Não é nova a iniciativa de proteger os dados pessoais das pessoas naturais de intervenções indevidas, tenham estas origens privadas ou públicas. Segundo a doutrina especializada, as raízes dessa preocupação nos conduzem à formação do estado moderno, quando, no momento pós Segunda Guerra Mundial, o Estado percebeu que a manutenção de bancos de dados contendo informações pessoais dos seus cidadãos seria útil1.
Desde então muito se evoluiu da lógica ¨sigilo x publicidade¨ à lógica da proteção de dados pessoais. Esta última, apesar de vigente, ainda é tema de debate cotidiano. As diferenças entre as duas formas de pensar a relação entre estes direitos de estatura constitucional serão abordadas daqui em diante.
Garantida na maioria das Cartas Constitucionais de países democráticos, a privacidade é um conceito aberto que, pelo menos no seu aspecto substancial, nos remete ao direito à intimidade, à vida privada. De acordo com STOLZE e PAMPLONA:
(...) a vida particular da pessoa natural nada mais é do que ¨a exigibilidade de respeito ao isolamento de cada ser humano, que não pretende que certos aspectos da sua vida cheguem ao conhecimento de terceiros2.
São qualificadas como privadas e, portanto, sigilosas, num primeiro momento, as informações que digam respeito à intimidade da pessoa humana. Mas não somente estas: são sigilosas todas aquelas informações rotuladas, pela via legal ou jurisdicional, com o selo estatal de sigilo, ora por protegerem algum bem jurídico imprescindível, ora por viabilizarem atividades prestacionais de Estado.
Nessa lógica, os dados pessoais não protegidos pelo sigilo garantido constitucional ou legalmente poderiam, em tese, ser livremente tratados por players públicos e privados do mercado. Isto porque todas as informações não abarcadas pelo sigilo estariam desprotegidas de tutela específica.
A LGPD densifica normativamente uma nova metodologia hermenêutica por trás do manejo dos dados pessoais das pessoas naturais nos cenários em que é aplicada.
A partir dela, pressupõe-se que todo dado pessoal é protegido na origem e eventual tratamento a que se sujeite deve não só servir a princípios específicos3, como também estar tipificado em uma das hipóteses legais previstas nos artigos 7º e 11 da lei de regência – a lógica da proteção de dados pessoais.
É possível perceber que não se trata de impedimento a priori do tratamento dos dados pessoais das pessoas naturais pelos controladores e operadores públicos e privados, mas de ajuste desta operação a um modelo adequado à realidade constitucional brasileira.
Nesse sentido, a LGPD, pretende abrigar os titulares das consequências nefastas que o tratamento ilegal de dados pessoais pode trazer para a autodeterminação informativa4. Não por acaso, é possível perceber uma nova camada de proteção da vida privada: a proteção dos dados (quaisquer deles) pelo sigilo, implementado por lei ou por decisão judicial; a proteção especial dos dados pessoais, cujos contornos a LGPD cuidou de arquitetar; e os dados públicos, este sim, manejáveis livremente pelo mercado.
Esta louvável iniciativa regulatória tem, todavia, seu âmbito de incidência diferido em alguns casos. O art. 4º da LGPD elenca hipóteses de tratamento de dados pessoais em que, hipoteticamente, a lei não se aplica. Cuidaremos aqui daquelas previstas no inciso III.
O dispositivo informa não ser aplicável a lei 13.709/18 ao tratamento realizado para fins exclusivos de segurança pública ou atividades de investigação e repressão de infrações penais.
No Espaço Econômico Europeu, a GDPR5 também retrai seu âmbito de incidência nas hipóteses de atividades de persecução penal propriamente dita e segurança pública – lá, entretanto, esta exceção já foi enfrentada por uma Diretiva6 correspondente7.
Em tempo, frise-se que, apesar de a própria LGPD estabelecer a referida limitação material do seu espectro normativo, que, conforme já preleciona o §1º do art. 4º, deverá ser objeto de legislação específica8, por hora, as definições legais ainda não vieram.
Assim, para manejar corretamente essa exceção legal, importa neste momento desenhar com um pouco mais de sofisticação a arquitetura conceitual dos termos “segurança pública” e “persecução penal”, ainda o resultado não seja um conceito fechado. Isso porque definir dogmaticamente esses temas é um desafio a parte que foge ao escopo deste estudo.
