Dados pessoais, covid-19 e a MP 954/20
Informações que são essencialmente acessíveis a todos devem ser objeto de direito à privacidade, à medida que uma interpretação contextual - potencializada por mecanismos digitais - pode trazer riscos aos direitos fundamentais.
quinta-feira, 7 de maio de 2020
Atualizado em 8 de maio de 2020 18:35
No último dia 24 de abril de 2020, o Supremo Tribunal Federal, através de decisão monocrática da ministra Rosa Weber, deferiu a medida cautelar requerida pelo Conselho Federal da Ordem dos Advogados do Brasil, para suspender o inteiro teor da medida provisória 954, de 17 de abril de 2020, que dispõe sobre "o compartilhamento de dados por empresas de telecomunicações prestadoras de Serviço Telefônico Fixo Consultado e de Serviço Móvel Pessoal com a Fundação Instituto Brasileiro de Geografia e Estatística, para fins de suporte à produção estatística oficial durante a situação de emergência da saúde pública de importância internacional decorrente do coronavírus (covid-19), de que trata a lei 13.979, de 06 de fevereiro de 2020."
A argumentação, acolhida pela decisão monocrática da ministra Rosa Weber, refere-se à inconstitucionalidade material do artigo 2º da medida provisória, que prevê o compartilhamento, em meio eletrônico, das operadoras de telefonia celular, da relação dos nomes, dos números de telefone e endereços dos seus consumidores, pessoas físicas ou jurídicas, dados esses que, conforme o parágrafo primeiro do mesmo dispositivo, serão utilizados direta e exclusivamente pela Fundação IBGE para a produção estatística oficial, com o objetivo de realizar entrevistas em caráter não presencial no âmbito de pesquisas domiciliares.
Baseou-se a decisão na proteção constitucional da intimidade, vida privada, honra e imagem das pessoas, qualificadas como invioláveis, assegurando-se indenização pelo dano material ou moral decorrente da sua violação (art. 5º, X, Constituição) e, a fim de instrumentalizar tais direitos, na proteção, pelo artigo 5º, XII da Constituição, da inviolabilidade e sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução penal.
Considerou a mencionada decisão que, enquanto manifestação dos direitos da personalidade, o respeito à privacidade e à autodeterminação informativa foram positivados no artigo 2º., I e II da lei 10.909/18, como fundamentos específicos da disciplina da proteção de dados pessoais.
O dispositivo em questão da medida provisória, ou seja, o art. 2º., parágrafo primeiro, não delimitou o objeto da estatística a ser produzida, nem a finalidade específica, tampouco a sua amplitude. Da mesma forma, não esclarece a necessidade de disponibilização dos dados, nem como se serão efetivamente utilizados. Além disso, embora o artigo 1º., parágrafo único da medida provisória se limite a afirmar que o ato normativo terá aplicação durante a situação de emergência da saúde pública de importância internacional decorrente da covid-19, não há qualquer referência expressa à pandemia como finalidade ou justificativa da edição daquele ato normativo.
Diante disso, a ministra Rosa Weber verificou a ausência de interesse público legítimo no compartilhamento dos dados pessoais dos usuários dos serviços de telefonia, tendo em vista a necessidade, a adequação e a proporcionalidade da medida. Embora o artigo 3º., I e II da MP afirme que os dados compartilhados terão caráter sigiloso e serão utilizados especificamente para a finalidade do artigo 2º, parágrafo primeiro (para a produção estatística oficial, com o objetivo de entrevistas em caráter não presencial no âmbito de pesquisas domiciliares), sendo vedada a sua disponibilização com outros entes, públicos ou privados(art. 3º., parágrafo primeiro da MP),
Aparece como argumento central da mencionada decisão a circunstância de que a MP 954/20 não apresenta mecanismo técnico ou administrativo apto a proteger os dados pessoais de acessos não autorizados, vazamentos acidentais ou utilização indevida, seja na sua transmissão, seja no seu tratamento: "limita-se a delegar a ato do Presidente da Fundação IBGE o procedimento para compartilhamento dos dados, sem oferecer proteção suficiente aos relevantes direitos fundamentais em jogo. Enfatizo: ao não prever exigência alguma quanto a mecanismos e procedimentos para assegurar o sigilo, a higidez e, quando o caso, o anonimato dos dados compartilhados, a MP 954/20 não satisfaz as exigências que exsurgem do texto constitucional no tocante à efetiva proteção de direitos fundamentais dos brasileiros".
