Spiros Simitis e a primeira lei de proteção de dados do mundo
sexta-feira, 19 de novembro de 2021
Atualizado às 08:52
Nos diversos trabalhos dedicados à disciplina da proteção de dados, é usual que se aponte, para fins de registro histórico, a Lei do Estado alemão de Hesse como o primeiro texto legal a ser editado no mundo, no ano de 19701.
O exemplo serve para demonstrar o pioneirismo dos alemães no tratamento da matéria: mensagem que é acompanhada da informação de que no ano de 1977 seria editada a Lei Federal Alemã de Proteção de Dados (Bundesdatenschutzgesetz), e, no ano de 1983, o Tribunal Constitucional Federal (Bundesverfassungsgericht) pronunciaria, no âmbito da decisão do censo, o direito fundamental à autodeterminação informativa.
O objeto do presente texto é o de abordar o contexto em que a Lei de Hesse de 1970 foi editada, com destaque para a participação do jurista Spiros Simitis, bem como o seu conteúdo principal, de modo a investigar como foi estruturada e acerca do que efetivamente dispôs, colocando em evidência a criação da figura da autoridade de supervisão, ou comissário.
O contexto da edição da Lei de Hesse
Cogita-se que a elaboração de uma lei de proteção de dados no Estado de Hesse tenha sido motivada por um artigo publicado em 10.6.1969, no tradicional jornal Frankfurter Allgemeine Zeitung, de autoria de seu redator-chefe Hanno Kühnert, de formação jurídica, e que alertava para os perigos do lado sombrio dos computadores e dos bancos de dados2.
O articulista temia pela utilização totalitária das informações relacionadas aos cidadãos, e clamava por regras que disciplinassem o assunto.
Relata-se que chefe de governo do Estado de Hesse à época, Georg-August Zinn, leu o artigo de Hanno Kühnert e de pronto tomou a decisão de que editaria uma lei que disciplinasse a utilização das informações relacionadas ao cidadão3.
Mas a elaboração da Lei de Hesse não pode ser dissociada da figura de Spiros Simitis. Esse jurista nasceu na Grécia em 19.10.1934 e mudou-se para a Alemanha após o período escolar para cursar a Faculdade de Direito na tradicional Universidade de Marburg (1952-1956), localizada em Hesse, onde também concluiu seu doutorado4.
Interessante para os que se dedicam ao estudo do Direito Civil é descobrir que a tese de doutorado de Spiros Simitis, de nada mais nada menos do que 619 páginas(!) abordou o tema das relações contratuais de fato, desempenhando um relevante papel para uma figura jurídica que posteriormente seria superada na Alemanha5, mas que também obteve repercussão em Portugal e no Brasil6.
Posteriormente, realizou sua habilitação na Universidade de Frankfurt, mas iniciou a docência na Universidade de Giessen, vindo a receber um convite para voltar, como professor, para Frankfurt no ano de 1969, onde lecionou Direito Civil, Direito do Trabalho, Direito Europeu e Informática Jurídica com ênfase em proteção de dados.
Todas essas cidades de sua trajetória acadêmica se encontram em Hesse, de modo que Simitis sempre manteve a vinculação com esse Estado da federação alemã, onde vive até hoje.
Em 2015, Simitis concedeu entrevista à Revista da Universidade de Frankfurt, Forschung Frankfurt, oportunidade em que esclareceu os detalhes dos fatos que levaram à edição da Lei de Hesse7.
Simitis esteve diretamente envolvido com a edição da pioneira lei de 1970 e com a própria criação da disciplina da proteção de dados. É reconhecido internacionalmente como o "Pai da proteção de dados" ou "Prof. Dr. Proteção de Dados", qualificativos que aceita, pois entende que efetivamente participou ativamente do desenvolvimento da disciplina8.
Simitis relata que no final dos anos 1960, a Alemanha9, no contexto da modernização da área da saúde, empenhou-se na construção de diversos hospitais públicos. Essa iniciativa foi seguida com muita seriedade pelo governo do Estado de Hesse. E, como se tratava de hospitais que dispunham de uma multiplicidade de dados, especialmente de pacientes, o processamento automatizado das informações chegava no momento oportuno.
