Perspectivas sobre a legislação de proteção de dados pessoais

Mais um ano chega ao fim, valendo a pena acompanhar o desenvolvimento e perspectivas da legislação sobre privacidade e proteção de dados.

A normativa referente à privacidade e proteção de dados amadureceu no agitado ano de 2022. Em seu crepúsculo é relevante fazer um balanço e retrospectiva sobre avanços, assim como desenhar perspectivas para o futuro.

Spacca

Os debates acerca do direito à privacidade e à proteção de dados são razoavelmente recentes, remontando-se ao período pós-guerra. Regimes totalitários utilizaram dados pessoas como ferramenta de perseguição de seus "inimigos" durante a 2ª Grande Guerra Mundial, estimulando o debate sobre a necessária proteção da privacidade e demais direitos individuais. A título exemplificativo, a obra 1984, de George Orwell, publicada em 1949, retrata uma sociedade utópica onde a vigilância do estado e violação da privacidade são uma constante.

Em 1948, a Declaração Universal dos Direitos Humanos estipulou que ninguém "(…) será sujeito à interferência na sua vida privada, na sua família, no seu lar ou na sua correspondência, nem a ataque à sua honra e reputação". Semelhantemente, em 1950, a Convenção Europeia dos Direitos do Homem colocou que qualquer pessoa "(…) tem direito ao respeito da sua vida privada e familiar, do seu domicílio e da sua correspondência" (Artigo 8º).

O direito à privacidade possuía originalmente uma compreensão distinta, podendo ser sumarizada como o "direito de ser deixado em paz". Nas décadas que seguiram, contudo, o desenvolvimento tecnológico e a utilização de dados em massa proporcionam uma revisão dessa interpretação.

Em 1977, foi editada a Lei Federal Alemã de Proteção de Dados (Bundesdatenschutzgesetz); e, em 1983, o Tribunal Constitucional Federal Alemão (Bundesverfassungsgericht) julgou o que ficou conhecido como "caso do censo", que reconheceu como direito fundamental à autodeterminação informativa.

Autodeterminação informativa pode ser definida como o poder permanente de controle sobre os próprios dados pessoais. Trata-se de uma medida de empoderamento, colocando o exercício de decisão sobre ao uso dos dados na mão de seu próprio titular. A abrangência do direito à privacidade, portanto, ampliou-se, exigindo uma postura ativa na proteção da privacidade.

Tal interpretação se mostrou fundamental para às décadas subsequentes, onde os dados gradativamente passam a ser tratados como ativos, com valor econômico e comercial. Nos termos da revista The Economist, os dados são o petróleo da era digital.

Em 1995, a União Europeia (UE) promulgou a Diretiva 95/46/CE, exigindo de seus membros adoção de legislação especifica. Essa foi substituída em 2016 pelo Regulamento Geral de Proteção de Dados Pessoais (RGPD/GDPR), legislação autoaplicável e referência no tema.

Isso não impediu o surgimento de escândalos envolvendo dados, cabendo destacar dois deles. O primeiro envolve o WikiLeaks, em que, entre 2007 e 2012, divulgou documentos sigilosos envolvendo países e líderes políticos, expondo especialmente esquemas de espionagem conduzido pelos Estados Unidos. Já o segundo, diz respeito ao caso Facebook-Cambridge Analytica, em 2018, onde os dados de mais de 50 milhões de pessoas foram utilizados irregularmente para realizar propaganda política e, assim, induzir os resultados em eleições. Ambos fomentaram o debate e elaboração de legislações, seja em âmbito nacional ou internacional.

No Brasil, a Constituição de 1988 estabelece a inviolabilidade da intimidade, vida privada e casa (artigo 5º, X e XI), assim como o sigilo da correspondência e comunicações telegráficas (artigo 5º, XII). Infraconstitucionalmente, destaca-se o Código de Defesa do Consumidor (Lei Federal nº 8.078/1990) e o Marco Civil da Internet (Lei Federal nº 12.965/2014), que regulam o comercio eletrônico com consumidores e regula o uso da internet no país, respectivamente.

