STF RECONHECE DIREITO FUNDAMENTAL À PROTEÇÃO DE DADOS

Laura Schertel Mendes Professora Adjunta de Direito Civil da Universidade de Brasília (UnB) e Professora do Instituto Brasiliense de Direito Público (IDP). Doutora em Direito Privado pela Universidade Humboldt de Berlim, com bolsa do DAAD (Serviço Alemão de Intercâmbio Acadêmico). Mestre em Direito, Estado e Constituição pela Universidade de Brasília (UnB). Advogada. lauraschertel@hotmail.com Gabriel Campos Soares da Fonseca Mestrando em Direito Econômico, Financeiro e Tributário pela Universidade de São Paulo (USP). Bacharel em Direito pela Universidade de Brasília (UnB). Assessor de Ministro no Supremo Tribunal Federal (STF). gabrielcsfonseca@gmail.com Área do Direito: Consumidor Resumo: O presente comentário analisa a decisão proferida pelo Plenário do Supremo Tribunal Federal na Medida Cautelar das Ações Diretas de Inconstitucionalidade 6.387, 6.388, 6.389, 6.393 e 6.390. Primeiro, apresentando as discussões em torno da Medida Provisória 954/2020, questionada nas referidas ADIs. Segundo, evidenciando o seu significado histórico ao reconhecer um direito fundamental à proteção de dados pessoais e expondo os votos proferidos pelos Ministros e Ministras. Terceiro, elencando os contornos iniciais a respeito do âmbito de proteção desse direito, ao lado dos efeitos oriundos de seu reconhecimento. Quarto, explicitando balizas constitucionais mínimas e necessárias para a limitação desse direito fundamental. Palavras-chave: Proteção de dados pessoais – Supremo Tribunal Federal – Direitos fundamentais Abstract: This paper analyzes the main points regarding the Brazilian Supreme Federal Court’s landmark ruling on Data Protection. First, presenting the issues concerning the Executive Order 954/2020, whose unconstitutionality was argued in the lawsuits. Second, explaining the Justice’s opinions and the decision’s historical meaning. Third, outlining the general scope and the main effects of the newly recognized fundamental right to data protection in Brazil. Fourth, setting out the minimum and necessary constitutional requirements to limit this fundamental right. Keywords: Data protection – Brazilian Supreme Federal Court – Fundamental rights Sumário: 1.Introdução

1.Introdução

Nos dias 06 e 07 de maio de 2020, o Supremo Tribunal Federal (STF) proferiu uma decisão histórica para o desenvolvimento da proteção de dados pessoais no Brasil. Com a impressionante maioria de dez votos favoráveis, o Plenário da Suprema Corte referendou a Medida Cautelar concedida pela Ministra Rosa Weber, relatora das Ações Diretas de Inconstitucionalidade (ADIs) 6.387, 6.388, 6.389, 6.390 e 6.393. Desse modo, o Tribunal suspendeu a eficácia da Medida Provisória 954/2020 (LGL\2020\4849) a qual, em seu art. 2º, caput, determinava que empresas de telecomunicações compartilhassem com o Instituto Brasileiro de Geografia e Estatística (IBGE) nome, número de telefone e endereço de seus consumidores de telefonia móvel e fixa.

O presente comentário pretende analisar os contornos gerais desse marco jurisprudencial em quatro partes, além desta introdução. Primeiro, apresentando brevemente o caso concreto que ensejou tal decisão, destacando as discussões existentes acerca da Medida Provisória 954/2020 (LGL\2020\4849). Segundo, evidenciando o significado histórico da decisão ao reconhecer um direito fundamental à proteção de dados pessoais e analisando os argumentos apresentados nos votos proferidos. Terceiro, buscando elencar balizas iniciais quanto aos contornos desse direito fundamental, bem como os efeitos oriundos de seu reconhecimento. Quarto, explicitando balizas mínimas e necessárias para a eventual limitação desse direito fundamental.

2.O caso concreto: a MPv 954/2020 e a pandemia da COVID-19

Em 17 de abril de 2020, o governo editou a Medida Provisória 954. Quase instantaneamente, diversos partidos políticos (PSB, PSDB, PSol e PCdoB) e o Conselho Federal da OAB ajuizaram, no STF, cinco ADIs apontando a contrariedade da norma frente aos requisitos formais exigidos pela Constituição (art. 62, caput) e aos direitos fundamentais nela insculpidos: dignidade da pessoa humana; inviolabilidade da intimidade e da vida privada; e até mesmo a violação à autodeterminação informativa, asseverando a necessidade de se tutelar expressamente um direito fundamental à proteção de dados (arts. 1º, III, e 5º, X e XII, da Constituição de 1988).

