legislação para a proteção de dados pessoais. O Brasil lançou luzes específicas ao tema somente por volta dos anos 2010, culminando os estudos na promulgação da Lei n. 13.709/2018, com vigência a partir 2020, que tem como objetivo dispor sobre o tratamento de dados pessoais por pessoas naturais ou por pessoas jurídicas de direito público ou privado, além de pretender proteger os direitos fundamentais de privacidade e o livre desenvolvimento da pessoa natural.
Embora tenha havido relevante evolução doutrinária e jurisprudencial, passados quase dois anos desde o início da vigência muito ainda há de ser feito para que a população brasileira compreenda a necessidade de uma virada cultural para a efetiva proteção de dados, inclusive nas questões mais comezinhas.
É urgente, também, que o Poder Público assimile a necessidade de proteção de dados e que estimule de uma nova forma de tratar os dados pessoais. E, quando se diz Poder Público, devemos nos lembrar que a administração pública é uma ficção formada por pessoas naturais, em cargos e funções públicas, sendo estes agentes os protagonistas dessa mudança cultural, especialmente porque também possuem a missão de proteger dados pessoais dos cidadãos, de forma proativa. Afinal, é o Estado, lato sensu, quem detém um dos maiores senão o maior banco de dados pessoais dos cidadão que residem no Brasil, catalogados em órgãos públicos e delegatários, literalmente, desde o nascimento até a morte dos destinatários da norma: a pessoa natural.
Lado outro, não se pode ignorar que estes mesmos agente públicos têm o dever de atuar com a maior transparência e publicidade possíveis. Então, surgem diariamente aparentes e verdadeiros conflitos que geram insegurança sobre como conferir proteção aos dados, ao tempo em que a publicidade também merece prestígio.
A implantação das regras e princípios da LGPD ao setor público já é um desafio porque se trata da imposição de uma nova cultura aos milhões de servidores públicos, investimento na conformidade por milhares de órgãos públicos, com reformulação de sistemas, processos e procedimentos, novas contratações com a natural burocracia e revisão dos próprios contratos. Some-se a isso o necessário cuidado com dados sensíveis[2] como as informações de saúde e demais dados pessoais tratados pela Administração.
Justamente por tais motivos é que os desafios de se atender aos ditames da Lei Geral de Proteção de Dados Pessoais elevam-se sobremaneira ao pensamos na sua aplicação ao Poder Público.
2. BREVE HISTÓRICO
O estudo da proteção de dados pessoais revela conceitos e institutos que lhe são próprios ou assuem maior relevância, a exemplo de termos como autodeterminação informativa ou assimetria informacional. O estudo das origens e fontes materiais da proteção de dados no mundo é crucial para melhor entendimento das peculiaridades do tema, servirá de suporte para assimilação dos conceitos, e será útil à compreensão da necessidade de um choque de cultura para que a lei de proteção de dados pessoais não se torne uma mera folha de papel.
Há duas fontes legislativas principais a serem destacadas: as origens europeia e americana da legislação de proteção de dados. Foi na Alemanha a primeira legislação local de proteção de dados (Lei de Hesse, de 1970), ocorrendo somente em 1977 a edição de uma lei federal sobre o tema, a Bundesdatenchutzgesetz. Em 1973, a Suécia editou o Data Legen 289 (Datalog). Nos Estados Unidos, surgiu o Privacy Act (Lei da Privacidade) em 1974. Estas lei são conhecidas como integrantes da primeira geração das normas protetivas de dados conforme detalha a doutrina[3]. Danilo Doneda[4] contextualiza o momento de criação destas leis:
Estas leis propunham-se a regular um cenário no qual centros de tratamento de dados, de grande porte, concentrariam a coleta e a gestão dos dados pessoais. O núcleo destas leis era a concessão de autorizações para a criação destes bancos de dados e do seu controle a posteriori por órgãos públicos. Estas leis também enfatizavam o controle do uso de informações pessoais pelo Estado e pelas suas estruturas administrativas, que eram o destinatário principal (se não os únicos) destas normas. Esta primeira geração de leis segue aproximadamente até a Bundesdatenschutzgesetz, a lei federal da República Federativa da Alemanha sobre proteção de dados pessoais, de 1977.
