Gestão informacional no processo penal e autodeterminação informativa
Autores
7 de outubro de 2023, 6h11
"Faça primeiro, pergunte depois". Esse foi o lema que guiou a atuação dos órgãos de acusação brasileiros na era das grandes operações, que teve seu ápice com a "lava jato". Os maxiprocessos, via de regra, diziam respeito — e ainda dizem, mas isso era ainda mais comum no auge do lavajatismo — aos crimes de organização criminosa, lavagem de capitais e outra meia dúzia de delitos financeiros.
As ações penais eram essencialmente pro forma e ritualísticas, pois costumavam desrespeitar as mais elementares regrais processuais e constitucionais. Neste cenário, o Conselho de Controle de Atividades Financeiras (Coaf) (e seus Relatórios de Inteligência Financeira — RIFs) ganharam forte protagonismo, no passo em que permitiam um olhar extremamente profundo na vida financeira de qualquer indivíduo [1]. Súbito, deparamo-nos com o uso de RIFs como a regra, e não a exceção.
Os RIFs são documentos que contêm informações relacionadas a transações financeiras. Esses relatórios, produzidos por entidades financeiras, instituições financeiras não bancárias, bem como outras organizações sujeitas a regulamentação, são recepcionados e analisados pelo Coaf, órgão este que pode direcionar as informações emitidas por empresas e indivíduos obrigados às autoridades responsáveis pela investigação de possíveis infrações penais, conforme estabelecido no artigo 15 da Lei n° 9.613/1998.
A gestão informacional no processo penal tem sido tema de importantes análises, especialmente, depois do julgamento, com repercussão geral, do Recurso Extraordinário 1.055.941, pelo Supremo Tribunal Federal (Tema 990), que tratou exatamente dos limites e requisitos à utilização judicial dos RIFs produzidos pelo Coaf. O julgamento destinou-se a determinar se era necessária ou não a autorização judicial prévia para que houvesse o compartilhamento de informações financeiras sigilosas, por meio de RIFs, entre o Coaf e os órgãos de investigação criminal [2].
Ficou estabelecido, pela decisão, que o compartilhamento dos RIFs com tais órgãos, mesmo sem autorização judicial, era constitucional, "devendo ser resguardado o sigilo das informações em procedimentos formalmente instaurados e sujeitos a posterior controle jurisdicional". Além disso, também se impôs que todas as comunicações entre o Coaf e as autoridades de persecução penal deveriam ocorrer por meios formais, "com garantia de sigilo, certificação do destinatário e estabelecimento de instrumentos efetivos de apuração e correção de eventuais desvios"[3]. Assim, o artigo 15 foi sedimentado como verdadeira norma de autorização para o compartilhamento de informações sem a imposição de uma decisão judicial para tanto [4].
Vale lembrar que este julgamento ocorreu em 2019, antes mesmo da entrada em vigor da LGPD, projetada apenas para o ano seguinte, ou de discussões mais profundas acerca da dimensão de direito fundamental da proteção de dados pessoais [5].
Muito se discute sobre a aplicação principiológica da LGPD nos contextos de segurança pública e atividades de investigação e repressão de infrações penais. O artigo 4º da referida Lei[6], ao prever que tal tratamento seria regido por legislação específica, não explicita se os fundamentos e princípios previstos na LGPD poderiam ser aplicados independentemente de uma lei especial destinada à esfera penal.
Por isso, a redação do artigo 4º pode dar azo a interpretações opostas: 1) a primeira, de que a LGPD Penal é instrumento à parte da Lei 13.709/18 e, portanto, não há que se presumir a aplicação de um ou de outro princípio ou fundamento, ou 2) que os direitos e princípios previstos na LGPD se aplicam mesmo na ausência da LGPD Penal, que ainda se encontra na fase de anteprojeto, sendo esta última interpretação mais coerente com o ecossistema de proteção de dados pessoais pátrio.
O conceito de autodeterminação informacional, hoje disposto como fundamento da disciplina de proteção de dados no artigo 2º da LGPD foi inaugurado na jurisprudência alemã, pelo Tribunal Constitucional Federal da Alemanha (Bundesverfassungsgericht), tendo sido desenvolvido durante a segunda metade do século 20 e alçado a um dos princípios fundamentais da proteção de dados contemporânea.
A autodeterminação informativa contempla a capacidade e o direito de um indivíduo ter controle sobre a coleta, o tratamento, o uso e a divulgação de suas informações pessoais, sejam elas sensíveis ou não. Em outras palavras, então, concentra-se nas mãos dos titulares de dados o poder de decisão sobre o que é feito com o seu corpo eletrônico, sendo este aquele constituído pelos rastros informacionais deixados nas redes sociais, nos sites, naquilo que é postado e compartilhado e que tanto revela sobre o indivíduo (Peck. 2020 [7]).