Um bom parâmetro para estudar o termo “segurança pública”, entretanto, parece ser o art. 144 da CRFB, que prevê o objetivo da segurança pública no Brasil, dever do Estado, direito e responsabilidade de todos, é preservar a ordem pública e a incolumidade das pessoas e do patrimônio, elencando em seguida um corpo orgânico estatal cuja atribuição precípua é atender a esta demanda.
Nesse sentido importante indagar o limite da atuação de determinados agentes à margem da lei 13.719/18, ainda que voltados àquelas nobres finalidades públicas.
No seu artigo sobre o tema, Jaqueline de Souza Abreu9 entende que o art. 4º da LGPD diferencia a atividade prevista no inciso ¨a¨ daquela inscrita no inciso ¨d¨ através da separação entre as vertentes preventiva e repressiva da atividade de polícia. Estariam abarcadas como “segurança pública” a atuação preventiva, ostensiva da atividade policial, conforme previsto no art. 144 da CRFB10.
Por outro lado, em ¨atividades de investigação e repressão de infrações penais¨, alocaríamos a atividade de polícia judiciária propriamente dita. Repressiva, voltada precipuamente ao cumprimento de ordens do Poder Judiciário e à instrução de inquéritos policiais e processos penais.
É importante dizer que o dispositivo que excepciona a incidência da LGPD determina que o critério para que a atividade de tratamento de dados pessoais não se submeta integralmente aos controles da LGPD não é a tipicidade ou atipicidade da função exercida pelo órgão público.
Isso porque, no iter da execução da função pública destinada pelo Estado àquele órgão deverá ser possível identificar quais, dentre as inúmeras atividades de processamento de dados pessoais, se submetem ou não à LGPD, em decisão devidamente motivada, como determinam os princípios e regras de tomada de decisão pública.
Dessa forma, harmonizar o direito de proteção de dados pessoais com a persecução penal e a segurança pública é um dever do Estado. Para tanto, manter registros auditáveis de ponta a ponta, das atividades de tratamento de dados pessoais parece ser, a partir da LGPD, uma obrigação.
Seja para identificar quais as atividades de tratamento de dados pessoais devem deferência ou não à hipótese excepcional, seja para formatar uma postura institucional mais sólida e informada acerca dos processos de adequação e implementação dos controles de segurança da informação e de proteção de dados pessoais, algum grau de mapeamento e accountability parece ser necessário.
Da atuação típica das polícias judiciárias
No desenho constitucional brasileiro, conforme o citado art.144 caput e seu §4º; todos da CRFB, os órgãos de polícia civil são canais de materialização da atividade de segurança pública do Estado, mais especificamente no que se refere às funções de polícia judiciária e à apuração das infrações penais, com exceção das ocorridas em âmbito militar.
No mesmo sentido, a lei 12.830/13 dispõe sobre a investigação criminal conduzida pela Autoridade Policial, ressaltando a sua natureza jurídica e qualificando-a, ainda, como essencial e prestada exclusivamente pelo Estado.
Parece viável entender que as polícias civis condensam como típicas as atividades de piso da persecução penal: a de polícia judiciária, entendidas como braço executivo do judiciário na persecução penal (atuando, por exemplo, no cumprimento de mandados de prisão), e a de polícia investigativa, que diz respeito, por sua vez, à apuração de infrações penais.
Importante notar que não se pode ainda inferir que não há realização de atividade de segurança pública pelas polícias civis. Não é o caso. A propósito, GLEIZER, MONTENEGRO e VIANA, para fins didáticos, separam as atividades de segurança pública e de persecução penal11 por seu núcleo primário de atuação.
Para os autores, a persecução penal se justifica como intervenção do Estado nos direitos fundamentais a partir da existência de uma suspeita. É dizer que, em uma análise retrospectiva, o Estado investiga um fato determinado e tenta recolher elementos de autoria e materialidade com vistas a entender a dinâmica daquele fato apurado.
De outro lado, a pedra de toque da atividade de segurança pública seria a existência de um perigo. Em uma análise agora prospectiva, o Estado tenta se antecipar à ocorrência de um perigo apto a colocar em risco a incolumidade das pessoas, do patrimônio e a preservação da ordem pública12.
Retratada a complexidade da teia de atividade das polícias civis, é importante reafirmar que a LGPD é clara em estabelecer que o seu espectro material não se aplica integralmente àquelas atividades de tratamento de dados pessoais, cuja finalidade exclusiva seja a segurança pública e as atividades de investigação e repressão de infrações penais.