Posteriormente, uma segunda geração de leis surgiu, a exemplo da Informatique et Libertés, em 1978, na França, que deixou de focar nos bancos de dados informatizados e na tecnologia e passou a lançar luzes na privacidade e proteção de dados como uma liberdade negativa. Percebeu-se que o uso e o fluxo de informações pessoais se tornaram requisitos para o exercício de liberdades junto ao Estado e junto aos particulares, ou seja, o trânsitos dos dados pessoais se tornou indispensável para a mera convivência em sociedade[5].
Uma terceira geração também é considerada, a partir da legislação criada nos anos 1980 com foco evolução da proteção do cidadão e sua liberdade de fornecimento ou não de dados, momento em que iniciam-se as discussões sobre a liberdade de uso dos dados a partir da autodeterminação informativa.
Nesse momento, o pioneirismo alemão na proteção de dados é mais uma vez revelado pelo famoso julgamento da Lei do Censo (Volkszählungsurteil), em 15.12.1983, pelo Tribunal Constitucional Alemão, diante de um contexto de abundante coleta de dados, conforme as lições de Rony Vainzof[6]:
Referida decisão foi paradigmática, inclusive internacionalmente, pois estabeleceu um marco mundial da proteção de dados pessoais, consagrando o conceito, ora fundamento da LGPD, da autodeterminação informativa, conforme trecho extraído do julgado germânico: aquele que, com segurança suficiente, não pode vislumbrar quais informações pessoais a si relacionadas existem em áreas determinadas de seu meio social, e aquele que não pode estimar em certa medida qual o conhecimento que um possível interlocutor tenha da sua pessoa, pode ter sua liberdade consideravelmente tolhida.
Mais recentemente, foi promulgado o Regulamento 2016/679 (General Data Protection Regulation - GDPR), ou Regulamento Geral de Proteção de Dados, em tradução livre, um importantíssimo instrumento que demonstra a evolução do tema na União Europeia, trazendo maior segurança jurídica às interpretações sobre a temática. Trouxe à lume a tutela da privacidade do cidadão em cenário mundial, penalidades, além de prever hipóteses legais para tratamento lícito dos dados pessoais.[7]
Inspirada na GDPR, o Brasil publicou em agosto de 2018 a Lei n. 13.709/2018, chamada de Lei Geral de Proteção de Dados Pessoais (LGPD). Na verdade, as discussões sobre a criação de uma lei protetiva no país teve início por volta de 2010, e houve aceleração do debate e votação da legislação por várias razões, dentre elas a necessidade de criação da lei como requisito para transferência internacional de dados pessoais[8], e a exigência para que o Brasil pudesse atender a um dos requisitos da tutela desses dados para pleitear ingresso na Organização para a Cooperação e Desenvolvimento Econômico (OCDE)[9], entidade da qual o Brasil há anos tenta ser membro.
3. CULTURA, FUNDAMENTOS E PRINCIPIOLOGIA
3.1 Proteção de dados no Brasil: mais do que um dever legal, uma questão cultural
A doutrina já defendia que o direito à proteção de dados pessoais seria direito fundamental inserido dentre os direitos da personalidade, extraídos do direito à privacidade, liberdade de consciência e à honra, expressos na Constituição Federal no art. 5º, VI e X[10]. Em 2020, o Supremo Tribunal Federal reconheceu a autonomia dos direitos à proteção de dados e à autodeterminação informativa no histórico julgamento da ADI 6393, de Relatoria da ministra Rosa Weber. Em fevereiro de 2020, a Emenda Constitucional 115/2022 inseriu o inciso LXXIX no art. 5º, dispondo que é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.
Porém, muito além das normas jurídicas, é necessário que o cidadão perceba que os nossos dados, e das demais pessoas à nossa volta, merecem um comportamento ativo de proteção. Segundo o art. 5º, I, da LGPD, dado pessoal é a informação relacionada a pessoa natural identificada ou identificável. Tudo que identifica uma pessoa, ou possa, de alguma forma até mesmo indireta, identifica-la. Além do nome ou número de documento de identidade ou CPF, abrange quaisquer outras informações como e-mail, números de registros em quaisquer outros órgãos, informações sobre saúde e doenças, vida sexual, genética, biometria etc.
Há uma aparente sensação de banalização dos dados, os quais são entregues a terceiros sem quaisquer critério ou sendo crítico de qual será seu uso, provavelmente porque já seriam públicos.