Sob a justificativa de uma maior eficiência no diagnóstico e tratamento dos pacientes, os dados pessoais seriam coletados e formariam bancos de dados centralizados. E aí está o ponto que fez de Hesse o Estado de vanguarda na proteção de dados, pois foi justamente lá onde a informatização e a automação da administração pública se encontravam bastante avançadas para os padrões da época. E, nesse ambiente, conforme enfatiza Simitis, os hospitais funcionaram como um primeiro pilar central do debate público acerca da proteção de dados.
O jurista de origem grega seria, no âmbito das discussões, convocado pelo chefe de governo de Hesse, com o pedido de que apresentasse uma proposta de legislação sobre proteção de dados.
A razão que levou ao seu chamamento, segundo ele próprio10, teria sido a publicação de um relevante e pioneiro artigo jurídico para os tempos de então, sob o título "Oportunidades de utilização de sistemas cibernéticos para o direito"11.
As publicações anteriores de Simitis não se dedicavam ao assunto, e é possível supor que jamais imaginasse que a repercussão de um único artigo de sua autoria pudesse guindá-lo à condição de autor do anteprojeto do que viria a ser a primeira lei do mundo de proteção de dados, e por consequência no reconhecimento de sua condição de pioneiro internacional da disciplina.
Atendendo ao convite formulado por Georg-August Zinn, prontamente redigiu o anteprojeto que passou por uma revisão interna no gabinete de governo, e, em alguns pontos modificado, para logo em seguida ser apresentado ao Parlamento de Hesse que em 07.10.1970 o aprovou e passou a vigorar em 13.10.197012.
Estrutura e conteúdo da Lei de Hesse: a figura da autoridade
A primeira lei do mundo, na sua versão original, não se notabilizou por sua extensão. Ela contemplou dezessete parágrafos distribuídos em três capítulos. Algo bastante diferente do que a Lei de Hesse, após diversas modificações, apresenta em 2021, uma vez que, na versão de sua última alteração, em 2018, contém cinco capítulos e noventa e um parágrafos.
Passa-se a destacar alguns dos dispositivos da lei originária.
O parágrafo primeiro estabelece regra sobre o que denomina "área da proteção de dados", estatuindo a abrangência da lei para todos os documentos confeccionados por meio de processamento automatizado de dados bem como para todos os dados armazenados e para o resultado de seu processamento. Esse dispositivo deixa claro, em sua parte final, que a lei se aplicava, e assim permaneceu até o ano de 2011, como se verá abaixo, exclusivamente ao setor público do Estado de Hesse.
O segundo parágrafo sob o título de "conteúdo da proteção de dados" estipula uma regra de segurança da informação, ao determinar que os documentos, dados e resultados referidos no parágrafo primeiro devem ser utilizados, compartilhados e conservados, de modo a vedar que pessoas não autorizadas os acessem, modifiquem ou os eliminem, o que deve ser implementado por meio de medidas técnicas.
E o parágrafo terceiro, por seu turno, contempla o dever geral de confidencialidade das pessoas que desempenhassem as funções de coleta, transmissão, armazenamento ou processamento automatizado de dados.
No parágrafo quarto foi disciplinado, sob a denominação de "pretensão à proteção de dados", e ainda que de forma incipiente, o que nos tempos atuais se conhece como direitos dos titulares de dados pessoais, expressos no dever do controlador de correção dos dados armazenados bem como no direito de restabelecimento da situação anterior sempre que ocorrer uma consulta, modificação ou eliminação irregular dos dados pessoais. A previsão de tutela inibitória em caso de ameaça também constou no dispositivo.
O parágrafo quinto dispõe sobre regras acerca de bancos de dados e sistemas de informação, contendo a diretriz de que deveria ser garantido, no âmbito da administração pública, a vedação a acessos ou à utilização de documentos, bem como aos dados e às inferências dos mesmos, a menos que houvesse vinculação com as atribuições do respectivo órgão ou entidade da administração. Com efeito, a questão da confidencialidade das informações é uma marca da lei.
No segundo capítulo da Lei de Hesse constou aquela que talvez tenha sido uma das maiores contribuições para a disciplina de proteção de dados, qual seja a previsão da autoridade de proteção de dados, na expressão em alemão, Datenschutzbeauftragter, e que Danilo Doneda traduziu por comissário de proteção de dados13.
Nesse contexto, é importante que se faça uma distinção por conta da terminologia utilizada na língua alemã, que pode levar a incompreensões quando se analisa a questão com base no quadro que temos no presente.
