LGPD: direito ou dever de privacidade?

O debate em torno da LGPD (Lei 13.709/18) passa necessariamente pela compreensão adequada do significado e importância do direito à privacidade e à proteção de dados pessoais. A afirmativa é óbvia, mas é fato que, ao se refinar o conceito dos aludidos direitos, há boas polêmicas a serem enfrentadas.

A lei reflete certa indefinição em torno do conceito jurídico de privacidade e proteção de dados pessoais. Um dos desafios do intérprete e aplicador da LGPD é, reitere-se, compreender adequadamente esses termos. A importância é ainda maior ao se considerar que a LGPD possui vários conceitos indeterminados e cláusulas gerais. Definir o sentido e alcance das referidas expressões — até mesmo para concluir que são faces de uma única ideia — é diretriz hermenêutica fundamental para aplicação correta e simplificação da norma.

O direito à privacidade nasce simbolicamente no ano de 1890, quando se publica, na Havard Law Review, o ensaio "The right to privacy", de autoria de Samuel Warren e Louis Brandeis [1]. O trabalho foi uma reação ao exagero da imprensa em divulgar mexericos do salão a respeito da mulher de Samuel Warren, que, também, era filha de um senador, Louis Brandeis que foi, posteriormente, influente integrante da Suprema Corte dos Estados Unidos.

No ensaio, desenvolveu-se o significado e importância da expressão do direito de ser deixado em paz — right to be let alone. Ao examinar alguns precedentes judiciais, referentes à propriedade, direitos autorais e difamação, os autores concluíram que se poderia extrair das decisões um direito geral à privacidade.

Entre outros aspectos, os autores já alertavam, no final do século 19, sobre riscos à privacidade decorrentes dos novos inventos. A literatura especializada coloca em alto relevo este ponto. O avanço tecnológico na área informática apresenta, ao lado de inúmeros benefício, ameaças à privacidade e seu aspecto mais sensível: a ideia de proteção de dados pessoais.

Se é certo que, em sua origem, a privacidade estava associada ao direito de ser deixado em paz — right to be let alone —, a preocupação contemporânea se dirige a proteger o cidadão e consumidor em face dos modernos — e cada vez mais eficientes e sofisticados — mecanismos da informática de tratamento (coleta, armazenamento, difusão) de dados.

A evolução tecnológica aumenta exponencialmente a capacidade e velocidade de processamento de dados pessoais. Em tempos de big data, o consumidor, o cidadão, está completamente vulnerável e exposto a uma permanente coleta, armazenamento e divulgação de seus dados pessoais. Na maior parte das vezes, sem qualquer transparência ou mesmo ciência sobre este tratamento. Dados pessoais são coletados a partir de navegação na internet, ao se baixar e utilizar inúmeros aplicativos para smartphones, em visitas a lojas virtuais, nas manifestações e curtidas nas redes sociais.

Na posse de infindáveis informações pessoais e por meio de algoritmos e inteligência artificial, criam-se perfis digitais que vão representar o indivíduo no relacionamento perante a sociedade e governo. E é a partir de tais perfis — e não mais nas características reais da pessoa — que se decide se o consumidor é merecedor de crédito, se pode ingressar em determinado estabelecimento, se o cidadão pode usufruir algum serviço público ou mesmo atravessar a fronteira do país vizinho.

A Lei Geral de Proteção de Dados Pessoais, ao mesmo tempo que reconhece a importância do tratamento de dados para desenvolvimento econômico e tecnológico, objetiva conferir instrumentos para que a pessoa tenha certo controle e autonomia em relação ao que é feito com seus dados (direito à autodeterminação informativa)

Em que pese haver alguma divergência conceitual, inclusive quanto à autonomia do direito à proteção de dados pessoais em relação à privacidade, existem alguns consensos que são importantes diretrizes hermenêuticas para a aplicação da LGPD.

Entre as incertezas, algumas certezas precisam ser pontuadas: o direito à privacidade ou, para alguns, o direito à proteção de dados pessoais integra os direitos da personalidade, o que atrai para a compreensão dos atributos desses direitos. Destacam-se aqui duas caraterísticas: o caráter absoluto e o grau de disponibilidade.

