Migalhas de Peso

O que a edição da medida provisória 954/20 tem a nos ensinar sobre proteção de dados pessoais?

A MP, que trata do compartilhamento de dados por empresas de telecomunicação com o IBGE, ensejou o ajuizamento de 4 ADIn

24/4/2020

No dia 17 de abril de 2020, o Executivo Federal editou a medida provisória 954, que dispõe sobre o compartilhamento de dados por empresas de telecomunicação com o Instituto Brasileiro de Geografia e Estatística, IBGE, para viabilizar a produção estatística oficial durante a crise sanitária decorrente do coronavírus.

A iniciativa provocou, já na segunda-feira seguinte, 20 de abril de 2020, o ajuizamento de 4 Ações Diretas de Inconstitucionalidade, ADIn, por meio das quais o Conselho Federal da Ordem dos Advogados do Brasil, CFOAB, o Partido Socialista Brasileiro, PSB, o Partido da Social Democracia Brasileira, PSDB, e o Partido Socialismo e Liberdade, PSOL, buscam a suspensão dos efeitos de parte ou de todo o texto da medida.

Dentre as justificativas aventadas pelos autores das ADIn, está a problemática da constante vigilância da população fomentada pela medida provisória, a ausência de vinculação efetiva entre a finalidade trazida pelo ato normativo e a pandemia, a ausência de garantia da manutenção do sigilo tratado no art. 3o, inciso I, da referida MP, dentre outras.

Diante desse cenário, o que podemos extrair da edição da MP 954/20 e das ações diretas de inconstitucionalidade ajuizadas?

É bem verdade que direcionar a discussão a respeito da proteção de dados pessoais para a competência da Suprema Corte, especialmente em um cenário de prorrogação do início da vigência da Lei Geral de Proteção de Dados, LGPD, consubstancia um passo importante rumo à construção de uma cultura cada vez mais consistente de proteção de dados.

Rememoremos o leading case1 de 2014, em que o Poder Judiciário, por intermédio do Superior Tribunal de Justiça, STJ, foi instado a se manifestar sobre o credit scoring, sistema de avaliação do risco de concessão do crédito.

Naquela oportunidade, o STJ definiu que a referida avaliação, feita a partir de modelos estatísticos, deveria respeitar as balizas impostas pelo Código Consumerista quanto à tutela da privacidade e à transparência nas relações negociais.

Agora, com o ajuizamento das ADIn, o Supremo Tribunal Federal, STF, é instado a se debruçar sobre o tema, assim como, guardadas as devidas proporções, o Tribunal Constitucional Alemão que, em 1983, declarou a inconstitucionalidade da “Lei do Censo” e reinterpretou a lei federal de proteção de dados pessoais alemã à luz da Lei Fundamental de Bonn, ao proclamar que os cidadãos alemães possuem direito à autodeterminação informativa, segundo Laura Schertel.2

Pela declaração do Tribunal de Justiça da União Europeia, no caso Digital Rights Ireland (C-293/12), qualquer medida legislativa promulgada para fornecer uma base legal para o tratamento de dados pessoais deve: (I) atender à proporcionalidade; (II) constituir uma etapa adequada para alcançar os objetivos legítimos perseguidos pela legislação em questão e (III) não exceder os limites do que é apropriado e necessário para alcançar os objetivos previamente definidos.3

Quanto à própria utilização de dados pessoais, Danilo Doneda4 elucida que a sua justificativa se baseia, inicialmente, em dois fatores: a eficiência e o controle social. Assim, a realização de censos e pesquisas, finalidade imperiosa do IBGE, encontra respaldo no discurso de que a administração pública deve ser eficiente.

Segundo o autor, essa eficiência pode significar, inclusive, “o estabelecimento de regras para tornar compulsória a comunicação de determinadas informações pessoais à administração pública”5, como é exatamente o caso da MP 954/20.

Em relação ao controle social, de acordo com o autor, o Estado poderá potencializá-lo com a disponibilização cada vez maior e mais robusta de informações sobre os indivíduos, o que aumenta o seu poder sobre eles, tal como fizeram os regimes totalitários6

De acordo com o guia Data Sharing in the Public Sector, produzido pela Data Protection Commission, os órgãos públicos devem seguir uma lista de verificação mínima7 para avaliar uma iniciativa de compartilhamento de dados, seja como fornecedor, seja como destinatário dos dados pessoais:

1) identificar, registrar e documentar os objetivos das iniciativas que pretendem utilizar o compartilhamento de dados;

2) verificar se os objetivos podem ser alcançados sem o compartilhamento de dados pessoais ou, ainda, se são atingidos com a utilização da técnica de anonimização de dados pessoais;

