Diego de Lima Gualda e Laura Aliende Da Matta
A pandemia de covid-19 não impediu o avanço da agenda de transformações em torno da privacidade e da proteção de dados no Brasil. Na verdade, o uso da tecnologia como ferramenta de monitoramento e combate da transmissão do vírus acelerou as discussões sobre seus benefícios técnicos, de um lado, e os riscos da vigilância em massa, de outro.
Nesse contexto, transformações institucionais muito relevantes estão sendo produzidas na primeira metade de 2020. Boa parte delas ainda não está bem resolvida, mas já é possível apontar um ponto de não retorno, em particular com a decisão do Supremo Tribunal Federal (STF) de reconhecer a natureza constitucional da garantia à proteção de dados pessoais e ao direito de autodeterminação.[1]
Neste artigo, analisamos os impactos da decisão e de outras transformações recentes nos setores público e privado, as incertezas e os debates que já começam a surgir, mas antes apresentamos um breve histórico do tema. Os leitores já familiarizados com os fatos podem passar diretamente à análise.
Cronologia
Nos meses de março e abril de 2020, o debate sobre a prorrogação da Lei Geral de Proteção de Dados Pessoais (LGPD) ganhou relevância por causa da pandemia: com a sentida ausência da Autoridade Nacional de Proteção de Dados (ANPD) e um contexto de crise econômica sem precedentes, o adiamento da entrada em vigor da LGPD seria necessário para que os setores público e privado tivessem mais tempo para o processo de adequação. Não faltaram críticas de órgãos de controle, como o Ministério Público Federal, e de parte da academia, com sua dose de razão, denunciado o oportunismo e a leniência de governos e empresas com o processo de adequação à lei.
É nesse contexto que o Projeto de Lei (PL) nº 1.179/20, de autoria do senador Antonio Anastasia, propôs inicialmente uma prorrogação de 12 meses para a entrada da lei em vigor, ou seja, para agosto de 2021. O projeto foi aprovado no Senado, mas com uma solução diversa: quase toda a lei começaria a vigorar em 1º de janeiro de 2021, enquanto apenas as sanções administrativas ficariam para agosto de 2021.
Enquanto o PL 1.179/20 ainda tramitava na Câmara dos Deputados e, aparentemente sem maiores articulações com o Legislativo, o governo federal editou medida provisória alterando a vigência da LGPD para 3 de maio de 2021. Tal alteração veio no bojo da MP 959/20, cujo escopo dizia respeito à operacionalização do pagamento do Benefício Emergencial de Preservação do Emprego e da Renda e do benefício emergencial mensal.
O PL 1.179/20 foi finalmente aprovado pelo Congresso Nacional, sem postergação do prazo da LGPD, o que passaria a ser discutido no âmbito da MP 959/20, levando-se em conta dois aspectos: a prorrogação das sanções administrativas da LGPD para agosto de 2021 e um recado de insatisfação, em especial do Senado Federal, com a condução do processo pelo Executivo, que foi marcado tanto pela inação em torno da formação da ANPD quanto pela prorrogação da lei para um prazo distinto do que estava sendo discutido no Congresso Nacional, sem qualquer articulação. Houve afirmações até mesmo de que o Congresso Nacional teria aprovado a antecipação da entrada em vigor da LGPD, uma sugestão de que a MP 959/20 poderia caducar ou mesmo ser rejeitada no que diz respeito ao dispositivo de prorrogação da lei.
Enquanto isso, outra medida provisória gerava discussão. A MP 954/20 determinou o compartilhamento obrigatório de dados de cadastro por parte de empresas de telecomunicações com a Fundação Instituto Brasileiro de Geografia e Estatística (IBGE), para apoiar a produção estatística oficial durante a emergência pública causada pela pandemia. O problema da MP 954/20 foi menos o mérito e mais a forma. O compartilhamento de dados de consumidores de serviços de telecomunicações era geral e irrestrito, a finalidade apontada, relativamente indeterminada, e os mecanismos de segurança e accountability praticamente não existiam. Chamou a atenção, ainda, a pressa do próprio IBGE na implementação da medida provisória, que não passou ilesa de questionamentos no STF.