É que a palavra Datenschutzbeauftragter pode ser utilizada em três circunstâncias no sistema de proteção de dados alemão: ela designa, como no exemplo pioneiro de Hesse, a autoridade dos estados da federação, chamada Landesdatenschutzbeauftragter, no sentido de autoridade de proteção de dados que tem as atribuições de supervisão14, nos dias de hoje, tanto do setor público quanto do setor privado que tenha sede na respectiva unidade da federação.
A assunção da supervisão do setor privado pelos Landesdatenschutzbeauftragter se deu apenas a partir do ano de 2011, após modificações legislativas em reação à decisão do Tribunal de Justiça da União Europeia, que considerou insuficientes os mecanismos de fiscalização da atuação das pessoas jurídicas de direito privado.
Ao mesmo tempo, existe o Bundesdatenschutzbeauftragter, e que funciona como instância de controle independente para a supervisão da proteção de dados no setor público federal e em empresas que fornecem serviços postais e de telecomunicações.
E, por fim, há o Datenschutzbeauftragter, que é o que no Brasil se localiza na figura do encarregado no âmbito das pessoas jurídicas de direito privado e de direito público, não atuando, portanto, como autoridade, mas sim como ponto focal das questões internas relativas à proteção de dados das organizações bem como canal de comunicação com os titulares de dados pessoais15.
Para o modelo alemão que persiste até os dias de hoje no exemplo de Hesse, há a personificação da figura da autoridade, tanto do Landesdatenschutzbeauftragter quanto do Bundesdatenschutzbeauftragter, que goza de uma autonomia e de uma posição hierárquica com status do que no Brasil, na esfera estadual, estaria equiparado a uma secretaria de Estado. E, pelo menos no que toca a Hesse, desde a pioneira Lei de 1970, o Parlamento Estadual escolhe a pessoa que exercerá a função de autoridade16.
Uma curiosidade é que na versão atual da Lei de Hesse, a figura é tratada tanto como "ele", assim como "ela", não deixando dúvidas de que o cargo possa ser ocupado por um homem ou por uma mulher17.
Desde 2018, a Autoridade de Proteção de Dados de Hessen também acumula a função de supervisionar a garantia do acesso à informação aos cidadãos18.
Spiros Simitis marcou época na atuação como autoridade de proteção de dados do Estado de Hesse, posto que ocupou de 1975, após obter a cidadania alemã, até 1991. No transcurso de sua gestão, o Tribunal Constitucional Federal proferiu a decisão do censo (1983), em que reconheceu o direito fundamental à autodeterminação informativa. Simitis se refere à decisão como a "bíblia da proteção de dados" e o maior marco da disciplina, tendo chegado a afirmar que depois dessa decisão "não se brinca mais com a proteção de dados"19.
Simitis20 foi sucedido por outras importantes personalidades, como Winfried Hassemer, que deixou o cargo para se tornar juiz do Tribunal Constitucional Federal, e, desde janeiro de 2021, personifica o papel de autoridade de proteção de dados de Hesse o Prof. Alexander Roßnagel21, da Universidade de Kassel, que apresenta um extenso currículo de atuação na área.
Por fim, há que se fazer o registro de que o trabalho de Spiros Simitis deixou marcas de excelência, indeléveis na área de proteção de dados: uma herança que ressoa em todos os pontos do mundo, inclusive na nossa Lei Geral de Proteção de Dados, o que se pode constatar pelo exame da pioneira Lei de Proteção de Dados de Hesse de 1970.
FABIANO MENKE é advogado e consultor jurídico em Porto Alegre, professor associado de Direito Civil da Faculdade de Direito e do Programa de Pós-Graduação em Direito da Universidade Federal do Rio Grande do Sul - UFRGS. Doutor em Direito pela Universidade de Kassel, com bolsa de estudos de doutorado integral CAPES/DAAD. Membro titular do Comitê Nacional de Proteção de Dados e da Privacidade. Coordenador do Projeto de Pesquisa "Os fundamentos da proteção de dados na contemporaneidade", na UFRGS. Membro Fundador do Instituto Avançado de Proteção de Dados - IAPD. Advogado. Instagram: menkefabiano
____________
1 Ver, por todos, DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 2ª ed. São Paulo: Thomson Reuters, 2019, p. 191.