Ao titular, portanto, incumbe o que será feito de suas informações pessoais quando sob a chancela de terceiros, sejam organizações, governos ou quaisquer entidades. Esse princípio nada mais é do que um braço da cidadania, já que instrumentaliza o princípio da dignidade da pessoa humana ao elevar os indivíduos ao papel de protagonistas na discussão da proteção de dados e, por outro lado, ao se colocar como instrumento de chancela ante aqueles que se sobrepõem aos titulares de dados, como o mercado e a força do Estado.
Uma perspectiva crucial da autodeterminação informacional, aliás, é a finalidade no tratamento de dados, prevista no artigo 6°, I, da LGPD, que define que os dados pessoais devem ser coletados para uma finalidade clara, legítima e limitada, previamente informada ao titular. É que os titulares devem saber, desde o primeiro momento, por que suas informações estão sendo coletadas — e qualquer uso subsequente dos dados para finalidades distintas daquelas inicialmente declaradas viola o princípio da finalidade e, consequentemente, a autodeterminação informacional.
Ao garantir que as informações pessoais só sejam utilizadas de maneira compatível com a finalidade originalmente estabelecida, a autodeterminação informacional protege os indivíduos contra o uso indevido ou abusivo de seus dados. Isso implica que as organizações que coletam e processam dados pessoais devem ser transparentes em relação às suas práticas e devem obter o consentimento dos titulares de dados quando desejarem utilizar esses dados para finalidades adicionais.
O tom desse debate já havia sido adiantado pelo ministro Luis Felipe Salomão quando, ao fundamentar o acórdão proferido no escopo do REsp n° 1.168.547/RJ [8], julgado ainda em 2010, declarou que "[c]om o desenvolvimento da tecnologia, passa a existir um novo conceito de privacidade, sendo o consentimento do interessado o ponto de referência de todo o sistema de tutela da privacidade, direito que toda pessoa tem de dispor com exclusividade sobre as próprias informações".
Nesse contexto, a autorização sedimentada pelo STF para o compartilhamento de informações entre o Coaf e eventuais órgãos de persecução penal suscita preocupações legítimas quanto à conformidade com esse princípio fundamental, uma vez que tal fluxo de dados pode ser visto como um desvio de finalidade, comprometendo, assim, a soberania dos indivíduos, circunscrita ao princípio.
Por outro lado, para uma análise adequada acerca de eventual prejuízo decorrente da decisão do Supremo Tribunal Federal à luz dos princípios consolidados pela LGPD, é inegociável dar alguns passos atrás e abordar o caráter não absoluto da autodeterminação informativa. É que, em certas situações, a prevenção de condutas ilícitas, o interesse público, a segurança nacional ou outros imperativos legais devem ser sopesados na equação, podendo justificar restrições ao controle inquestionável dos titulares sobre suas informações pessoais.
No ano de 2020, o STF teve nova chance de se debruçar sobre o princípio da autodeterminação informativa. Na oportunidade, a Corte analisou a constitucionalidade da Medida Provisória 954/2020, que determinava o compartilhamento de informações de clientes de empresas de telecomunicações com o Instituto Brasileiro de Geografia e Estatística (IBGE) a fim de viabilizar a realização da Pesquisa Nacional por Amostra de Domicílios Contínua no curso da pandemia.
Em análise liminar realizada no escopo da ADI 6.387 [9], a ministra relatora Rosa Weber determinou a imediata suspensão dos efeitos da MP que, a posteriori, seria referendada em plenário. Chama-se a atenção, contudo, não para o exercício revisional acerca da constitucionalidade da Medida, mas aos argumentos adotados pela ministra naquela oportunidade: não é que o compartilhamento de dados tenha sido rechaçado per si, mas ponderou-se, outrossim, 1) que a Medida Provisória não teria previsto mecanismos e procedimentos capazes de garantir a integridade, o sigilo e o anonimato dos dados cujo compartilhamento havia sido proposto, 2) que não havia interesse público capaz de justificar a gravosa medida de compartilhamento de dados de milhões de titulares e 3) que a norma falhava em transparência por não definir a forma e o objetivo da utilização dos dados que seriam coletados.
Noutras palavras, tivesse a medida provisória efetivamente se alinhado aos princípios da LGPD, deixando claros os motivos da coleta e do tratamento de dados, as ferramentas de segurança que seriam empregadas, e sob qual base legal o processo proposto se justificaria, o compartilhamento poderia ter sido mantido.
