No dia 17 de abril, o governo editou a Medida Provisória
nº 954, que determinou o compartilhamento de dados não anonimizados de
telefonia fixa e móvel e o endereço de todos os brasileiros com o IBGE.
Imediatamente, foram propostas perante o Supremo Tribunal
Federal cinco ações de inconstitucionalidade (ADIs) por PSB, PSDB, PSOL, PCdoB
e pela Ordem dos Advogados do Brasil (OAB). As entidades defendem que o
referido compartilhamento traz graves riscos para a privacidade dos cidadãos e
para a própria democracia brasileira, violando o artigo 5º, incisos X, XII
e LXXII da Constituição Federal.
A partir daí, deu-se um embate entre as visões, que
defendiam, por um lado, a necessidade de acesso aos dados para a realização de
pesquisas pelo IBGE durante a pandemia e, por outro, as fragilidades da norma
passíveis de expor os dados de milhões de brasileiros a medidas de vigilância.
Em defesa da Medida Provisória manifestaram-se os ex-presidentes do IBGE, no
sentido de que “esta preocupação (com os dados) não se justifica, porque os
dados não incluem informações pessoais e serão usados unicamente para fins
estatísticos”(1). Mencionaram até mesmo um suposto “apagão estatístico, que
tornaria muito mais difícil o controle da epidemia”(2).
Ocorre que no Estado Democrático de Direito as intenções dos
entes públicos se manifestam por meio de atos normativos e a Medida Provisória
não especifica para quais finalidades os dados serão utilizados para além do
abstrato termo “produção estatística oficial”, não estabelece a relação entre
as pesquisas estatísticas do IBGE e o combate à pandemia, e muito menos
determina qualquer medida de segurança para que o compartilhamento possa se dar
sem risco de acessos indevidos.
Mais grave ainda é a desproporcionalidade entre os dados
necessários para uma pesquisa amostral e os dados requisitados: determina-se a
disponibilização dos dados de todos os brasileiros que tem acesso a telefonia
móvel e fixa (mais de 200 milhões), quando a própria Fundação informa na PNAD
que “70 mil domicílios por mês fazem parte da amostra pesquisa”3.
Coloca-se em xeque a necessidade desse altíssimo número para
alcançar o (incerto) objetivo da norma, o que aliás contraria o Regulamento
Sanitário Internacional da OMS, incorporado no ordenamento pátrio pelo Decreto
n. 10.212/ 2020, que determina que não devem existir “processamentos [de dados]
desnecessários e incompatíveis”, com o propósito de “avaliação e manejo de um
risco para a saúde pública” (art. 45, 2, “a”).
Não há qualquer justificativa também para os exíguos prazos
trazidos na MP, a explicar porque de forma tão urgente esses dados devem ser
repassados ao IBGE (três dias para a regulamentação pelo IBGE e sete dias
para a disponibilização dos dados), antes mesmo da publicação de um relatório
de impacto à privacidade, que pudesse demonstrar de forma transparente aos
cidadãos os riscos e meios de mitigação.
Ao contrário, a Medida Provisória prevê paradoxalmente a
realização de um relatório depois que os dados já tiverem sido repassados!
Espanta ainda mais a lacônica Instrução Normativa nº 2
do IBGE (4), datada do mesmo dia da Medida Provisória, que ao invés de
preencher algumas dessas omissões, prevê que a forma de compartilhamento poderá
ser escolhida pelas operadoras de telefonia, desde que aceito pelo IBGE.
Assim, a norma do IBGE ignorou as importantes condições
recomendadas pela Anatel (5) para a legitimidade do pretendido
compartilhamento: (a) “sólida instrumentalização da relação jurídica que será
estabelecida entre o IBGE e cada uma das” empresas de telecomunicações; (b) “a
delimitação específica da finalidade do uso dos dados solicitados”; (c) “a
limitação das solicitações ao universo de dados estritamente necessários para o
atingimento da finalidade”; (d) “a delimitação do período de uso e da forma de
descarte dos dados”; (e) “a aplicação de boas práticas de segurança, de transparência
e de controle”. A despeito da MP expressamente determinar que a Anatel fosse
ouvida antes da regulamentação expedida pelo IBGE, é de se estranhar porque
nenhuma das medidas sugeridas pela Agência foi implementada na instrução
normativa.