No dia 24 de abril, a ministra Rosa Weber suspendeu os efeitos da medida provisória em liminar, alegando que o compartilhamento afrontava os direitos fundamentais da intimidade, vida privada e honra reconhecidos na Constituição Federal. A votação no Plenário do Supremo se deu no dia 6 de maio, quando a ministra apresentou novamente seu voto no sentido de suspender a MP 954/20, sendo acompanhada pela quase totalidade dos ministros. O único voto divergente foi o do ministro Marco Aurélio, que defendeu o interesse público do compartilhamento.
O voto apresentado pela ministra Rosa Weber foi histórico por reconhecer, pela primeira vez, alguns conceitos introduzidos pela LGPD em decorrência direta dos direitos fundamentais constitucionalmente previstos. Citando a LGPD, a ministra ressaltou a importância da observação dos princípios de autodeterminação informativa, adequação, necessidade e transparência em relação às atividades de tratamento de dados. Fez referência ainda à necessidade de se respeitar o devido processo legal em sua dimensão substantiva na elaboração de políticas públicas envolvendo o tratamento de dados pessoais.
Em 28 de maio, houve mais um debate relevante sobre o tema da privacidade, dessa vez envolvendo também a liberdade de expressão e o direito de comunicação. Foi o início do julgamento da Ação Direta de Inconstitucionalidade (ADI) nº 5.527 e da Arguição de Descumprimento de Preceito Fundamental (ADPF) nº 403. Ambas têm como objeto a possibilidade de bloqueio de serviços de aplicativos de mensagens ordenado por decisão judicial, em casos nos quais as empresas se recusem a compartilhar conteúdo relacionado a seus usuários, com foco na interpretação constitucional de dispositivos do Marco Civil da Internet. Como pano de fundo, há uma relevante discussão sobre a legalidade de mecanismos de criptografia ponta a ponta, que tornariam inviável a interceptação ou o fornecimento do conteúdo das comunicações às autoridades de investigação nesses contextos, razão essa sustentada pelos aplicativos para o não cumprimento da medida.
A ADI 5.527 envolvia a discussão de constitucionalidade dos artigos 10, parágrafo 2º, e 12, incisos III e IV, do Marco Civil da Internet, que têm fundamentado decisões determinando a suspensão ou bloqueios de aplicativos de mensagens, em específico o bloqueio do WhatsApp. Por sua vez, a ADPF 403 foi proposta diante de uma decisão de bloqueio do aplicativo WhatsApp, devido à recusa da empresa em fornecer conteúdos que serviriam de prova em uma investigação criminal.
Em seu voto, a ministra Rosa Weber apontou que a tecnologia da criptografia de ponta a ponta torna inviável o acesso direto ao conteúdo das mensagens para as próprias empresas – o que as impossibilita de atender a determinadas demandas judiciais – mas que isso não representa ilegalidade alguma. A ministra foi enfática também em apontar que o Estado não pode compelir agentes privados a oferecer um serviço menos seguro e vulnerável, sob o pretexto de que, eventualmente, essa vulnerabilidade poderia ser usada para cumprir uma ordem judicial. Interpretação contrária seria tornar ilegal a criptografia. Nesse contexto, apontou a ministra que inconstitucionais não eram os dispositivos do Marco Civil, mas sim a interpretação distorcida feita por algumas autoridades a fim de utilizar a sanção, cujo objetivo é a proteção da privacidade desses usuários, para a finalidade oposta: obrigar as aplicações a reduzir a proteção da privacidade e da comunicação dos usuários de seus serviços para cumprir ordens judiciais em processos de investigação criminal.
No dia seguinte, o ministro Edson Fachin defendeu a inconstitucionalidade das determinações de bloqueio do aplicativo WhatsApp pelos juízes de primeira instância. Em primeiro lugar, procedeu a uma articulação importante do direito à liberdade de expressão e da privacidade no contexto do caso, ressaltando a primazia da liberdade de expressão como vetor estruturante do pluralismo e da democracia. Realizou um longo exercício de ponderação para avaliar a pertinência da mitigação de direitos de liberdade de expressão, privacidade e do sigilo das comunicações – considerando a exigência das decisões contestadas no sentido de se disponibilizar algum mecanismo de contorno à criptografia – em face dos potenciais benefícios para a segurança pública que tal relativização representaria.
