Artigo: Proteção de dados pessoais como direito fundamental autônomo e competência legiferante privativa da união – Por Sergio Paulo Gomes Gallindo, Daniel T. Stivelberg e Evellin D. Silva

É forçoso concluir ser necessário, em favor da segurança jurídica, comissionar, constitucionalmente, a União como único ente federado responsável por desempenhar o papel regulatório da matéria, delegando-lhe competência legiferante privativa.

A tutela jurídica da proteção de dados pessoais foi inaugurada, no Brasil, com a lei 13.709, de 14/8/18,1 LGPD2. Conforme seu art. 1º, a lei tem por objetivo a proteção dos direitos fundamentais de liberdade, privacidade e do livre desenvolvimento da personalidade, ante o tratamento de dados pessoais realizado por pessoas ou empresas, reconhecendo tratar-se de novo fenômeno ínsito à era digital. O direito à privacidade é tido por Tércio Sampaio Ferraz Jr. como “um direito subjetivo fundamental, cujo titular é toda pessoa física ou jurídica […] cujo conteúdo é a faculdade de constranger os outros ao respeito e de resistir à violação do que lhe é próprio […]; e cujo objeto é a integridade moral do titular”3. Laura Schertel Mendes observa que este direito evoluiu de uma postura omissiva do poder público em face ao cidadão, para uma postura ativa em face a massificação do tratamento, viabilizada pelas tecnologias digitais.

Trata-se de um diploma teleológico, de aguda relevância social, constatação positivada pelo legislador no parágrafo único do art. 1º,4 com a vinculação da observância por todos os entes federados. O art. 1º evidencia que a natureza jurídica das normas protetivas de dados pessoais guarda encadeamento lógico com outras garantias constitucionais, a exemplo do direito à intimidade e à privacidade. Desta constatação, surgem reflexos importantes nas dimensões da amplitude normativa e da atividade legiferante no tocante a normas materiais em sede de proteção de dados pessoais.

É plenamente meritosa a inclusão da proteção de dados pessoais no art. 5º da CF/88, alçando-o, formalmente, ao rol dos direitos e garantias fundamentais. Esse é, aliás, o objeto da PEC 17/19, que enxerta, no art. 5º, XII, da CF/88, “o direito à proteção de dados pessoais, inclusive no meio digital”. A respeito da proposta legislativa em comento, melhor andará o constituinte derivado caso opte pela criação de inciso específico e autônomo no rol das garantias fundamentais do art. 5º, da CF/88, uma vez que a tutela da proteção de dados é valor mais amplo do que aquele de que trata o dispositivo mencionado, que cuida da inviolabilidade do sigilo de correspondência e comunicações. Entendemos que a proteção de dados pessoais é um direito fundamental autônomo, consentâneo com fenomenologia da era digital, em particular ante capacidade de processamento e armazenamento de dados que viabiliza a coleta e o tratamento massivo de dados pessoais.

Reflexo importante, decorrente da constatação da natureza jurídica das normas da LGPD, é a compreensão da amplitude normativa, conforme já delineado acima. É imprescindível reconhecer os limites da expressão “proteção de dados pessoais”, que não deve ser interpretada sob uma ótica repressiva, na qual competiria ao Estado o papel de constranger a todos na vã tentativa de embargo à coleta e tratamento dessas informações para fins econômicos. Caso assim o fosse, estaríamos ante uma desarrazoada sujeição da sociedade a uma indesejável – e impraticável – reclusão absoluta do titular na proteção de sua subjetividade. Ao contrário, entendemos que a hermenêutica adequada é a de “tutela de dados pessoais”. Dessa forma, garantida a observância dos princípios intra legem encetados no art. 6º, LGPD, tais como o da finalidade, o da necessidade e o da adequação, a dogmática possibilita o legítimo proveito econômico, o desenvolvimento e a inovação decorrentes das atividades de coleta e tratamento de dados pessoais. Portanto, assim como todo direito fundamental, a proteção de dados pessoais não possui caráter absoluto, podendo também ser objeto de limitações. Ao guindar a proteção de dados pessoais à categoria de direito fundamental autônomo, o constituinte derivado positiva-o a par dos demais congêneres, possibilitando ao julgador recorrer à técnica hermenêutica da colisão e sopesamento de princípios.