Assim, a discussão acerca da constitucionalidade da Medida
Provisória é não apenas necessária, como urgente, vez que que já nos próximos
dias o governo terá em mãos um banco de dados unificado com nome, endereço e
telefone fixo e móvel de mais de 200 milhões de brasileiros, sem que a
sociedade tenha sido minimamente informada porque esse volume de dados deve ser
coletado e quais são as medidas de segurança que serão adotadas para a sua
proteção.
Não se trata aqui, por óbvio, de suspeita ou de desconhecer
a grande relevância dos serviços prestados pela Fundação IBGE à sociedade
brasileira. É dizer: trata-se de desconfiança pelos riscos inerentes que tal
medida pode gerar para a liberdade e personalidade dos cidadãos brasileiros,
lição civilizatória duramente aprendida com o uso de informações pessoais por
regimes autoritários e com os escândalos recentes de vazamento e uso indevido
de dados pessoais.(6)
Como afirmou a Corte Constitucional alemã, no famoso
julgamento de 1983 que deu origem ao direito à autodeterminação informativa,
”não existem mais dados insignificantes no contexto do processamento eletrônico
de dados”.
É que um dado sozinho, aparentemente insignificante, pode
adquirir um novo valor quando cruzado com outras informações, compartilhado com
pessoas ou entidades distintas e, de forma ainda mais sensível, utilizado para
formar perfis pessoais, sem participação ou conhecimento do titular desses
dados.
Curiosamente, a controvérsia do julgamento alemão tratava da
lei do censo de 1982 e era análoga ao presente caso, ao debater o risco da
ampla coleta estatal de dados e a possibilidade de cruzamento com outras
informações que o Estado já possui. (7)
Na sua formulação de um direito à autodeterminação
informativa, a Corte alemã criou verdadeiro marco teórico no campo da proteção
de dados pessoais, ao reconhecer um direito subjetivo fundamental e alçar o
indivíduo à protagonista no processo de tratamento de seus dados. Esse
reconhecimento representa uma limitação ao Poder Legislativo, que passa a estar
vinculado à configuração de um direito à autodeterminação informativa, do qual
se extraem inúmeros pressupostos procedimentais e limites materiais cujo
cumprimento irá determinar se o tratamento de dados é legítimo ou não.
Mais do que isso, os efeitos coletivos que o Tribunal extrai
da violação dos dados pessoais são fundamentais, ao afirmar que uma sociedade
na qual os cidadãos não detém controle sobre as suas próprias informações
coloca em risco o seu próprio sistema democrático, em razão do estado de
vigilância permanente trazido por essa situação (8).
Há muito se discute se um direito fundamental à proteção de
dados também existe no ordenamento brasileiro. Uma leitura acurada do seu texto
permite ver, com clareza, que a Constituição Federal traz normas e princípios
aptos a realizar a tutela constitucional dos dados pessoais, como se percebe a
partir da interpretação conjunta da garantia da inviolabilidade da vida privada
(art. 5º, X), do princípio da dignidade da pessoa humana (art. 1°, III, CF/88,)
e da garantia processual do habeas data (art. 5o, LXXII).
Em acórdão de 2017, o Supremo Tribunal Federal (STF) inovou
ao reconhecer em um Recurso Extraordinário em Habeas Data (RE no 673.707) o
direito de acesso do contribuinte a um sistema da Receita Federal, o Sistema de
Conta Corrente da Secretaria (SINCOR).(9) Essa jurisprudência representa um
passo fundamental na consolidação da tutela constitucional dos dados pessoais
no Brasil e traz elementos relevantes para a compreensão de um direito material
à proteção de dados, decorrente lógico e necessário da garantia processual do
habeas data. (10)
Os vícios de inconstitucionalidade, omissões e contradições
da MP se mostram ainda mais preocupantes em razão do déficit institucional da
proteção de dados no Brasil: afinal, se não há autoridade de proteção de dados
no país, quem irá fiscalizar o cumprimento das obrigações estabelecidas pela
própria MP, tais como a eliminação das informações obtidas após a sua
utilização (art. 4°, caput, da MP)?