O ministro terminou não só por concluir sobre a incerteza de qualquer vantagem na flexibilização da criptografia, como também apontou a contradição entre promover medidas de relativização da segurança na Internet (tornar a criptografia vulnerável) em nome da segurança pública. Por fim, Fachin reconheceu a criptografia e o anonimato como ferramentas úteis para a expressão dos direitos de liberdade de expressão, comunicação e privacidade na Internet, apontou para uma interpretação restritiva da vedação ao anonimato e ressaltou a inaplicabilidade das sanções do Marco Civil para os casos de não realização de interceptações pelos aplicativos lastreados em criptografia de ponta a ponta. O julgamento foi interrompido pelo pedido de vistas feito pelo ministro Alexandre de Moraes.
Outra iniciativa que merece destaque é a do PL 2.630/20, com foco no combate à divulgação de notícias falsas na Internet, as fake news. As discussões a respeito do projeto envolvem questões bastante distintas, como o investimento do governo em publicidade em sites de fake news; a CPI no Congresso Nacional para investigar o tema, inclusive com o envolvimento de membros do governo federal e da família do presidente da República; um inquérito no STF para investigar crimes cometidos contra membros da Corte; e o debate mais amplo sobre como elaborar políticas públicas para combater a divulgação de notícias falsas na Internet.
O PL 2.630/20 chegou a ser pautado para votação, mas ela acabou sendo postergada. O texto, que pode ser votado a qualquer momento, elenca normas e diretrizes para garantir a transparência nas redes sociais e em serviços de mensagens, com a intenção de coibir seu uso abusivo e potencialmente danoso aos indivíduos ou à coletividade.
A despeito do mérito, o projeto foi recebido com protestos por entidades acadêmicas e organizações civis. Segundo elas, sem o devido processo de apreciação por parte dos especialistas no tema e sem a manifestação dos membros interessados da sociedade civil, há o perigo de restrição dos direitos de liberdade na Internet. Em sua forma atual, o projeto tem profundos impactos no regime de liberdade de expressão proposto pelo Marco Civil da Internet.
Em meio aos diversos debates sobre a liberdade de expressão na Internet e os direitos de privacidade dos usuários de plataformas e aplicativos, o PL 2.630/20 envolve “complexidades conceituais e técnicas”, conforme apontado pelo Comitê Gestor da Internet no Brasil (CGI.br), que também recomendou a ampliação e o aprofundamento dos debates públicos sobre o tema antes de se aprovar qualquer versão final do texto.
Análise
Como visto, a agenda em torno de discussões relacionadas à privacidade e à proteção de dados segue intensa e não há sinal de arrefecimento para o restante do ano. Em nossa análise sobre o tema, a primeira dimensão considerada é a constitucionalização da proteção de dados pessoais e do direito de autodeterminação informativa por força da decisão do STF no âmbito das ações de declaração de inconstitucionalidade em face da MP 954/20.
Essa constitucionalização é um importante reconhecimento da transformação das condições tecnológicas, econômicas e sociais, e supera uma antiga jurisprudência que fundamentava a proteção constitucional dos dados apenas no contexto comunicativo. É uma vitória importante para as garantias de proteção aos dados pessoais.
Para o setor público, e para as empresas que atuam no mercado regulado, essa alteração produzirá consequências relevantes. Se antes a LGPD impunha a revisão de práticas de tratamento de dados pessoais, mormente o uso compartilhado de dados nos termos da lei, a constitucionalização da proteção de dados, com o reforço do princípio do devido processo legal em sua dimensão material, demandará uma revisão regulatória calcada na proporcionalidade e pertinência do tratamento e compartilhamento de dados pessoais, ainda que para a realização de políticas públicas. O governo federal que tanto temia e tanto fez para relativizar as exigências da LGPD no tratamento de dados pessoais para políticas públicas e pelo poder público sofreu a sua maior derrota, exatamente por não diligenciar minimamente garantias adequadas à proteção de dados pessoais na edição da MP 954/20.