Ao fim — ainda que nas entrelinhas — é possível depreender que a autodeterminação informativa é, portanto, modulável. Como bem pontuado por Leonardo Roscoe Bessa [10], os contornos da vontade podem ser delimitados pelo titular, de acordo com sua autonomia, pelo legislador, que pode restringir o princípio ante à presença de interesse público ou outro direito de igual relevância e, também, pelo intérprete, se, nas palavras do autor, aplicável a base legal do legítimo interesse (artigo 7°, IX, da LGPD) ou mesmo, excedendo-se às conclusões do estudioso, quando aplicáveis outras bases legais como aquelas elencadas nos demais parágrafos do artigo 7° da LGPD — como para o cumprimento de obrigação legal ou regulatória (artigo 7°, II, da LGPD), ou para o tratamento e uso compartilhado de dados pela administração pública quando necessários à execução de políticas públicas (artigo 7°, III, da LGPD).
E, nesse contexto, como fica o permissivo de compartilhamento de dados do qual goza o COAF, definido pelo STF em 2019 e passado à frente desde então pelo STJ?
Em que pese a posição das cortes superiores, não há um posicionamento doutrinário uníssono sobre o assunto. Sob o primeiro prisma, há quem argumente que o compartilhamento de RIF's pelo Coaf, sem que haja autorização judicial prévia, é adequado na medida em que há previsão legislativa nesse sentido — o que, em tese, abarcaria uma espécie de "finalidade repressiva" no uso de tais dados quando da sua coleta.
Fato é que essa tese não se sustenta, visto que o Coaf possui caráter de órgão de inteligência, e não de repressão. Este entendimento, aliás, encontra chancela no amplo acesso a dados de natureza privada e sigilosa que lhe é autorizado, eis que quanto maior a possibilidade de intervenção estatal, menor a sua autorização informacional, e vice-versa [11].
A interação legislação x interesses públicos x proteção de direitos individuais permanece em constante evolução — especialmente quanto àqueles entendimentos sedimentados previamente ao advento da LGPD. Sendo assim, é imperativo que se continue a explorar esses temas em busca um equilíbrio que atenda às necessidades da sociedade contemporânea e garanta segurança jurídica concreta, e não apenas teórica.
[1] BOTTINI, Pierpaolo. Os limites da atuação do Coaf (2021). Disponível em https://www.conjur.com.br/2021-mar-29/direito-defesa-limites-atuacao-coaf
[2] ESTELLITA, Heloísa. O RE 1.055.941: um pretexto para explorar alguns limites à transmissão, distribuição, comunicação, transferência e difusão de dados pessoais pelo Coaf. Direito Público, 18(100) (2022).
[3] Ibid. e RE 1.055.941.
[4] LEITE, Alaor. TEIXEIRA, Adriano. Gestão do Poder Informacional do Processo Penal no RHC 147.707-STJ (2023). Disponível em https://www.conjur.com.br/2023-set-14/leite-teixeira-gestao-poder-informacional-processo-penal
[5] ESTELLITA, H. Op. Cit.
[6] Artigo 4º Esta Lei não se aplica ao tratamento de dados pessoais:
(…) III – realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
(…)
1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.
[7] PECK, Patricia. Proteção de Dados Pessoais: Comentários à Lei nº 13.709/2018 – LGPD. Saraiva Educação S.A., v.3, 2020.
[8] STJ. Recurso Especial n° 1.168.547/RJ. Relator: min.=istro Luis Felipe Salomão. J. em 11/05/2020. Disponível em https://www.jusbrasil.com.br/jurisprudencia/stj/19128034?_gl=1*kbui6a*_ga*MTIxNzkwMzc2OS4xNjk1MzMyODI2*_ga_QCSXBQ8XPZ*MTY5NjM2OTk3NC41LjEuMTY5NjM3MDQ5MC42LjAuMA. Acesso em 03 out. 2023.
[9] STF. Ação Direta de Inconstitucionalidade n° 6.387. Relatora ministra Rosa Weber. J. em 07/05/2020. Disponível em https://jurisprudencia.stf.jus.br/pages/search?classeNumeroIncidente=%22ADI%206387%22&base=acordaos&sinonimo=true&plural=true&page=1&pageSize=10&sort=_score&sortBy=desc&isAdvanced=true. Acesso em 03 out. 2023.
[10] Leonardo Roscoe Bessa, "A LGPD e o direito à autodeterminação informativa". GenJurídico, 2020. Disponível em http://genjuridico.com.br/2020/10/26/lgpd-direito-autodeterminacao-informativa/. Acesso em 3 out. 2023.
[11] ESTELLITA, Heloísa. O acesso do MP a dados protegidos por sigilo e a decisão do STJ (2022). Disponível em https://www.conjur.com.br/2022-fev-17/estellita-acesso-mp-dados-sigilo-fiscal-stj Também, ESTELLITA, H. O RE 1.055.941.
Encontrou um erro? Avise nossa equipe!