Em meio aos graves impactos trazidos pela pandemia da COVID-19, pode-se dizer que duas linhas antagônicas de argumentação se formaram diante dessa controvérsia jurídica. De um lado, alguns defendiam que a norma era necessária, sob pena de ocorrer um “apagão estatístico, que tornaria muito mais difícil o controle” da pandemia e a própria formulação de políticas “fiscais, sociais e econômicas” nesse sentido.1 De outro lado, as ADIs destacaram os vícios da MPv, tais como: (i) o caráter vago e genérico da redação normativa empregada perante os riscos envolvidos, não detalhando a finalidade do tratamento de dados almejado e não descrevendo minimamente quais procedimentos seriam adotados para tanto; (ii) a desproporcionalidade entre os dados necessários para a pesquisa amostral visada e a imposição de compartilhamento dos dados pessoais de milhões de brasileiros; (iii) a previsão de um relatório de impacto à proteção de dados pessoais (art. 3º, § 2º, da MPv) cuja elaboração seria feita depois do compartilhamento e do processamento dos dados coletados, e não antes; entre outros.2

Não obstante, a segunda linha argumentativa prevaleceu no STF. Em 24 de abril de 2020, a Ministra Relatora, Rosa Weber, suspendeu liminarmente a Medida Provisória com o seguinte fundamento:

“Não se subestima a gravidade do cenário de urgência decorrente da crise sanitária nem a necessidade de formulação de políticas públicas que demandam dados específicos para o desenho dos diversos quadros de enfrentamento. O seu combate, todavia, não pode legitimar o atropelo de garantias fundamentais consagradas na Constituição.”3

Apesar de a discussão acerca da conversão da Medida Provisória em lei continuar no Congresso Nacional, o Plenário do STF referendou a liminar concedida, com o largo placar de dez votos favoráveis firmados nos dias 06 e 07 de maio.

3.A histórica decisão do STF e o reconhecimento de um direito fundamental à proteção de dados pessoais

Em meio aos votos proferidos na Corte, em primeiro lugar, pode-se destacar uma considerável ampliação da proteção constitucional destinada aos dados pessoais, indo além dos ditos “dados íntimos”. Consoante apontado pela Ministra Cármen Lúcia, “foi-se o tempo das antigas listas telefônicas de papel” de modo que, no atual contexto de desenvolvimento tecnológico, “não existem dados insignificantes” ou neutros.4 Dessa maneira, o Tribunal ultrapassou o discurso de que não haveria problema no compartilhamento de dados como nome, endereço e número de telefone, uma vez que esses teriam “caráter público”.

É que, na linha do explicitado pela Ministra Rosa Weber, caso cruzados com outras informações e compartilhados com pessoas ou entidades distintas, esses dados podem ganhar novo valor no seio da sociedade da informação, sendo utilizados para fins muito distintos dos expostos na coleta inicial e sendo capazes de identificar o seu titular até mesmo formando, no plano virtual, perfis a seu respeito, porém sem sua participação.

Não por acaso, destacou-se a centralidade exercida pelo tema da proteção de dados na atual manutenção da democracia, uma vez que dados aparentemente “insignificantes” ou “públicos”, podem ser utilizados até mesmo para distorcer processos eleitorais. Nessa linha, bem lembrou o Ministro Luiz Fux: o “recente escândalo envolvendo a Cambridge Analytica revelou como modelos de negócios são rentabilizados pela análise de dados e alertou como seu uso indevido pode lesar [...] a própria democracia”.

Como consequência, em segundo lugar, não é exagero afirmar que o significado histórico da decisão pode ser equiparado ao clássico julgamento do Tribunal Constitucional alemão, em 1983, acerca da Lei do Recenseamento daquele país.5 Ao fazer referência ao julgado, o STF expressamente mencionou o conceito de autodeterminação informativa, já também positivado na Lei 13.709/18 (LGL\2018\7222) (Lei Geral de Proteção de Dados), a fim de ressaltar o necessário protagonismo exercido pelo cidadão no controle do que é feito com seus dados, destacando a existência de finalidades legítimas para o seu processamento, bem como da necessidade de implementação de medidas de segurança para tanto.