3) observar os princípios da necessidade e da finalidade, a fim de promover o compartilhamento de informações mínimas necessárias para se alcançar os objetivos estabelecidos inicialmente;

4) avaliar os possíveis riscos do compartilhamento de dados, desde os impactos negativos e desproporcionais que podem haver em setores específicos até o aumento da desconfiança dos indivíduos, que poderão resistir ao fornecimento de dados precisos;

5) identificar os limites temporais e a frequência com que os dados devem ser compartilhados, bem como avaliar se o compartilhamento será contínuo ou periódico e definir os responsáveis que deverão responder em eventuais situações;

6) considerar a elaboração de um relatório de impacto à proteção de dados, uma vez que esse tipo de documento pode ser utilizado para identificar e mitigar riscos relacionados à proteção de dados decorrentes de novas ações de tratamento.

Ao longo do texto da MP 954/20, nota-se que alguns dos aspectos elencados acima foram, de certa forma, pincelados. Entretanto, não há como afirmar que tal medida foi precedida de um debate e de uma avaliação profunda a respeito de pontos exorbitantemente relevantes, como o estabelecimento de objetivos, a verificação da real necessidade de se fazer uso da técnica de compartilhamento de dados e, principalmente, a avaliação de riscos oriundos dessa técnica e de seus impactos negativos.

Para além, não há como afirmar que todas as empresas de telecomunicação prestadoras de Serviço Telefônico Fixo Comutado e de Serviço Móvel Pessoal que podem ser abarcadas pela medida provisória estejam alinhadas ao princípios e diretrizes que norteiam e definem a efetiva proteção das informações pessoais dos usuários. Tampouco há qualquer segurança de que o IBGE siga uma política de preservação e de proteção de dados pessoais adequada e consistente, sobretudo porque a lei 13.709/18, LGPD, ainda está em vacatio legis.

Dadas as incertezas que pairam sobre essas questões, não há sequer como aferir ou examinar de forma incisiva o grau de proteção atribuído aos agentes envolvidos no ato normativo, uma vez que inexiste, até então, a Autoridade Nacional de Proteção de Dados, figura que, segundo o art. 30 da lei 13.709/18, “poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais”.

A própria forma adotada para abordar o tema levanta inúmeros questionamentos também trazidos pelas ações diretas de inconstitucionalidade. Isso porque, o instituto da medida provisória, previsto no art. 62 da Constituição da República, determina que tal ferramenta poderá ser utilizada pelo Presidente da República em casos de relevância e urgência. Contudo, o tema abordado demanda reflexões e discussões prévias, que podem ser oportunizadas por outros institutos que não o da medida provisória.

De todo modo, como salientado, extraiamos um fato importantíssimo trazido pela MP 954/20, o de conferir uma oportunidade ao STF para realizar o controle de constitucionalidade concentrado, que tem como objetivo garantir a segurança jurídica do ordenamento sob dada perspectiva, especialmente no atual cenário, em que o Senado Federal aprovou a prorrogação do início da vigência da LGPD para janeiro de 2021.

_________

1 BRASIL. Superior Tribunal de Justiça. REsp 1.419.697/RS. Recorrente: Boa Vista Serviços S.A. Recorrido: Anderson Guilherme Moraes e outros. Relator: Ministro Paulo de Tarso Sanseverino. Brasília, 12 de novembro de 2020.

2 SCHERTEL, Laura. Transparência e Privacidade: Violação e Proteção da Informação Pessoal na Sociedade de Consumo. Dissertação (Mestrado em direito), Faculdade de Direito, Universidade de Brasília. Brasília, 2008, p. 37.

3 Na Coimisiún um Chosaint Sonraí Data Protection Commission. Data Sharing in the Public Sector. Abril de 2019. Disponível em: Clique aqui. Acesso em: 21.04.20.

4 DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de Dados. 2a edição. São Paulo: Thomson Reuters Brasil, 2019, p. 33.

5 Op.cit., p. 34.

6 Op.cit., p. 34.

7 Op.cit., p. 4.

_________

*Priscila Maria Menezes de Araújo é graduada em Direito pela Universidade de Brasília, pós-graduanda em Direito Digital pela Fundação Escola Superior do Ministério Público e advogada do Torreão Braz Advogados.

 
Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

ITBI na integralização de bens imóveis e sua importância para o planejamento patrimonial

19/11/2024

Cláusulas restritivas nas doações de imóveis

19/11/2024

Estabilidade dos servidores públicos: O que é e vai ou não acabar?

19/11/2024

Quais cuidados devo observar ao comprar um negócio?

19/11/2024

A relativização do princípio da legalidade tributária na temática da sub-rogação no Funrural – ADIn 4395

19/11/2024