A proteção de dados pessoais no Brasil tem uma história fascinante e ainda pouco conhecida pelo grande público. O tema está em alta em razão de muitos fatores: o trabalho monumental de Danilo Doneda na autonomização dessa disciplina em trabalho de décadas, a aprovação da Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), o reconhecimento deste direito na Constituição Federal e sua consistente interpretação no Supremo Tribunal Federal.
Quando o primeiro projeto de lei sobre o assunto foi apresentado no Brasil, Doneda tinha apenas sete anos de idade. Muitas pessoas pensam que as discussões sobre proteção de dados pessoais no Brasil são novíssimas, iniciadas neste século. Engana-se quem pensa assim.
Como argumentei com Doneda no ensaio Personality Rights in Brazilian Data Protection Law: a historical perspective, publicado em livro editado por Marion Albers e Ingo Wolfgang Sarlet pela editora Springer, as discussões sobre direitos da personalidade possuem raízes profundas, assim como a construção dos princípios fundantes da proteção de dados pessoais.
Permita-me uma viagem ao tempo. Voltemos ao governo Ernesto Geisel, o quarto da ditadura militar brasileira.
Em 1977, o Serpro – empresa pública criada em 1964, após o golpe, para alavancar a emergente economia de processamento de dados e modernizar a administração pública – estava sendo instrumentalizado pelos militares para lançamento do ambicioso Registro Nacional das Pessoas Naturais, o Renape.
A ideia dos militares era organizar em um único sistema interoperável todos os registros de uma pessoa, como certidão de nascimento, registro geral, cadastro de pessoa física, registros trabalhistas e registros previdenciários. Dedicamos um episódio do podcast Dadocracia a este tema.
Nem todos os militares apoiavam o projeto, que foi formulado de forma opaca, sem anúncios públicos, por cinco anos, com aval do ministro da justiça Alfredo Buzaid. Conforme descobri ao reler os principais jornais da época da década de 1970, o Renape foi criticado por alguns poucos militares dissidentes, que já sinalizavam para riscos e necessidade de novos direitos associados aos usos secundários de dados. Um deles, o coronel José Maria Nogueira Ramos, criticou publicamente o Renape em entrevistas concedidas ao Estado de São Paulo.
Fiquei curioso e fui pesquisar mais a fundo sobre a vida do coronel Nogueira Ramos. Com a ajuda dos funcionários da Biblioteca do Exército do Rio de Janeiro, encontrei textos seus em exemplares da revista A Defesa Nacional sobre o assunto. Foi grande a minha surpresa ao observar que o coronel Nogueira Ramos não só alertava sobre as “potencialidades da informática” em termos de “segurança e dignidade do cidadão”, como também defendia que qualquer política pública de identidade unificada deveria ser precedida da adoção de uma lei “sobre a proteção de dados pessoais”.
Pelo que pude apurar, o coronel Nogueira Ramos era engenheiro de telecomunicações formado no IME e havia exercido o cargo de engenheiro de projetos na União Internacional de Telecomunicações (UIT) entre 1970 e 1973. Provavelmente em razão de sua atuação internacional na UIT, teve contato com os debates de ponta sobre privacy and data protection que estavam sendo travados na Organização para Cooperação e Desenvolvimento Econômico (OCDE) no início da década de 1970.
Ele não só tinha contato com os famosos seminários de junho de 1974 em Paris sobre proteção de dados pessoais – encontro que reuniu figuras como Alan Westin, Stefano Rodotà, Arthur Miller e outros pioneiros dessa disciplina –, como mostrava conhecimento básico sobre os modelos de licenciamento de bancos de dados na Suécia, os novos direitos civis pensados na França e os princípios de informação justa formulados nos EUA (os famosos Fair Information Practices Principles, derivados do importantíssimo relatório Records, Computers and the Rights of Citizens).