Andriei Gutierrez[11] é preciso em suas lições sobre o tema:
E aqui identifico dois grandes desafios. O primeiro diz respeito a uma mudança cultural, de maior conscientização sobre a importância da privacidade e dos riscos associados à manutenção de comportamentos não preventivos. Caso o leitor tenha se identificado aqui, sim, refiro-me à maneira como damos nossos dados, fazemos cadastros em lojas e farmácias, aceitamos que coletem e tratem nossas informações sem ao menos perguntar qual a finalidade e se tantos dados são necessários para tal. A maneira como interagimos nas redes sociais etc. O titular do dado é e deve ser o primeiro pilar de proteção à privacidade. Campanhas públicas, de comunicação e iniciativas de educação com a população sobre o tema são, sem dúvidas, um campo necessário de atuação. A Autoridade teria um papel fundamental de órgão ativo de promoção de iniciativas e parcerias com entidades da sociedade civil e do setor privado nessa área.
Dissertando sobre o poder público, o autor complementa sobre a necessidade de mudança cultural também neste setor[12]:
Outro grande desafio diz respeito à mudança de cultura corporativa e organizacional. Não é difícil identificar que há pouquíssimo grau de preocupação ou cuidado com segurança e governança da informação nas organizações brasileiras e incluo aqui também o Poder Público. A mudança dessa cultura corporativa deve ser um aspecto primordial para a futura ANPD. Diferentemente de países europeus que têm suas leis de proteção de dados pessoais que remontam décadas, nossas organizações ainda precisam ser educadas, reorganizadas e treinadas para trabalhar sob novos critérios. Caso contrário, teremos uma lei inócua e sem eficácia ou uma autoridade extremamente punitiva e, assim, prejudicial ao desenvolvimento das tão necessárias inovações baseadas em dados que o País necessita e que os consumidores almejam.
É fundamental a implantação de uma cultura de privacidade. Assim como ocorre nas implantações de programas de compliance, não bastam apenas adequações formais para que a corporação possa dizer que se adequou à legislação. É por isso que se percebe que a efetividade de um programa de conformidade depende do comprometimento da alta administração (tone at the top)[13], um envolvimento e exemplo dos cargos mais altos daquela empresa ou instituição.
O mesmo se aplica à assimilação da LGDP. Não bastam cartazes na parede indicando textos legais ou orientações setorizadas sobre a indispensabilidade de cumprimento das normas de proteção de dados. Mais do que isso, é imprescindível o amadurecimento e compreensão da necessidade de uma atuação ativa na proteção dos dados nos cargos que tratem de dados pessoais, desde a mais alta instância nos órgãos públicos. Como será explicitado mais à frente, este novo comportamento perpassa por cuidados simples como o desligamento de monitores quando o servidor sair de uma sala para evitar a exibição dados pessoais próprios ou de terceiros na tela. Ou, ainda, fechar autos de processos administrativos físicos e guarda-los na gaveta, quando possuir dados pessoais sensíveis[14] os quais merecem maior proteção ainda como os relacionados à saúde, evitando que terceiros tenham acesso em proativa proteção dos dados pessoais dos cidadãos.
Este é, sem dúvida, o primeiro desafio a ser vencido.
3.2. Autodeterminação informativa e o livre desenvolvimento da pessoa natural.
A autodeterminação informativa é um princípio expresso na no art. 2º, II da LGPD, e pode ser conceituado como o poder do indivíduo em saber, com precisão, como e quais seus dados pessoais estão sendo utilizados e com quais finalidades e, diante de tais informações, poder decidir sobre fornecê-los, interromper seu fornecimento, solicitar a interrupção do uso dos dados, ou até mesmo solicitar exclusão completa. Historicamente, embora já se tivesse notícia de sua conceituação no direito norte-americano[15], foi no paradigmático Julgamento do Censo pelo Tribunal Constitucional Alemão em 1983 que houve seu destaque e reconhecimento de sua autonomia.
Trata-se de um direito da personalidade que compreende a liberdade de o indivíduo em ter controle sobre suas informações pessoais e a possibilidade de uma tomada decisão sobre o destino dos dados. Assim como outras liberdades, a liberdade deste controle de seus dados deve ser entendida como possibilidade de definir o próprio destino é o atributo essencial da condição humana, que nos une e iguala numa empreitada coletiva[16].