2 DITTRICH, Monika. Eine Idee wird 50: Wie in Hessen der Datenschutz erfunden wurde. Disponível em https://www.deutschlandfunk.de/eine-idee-wird-50-wie-in-hessen-der-datenschutz-erfunden-100.html
3 Idem.
4 https://www.munzinger.de/search/portrait/Spiros+Simitis/0/15230.html
5 Sobre o ponto, ver: CANARIS, Claus-Wilhelm. O "contato social" no ordenamento jurídico alemão. Revista de Direito Civil Contemporâneo, vol. 16, ano 5. p. 211-219. São Paulo: Ed. RT, jul.-set. 2018.
6 A tese foi publicada sob o título: Die faktischen Vertragsverhältnisse als Ausdruck der gewandelten sozialen Funktion der Rechtsinstitute des Privatrechts. Frankfurt a. M.: Vittorio Klostermann, 1957. Em tradução livre, "As relações contratuais de fato como expressão transformadora da função social dos institutos jurídicos de direito privado". No Brasil, a título de exemplo, ver o texto da Profa. Vera Fradera em homenagem à obra e aos julgados do Min. Ruy Rosado de Aguiar Júnior, em que cita a acolhida das relações contratuais de fato na jurisprudência do STJ com inspiração na doutrina de Clóvis do Couto e Silva: https://www.conjur.com.br/2019-dez-16/direito-civil-atual-contribuicao-ruy-rosado-junior-magistrado-parte-ii#sdfootnote6sym
7 Ver entrevista de Spiros Simitis, concedida à Revista Forschung Frankfurt: Das Wissenschaftsmagazin der Goethe-Universität, vol. 1/2015, disponível em www.forschung-frankfurt.uni-frankfurt.de
8 Idem.
9 Recorde-se que no final da década de 1960 a Alemanha estava dividida em Alemanha Ocidental e Alemanha Oriental. O depoimento de Simitis se refere à Alemanha Ocidental (Bundesrepublik Deutschland).
10 Entrevista disponível em https://netzpolitik.org/2015/spiros-simitis-man-spielt-nicht-mehr-mit-dem-datenschutz/
11 Tradução livre do título da seguinte publicação: SIMITIS, Spiros. Rechtliche Anwendungsmöglichkeiten kybernetischer Systeme. Mohr: Tübingen, 1966.
12 Entrevista de Spiros Simitis à Revista Forschung Frankfurt: Das Wissenschaftsmagazin der Goethe-Universität, vol. 1/2015, disponível em www.forschung-frankfurt.uni-frankfurt.de
13 DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 2ª ed. São Paulo: Thomson Reuters, 2019, p. 308.
14 A competência pela supervisão das atividades do que hoje se denomina agentes de tratamento de dados pessoais foi estabelecida no § 10, 1, da Lei de Hesse de 1970. A regra estipula que a autoridade de proteção de dados supervisiona a observância das regras da lei e das demais disposições legais sobre o tratamento confidencial de informações relacionadas aos cidadãos. Na parte final do dispositivo consta ainda que a autoridade instruirá as repartições públicas do Estado acerca de violações e sugere medidas para aprimorar a proteção de dados.
15 A teor do que determina o art. 38 do Regulamento Europeu de Proteção de Dados.
16 Na lei originária, o §7º, I contemplava a forma de eleição da autoridade por parte do Parlamento, após sugestão do chefe de governo, e na lei atual dispositivo equivalente consta no § 9º.
17 Já no título do Capítulo IV da Lei de Hesse em vigor consta o artigo "a" ou "o" para designar a autoridade, ou comissária(o) de proteção de dados. No original: "Die oder der Hessische Datenschutzbeauftragte".
18 Temática que no Brasil é regrada pela Lei de Acesso à Informação, Lei Federal nº 12.527, de 18.11.2011. Note-se que no Brasil não existem autoridades centrais dedicadas ao assunto.
19 Entrevista disponível em https://netzpolitik.org/2015/spiros-simitis-man-spielt-nicht-mehr-mit-dem-datenschutz/
20 Vale à pena a leitura dos comentários ao Regulamento Europeu de Proteção de Dados, de autoria de Spiros Simitis em conjunto com Indra Spiecker e Gerrit Hornung, estes últimos professores atuantes no Estado de Hesse. SIMITIS, Spiros; HORNUNG, Gerrit; SPIECKER, Indra. (Org.): Datenschutzrecht: DSGVO mit BDSG. Nomos: Baden-Baden, 2019.
21 Para a biografia do Prof. Alexander Roßnagel: https://datenschutz.hessen.de/ueber-uns/biografie-der-hessische-datenschutzbeauftragte