O direito fundamental à proteção de dados pessoais como direito subjetivo

Nada obstante a circunstância de que o direito à proteção de dados pessoais guarda relação direta (mas, como já adiantado na coluna anterior, não se confunde) com um direito à autodeterminação informativa, o catálogo de posições jusfundamentais que encerra é bastante diversificado.

Nesse contexto, para melhor e mais rápida compreensão, calha lançar mão do rol de posições jurídicas subjetivas diretamente inspirado na obra de J.J. Gomes Canotilho e Vital Moreira, o qual, a despeito de eventuais diferenças de uma ordem jurídica para outra, se mostra perfeitamente compatível com o direito constitucional e infraconstitucional positivo brasileiro, assegurando uma proteção que dê conta de todas as dimensões que envolvem a coleta, armazenamento, tratamento, utilização e transmissão de dados pessoais:

1. o direito ao acesso e ao conhecimento dos dados pessoais existentes em registros (bancos de dados) públicos ou privados;

2. o direito ao não conhecimento, tratamento e utilização e difusão de determinados dados pessoais pelo Estado ou por terceiros, aqui incluído um direito de sigilo quanto aos dados pessoais;

3. o direito ao conhecimento da identidade dos responsáveis pela coleta, armazenamento, tratamento e utilização dos dados;

4. o direito ao conhecimento da finalidade da coleta e da eventual utilização dos dados;

5. o direito à retificação e, a depender do caso, à exclusão de dados pessoais armazenados em bancos de dados2.

Note-se, ainda, que embora o direito à proteção de dados pessoais, como direito fundamental que é, tenha esteio na constituição, não há, no texto constitucional brasileiro (ao menos por ora) qualquer referência direta a posições jurídico-subjetivas específicas que possam estar albergadas por seu âmbito de proteção, o que, todavia, não quer dizer que não encontrem fundamento constitucional implícito.

De qualquer sorte, também no Brasil — e independentemente da incorporação de um direito à proteção de dados pessoais à CF — é na legislação infraconstitucional que foram especificados os direitos do titular da proteção, como dá conta o leque contido nos artigos 17 e 18 da LGPD, que, contudo, deve ser compreendido e aplicado em sintonia e conformidade com a CF, a normativa internacional e outros diplomas legais, como é o caso, por exemplo (e em especial) da Lei de Acesso à Informação e na Lei do Marco Civil da Internet.

Já mediante uma simples leitura do catálogo que segue, enunciado nos artigos 17 e 18 da LGPD, é possível perceber que em grande medida as posições jurídicas subjetivas (direitos) atribuídos ao titular dos dados pessoais objeto da proteção legal, que concretiza e delimita, em parte, o próprio âmbito de proteção do direito fundamental à proteção de dados, coincide com o rol de posições jurídico-constitucionais diretamente e habitualmente associadas à dupla função de tal direito como direito negativo (defesa) e positivo (a prestações).

Para tanto, segue a transcrição do catálogo legal referido, contido no capítulo III da LGPDB — “dos direitos do titular”3:

Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, intimidade e de privacidade, nos termos desta lei.

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I – confirmação da existência de tratamento;

II – acesso aos dados;

III – correção de dados incompletos, inexatos ou desatualizados;

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade”.

Art. 21. Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.

Art. 22. A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em Juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.

Note-se, ainda, que a lista de posições jurídicas supra não tem caráter taxativo, não excluindo, portanto, outras possibilidades, mesmo que não expressamente positivadas na constituição ou num diploma legal. Outrossim, é possível perceber uma considerável simetria entre o catálogo de direitos do usuário da LGPD e do RGPD (artigo 17), de tal sorte que as diferenças em regra se limitam a variações terminológicas, no sentido de maior ou menor precisão da nomenclatura utilizada.

Todavia, existe, como já referido, espaço para o reconhecimento de outras posições jurídicas, como se dá, em caráter ilustrativo, com o assim chamado direito ao esquecimento, que, pelo menos com este rótulo e com a extensão que se lhe quis atribuir no caso Aida Curi, teve negada a sua existência na ordem jurídico-constitucional em relativamente recente e polêmica decisão do STF, proferida no Recurso Extraordinário nº 1.010.606, julgado em 11.02.21, relatado pelo Ministro Dias Toffoli, sobre a qual também já tivemos a oportunidade de nos pronunciar neste mesmo espaço.

O que chama a atenção, contudo, é o fato de que algumas formas de expressão (no sentido de instrumentos de efetivação) do assim chamado direito ao esquecimento, se encontram expressamente especificadas nos textos legais colacionados (v.g. os direitos ao apagamento, retificação), ao passo que outras carecem de acolhimento pelas instâncias legiferantes, pelo Poder Judiciário ou mesmo pelos próprios atores da internet, mediante autorregulação. Nesse contexto, o melhor exemplo talvez seja o de um direito à desindexação relativamente aos provedores de pesquisa na internet, que, a despeito da controvérsia que grassa em torno do tema, tem sido objeto de reconhecimento em diversas decisões judiciais, sejam de tribunais nacionais (destaque para o julgamento do STJ no Recurso Especial, 660168/RJ, de 08.05.2018), seja no plano supranacional, como é o caso do TJUE – Tribunal de Justiça da União Europeia, no famoso caso “Google”, de maio de 2014).