Por influência do pioneiro trabalho realizado de forma multissetorial pelo governo dos EUA em 1972 – envolvendo especialistas, membros de empresas de tecnologia, professores acadêmicos e cidadãos que pudessem manifestar opinião pública –, os FIPPs cristalizaram cinco princípios básicos, que formaram a espinha dorsal de muitas legislações de proteção de dados pessoais no século passado: (i) não deve existir um sistema de registro de dados pessoais secreto, (ii) deve existir uma forma pela qual alguém pode descobrir quais informações pessoais estão em um registro e como essas informações são usadas, (iii) deve existir uma forma de uma pessoa prevenir que uma informação utilizada para uma finalidade específica seja utilizada para outra, sem consentimento, (iv) deve existir uma forma alguém corrigir um registro de informação sobre uma pessoa identificável, (v) toda organização que realiza tratamento de dados pessoais deve garantir tratamento leal e prevenir usos abusivos dos dados.
Nos principais círculos de cientistas da computação e de engenheiros de redes do Brasil, já existia preocupação com proteção de dados pessoais e suas relações com catalogação dos cidadãos e democracia. Em revistas como DataNews e Dados & Ideias, pessoas como Ivan da Costa Marques, Mario Dias Ripper, Ricardo Saur e Maria Teresa Oliveira promoveram debates iniciais sobre liberdades informáticas, o impacto do Privacy Act de 1974 nos EUA e os direitos de acesso debatidos no legislativo francês.
Em uma das entrevistas que conduzi na pesquisa que deu origem ao livro A proteção coletiva dos dados pessoais no Brasil, publicado esta semana pela Editora Letramento, ouvi de Luiz Antonio Ewbank, marido da socióloga Maria Teresa Oliveira: “nós íamos para praia, no Rio, e discutíamos esses assuntos por horas, com Ivan e José Ricardo Tauile”. Nessa época, este grupo de jovens lideranças que haviam estudado fora do país, introduziam preocupações comunitárias sobre privacidade e liberdade dentro de comunidades epistêmicas da CAPRE, do Serpro e da Associação de Profissionais de Processamento de Dados. Enquanto Tauilie realizou doutorado na The New School nos EUA, Ivan da Costa Marques doutorou-se pela Universidade da Califórnia, Berkeley. Já Maria Teresa Oliveira estudou em Louvain, na Bélgica.
Quando a implementação do Renape foi direcionada ao Serpro, iniciou-se uma crítica interna sobre riscos a direitos fundamentais em revistas especializadas que eram produzidas pela própria empresa pública. Essa era uma época pré-Internet e fóruns virtuais. Portanto, uma das formas de promover discussões relevantes dentro da comunidade de processamento de dados era por meio da revista Dados & Ideias. Foi lá que circularam os primeiros artigos que discutiram a lei sueca de proteção de dados (Datalagen de 1973), as críticas à centralização de dados e assimetrias de poder informacional e comentários sobre novos princípios para conter abusos no tratamento automatizado de dados por sistemas computacionais.
Os técnicos responsáveis pela implementação do Renape também iniciaram uma estratégia de desaceleração do projeto a partir de argumentos que pudessem ser vistos como “técnicos” e não propriamente “políticos”, como complexidades de arquiteturas de sistemas, problemas de interoperabilidade de dados e problemas de qualidade das bases de dados. Uma pequena comunidade de engenheiros e programadores com ideias liberais iniciou uma estratégia discreta de resistência democrática, “melando tecnicamente” o projeto, na expressão que ouvi de Mario Dias Ripper.
Já na esfera pública, Raymundo Faoro, presidente do Conselho Federal da Ordem dos Advogados do Brasil, deslanchou uma série de críticas sobre problemas de legitimidade do Registro, seu caráter policialesco e severos riscos à autonomia e dignidade humana. Em uma matéria famosa do Estadão chamada “Um número para cada cidadão”, discutiu-se à ameaça à privacidade individual e o “espírito de iniciativa empresarial”.
A construção de massa crítica que vai culminar no primeiro projeto de lei sobre proteção de dados pessoais no Brasil – o PL 4.365/1977, muito inspirado no modelo de licenciamento escandinavo e nos controles de finalidade – teve início na comunidade ligada ao Seminário sobre Computação na Universidade (SECOMU), criado em 1971 no Rio de Janeiro. Antes da fundação da Sociedade Brasileira da Computação em 1978, o SECOMU era um dos fóruns de encontros e trocas dos membros da emergente comunidade informática no país. Em 1976, pessoas ligadas à SECOMU e à Associação dos Profissionais de Processamento de Dados (APPD) anunciaram ser imperativa uma “ação coletiva” para evitar tentativas de manipulação do trabalho de processamento de dados para fins escusos.
