A proteção de dados alçada a direito fundamental na Constituição brasileira

Em sessão solene realizada no último dia 10, o Congresso Nacional promulgou a Emenda Constitucional 115 (EC 115), que incluiu a proteção de dados pessoais na categoria de direitos e garantias fundamentais constantes do artigo 5º da Constituição Federal. Com isso, o referido dispositivo passa a conter o inciso LXXIX, com a previsão de que "é assegurado, nos termos da lei, o direito à proteção de dados pessoais, inclusive nos meios digitais" [1].

A elevação do direito à proteção de dados à positivação constitucional vai ao encontro da recente jurisprudência do Supremo Tribunal Federal. Nesse sentido, vale rememorar que em julgamento recente sobre a inconstitucionalidade da Medida Provisória 954/2020 — a qual previa o compartilhamento de dados dos usuários de telecomunicações com o Instituto Brasileiro de Geografia e Estatística (IBGE) para a produção de estatística oficial durante a pandemia, fundamentando-se na impossibilidade de realização de pesquisas presenciais — a corte reconheceu que a proteção de dados deveria ser considerada um direito fundamental em decorrência da interpretação de outros dispositivos elencados no artigo 5º.

Na oportunidade, a ministra relatora, Rosa Weber, manifestou em seu voto a existência da "necessidade de tutela do direito fundamental à proteção de dados pessoais, a teor do artigo 5º, XII, da CF, que assegura a inviolabilidade do sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, ressalvada a relativização, nessa última hipótese, mediante ordem judicial e para fins de persecução penal" [2].

Ainda, segundo o ministro Luiz Fux, "a proteção de dados pessoais e a autodeterminação informativa são direitos fundamentais autônomos, que envolvem a tutela jurídica e âmbito de incidência específicos. Esses direitos são extraídos da interpretação integrada da garantia da inviolabilidade da intimidade e da vida privada (artigo 5º, X), do princípio da dignidade humana (artigo 1º, III) e da garantia processual do habeas data (artigo 5º, LXXXII), todos previstos na Constituição Federal de 1988".

A partir dessa decisão, o STF se reposiciona em relação à sua jurisprudência, cujo RE 418.416-8/SC é um exemplo mencionado no acórdão em comento. Nos termos do próprio acórdão, na concepção tradicional do direito à privacidade, apresentava-se como "uma dicotomia entre as esferas pública e privada, colmatando-se o núcleo da proteção jurídica como o direito de ser deixado só ("the right to be left alone"). Em sentido fortemente individualista, a proteção atribuída ao direito à privacidade voltar-se-ia, portanto, a reconhecer uma posição estática e absenteísta do Estado: o direito do titular de retrair aspectos de sua vida do domínio público".

Em contraposição a essa compreensão tradicional e limitante, considerou-se que "a tutela de um direito fundamental à proteção de dados não mais se adstringe à demarcação de um espaço privado, mas, antes, afirma-se no direito à governança, transparência e sindicabilidade do tratamento de dados compreendidos em acepção abrangente".

Apesar de estar contido implicitamente em normas constitucionais, o prévio reconhecimento da proteção de dados como direito fundamental pelo STF e a sua recente positivação constitucional colocam o Brasil ao lado de outras experiências internacionais positivas no tratamento do tema. Cumpre destacar que, desde 1983, o Tribunal Constitucional Federal da Alemanha já considera a proteção de dados como um direito fundamental a partir do julgamento de reclamações constitucionais ajuizadas contra o recenseamento geral da população determinado pela Lei do Censo daquele ano (Volkszählungsurteil).

Em 2014, o Tribunal Europeu proferiu decisão paradigmática sobre o tema no caso Google Espanha contra AEPD e Mario Costeja Gonzáles, determinando que a página de pesquisa virtual é responsável pelo tratamento de informações pessoais que efetua, ainda que as publicações sejam realizadas por terceiros.

No âmbito legislativo, destaca-se a Diretiva de Proteção de Dados de 1995, que já previa, por exemplo, o "direito de apagar", hoje conhecido como "direito ao esquecimento". Por outro lado, em seu artigo 8º, a Carta dos Direitos Fundamentais da União Europeia prevê que "todas as pessoas têm direito à protecção de dados de caráter pessoal que lhes digam respeito” e que “esses dados devem ser objeto de um tratamento leal, para fins específicos e com consentimento da pessoa interessada ou com outro fundamento legítimo previsto em lei. Todas as pessoas têm o direito fundamental a aceder aos dados coligidos que lhes digam respeito e de obter a respectiva retificação" [3].

A regulamentação legislativa, que substituiu a referida diretriz de 95, consiste no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), cujo aparato conceitual inspirou o correspondente legislativo brasileiro — a Lei Geral de Proteção de Dados (LGPD) —, sendo certo que a experiência europeia vem sendo utilizada como referência para interpretação de diversas questões sobre o tema, que vem pouco a pouco surgindo no Brasil, conforme a LGPD vai se sedimentando no país.

A lei brasileira traz, como seus fundamentos, valores como o respeito à privacidade, à liberdade de expressão, de informação, de comunicação e de opinião, à inviolabilidade da intimidade, da honra e da imagem (artigo 1º). Ademais, apresenta conceitos como o de autodeterminação informativa e de livre desenvolvimento da personalidade (artigo 2º). A LGPD ainda espelha conceitos como o da finalidade do tratamento, adequação, necessidade, transparência, entre outros (artigo 6º) previstos no GDPR. Em seu artigo 5º, a LGPD define como dado pessoal "informação pessoal relacionada a pessoa natural identificada ou identificável" [4], especificando, ainda, as categorias de dado pessoal sensível e dado anonimizado.

Pode-se afirmar, portanto, que a emenda constitucional em comento apenas sacramentou o status constitucional inerente à proteção de dados. Apesar de não inovar normativamente, a positivação deste direito na Constituição torna ainda mais explícita a sua relevância e sua crescente presença nas relações sociais.

Naturalmente, o conceito de dado pessoal não se resume aos dados que se encontram no ambiente virtual. Contudo, diante da aceleração do desenvolvimento tecnológico e a sua crescente presença na vida pessoal, institucional e econômica, a regulamentação e a defesa de prerrogativas constitucionais no tratamento de dados pessoais se tornam um dos grandes imperativos e desafios contemporâneos à comunidade jurídica.

Como foi reconhecido pelo STF, a proteção de dados já não pode ser compreendida como um simples exercício negativo do Estado em relação aos indivíduos, mas como um direito/dever dos agentes sociais públicos e privados agora sacramentado na Constituição, e que vem reclamando esforços de diversos setores, em especial dos operadores do Direito, para permear as relações jurídicas e alcançar, na prática, o status concedido agora pela Lei Maior.