Ou quem irá examinar as conclusões e a metodologia desse
deficiente relatório de impacto à proteção de dados pessoais elaborado pelo
IBGE (art. 3°, §2°, da MP)?
O pano de fundo desse conflito é, em verdade, a enorme
fragilidade institucional da proteção de dados no Brasil.
Afinal, o país não tem uma lei geral de proteção de dados em
vigor, não conta com o reconhecimento expresso de um direito fundamental à
proteção de dados e, de forma ainda mais grave, tampouco possui uma autoridade
independente que possa supervisionar o tratamento de dados mencionado pela
Medida Provisória.
Esses requisitos, que formam um relevante tripé
institucional da proteção de dados em grandes economias do mundo, são
justamente o grande vácuo do ordenamento jurídico-político brasileiro em pleno
século XXI. Sem eles, há uma enorme insegurança jurídica no país sobre a
coleta, o uso e a transferência de dados, o que explica a intensa
judicialização da medida ora proposta relativa ao compartilhamento de dados com
o IBGE.
E é exatamente o momento atual de grave crise epidêmica,
social e econômica que escancara a debilidade de nosso sistema institucional de
proteção de dados.
Surpreende nesse contexto a prorrogação da LGPD pelo Senado
Federal, justamente no momento em que mais precisamos da coleta e do uso de
dados com base em parâmetros legais, que forneçam segurança jurídica para o
Estado e para as empresas.
É fácil perceber que o Brasil se encontra diante de uma
verdadeira encruzilhada institucional: quando mais precisamos coletar e
processar dados pessoais relacionados à saúde pública dos cidadãos a fim de
formular políticas públicas aptas a protegê-los, não temos balizas jurídicas
para garantir segurança desse processamento, cenário no qual se destaca a
omissão do Poder Executivo em constituir uma autoridade nacional de proteção de
dados de dados.
Nesse sentido, para além de prevenir os possíveis riscos
gerados pela Medida Provisória, as ADIs se mostram também como uma oportunidade
de instituir os parâmetros constitucionais da proteção de dados no Brasil, que
poderiam ser aproveitados para os casos de processamento e uso de dados
relacionados durante e depois da pandemia. Assim, o reconhecimento expresso de
um direito fundamental à proteção de dados pelo STF, por exemplo, seria de
grande contribuição. Dessa tutela constitucional poder-se-iam extrair não
somente os procedimentos de segurança, transparência e
proporcionalidade/necessidade para tratamento de dados, como também a
necessidade da supervisão por uma autoridade independente, como previsto
expressamente no direito fundamental à proteção de dados europeu. (11)
No atual contexto de processamento automatizado de dados,
não existem dados pessoais insignificantes, tampouco há entidades a quem se
pode dar um cheque em branco para o amplo processamento de dados pessoais dos
cidadãos brasileiros.
Os vícios da Medida Provisória são ainda mais graves diante
de um quadro de carências do sistema institucional brasileiro da proteção de
dados.
Tais carências ficarão mais evidentes nos debates relativos
ao uso de dados pessoais para monitorar e controlar a pandemia no país e
controvérsias semelhantes deverão se repetir nas arenas estaduais e federal.
Por todas as razões expostas, é flagrante a
inconstitucionalidade da Medida Provisória nº 954 e os seus danos são
irreparáveis. Tal Medida subtraiu do Congresso Nacional a oportunidade de
debater o tema, ao determinar que os dados sejam repassados ao IBGE no exíguo
prazo de uma semana, período no qual não é possível sequer aprovar emendas
legislativas ao seu texto.
É fundamental, em primeiro lugar, que esses vícios sejam
reconhecidos e anulados e, em uma perspectiva mais ampla, que um verdadeiro
tripé institucional da proteção de dados seja construído no país, calcado em:
(i) um direito fundamental à proteção de dados pessoais, (ii) na entrada em
vigor da Lei Geral de Proteção de Dados em agosto deste ano, bem como (iii) na
instituição de uma autoridade de proteção de dados autônoma, técnica e atuante.