O conceito legal de tratamento de dados pessoais está no inciso X do art. 5º da lei. O art. 6º, I, por sua vez, trata do princípio da finalidade, que demanda a “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”.
Dessa forma, da leitura do art. 4º da LGPD é razoável que se extraia a seguinte norma: Apesar de dever obediência ao devido processo legal, aos princípios gerais de proteção e aos direitos do titular, a LGPD não se aplica àquela (e somente a esta) atividade de tratamento cujo escopo sirva exclusivamente à segurança pública ou á persecução penal.
Não parece, nesse sentido, ser a atividade típica do órgão que vai determinar se o Estado tem ou não o direito de tratar determinado processamento de dados pessoais à margem da LGPD, mas sim a finalidade específica de um tratamento de dados determinado.
Bodycams e o tratamento de dados pessoais
A discussão em torno da implementação ou não das câmeras corporais nos uniformes e nas viaturas dos órgãos de polícia judiciária tem girado em torno do controle da atuação do Estado por meio das forças de segurança.
Alguns dos argumentos favoráveis à utilização das chamadas bodycams são a queda nos índices de intervenções policiais com resultado morte e o aumento de transparência da atuação dos agentes do braço armado do Estado que, consequentemente, geraria maior eficiência no combate à eventual má conduta dos policiais.
De outro lado, há também bons argumentos no sentido de que a queda dos indicadores de violência deriva de uma diminuição do efetivo engajamento dos policiais nas abordagens e no atendimento aos chamados. Isso porque utilizar a tecnologia geraria uma desvantagem operacional para as forças policiais, conforme defende, por todos, Tarcísio de Freitas, Governador eleito do Estado de São Paulo13.
O objetivo deste estudo, todavia, é anterior.
Nos Estados onde a tecnologia já está sendo utilizada, capturam-se dados pessoais como imagem, geolocalização e áudio não só dos agentes públicos que carregam consigo a tecnologia14, mas de todos os titulares de dados pessoais por quem estes servidores passam.
Parece claro que existe aqui uma (ou algumas) atividade(s) de tratamento de dados pessoais que, eventualmente, até podem ser qualificados como sensíveis15.
É necessário, então, que se identifiquem as arquiteturas de controle de segurança da informação e de proteção de dados pessoais que deveriam acompanhar esse tratamento massivo de dados realizado pelo Estado. Não há fiscalização sem accountability. Não há accountability sem transparência.
Todos nós, titulares de dados pessoais, temos direito de entender como o Estado tratará os dados pessoais capturados pelas Bodycams, com quem os compartilhará e até quando os manterá armazenados. Isso porque, de acordo com o Min. Gilmar Mendes16:
“(...) as pessoas não podem desenvolver sua personalidade caso sejam incapazes de expressar sentimentos e sensações, opiniões, reflexões e experiências – inclusive manifestações emotivas, verbais e sexuais – sem o receio de que as agências de Estado estejam a monitorá-las.”
Conclusão
Diante do exposto, é certo dizer que todo e qualquer tratamento de dados pessoais deve obedecer aos preceitos da LGPD na exata medida do seu espectro de incidência material, e não retirar seu fundamento do sabor do que a orientação política dominante no momento determina.
Sobrepor a lei 13.709/18 significa violar o direito fundamental à proteção de dados pessoais, que tem base constitucional no art. 5º, inciso LXXIX da CRFB, o que rotula, em tese, qualquer comando legal nesse sentido como inconstitucional.
É importante ressaltar que a própria LGPD, no seu artigo 44, traz a o conceito de tratamento irregular, que segue abaixo:
Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: (grifei)
- o modo pelo qual é realizado;
- o resultado e os riscos que razoavelmente dele se esperam;
- as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
A partir do referido conceito legal parece razoável concluir que o tratamento irregular de dados pessoais no contexto das atividades típicas de polícia judiciária tem vocação (ao menos potencial) para viciar eventual coleta de vestígios de ilegalidade17, o que traria sérias implicações práticas para a atividade estatal de persecução penal.
Em tempo, é relevante citar, ainda que em tese, que o servidor público que trata dados irregularmente, em claro enfrentamento à LGPD, é passível de responsabilização pessoal e autônoma. Esta ressalva deve ser importante para dimensionar o risco da tomada de decisão neste terreno. Não é outra a orientação do Supremo Tribunal Federal sobre o tema.