Outro aspecto, decorrente da natureza jurídica das normas de proteção de dados, diz respeito aos limites à atividade legiferante dos entes políticos no que concerne à edição de normas de direito material sobre a temática. O art. 22, da CF/88, estabelece o rol das matérias cuja competência para edição de leis é privativa da União, a exemplo das normas de direito civil, comercial, processual, dentre outras. A doutrina explica que o rol do retrocitado art. 22 abrange “os assuntos mais relevantes e de interesse comum à vida social no País nos seus vários rincões”5. O interesse geral da tutela inaugurada pela LGPD é  evidenciado pelas disposições, coerentemente articuladas, de varias matérias que perpassam o rol de competências privativas da União, a exemplo de Direitos e Garantias Fundamentais (CF/88, art. 5º, X; LGPD, art. 2º, I e VII)6, Direito Civil (CF/88, art. 22, I; LGPD, art. 42 a 45)7, informática (CF/88, art. 22, IV; LGPD, art. 46 a 49)8, e telecomunicações (CF/88, art. 22, IV; LGPD, art. 33 a 36)9. Trata-se, portanto de lei Nacional a ser observada por todos os entes federados, conforme art. 1º, parágrafo único, não se vislumbrando situação de competência legislativa concorrente.

Reconhecer a competência privativa da União para legislar matéria de proteção de dados pessoais traz impactos políticos e legislativos importantes. Há uma profusão de projetos de lei ou até mesmo legislações em vigor, nos âmbitos estadual e municipal, buscando disciplinar o tema, alguns sob a égide da proteção dos direitos do consumidor, para disciplinar proteção de dados pessoais coletados e tratados pelas instâncias políticas subnacionais. Constata-se, até mesmo, a criação de autoridades regionais de proteção de dados10. Há que se restabelecer,  urgentemente, a higidez dos espaços de competência legiferante, de modo a garantir uma única lei geral, que harmonize as relações econômicas e sociais disciplinadas em sede de jurisdição nacional a fim de afastar inseguranças jurídicas em matéria de tratamento de dados pessoais, com impactos deletérios para a atratividade de investimentos e inovação.

A positivação da competência privativa da União para legislar a matéria de proteção de dados pessoais não alija, contudo, os entes federados de atuação política e administrativa no que concerne a organização, aos processos e aos procedimentos necessários à observância da lei, a bem do bom desempenho de suas funções de governo. O art. 7º da LGPD, ao definir as hipóteses autorizativas de tratamento de dados, prevê o tratamento pela administração pública para a execução de políticas públicas previstas em leis e regulamentos ou respaldas em contratos, convênios ou instrumentos congêneres, observada a lei. Assim, os entes federados atuarão como agentes, a saber, como controladores ou operadores na cadeia de tratamento de dados, LGPD, art. 5º, VI, VII, X, e, portanto, a eles competirá a tomada de decisão a respeito do tratamento, ou a observância às instruções lícitas do controlador, responsabilizando-se em caso de abusos e tratamento ilegal, de acordo com o disposto na LGPD, seção III. A PEC 17/19, propõe, com acerto, a inclusão, no rol do art. 22 da CF/88, da competência privativa da União para legislar sobre proteção de dados pessoais. Tal inserção conferirá alto grau de segurança jurídica, deixando claro não haver competência concorrente com respeito a regulação da proteção de dados pessoais, sem comprometer as demais potestades normativas dos entes federados.

Destarte, competirá aos Poderes Executivos locais elaborar políticas públicas que envolvam coleta e tratamento de dados pessoais (LGPD, art. 7º, III); induzir e resguardar a observância da conformidade por parte dos órgãos públicos locais, disseminando boas práticas e medidas de segurança (LGPD, art. 46 a 49); e lançar mão de instrumentos normativos a exemplo de decretos e outros atos para dispor sobre a coleta, curadoria, tratamento e compartilhamento dos dados pessoais sob os quais atuam como agentes de tratamento (LGPD, art. 5º, VI, VII, X). Aos Poderes Legislativos, caberá a aprovação das políticas públicas que envolvam a coleta e tratamento de dados pessoais, estabelecidas por meio de leis locais, desprovidas de características regulatórias, bem como, no âmbito de sua função típica, fiscalizar a conformidade da administração pública face à LGPD.