E conclui a decisão monocrática: "não se subestima a gravidade do cenário de urgência decorrente da crise sanitária nem a necessidade da formulação de políticas públicas que demandam dados específicos para o desenho dos diversos quadros de enfrentamento. O seu combate, todavia, não pode legitimar o atropelo de garantias fundamentais consagradas na Constituição".
Tendo como pano de fundo o sistema Europeu, o direito fundamental à proteção dos dados pessoais tem sido tratado como um direito fundamental autônomo, onde há previsão expressa,1 leciona Stéfano Rodotá que o uso maciço das tecnologias leva o Direito a ter de tutelar a pessoa humana em seus dois corpos, um corpo físico e um corpo eletrônico, oriundo das informações traduzidas em dados pessoais
Assim, ensina Rodotà que tal aspecto da personalidade humana consiste em um conjunto de informações que diz respeito a um sujeito, e que, quando expostas, contribuem para a definição das identidades e criação de perfis individuais, de pertencimento a um ou mais de grupos sociais.2 Portanto, a ideia central é que não basta se proteger a divulgação da informação em desacordo com o consentimento do autor, mas o uso dos dados de maneira diversa da estrita finalidade para a qual é coletado, uma vez que o seu manejo inadequado pode levar desigualdades, preconceitos e discriminações a patamares que vão além do indivíduo.
Neste ponto, a decisão monocrática do STF fortalece a tutela do direito à proteção de dados ainda que não esteja em vigor a Lei Geral de Proteção de Dados, que lamentavelmente teve mais uma vez sua vigência postergada (medida provisória 959/20, art. 2º).3
Isto porque acaba por consagrar, ao fim e ao cabo, o princípio da finalidade na proteção dos dados, em se tratando de um conceito jurídico complexo que deve ser interpretado em seu contexto e quando diz respeito especificamente à proteção dos dados pessoais, a simples ideia de que correto é quem não tem "nada a esconder" traz consigo o risco de danos à pessoa que tem seus dados manejados.
Não fica clara, na medida provisória, a finalidade do compartilhamento de dados de cerca de 200 milhões de usuários com o IBGE, fora a questão da ausência de governança, ou seja, quem controlaria os dados, sobretudo no vácuo da entrada em vigor da LPGD, gerando a falta da Autoridade Nacional de Proteção de Dados, criada de forma não independente pela lei 13.709/18, com a redação da lei 13.853, de 08 de julho de 2019. As responsabilidades pela segurança do sistema, em caso de eventual vazamento de dados, igualmente não são esclarecidas pela MP 954/20.
Hipótese semelhante já foi julgada pela Corte Constitucional alemã. Em 1983, o reconhecimento do direito fundamental à autodeterminação informativa (informationelles Selbstbestimung) pelo Tribunal Constitucional Alemão (Bundesverfassungsgericht - TCA) foi mais um episódio desse atrito. No conhecido julgamento sobre a Lei do Censo (Volkszählungsurteil - 1 BvR 209/83, de 15.02.83) foi discutida a constitucionalidade de uma lei federal que permitia a coleta e tratamento de dados para fins estatísticos, bem como a transmissão anonimizada desses dados para a execução de atividades públicas.
Os juízes do TCA entenderam que a lei era parcialmente constitucional. Seria constitucional a permissão para a coleta e tratamento de dados pessoais dos cidadãos, independente do seu consentimento, bastando a permissão legal. Entretanto, a permissão geral dada pela lei de comparação e troca de dados pessoais entre órgãos públicos, bem como a fixação da competência, foi considerada inconstitucional, por violar o princípio da autodeterminação informativa. O reconhecimento desse novo direito fundamental decorreu de uma interpretação do direito de personalidade e da dignidade da pessoa humana.
O ponto central da discussão era a transparência do tratamento dos dados pessoais. Sem que a lei fixe de forma clara como os dados serão tratados, os cidadãos, obrigados a entregarem suas informações pessoais, não poderiam saber quem teria acesso e para quais finalidades seriam utilizados, vivendo uma situação de constante vigilância. A autodeterminação informativa, dessa forma, não estaria ligada ao controle total do titular sobre o tratamento de seus dados, mas de poder verificar a legalidade das atividades daqueles que utilizam seus dados, independentemente do consentimento.