Em 2018, é promulgada a Lei Geral de Proteção de Dados (LGPD, Lei Federal nº 13.709, de 14 de agosto de 2018), que visa a proteger os dados pessoais. A legislação adotou premissas e boas práticas internacionais, incluindo a autodeterminação informativa, a fim de adequar a legislação nacional ao panorama mundial. Não obstante, criou a ANPD (Autoridade Nacional de Proteção de Dados), responsável por zelar pela proteção dos dados pessoais, notadamente quanto a sua regulamentação e fiscalização.

Em maio de 2020, o Supremo Tribunal Federal (STF) suspendeu norma que permitia o compartilhamento de dados de usuários de telecomunicações com o IBGE (Instituto Brasileiro de Geografia e Estatística), situação em que reconheceu a proteção de dados pessoais e autodeterminação informativa como direito fundamental. No início desse ano, o Congresso promulgou a Emenda Constitucional nº 115, de 10 de fevereiro de 2022, incluindo a proteção de dados no texto constitucional (artigo 5º, LXXIX) e colocando a sua organização e fiscalização como competência da União (artigo 21, XXVI).

Além disso, nesse ano, a ANPD foi transformada em autarquia de natureza especial (Lei nº 14.460, de 25 de outubro de 2022). Essa, por sua vez, coletou subsídios para a elaboração de normas, destacando-se aqueles referentes à dosimetria e aplicação de sanções administrativas, transferência internacional de dados e tratamentos em larga escala ou de alto risco.

Vê-se na ANPD um foco em sua atuação orientativa e pedagógica, demonstrada pela publicação de diversos materiais educativos, como o Guia Orientativo Cookies e Proteção de Dados Pessoais, a nova versão do Guia dos Agentes de Tratamento e o estudo técnico sobre tratamento de dados pessoais para fins acadêmicos e para a realização de estudos por órgão de pesquisa. Sem prejuízo, ainda em janeiro, norma referente à aplicação da LGPD para agentes de pequeno porte (Resolução CD/ANPD nº 2/2022) foi publicada.

No judiciário, o STF, ao julgar a ADI 6649 e ADPF 695, decidiu que órgãos e entidades da administração pública federal podem compartilhar dados pessoais entre si, com a observância de alguns critérios, incluindo a LGPD. Já o Tribunal Superior Eleitoral (TSE), em agosto, avaliando os impactos da LGPD no contexto eleitoral, decidiu que dados de candidatas e candidatos devem ser públicos.

Sobre as perspectivas futuras, a ANPD divulgou agenda regulatória para o biênio 2023-2024 (Portaria ANPD nº 35, de novembro de 2022), onde pretende avançar sobre assuntos que geram duvidas e demandam um posicionamento oficial, priorizando-se a regulamentação da dosimetria e aplicação de sanções administrativas, do exercício dos direitos dos titulares, do encarregado de proteção de dados, da transferência internacional de dados, da comunicação de incidentes de segurança e do relatório de impacto à proteção de dados (RIPD).

Não obstante, o uso de inteligência artificial tem se mostrado crescente, atraindo atenção de governos e da sociedade. O tema consta na agenda da própria ANPD e é objeto do Projeto de Lei (PL) nº 21/2020. Inclusive, ainda em novembro, foi apresentado também o PL nº 2821/2022, que altera o Marco Civil da Internet para prever expressamente a proteção contra a discriminação algorítmica.

Há também o constante debate sobre a intitulada "LGPD Penal", a qual traria regras para o tratamento de dados no contexto de segurança pública, defesa nacional de atividades de investigação. Contudo, essa discussão vem enfrentando constantes entraves e certa resistência, de modo que se pode esperar que a legislação não seja elaborada em um futuro próximo.

A preocupação com o Estado controlador e vigilante, novas tecnologias e uso ético das informações permeiam a história das sociedades modernas. Temas que eram debatidos no pós guerra ainda se mostram atuais e relevantes, costurando o modo de viver e, consequentemente, as diferentes legislações. Presente e futuro exigem constante atenção à privacidade para que não se cometa os erros e abusos do passado.