Em abril de 1977, um seminário técnico foi realizado e culminou em manifesto assinado por 150 líderes da comunidade informática. Este manifesto defendia a aprovação de uma lei federal para garantir ao cidadão (i) o direito de conhecer e corrigir as informações pessoais suas, contidas nos sistemas de informação, (ii) contabilidade (auditoria) do sistema e segurança contra má utilização das informações, (iii) consentimento toda vez que suas informações sejam utilizadas para fins diversos daqueles inicialmente definidos, (iv) proteção contra interligação de sistemas de informações contendo dados pessoais para fora do país, (v) controle da disseminação de arquivos com dados pessoais.
Nota-se aqui um aspecto crucial de nossa história: as articulações da sociedade civil organizada para tentativa de afirmação de novos direitos fundamentais diante das transformações tecnológicas, reduzindo as assimetrias de poder produzidas pela concentração de poder e os riscos constantes de abusos. Fundamentalmente, esta é uma preocupação democrática e de dimensão coletiva, como observou Stefano Rodotà em seu clássico Elaboratori elettronici e controllo sociale.
O PL 4.365/1977, do deputado Faria Lima de São Paulo, aprofundou essas recomendações ao propor a instituição de um controle de finalidade para bancos de dados, uma estrutura de fiscalização semelhante à Comissão Nacional de Liberdades Informáticas na França e claros direitos de acesso. O art. 10 do projeto dizia que qualquer cidadão poderia solicitar por escrito que lhe sejam informados os dados pessoais constantes em bancos de dados. No entanto, o órgão fiscalizador poderia impor duas limitações. Primeiro, cobrar pelo direito de acesso. Segundo, não prover informação caso o registro envolvesse infração à Lei de Segurança Nacional. Lembre-se que estamos falando de uma discussão durante o regime militar, em período de acirrada perseguição às lideranças de esquerda no país e de doutrina de segurança nacional. Portanto, são ideias liberais mobilizadas em um contexto autoritário e repressivo.
Como argumento em A proteção coletiva dos dados pessoais no Brasil, é neste período histórico que começam a surgir no Brasil aquilo que chamo de “protoprincípios” de proteção de dados pessoais no Brasil. Eles não são tão elaborados como os princípios cristalizados no artigo 6º da LGPD, mas são construções iniciais, mais rudimentares, dos princípios básicos que temos hoje no direito brasileiro.
Por exemplo, há um protoprincípio de “livre acesso”, hoje concebido como “garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais”. O direito de acesso era considerado um pilar de lutas na década de 1970 e havia forte influência do exercice du droit d’accès criado na lei francesa (todo cidadão tem direito de interrogar serviços responsáveis pela realizada de tratamento automatizado para saber se o tratamento diz respeito a informações nominativas que lhe digam respeito). A proposta de Faria Lima não qualificava o acesso como livre e gratuito, mas buscava instituir tal direito básico. Inclusive, ele chegou a propor uma Proposta de Emenda Constitucional para garantir o direito de acesso como liberdade informática básica – proposta derrotada no Congresso.
Há também, neste período da década de 1970, um protoprincípio de “finalidade”, conceitualizado hoje como “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”. Por forte influência dos FIPPs (1972) e o modelo escandinavo de licenciamento, buscava-se alguma estrutura de controle e supervisão para atrelar certos tratamentos de dados pessoais a certas finalidades, buscando sempre um exame de razoabilidade e compatibilidade para usos secundários de dados – um dilema presente até hoje.
Em um segundo texto, explicarei como esses “protoprincípios” são mobilizados em projetos de lei formulados por Cristina Tavares, José Freitas Nobres e José Eudes entre 1978 e 1985. São projetos interessantíssimos, que antecipam discussões que tivemos no Brasil sobre habeas data e sobre direitos de privacidade garantidos na Constituição Federal. O que se nota nesse movimento é uma inseparabilidade entre dimensões individuais e coletivas na origem da proteção de dados pessoais, algo que chamo de “dualidade constitutiva” desta disciplina.
Voltarei a esses projetos de lei e este argumento de dualidade em momento oportuno. Por enquanto, deixo o convite a obra lançada e a investigação histórica que ela promove.