1 http://www.schwartzman.org.br/sitesimon/?p=6488. Há um
equívoco na frase, pois não há dúvida de que se trata de dados pessoais à luz
da Lei Geral de Proteção de Dados, vez que os dados requisitados são
identificados (não anonimizados), conforme disposto expressamente no art. 2o da
Medida Provisória: “empresas de telecomunicação prestadoras do STFC e do SMP
deverão disponibilizar à Fundação IBGE, em meio eletrônico, a relação dos
nomes, dos números de telefone e dos endereços de seus consumidores, pessoas
físicas ou jurídicas.”
2 Idem.
3 https://respondendo.ibge.gov.br/coleta-por-telefone.html
4 http://www.in.gov.br/web/dou/-/instrucao-normativa-n-2-de-17-de-abril-de-2020-253341223
5 Anatel VOTO Nº 30/2020/PR Processo nº 53500.017367/2020-40
6 Os escândalos relativos à espionagem da Internet e dos
meios de comunicação, que atingiram a Agência Nacional de Segurança dos EUA em
2013, expuseram de forma inédita os riscos a que os cidadãos estão submetidos
na era da informação. Retorna, assim, o temor do Estado como o “Big Brother”,
que tudo vê e tudo controla, ameaçando direitos já há muito consolidados e
colocando em risco a confiança dos indivíduos na infraestrutura da comunicação
e informação, componente vital da sociedade da informação. Cf.:
http://www.theguardian.com/commentisfree/2013/sep/06/nsa-surveillance-revelations-encryption-expert-chat;
http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security;
http://www.theguardian.com/commentisfree/series/glenn-greenwald-security-liberty.
Ainda, o escândalo da Cambridge Analytica revelou como dados de um teste de
personalidade podem ser usados em contexto completamente diverso daquele em que
foram coletados, como no caso, para o microtargeting eleitoral do Partido
Republicano.
7 BVERFGE 65, 1. p. 239 e 240. Na reclamação ajuizada
perante a Corte Constitucional, contestava-se a “Lei do Recenseamento de
População, Profissão, Moradia e Trabalho”. O Tribunal conheceu da reclamação e,
no mérito, confirmou a constitucionalidade da lei em geral, declarando nulos os
dispositivos que determinavam a comparação dos dados coletados, bem como a sua transferência
para outros órgãos da administração. Cf: MENDES, Laura Schertel. Privacidade,
proteção de dados e defesa do consumidor: linhas gerais de um novo direito
fundamental. São Paulo: Saraiva, 2014.
8 BVERFGE 65, 1. p. 239 e 240. SCHWABE, Jürgen; MARTINS,
Leonardo. Cinqüenta anos de jurisprudência do Tribunal Constitutional Federal
Alemão. Konrad-Adenauer-Stiftung, 2005. Acessível em
http://www.mpf.mp.br/atuacao-tematica/sci/jurisprudencias-e-pareceres/jurisprudencias/docs-jurisprudencias/50_anos_dejurisprudencia_do_tribunal_constitucional_federal_alemao.pdf/view
9 RE n. 673.707, Minas Gerais, relatado pelo Min. Luiz Fux
em 17.06.2017.
10 A análise dessa decisão, bem como o delineamento da
estrutura de um direito fundamental à proteção de dados pode ser encontrada no
texto: MENDES, Laura. Habeas Data e Autodeterminação informativa: dois lados da
mesma moeda. In: Direitos Fundamentais & Justiça, ano 12, n. 39, p.
185-216, jul./dez. 2018.
11 Esse direito está previsto no art. 8o. da Carta de
Direitos Fundamentais e tem a seguinte redação: Art. 8o. 1. Todas as pessoas
têm direito à proteção dos dados de caráter pessoal que lhes digam respeito. 2.
Esses dados devem ser objeto de um tratamento leal, para fins específicos e com
o consentimento da pessoa interessada ou com outro fundamento legítimo previsto
por lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes
digam respeito e de obter a respetiva retificação. 3. O cumprimento destas
regras fica sujeito a fiscalização por parte de uma autoridade independente.”
Fonte: Consultor Jurídico