Convém não perder de vista o artigo 12, parágrafo segundo da LGPD, inserido no artigo que cuida da anonimização de dados, que assim conceitua o profiling: "poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada". Conclui-se, em matéria de tratamento, que mesmo aqueles dados que parecem ser isoladamente insignificantes passam a ter maior valor, tendo em vista o cruzamento e a formação de perfis.
Paul Bernal narra episódio ocorrido no Reino Unido denominado "Samaritans Radar".4
A ONG Samaritans é conhecida no país pelo nobre propósito de reunir voluntários na luta contra o suicídio.5 A organização lançou uma aplicação no ano de 2014 na rede social Twitter que buscava aproximar pessoas potencialmente suicidas de amigos ou voluntários no intuito de evitar o pior. Seu slogan era: "torne sua rede social em uma rede de segurança ('turn your social net into a safety net').
Uma vez cadastrado no aplicativo, o programa escaneava os tweets de todos aqueles que o usuário seguia, procurando postagens potencialmente suicidas que contivessem expressões como "cansado de estar sozinho", "eu me odeio" "deprimido", "me ajude" e "necessito alguém para conversar". Se encontrasse tal postagem, enviaria um e-mail automatizado para o usuário, dizendo-lhes que seu seguidor havia tuitado algo potencialmente suicida.6
O fato rapidamente gerou controvérsias no país acerca da questão da privacidade, tendo sido posteriormente tirado do ar. Visto incialmente como algo "assustador", aos poucos a opinião pública britânica foi se convencendo de que o aplicativo, apesar de bem intencionado na origem, acaba por expor os usuários a Cyberbullying já que busca e identifica aqueles que são mais vulneráveis a tais tipos de ataques virtuais.
Segundo Paul Bernal, este é um exemplo de como informações que são essencialmente acessíveis a todos devem ser objeto de direito à privacidade, à medida que uma interpretação contextual - potencializada por mecanismos digitais - pode trazer riscos aos direitos fundamentais. Conclui que o que se sobrepõe neste caso é a legítima expectativa privacidade do usuário, uma vez que, mesmo em público, não deseja que suas palavras sejam alvo de vigilância.7
Voltando ao precedente do STF, não há dúvida de que devemos empreender o máximo de esforços para combater o coronavírus. Entretanto, o recurso a uma vigilância constante, desmedida e compulsória sem um mínimo de critérios acerca do armazenamento, tratamento dos dados com mínimo de respeito à finalidade e anonimização de informações de saúde - dados sensíveis por natureza - pode guardar uma grande armadilha por detrás das reais intenções de um "bom samaritano".
_________
1 "Artigo 8º. Proteção de dados pessoais 1. Todas as pessoas têm direito à proteção dos dados de carácter pessoal que lhes digam respeito. 2. Esses dados devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respectiva retificação. 3. O cumprimento destas regras fica sujeito a fiscalização por parte de uma autoridade independente." Carta de Direitos Fundamentais da União Europeia. Disponível em: Clique aqui. Acesso em: 01 de maio de. 2020.
2 Cf. RODOTÁ. Stéfano. Derecho a tener derechos. Madrid: Trotta, 2014. p. 38 e ss.
3 Disponível em: Clique aqui. Acesso em 30 abr. 2020.
4 BERNAL, Paul. The Internet, Warts and All Free Speech, Privacy and Truth. Cambridge: Cambridge University Press, 2018. p. 146 e ss.
5 Disponível em: Clique aqui. Acesso em 30 abr. 2020.
6 BBC News. Dave Lee. Samaritans pulls 'suicide watch' Radar app. 7 nov. 2014. Disponível em: Clique aqui. Acesso em 30 abr. 2020.
7 O autor incluso comenta precedente da Corte Europeia de Direitos Humanos: This has been recognised by the European Court of Human Rights in a series of cases involving a variety of kinds of privacy invasion including both the press and law enforcement. As Eady J noted in McKennitt v. Ash: 'a trend has emerged towards acknowledging a "legitimate expectation" of protection and respect for private life, on some occasions, in relatively public circumstances'. BERNAL, Paul. Op. Cit. p. 150.
_________
*Guilherme Magalhães Martins é promotor de Justiça titular da 5ª Promotoria de Tutela Coletiva do Consumidor e do Contribuinte - Rio de Janeiro. Doutor e Mestre em Direito Civil pela Faculdade de Direito da UERJ.
*João Victor Rozatti Longhi é defensor público no Estado do Paraná. Pós Doutor pela UENP. Doutor em Direito do Estado pela Faculdade de Direito da USP. Mestre em Direito Civil pela UERJ.