De outra parte, calha referir, visto corresponder a uma espécie de “tradição” na esfera da prática legislativa brasileira, que também a LGPD, como se verifica mediante um breve olhar sobre o catálogo de direitos apresentado, acabou reproduzindo direitos já consagrados expressamente na CF e que, em virtude disso e por serem dotados de aplicabilidade imediata, não precisariam constar na esfera infraconstitucional, como é o caso dos direitos de liberdade, intimidade e privacidade (artigo 17) e do direito de acesso à Justiça (artigo 22).

Outro elemento central para a dimensão subjetiva dos direitos fundamentais em geral, e do direito fundamental à proteção de dados pessoais em particular, é o da titularidade do direito, ou seja, de quem é o seu sujeito ativo, no sentido daquela pessoa (natural ou mesmo jurídica, a depender do caso) que pode invocar a proteção de seus dados pessoais em face de outrem, os assim chamados destinatários.

No caso do direito à proteção de dados pessoais – acordo com a legislação respectiva (no caso brasileiro, o artigo 5º da LGPD), os titulares do direito são, em primeira linha, as pessoas naturais identificadas e identificáveis.

No caso da CF, a despeito do disposto no artigo 5º, caput, de que são titulares dos direitos fundamentais os brasileiros e estrangeiros residentes no país, doutrina e jurisprudência de há muito tem ampliado o leque de sujeitos ativos em um número significativo de casos, incluindo os direitos de personalidade, e, por conseguinte, também do direito à proteção de dados pessoais, o que, por ser algo consolidado, aqui se deixa de desenvolver.

Em homenagem à clareza, calha reproduzir — de novo — o disposto no artigo 1º da LGPD, que, somando-se ao que prescreve o já citado artigo 5º da lei, assim reza:

“Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural (grifos nossos)”.

Todavia, para não transmitir a ideia de que desconhecemos a existência de tal posição, calha referir a existência de literatura em sentido diverso, ainda que se trate de posição por ora minoritária. Nesse sentido, um meio de se assegurar às pessoas jurídicas uma proteção de dados equivalente a dos dados de pessoais naturais, remete à proposição de se atribuir às pessoas jurídicas a titularidade do direito à privacidade, agregando-se o fato de que a proteção de dados tem um cunho instrumental, servindo também (mas não só e não necessariamente) à salvaguarda da própria privacidade4.

De todo modo, ainda que sejamos adeptos da posição, por ora dominante no cenário doutrinário, legislativo e jurisprudencial, de que o direito à proteção de dados pessoais tem por titulares apenas pessoas naturais, não se está a negar — como, de resto, já adiantado e amplamente aceito na doutrina (inclusive de nossa lavra) e jurisprudência constitucional, mas também em diversos textos constitucionais — que as pessoas jurídicas e mesmo outros entes não sejam titulares de direitos fundamentais, compatíveis, é claro (como, aliás, também prescreve o artigo 52 do Código Civil Brasileiro) com a sua condição, o que, contudo, se verifica caso a caso.

Ainda sobre o ponto, mesmo que a proteção de dados pessoais como tal seja assegurada apenas às pessoas naturais, o mesmo não ocorre com a titularidade do direito à autodeterminação informativa, que, embora também se trate de algo controverso, tem sido, pelo menos em algumas ordens jurídicas — como é o caso, na Alemanha, atribuído igualmente às pessoas jurídicas5.

À vista do exposto, esperamos ter logrado apresentar, ao menos em traços gerais, alguns dos principais pontos relativos à dimensão subjetiva do direito fundamental à proteção de dados pessoais. Na próxima coluna, deveremos tecer algumas considerações sobre a assim chamada dimensão objetiva, com particular atenção para os deveres de proteção estatais nessa seara.

1 Cf. SARLET, Ingo Wolfgang. A Eficácia dos Direitos Fundamentais: uma teoria geral dos direitos fundamentais na perspectiva constitucional. 13. ed. Porto Alegre: Livraria do Advogado, 2018. p. 288.

2 Cf. GOMES CANOTILHO, José Joaquim; MOREIRA, Vital. Constituição da República Portuguesa anotada, 4. ed. Coimbra: Coimbra Editora, 2007. p. 551 e ss.

3 Convém alertar que não se está a transcrever todos os dispositivos contidos no capítulo III da LGPDB, mas sim, os artigos que enunciam as posições jurídicas (direitos) propriamente ditos dos titulares dos dados pessoais.

4 Sobre o tema da atribuição da titularidade de direitos de personalidade às pessoas jurídicas, inclusive do direito à privacidade e em certa medida da proteção de dados, v., na literatura brasileira, a atual e excelente contribuição de ANDRADE, Fábio Siebeneichler de. Notas sobre a aplicabilidade dos direitos da personalidade à pessoa jurídica como evolução da dogmática civil. RJLB, a. 4, n. 5, p. 806-837, 2018, especialmente p. 817 e ss.

5 Cf., por todos, DREIER, Horst. Art. 2 I – allgemeines Persönlichkeitsrecht. In: DREIER, Horst (Coord.). Grundgesetz Kommentar. 3. Auf. Tübingen: Mohr Siebeck, 2013. p. 386-8, mediante referência ao julgado do Tribunal Constitucional Federal respectivo (BVerfGE 118, p. 202 e ss.), destacando-se.