Quando se afirma que os direitos da personalidade são absolutos não significa que eles possuem superioridade com relação a outros direitos. O significado é de oponibilidade erga omnes, ou seja, o sujeito passivo são todos os outros, pessoas naturais ou jurídicas, de direito público ou privado.

Por não se tratar de direito absoluto –— no sentido de superioridade hierárquica —, o legislador, tendo em vista outros valores constitucionais, como o direito à informação, a liberdade de expressão, o desenvolvimento econômico etc., pode estabelecer restrições e limites à privacidade.

É legítimo e constitucional a edição de lei para, em determinado contexto, possibilitar ou determinar o tratamento de dados pessoais, independentemente de consentimento do titular.

O exemplo mais contundente dessa possibilidade de limitação do direito à privacidade vem do Código de Defesa do Consumidor (Lei 8.078/90), cujo artigo 43 possibilita o tratamento de dados pessoais do consumidor para fins de análise de risco de concessão de crédito. Independentemente da vontade do consumidor ou de sua concordância, permite-se que as dívidas vencidas e não pagas sejam registradas nas entidades de proteção ao crédito.

Atendidos os pressupostos normativos específicos (informação verdadeira, comunicação prévia, limite temporal etc.), o fornecedor pode inscrever o nome do consumidor em banco de dados de proteção ao crédito. Cuida-se de exercício regular de direito que, por óbvio, não enseja qualquer sanção jurídica.

Outro ponto merece ser destacado. A vontade do titular ganha dimensão especial em relação a alguns direitos da personalidade. É o que ocorre no direito à privacidade. A legislação reconhece a vontade como forma legitimadora do tratamento de dados pessoais. Se o titular, em ambiente de transparência e informação, manifesta concordância com o tratamento de seus dados, não há que se falar em ilicitude do tratamento de dados.

Não é à toa que a LGPD, logo no inciso I do artigo 7º, institui o consentimento do titular como base legitimadora do tratamento de dados pessoais. A importância da autonomia do titular evidencia-se também por ser hipótese autorizadora de tratamento de dados sensíveis (artigo 11, I).

Essa perspectiva que ressalta a liberdade e autonomia do indivíduo traz outras consequências.

Não é aceitável postura hermenêutica no sentido de que a privacidade ou a proteção de dados pessoais deve ser considerada uma espécie de dever, e não um direito.

O direito à privacidade, a proteção de dados pessoais, deve servir, antes de tudo, para promover a personalidade humana, privilegiando-se escolhas e decisões individuais, sob pena de tornar-se em verdadeiro e indesejado dever de privacidade.

Afinal, a liberdade, a possibilidade de autodeterminação é importante aspecto da própria dignidade humana. Como observa Jorge Reis Novais, "a titularidade de uma qualquer posição de direito fundamental envolve, em princípio, o poder de disposição sobre todas as possibilidades de ação que dela decorrem, momento o poder de disposição acerca do 'se', do 'quando' e do 'como' do seu exercício (ou não exercício) fático" [2].

Não se cuida, portanto, de se impor obrigatoriamente proteção de privacidade, mas de oferecer instrumentos necessários para, a partir de escolhas individuais, determinar a medida e em que circunstâncias dados pessoais podem ser objeto de tratamento. "O direito à privacidade deve centrar-se na proteção das decisões individuais em matéria de privacidade e não na promoção de uma determinada concepção acerca deste bem. É que numa sociedade composta por milhões de indivíduos portadores das mais diversas, incomensuráveis e antagônicas concepções mundividenciais e valorativas e, frequentemente, portadores de interesses e objectivos completamente diferentes, é impossível e indesejável impor a todos eles uma determinada concepção de privacidade e muito menos transformar unidimensionalmente o direito à privacidade num dever de privacidade" [3].

Assim, nas hipóteses em que não o legislador não atua, impondo ou permitindo o tratamento de dados, não se deve conceber a tutela de dados pessoais como um dever a ser observado pelos respectivos titulares. A autodeterminação informativa prestigia justamente a liberdade para exercício de escolhas individuais, para decidir livremente o que fazer com seus dados pessoais.