O livre desenvolvimento da pessoa natural tem estrita relação com a autodeterminação informativa, na medida em que o ser humano deve ter o controle de seus dados e de sua exposição, inclusive de sua filosofia de vida, questões políticas e sexualidade, em uma tutela da dignidade humana. Dessa forma, torna-se possível a construção da individualidade e o livre desenvolvimento da personalidade sem a pressão de mecanismos de controle social.[17]
Nas palavras de Bruno Bioni[18]:
A LGPD internaliza tal orientação constitucional. As suas disposições preliminares enunciam que a disciplina da proteção de dados pessoais tem como objetivo proteger os direitos fundamentais e o livre desenvolvimento da personalidade (art. 1º), repetindo-os como um dos seus fundamentos ao lado do desenvolvimento econômico-tecnológico e da inovação (art. 2º). A LGPD estabelece, portanto, uma dialética normativa de conciliação entre todos esses elementos.
O principal vetor para alcançar tal objetivo é franquear ao cidadão controle sobre seus dados pessoais. Essa estratégia vai além do consentimento do titular dos dados, pelo qual ele autorizaria o seu uso. Tão importante quanto esse elemento volitivo é assegurar que o fluxo informacional atenda às suas legítimas expectativas e, sobretudo, não seja corrosivo ao livre desenvolvimento da sua personalidade.
Estes são dois dos principais fundamentos elencados no art. 2º da LGPD, a partir dos quais se originam uma miríade de direitos ao cidadão, especialmente destacados nos artigos 17 e 18 da lei.
3.3. Identificação do Setor Público
O art. 1º da LGPD dispõe acerca de sua aplicação para tratamento de dados por pessoa jurídica de direito público ou privado. O parágrafo único do art. 1º transparece de início a aplicação ao setor público ao dispor que as normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
O art. 23 esclarece que o tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público (...).
Assim consta do parágrafo único do mesmo artigo:
Parágrafo único. Subordinam-se ao regime desta Lei:
I - os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público;
II - as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios.
Devemos rememorar que as referidas pessoas jurídicas, a depender da atividade exercida, poderão se enquadrar em regime de prestação de serviço público ou em atividade concorrencial nos termos do art. 173 da Constituição Federal, razão pela qual estas poderão, eventualmente, ter o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, conforme relembra Angela Mario Rosso[19]:
Fazemos aqui uma importante ressalva ao enquadramento de algumas entidades referidas no inciso II, Parágrafo Único da LAI, pois, estas, devido a sua natureza jurídica deverão transitar entre os capítulos II e IV da LGPD a depender da atividade que desempenham ao tratar os dados. Em outras palavras, a finalidade a que está vinculado determinado tratamento dos dados pessoais - se em regime de mercado, concorrencial, ou se para a consecução de políticas públicas - é que determinará se o ente deve atender aos requisitos exigidos para o setor privado ou para o setor público previstos na LGPD. Esta é a prescrição do art. 24 da LGPD ao determinar que empresas públicas e sociedades de economia mista por estarem sob a égide de um regime especial (ou misto) deverão se adequar a depender do caso concreto: se atuarem de acordo com os requisitos do art. 173, CF4 - explorando atividade econômica - devem atuar em conformidade com Capítulo II da LGPD; já nos casos em que a finalidade do tratamento for a persecução do interesse público deverão atender o Capítulo IV.
As hipóteses autorizativas de tratamento de dados constam no art. 7º da LGPD. No caso do setor público, o inciso III prevê que o tratamento de dados pela administração pública somente será lícito se tiver como objetivo o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. Trata-se de requisito umbilicalmente ligado aos 2 (dois) outros previstos no art. 23 da mesma lei, atendimento de sua finalidade pública, na persecução do interesse público" e "com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público".[20]
3.4. Relação assimétrica entre poder público e cidadão
O enorme acervo de dados pessoais detidos pelo pela administração pública, aliado a seu poder de império para realizar as politicas públicas, revela uma relação assimétrica de poder que o Estado detém sobre o cidadão, que merece ter sua vulnerabilidade reconhecida. É natural que o Poder Público contenha em seu acervo um enorme banco de dados sobre os cidadãos colhidos desde o nascimento e até mesmo após o óbito, como informações sobre saúde, educação, gastos, informações colhidas em wi-fi público ou até mesmo geolocalização em aplicativos de celular.
Essa relação assimétrica mereceu especial cuidado da LGPD quando dispôs especificamente sobre o Poder Público na LGPD, a fim de tentar reequilibrar a relação e arrefecer a voracidade da coleta de dados com normas específicas.
