Opinião

A proteção de dados pessoais na Constituição: o impacto da EC 115

Autor

  • Ursula Ribeiro de Almeida

    é advogada e sócia de Boiteux Advogados doutora e mestre em Direito pela Faculdade de Direito da Universidade de São Paulo (USP) DPO certificada pela Maastricht University membro da Comissão de Litigância Estratégica da OAB/SP e do Instituto Brasileiro de Direito Processual (IBDP) professora coordenadora do Grupo de Estudos Avançados de Processo (Geap) da Fundação Arcadas (USP) e professora da pós-graduação de Processo Civil da USP/ASSP.

27 de fevereiro de 2022, 11h14

Sem categoria

A Lei Geral de Proteção de Dados (Lei n° 13.709/2018) foi sancionada em 2018, época em que a proteção de dados pessoais era pouco conhecida pelo público em geral. Considerando o seu impacto em diversos segmentos de atividades, públicos e privados, e a complexidade de adequação à LGPD, o legislador concedeu o prazo de dois anos para o início da sua vigência, ou seja, para que fosse efetivamente aplicável. O marco inicial de vigência da LGPD, previsto para agosto de 2020, coincidiu com a crise generalizada provocada pela pandemia da Covid-19, por isso se deu um impasse quanto à sua entrada em vigor. Superadas as discussões, a LGPD entrou em vigor em 18 de setembro de 2020 e as penalidades administrativas podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) desde 1° de agosto de 2021.

A relevância da proteção de dados pessoais no cenário nacional é crescente desde 2020. Nesse sentido, citamos relevante precedente do Supremo Tribunal Federal, que deferiu medida cautelar em ação direta de inconstitucionalidade para suspender a eficácia da Medida Provisória nº 954/2020, que previa o compartilhamento de dados dos usuários dos serviços telefônicos pelas empresas prestadoras de serviços com o Instituto Brasileiro de Geografia e Estatística (IBGE). De acordo com a decisão relatada pela ministra Rosa Weber, a Medida Provisória nº 954/2020 violava o direito à proteção de dados pessoais, que decorria dos direitos constitucionais de liberdade individual, da privacidade e do livre desenvolvimento da personalidade. Além de o precedente do Supremo consolidar a proteção de dados como um direito decorrente de outros direitos fundamentais, também destacou a relevância do tema para outros tribunais, multiplicando-se o ajuizamento de ações judiciais a respeito de diversos aspectos da proteção de dados.

Nessa esteira, o Congresso Nacional promulgou no último dia 10 a Emenda Constitucional nº 115, que inseriu o inciso LXXIX no artigo 5° da Constituição Federal. Assim, a proteção de dados pessoais foi definitivamente consagrada como um direito fundamental, assim como o direito à vida, de acesso à Justiça e todas as demais garantias constitucionais. Consequentemente, a proteção de dados se torna uma cláusula pétrea, não podendo ser alterada por emendas constitucionais, e atrai a competência do Supremo Tribunal Federal para apreciar a questão no âmbito dos recursos.

Embora a adequação à Lei Geral de Proteção de Dados já seja objeto de atenção de empresas privadas e também de entes públicos, a mudança na Constituição brasileira sinaliza que o Poder Judiciário ficará ainda mais atento às violações à lei, bem como espera-se maior rigor com aqueles que forem negligentes ou imprudentes nas atividades de tratamento de dados pessoais.

Outro aspecto bastante relevante trazido pela Emenda Constitucional nº 115/2022 se deu com a alteração do artigo 21 da Constituição, para atribuir à União a competência exclusiva para "organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei" (inciso XXVI). Ou seja, caberá somente à União a fiscalização quanto ao cumprimento da LGPD e a regulamentação de alguns pontos não disciplinados pela lei, cuja competência é atribuída à Autoridade Nacional de Proteção de Dados. Entretanto, é importante enfatizar que alguns aspectos relacionados à proteção de dados pessoais coincidem com outras matérias, como o Direito do Consumidor e o Direito do Trabalho. Por isso, podemos esperar que órgãos de defesa do consumidor continuem atuando na proteção de dados pessoais de consumidores, quando ficar configurada potencial violação ao Código de Defesa do Consumidor, sendo necessário respeitar a esfera de atuação do referido órgão e da ANPD. A mesma ideia se aplica para os entes competentes para defesa coletiva dos direitos de trabalhadores, como sindicatos e o Ministério Público do Trabalho.

A Emenda Constitucional nº 115/2022 alterou, ainda, o artigo 22 da Constituição Federal para atribuir à União a competência exclusiva para legislar sobre "proteção e tratamento de dados pessoais" (inciso XXX). Ressaltamos que encontramos diversas leis estaduais disciplinando o tratamento de dados pessoais no seu âmbito de atuação. Essas leis podem ser consideradas inconstitucionais a partir de agora? A resposta a essa questão depende do conteúdo das leis locais. É necessário fazer uma interpretação para compatibilizar o artigo 22, inciso XXX, da Constituição Federal com os dispositivos da LGPD que disciplinam o tratamento de dados pessoais pelo poder público.

Segundo a LGPD, as pessoas jurídicas de direito público podem realizar o tratamento de dados pessoais para atender a sua finalidade pública, o interesse público e executar as suas competências legais ou prestar serviço público. Assim como os agentes privados, o poder público deve indicar um encarregado e adotar medidas de segurança e boas práticas no tratamento de dados pessoais. Antes mesmo do início da vigência da LGPD, alguns estados e municípios editaram normas locais para designar seu encarregado e disciplinar alguns aspectos sobre as boas práticas no tratamento de dados pessoais no seu âmbito de atuação. Citamos a título exemplificativo o Decreto do estado de São Paulo nº 65.347, de 09/12/2020, que nomeou o encarregado de proteção de dados, previu as suas atribuições, assim como as do Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo. O Decreto do estado de Pernambuco nº 49.265, de 6/8/2020, institui a Política Estadual de Proteção de Dados Pessoais do Poder Executivo Estadual, em consonância com a LGPD. O estado do Paraná também publicou decretos para regulamentar a aplicação da LGPD no âmbito da Administração Pública estadual direta, autárquica e fundacional do Poder Executivo, para nomear o encarregado, e outro para instituir o Comitê Gestor de Proteção de Dados Pessoais (CGPDP), no âmbito da Controladoria-Geral do Estado.

As legislações estaduais e municipais podem disciplinar o tratamento de dados pessoais no seu âmbito de atuação, desde que observados os dispositivos da LGPD e as diretrizes da Autoridade Nacional de Proteção de Dados. De acordo com o Guia Orientativo da ANPD para tratamento de dados pessoais pelo Poder Público, "a ANPD é o órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para sua implementação, no que se inclui a deliberação administrativa, em caráter terminativo, sobre a interpretação da lei e sobre as suas próprias competências e casos omissos (artigo 55-K, parágrafo único; artigo 55-J, XX)". Assim, as leis locais não podem disciplinar o tratamento de dados pessoais fora do seu escopo de atuação.

Autores

Tags:

Encontrou um erro? Avise nossa equipe!