Em suma, o reconhecimento da proteção de dados pessoais, como um direito fundamental hodierno e merecedor de ser constitucionalmente plasmado, é pertinente e necessário. Neste mister, é essencial reconhecê-lo, também, como um direito fundamental autônomo, digno de figurar, altaneiro, em inciso próprio acrescentado, sequencialmente, ao final do rol do art. 5º do Texto Magno. Em decorrência, é forçoso concluir ser necessário, em favor da segurança jurídica, comissionar, constitucionalmente, a União como único ente federado responsável por desempenhar o papel regulatório da matéria, delegando-lhe competência legiferante privativa, por meio de explicitação no art. 22 da CF/88.

 

1 Com alterações introduzidas pela Lei nº 13.853, de 08/07/2019.

2 A positivação da fenomenologia no ordenamento brasileiro é oportuna. Entre os anos de 2005 e 2014, o fluxo global de dados aumentou 45 vezes, superando os fluxos de comércio e financeiro. O tráfego global de dados triplicara’ em 5 anos, atingindo 396 Exa Bytes por mês em 2022, uma taxa de crescimento de 26% ao ano. Ate’ lá’ serão 3,6 dispositivos conectados por pessoa, sendo que 51% das conexões será’ do tipo ma’quina-a-ma’quina (M2M) e 44% entre dispositivos smartphones. (Fonte: Cisco VNI Global IP Traffic Forecast 2017-2022).

3 SAMPAIO FERRAZ, Tercio. Sigilo de dados: o direito a` privacidade e os limites a` função fiscalizadora do Estado. Cadernos de Direito Constitucional e Ciência Política, n. 1, p. 77).

4 Lei nº 13.709/18: Art. 1º […] Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.

5 MENDES, Gilmar Ferreira. Curso de Direito Constitucional/Gilmar Ferreira Mendes, Paulo Gustavo Gonet Branco – 7. ed. rev. e atual. – Sa~o Paulo: Saraiva, 2012. pp. 880/882.

6 Constituição Federal de 1988: “Art. 5º […] X – são invioláveis a intimidade, a vida privada, […]  das pessoas, assegurado o direito a indenização pelo dano […]”; LGPD: “Art. 2º A […] proteção de dados pessoais tem como fundamentos: […] I – o respeito à privacidade; […] VII – os direitos humanos, […] a dignidade e o exercício da cidadania pelas pessoas […]”.

7 CF/1988: “Art. 22. Compete privativamente à União legislar sobre: I – direito civil, comercial, penal, processual, […]; […]”; LGPD: “Art. 42. O controlador ou o operador que […] causar a outrem dano patrimonial, moral, […] em violação à legislação de proteção de dados […] é obrigado a repará-lo. […] § 2º O juiz, no processo civil, poderá inverter o ônus da prova […]”.

8 CF/1988: “Art. 22. Compete privativamente à União legislar sobre: […] IV – […] informática […];”; LGPD: “Art. 46. Os agentes […] devem adotar medidas de segurança, técnicas […] aptas a proteger os dados pessoais […] Art. 47. Os agentes de tratamento […] obriga-se a garantir a segurança da informação prevista nesta Lei […] Art. 49. Os sistemas […] devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas […].”

9 CF/1988: “Art. 22. Compete privativamente à União legislar sobre: […] IV – […] telecomunicações […];”; LGPD: “Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos: […] Art. 35. A definição […] de cláusulas-padrão contratuais […] para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, […] será realizada pela autoridade nacional. […]”.

10 Algumas propostas: i) PL 375/2015 (ALERJ); ii) PL 29/2019 (ALMS); iii) LC nº 161/2018, do município de Vinhedo, SP.

*Sergio Paulo Gomes Gallindo é presidente executivo da Brasscom, advogado, mestre em Direito Político e Econômico pela Universidade Presbiteriana Mackenzie, mestre em Ciência da Computação pela University of Texas at Austin, com apoio do Fulbright Intl. Fellowship Program, bacharel em Direito pela USP, Engenheiro Eletrônico pela UFRJ.

*Daniel T. Stivelberg é gerente de relações governamentais da Brasscom, advogado, pós-graduado em Direito Constitucional pelo Instituo Brasiliense de Direito Público (IDP) e em relações internacionais pela Universidade de Brasília (UnB). É Bacharel em Direito pela Faculdade de Direito de Curitiba (FDC) e em Relações Internacionais pelo Centro Universitário Curitiba (Unicuritiba).

*Evellin D. Silva é analista de relações institucionais e governamentais da Brasscom e Bacharel em Ciência Política pela Universidade de Brasília (UnB).

Fonte: Migalhas

Deixe um comentário