No julgamento conjunto da ADI 6649 e da ADPF 695, o Plenário do STF desenhou parâmetros mínimos a serem observados para o compartilhamento de dados pessoais entre as agências de Estado. Após densa deliberação sobre o tema, o Relator, Min. Gilmar Mendes, estabeleceu, em resumo, que18:
5. O tratamento de dados pessoais promovido por órgãos públicos ao arrepio dos parâmetros legais e constitucionais importará a responsabilidade civil do Estado pelos danos suportados pelos particulares, na forma dos arts. 42 e seguintes da lei 13.709/18, associada ao exercício do direito de regresso contra os servidores e agentes políticos responsáveis pelo ato ilícito, em caso de culpa ou dolo. 6. A transgressão dolosa ao dever de publicidade estabelecido no art. 23, inciso I, da LGPD, fora das hipóteses constitucionais de sigilo, importará a responsabilização do agente estatal por ato de improbidade administrativa, nos termos do art. 11, inciso IV, da lei 8.429/92, sem prejuízo da aplicação das sanções disciplinares previstas nos estatutos dos servidores públicos federais, municipais e estaduais.
Ressalta-se ainda que, apesar de a decisão citada se referir especificamente ao compartilhamento de dados entre órgãos e entidades do poder público, parece viável concluir que muito maior deverá ser o cuidado do ente estatal em compartilhar dados pessoais dos seus servidores com entidades externas à estrutura organizacional do Estado.
A própria Autoridade Nacional de Proteção de Dados Pessoais já tem manifestação nesse sentido no seu Guia de Tratamento de Dados Pessoais pelo Poder Público19.
É de se reconhecer como legítima a necessidade de otimizar a transparência da atuação do servidor público, principalmente quando se trata do braço mais invasivo do Estado. Não obstante, é necessário (e mandatório), a partir da LGPD, que se dê igual transparência ao tratamento dos dados pessoais dos titulares envolvidos na operação que se examina, a fim de encontrar a justa medida entre a atuação pública que visa à eficiência transparente e a proteção do direito fundamental à proteção dos dados pessoais dos titulares.
A transformação digital da prestação de serviço público (seja ele qual for) tem por objetivo ¨aproveitar o máximo das tecnologias digitais para melhorar a jornada do cidadão na interação com o Estado¨20. Ao observarmos o desenvolvimento da tecnologia e o impacto por ele gerado no dia a dia, é possível perceber que o player particular tem uma liberdade maior de atuação.
O ente público, de seu turno, somente desenvolve suas atividades impulsionado por mandamento legal e nos seus estritos limites. Não pode, portanto, ignorar os comandos legais advindos da LGPD quando a prestação do serviço público envolver a gestão da proteção dos dados pessoais de todas as pessoas identificadas ou identificáveis cujas imagens, dados de áudio e geolocalização serão potencialmente capturados pelos dispositivos utilizados pelos agentes públicos.
------------------------
1 Nesse sentido, BIONI, Bruno Ricardo. Proteção de Dados Pessoais: A Função e os Limites do Consentimento. 2. Ed. Rio de Janeiro: Forense. 2020
2 PAMPLONA FILHO, Rodolfo. GAGLIANO, Pablo Stolze. Novo Curso de Direito Civil, volume 1. 21 ed. São Paulo: Saraiva Educação. 2019.
3 Previstos no art. 6º da LGPD
4 Sobre o tema, vide BONNA, Alexandre Pereira. Dados pessoais, identidade virtual e a projeção da personalidade: “Profiling”, estigmatização e responsabilidade civil. Apud Responsabilidade Civil e Novas Tecnologias / Adriano Marteleto Godinho ... [et al.]; coordenado por Guilherme Magalhães Martins, Nelson Rosenvald. – Indaiatuba, SP: Editora Foco, 2020.
5 General Data Protection Regulation é a norma que regula o tema no Espaço Econômico Europeu, sendo apontada pela doutrina com parâmetro regulatório para a LGPD. O texto integral da norma está disponível em: https://gdpr-info.eu - Acesso em 13/04/2022.
6 Diretiva é o rótulo normativo dado ao documento que instrui a interpretação da GDPR. Elas são produzidas pelo próprio legislador (Parlamento e Conselho da União Europeia) e, posteriormente, submetidas a orientações mais específicas pelo Comitê Europeu de Proteção de Dados Pessoais.
7 Diretiva 2016/680 do Parlamento Europeu relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, detecção ou repressão de infrações penais ou execução de sanções penais e à livre circulação desses dados – Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/?uri=celex%3A32016L0680 – Acesso em 15/12/2022.