O Tribunal formulou, assim, uma tutela constitucional mais ampla e abstrata do que o direito à inviolabilidade da esfera íntima e da vida privada. Essa tutela poderá ser aplicada em inúmeros casos futuros envolvendo a coleta, o processamento e o compartilhamento de dados pessoais no Brasil. O conteúdo desse direito fundamental exorbita aquele protegido pelo direito à privacidade, pois não se limita apenas aos dados íntimos ou privados, ao revés, refere-se a qualquer dado que identifique ou possa identificar um indivíduo. Segundo o Ministro Gilmar Mendes, trata-se de direito autônomo e com contornos próprios, extraído de uma:

“[C]ompreensão integrada do texto constitucional lastreada (i) no direito fundamental à dignidade da pessoa humana, (ii) na concretização do compromisso permanente de renovação da força normativa da proteção constitucional à intimidade (art. 5º, inciso X, da CF/88 (LGL\1988\3)) diante do espraiamento de novos riscos derivados do avanço tecnológico e ainda (iii) no reconhecimento da centralidade do Habeas Data enquanto instrumento de tutela material do direito à autodeterminação informativa.”6

4.Contornos iniciais e âmbito de proteção desse direito fundamental

O reconhecimento desse direito fundamental, no seio da fundamentação de vários votos proferidos, é um passo importante na direção da tutela constitucional dos dados pessoais no ordenamento brasileiro. Será preciso, contudo, futuramente delinear melhor os seus contornos, o que poderá ser feito tanto pela doutrina quanto pela jurisprudência. Sem pretensão de exaurir o tema, porém já buscando contribuir com essa agenda construtiva, duas questões iniciais podem ser indicadas como relevantes: (i) qual é o seu âmbito de proteção e (ii) quais são os efeitos dessa proteção.

Inicialmente, apesar do nome sugestivo, é preciso destacar que o objeto de proteção desse direito fundamental não diz respeito exclusivamente aos dados em si, mas sim ao titular desses dados, tendo em vista que é ele quem arcará com os riscos do processamento dos dados, das decisões tomadas a partir das informações extraídas desse processamento, bem como das eventuais consequências prejudiciais oriundas dessas decisões.7

Quanto aos efeitos gerados por essa proteção, alinhando-a ao conceito de autodeterminação informativa, é possível pensá-los a partir de uma dupla dimensão. De um lado, essa proteção se desdobra como liberdade negativa do cidadão oponível perante o Estado, demarcando seu espaço individual de não intervenção estatal (dimensão subjetiva). De outro lado, ela estabelece um dever de atuação estatal protetiva no sentido de estabelecer condições e procedimentos aptos a garantir o exercício e a fruição desse direito fundamental (dimensão objetiva).

O voto proferido pelo Ministro Gilmar Mendes seguiu justamente essa linha. Segundo o Ministro, na dimensão subjetiva, o reconhecimento do direito fundamental à proteção de dados “impõe que o legislador assuma o ônus de apresentar uma justificativa constitucional para qualquer intervenção que de algum modo afete a autodeterminação informacional”, a partir da “identificação da finalidade” e do “estabelecimento de limites ao tratamento de dados em padrão suficientemente específico, preciso e claro para cada área”. Por sua vez, na dimensão objetiva, a afirmação desse direito fundamental “impõe ao legislador um verdadeiro dever de proteção (Schutzpflicht)”, o qual deve ser materializado por meio da “previsão de mecanismos institucionais de salvaguarda traduzidos em normas de organização e procedimento (Recht auf Organisation und Verfahren) e normas de proteção (Recht auf Schutz)”.8

Apesar de essa decisão histórica ter tratado, no caso concreto, sobre uma situação de risco de ingerência abusiva do Estado brasileiro, tal como no citado precedente alemão de 1983, não parece adequado enxergar a incidência do direito fundamental à proteção de dados somente no que diz respeito à atuação do Poder Público. Guardadas as devidas especificidades aplicáveis à esfera privada, há que se destacar a sua função protetiva também no bojo das relações privadas, ensejando sua eficácia horizontal. Não por acaso, em decisões mais recentes, o Tribunal Constitucional alemão vem “reinventando” o seu precedente de 1983 e aplicando a noção de autodeterminação informativa também no âmbito de litígios envolvendo relações privadas.9

5.Limites ao direito fundamental à proteção de dados pessoais

A despeito das construções anteriormente apresentadas, não se pode conceber esse direito de forma absoluta. Afinal, os dados e as informações pessoais não são pura “propriedade” do indivíduo, são parte de sua representação no corpo social, podendo existir interesses gerais preponderantes, baseados em lei ou na Constituição, que demandem seu processamento, o seu fluxo ou sua exposição.