8 Ainda em tramitação, o Anteprojeto de Lei de Proteção de Dados Pessoais para segurança pública e investigação criminal que dispõe sobre o tratamento de dados pessoais realizado por autoridades competentes para atividades de segurança e de persecução penal, com objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, cujo texto completo encontra-se disponível em: https://www2.camara.leg.br/atividade-legislativa/comissoes/grupos-de-trabalho/56a-legislatura/comissao-de-juristas-dados-pessoais-seguranca-publica/documentos/outros-documentos/DADOSAnteprojetocomissaoprotecaodadossegurancapersecucaoFINAL.pdf - Acesso em: 13/04/2022.
9 ABREU, Jaqueline de Souza. Tratamento de dados pessoais para a segurança pública: contornos do regime jurídico pós-LGPD. Apud Tratado de Proteção de dados pessoais / Coordenadores: Danilo Doneda [et.al]. – Rio de Janeiro: Forense, 2021.
10 É certo que a discussão sobre os conceitos constitucionalmente viáveis de segurança pública extrapola o escopo deste artigo. Sobre o tema, vale a leitura de NETO, Cláudio Pereira de Souza. A seguranc¸a pu'blica na constituic¸a~o federal de 1988: conceituac¸a~o constitucionalmente adequada, compete^ncias federativas e o'rga~os de execuc¸a~o das poli'ticas. Disponível em: https://www.academia.edu/31075196/A_SEGURANÇA_PÚBLICA_NA_CONSTITUIÇÃO_FEDERAL_DE_1988_CONCEITUAÇÃO_CONSTITUCIONALMENTE_ADEQUADA_COMPETÊNCIAS_FEDERATIVAS_E_ÓRGÃOS_DE_EXECUÇÃO_DAS_POLÍTICAS_1_2?bulkDownload=thisPaper-topRelated-sameAuthor-citingThis-citedByThis-secondOrderCitations&from=cover_page – Acesso em 15/12/2022.
11 GLEIZER, Orlandino; MONTENEGRO, Lucas; VIANA, Eduardo. O direito de proteção de dados no processo penal e na segurança pública. 1.Ed. – Rio de Janeiro: Marçal Pons, 2021.
12 “Essa distinção não é mero preciosismo dogmático. Ela tem consequências práticas muito importantes, que são inclusive um tanto óbvias quando se atenta par a fundamental distinção entre as atividades. Por serem diferentes as funções, serão muitas vezes diferentes as medidas a que o Estado deve estar autorizado no exercício dessas funções.” Op. Cit. p.53.
13 Ilustrando o discurso, a matéria no G1 sobre o tema disponível em: https://g1.globo.com/sp/sao-paulo/eleicoes/2022/noticia/2022/06/01/tarcisio-volta-a-criticar-camera-em-uniforme-apesar-de-resultado-comprovado-e-diz-nao-se-preocupar-com-mortes-causadas-por-pms.ghtml - acesso em 06/01/2023.
14 Um exemplo é o Estado do Rio de Janeiro, em que o comando de implementação da tecnologia veio através da Lei Estadual 5.588/09, modificada pela Lei Estadual 9298/21. Disponível em: https://gov-rj.jusbrasil.com.br/legislacao/1228166654/lei-9298-21-rio-de-janeiro-rj - Acesso em 26/12/2022.
15 Na forma do art. 7º e seu parágrafo primeiro; todos da LGPD.
16MENDES, Gilmar Ferreira; PINHEIRO, Jurandi Borges. Interceptações e Privacidade: novas tecnologias e a Constituição. Apud Internet e Regulação / coords.: Laura Schertel Mendes, Sérgio Garcia Alves, Danilo Doneda. – São Paulo: Saraiva Educação, 2021. (Série IDP – Linha Pesquisa Acadêmica) p. 369-370.
17 Na forma dos artigos 44 e seguintes da LGPD, c/c art. 5º, LXXIX da CRFB, c/c art. 157 e §1º, art. 158 e §1 º; todos do CPP.
18 Disponível em: https://portal.stf.jus.br/processos/detalhe.asp?incidente=6079238 – Acesso em 03/11/2022.
19 Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf - Acesso em 26/12/2022.
20 Conceito de transformação digital no Estado, disponível em: https://www.gov.br/governodigital/pt-br . Acesso em 27/05/2022.