Entretanto, como bem ressaltado pela decisão do STF, a limitação desse direito fundamental, no caso concreto, exige uma base jurídica clara e segura, com providências mínimas de cunho organizacional e preventivo voltadas à segurança dos cidadãos envolvidos e a diminuição dos riscos à sua personalidade. Em verdade, quanto mais grave for essa restrição/limitação, mais contundentes devem ser as justificativas, os critérios e as precauções para tanto, sob pena de legitimar intervenções na vida privada dos cidadãos em nome de fins genéricos ou necessidades coletivas abstratas.10

O julgado histórico do Supremo Tribunal Federal esclarece que, no Estado Democrático de Direito, não se pode fornecer um cheque em branco para instituições públicas ou privadas, por mais respeitadas que sejam e por mais nobres os motivos envolvidos. O amplo acesso aos dados pessoais dos cidadãos brasileiros exige, no mínimo, balizas jurídicas claras e seguras quanto a essa coleta ou transferência, a partir da previsão de medidas de segurança e critérios de intervenção proporcionais à gravidade da restrição a esse direito fundamental.

6.Referências

ALBERS, Marion. Realizing the complexity of data protection. Chapter 11. In: GUTWIRTH, Serge et al (Ed.). Reloading data protection. Dordrecht: Springer, 2014.

BVerfGE 65, 1, “Recenseamento” (Volkszählung). In: MARTINS, Leonardo (Org.). Cinquenta anos de jurisprudência do tribunal constitucional federal alemão. Montevidéu: Fundação Konrad Adenauer, 2005.

MENDES, Laura Schertel. Habeas data e autodeterminação informativa: os dois lados da mesma moeda. Direitos Fundamentais & Justiça, Belo Horizonte, ano 12, n. 39, p. 185-216, jul.-dez. 2018.

MENDES, Laura Schertel. A encruzilhada da proteção de dados no Brasil e o caso do IBGE. Portal JOTA, Brasília, 23.04.2020. Disponível em: [www.jota.info/opiniao-e-analise/artigos/a-encruzilhada-da-protecao-de-dados-no-brasil-e-o-caso-do-ibge-23042020#sdfootnote2sym]. Acesso: 17.05.2020.

VITAL, Danilo. Gilmar: Pandemia não atenua, mas reforça necessidade de proteção de dados. Disponível em: [www.conjur.com.br/dl/pandemia-reforca-necessidade-protecao.pdf] Acesso: 19.05.2020.

1 Disponível em: [www.schwartzman.org.br/sitesimon/?p=6488]. Acesso:17.05.2020. 2 Para uma melhor exposição dos vícios presentes na Medida Provisória e do cenário em torno de sua edição, vide MENDES, Laura Schertel. A encruzilhada da proteção de dados no Brasil e o caso do IBGE. Portal JOTA, Brasília, 23.04.2020. Disponível em: [www.jota.info/opiniao-e-analise/artigos/a-encruzilhada-da-protecao-de-dados-no-brasil-e-o-caso-do-ibge-23042020#sdfootnote2sym]. Acesso: 17.05.2020. 3 BRASIL, Supremo Tribunal Federal. ADI 6387. Rel. Min. Rosa Weber, Decisão Monocrática, j. 24.04.2020, DJe 28.04.2020. p. 12. 4 É importante salientar que o Acórdão final ainda não foi publicado. Desse modo, várias das passagens foram extraídas das falas expostas no julgamento. Disponível em: [www.youtube.com/watch?v=t15mesEgqSU&list=PLippyY19Z47uBC9XVQrOGIs-MGIGwY4IV]. Acesso: 19.05.2020. 5 BVerfGE 65, 1, “Recenseamento” (Volkszählung). In: MARTINS, Leonardo (Org.) Cinquenta anos de Jurisprudência do Tribunal Constitucional federal Alemão. Montevidéu: Fundação Konrad Adenauer, 2005. 6 VITAL, Danilo. Gilmar: Pandemia não atenua, mas reforça necessidade de proteção de dados. Disponível em: [www.conjur.com.br/dl/pandemia-reforca-necessidade-protecao.pdf] Acesso: 19.05.2020. 7 ALBERS, Marion. Realizing the complexity of data protection. Chapter 11. In: GUTWIRTH, Serge et al (Ed.). Reloading data protection. Dordrecht: Springer, 2014. p. 222-224. 8 VITAL, Danilo. Gilmar: Pandemia não atenua, mas reforça necessidade de proteção de dados. Disponível em: [www.conjur.com.br/dl/pandemia-reforca-necessidade-protecao.pdf] Acesso: 19.05.2020. 9 MENDES, Laura Schertel. Habeas data e autodeterminação informativa: os dois lados da mesma moeda. Direitos Fundamentais & Justiça, Belo Horizonte, ano 12, n. 39, jul.-dez. 2018. p. 211. 10 Para uma visão mais detalhada dessa discussão, vide MENDES, Laura Schertel. Habeas data e autodeterminação informativa: os dois lados da mesma moeda. Direitos Fundamentais & Justiça, Belo Horizonte, ano 12, n. 39, jul.-dez. 2018. p. 204-213.