Essa constitucionalização implicará uma interpretação ainda mais modulada da base legal inscrita no artigo 7º, inciso III, da LGPD, como também do Capítulo IV da lei. O escrutínio do tratamento de proteção de dados pessoais pelo poder público deverá ser levado a sério. Por outro lado, iniciativas legislativas ou regulatórias em todas as esferas de governo passam a ter uma necessidade clara de se ancorarem em medidas assecuratórias da proteção de dados pessoais concretas, e não somente baseadas em declarações genéricas de princípios. Nesse contexto, o setor privado que atua no mercado regulado deverá redobrar a atenção, a cautela e a necessidade de revisão de práticas atuais nos tratamentos de dados pessoais que envolvam o poder público, sob pena se ver responsabilizado. Confiar em leis e, especialmente, atos infralegais para fundamentar o tratamento de dados pessoais, sem maiores considerações, não é uma estratégia recomendável.
Para o setor privado mais essencialmente, a decisão do STF relativiza em algum sentido o debate sobre a entrada em vigor da LGPD. Isso porque o reconhecimento da natureza constitucional de um sistema de proteção de dados pessoais e a menção inclusive a princípios como necessidade e adequação – que de alguma maneira foram carregados pela ministra Rosa Weber da legislação infraconstitucional para dentro do standard constitucional da proteção de dados pessoais – terão implicações diretas nas atividades das empresas como são hoje. É de se dizer que, ainda que a LGPD fosse revogada, não há mais retorno à realidade normativa anterior, em que a proteção de dados pessoais muitas vezes não era um fator relevante de risco. A decisão não se restringe ao contexto do poder público. As empresas deverão necessariamente revisitar seus processos de tratamento de dados pessoais do ponto de vista da transparência das informações dadas aos titulares, da necessidade e adequação do tratamento, da proporcionalidade do tratamento de dados pessoais e das medidas de segurança em sentido estrito utilizadas para a proteção dos dados pessoais. Em vista do voto proferido pela ministra Rosa Weber, essas disposições entram no terreno constitucional como princípios decorrentes da própria equidade, do próprio regime de direitos, e não como decisões de policy. Assim, a força de tais princípios será sentida na aplicação de disposições infraconstitucionais já em vigor, incluindo, por exemplo, o Código de Defesa do Consumidor e o Marco Civil da Internet, que poderão ganhar uma carga normativa renovada na proteção dos dados pessoais.
De alguma forma, os votos subsequentes no caso do bloqueio de aplicativos e criptografia (a ADI 5527 e a ADPF 403) já são amostras dessa compreensão. É o reconhecimento de uma visão forte da privacidade e da proteção de dados que tende a influenciar a interpretação de dispositivos legais no ordenamento jurídico brasileiro. E, a prevalecer a tese inicial dos votos proferidos, é de se esperar um reforço da primazia da liberdade de expressão e da privacidade na ponderação de colisão de princípios.
Esse processo tem um custo importante, no entanto, na ausência da ANPD e da LGPD em vigor: a segurança jurídica. Dado o contexto brasileiro, podemos antecipar um alto grau de litigiosidade e variação na interpretação das implicações práticas dos standards no contexto das regras que já estão vigentes, o que também torna a preocupação com as sanções administrativas da LGPD um assunto secundário. Leis em vigor já trazem instrumentos bastante eficientes do ponto de vista sancionador, como os já citados Código de Defesa do Consumidor e Marco Civil da Internet. Além disso, a possibilidade de proposição de ações civis públicas, no atual contexto, parece mais impactante que as multas a serem aplicadas pela ANPD.
Tais observações nos remetem, portanto, ao debate sobre a entrada em vigor da lei. Hoje, não é possível determinar quando a LGPD entrará em vigor e com o quê. Agosto de 2020, maio de 2021, sanções em agosto de 2021 ou qualquer outra combinação parecem possíveis no momento. O atual clima político, contudo, aponta para o que classificamos como o pior cenário: entrada em vigor em agosto de 2020, sem a ANPD e com o setor privado fragilizado pelo contexto da pandemia. Como mencionado antes, a soma de todos os ingredientes parece favorecer um grau elevado de indeterminação, incerteza e insegurança jurídica.
Há posicionamentos, especialmente encampados pela academia, por órgãos de controle e ativistas de direitos, no sentido de que o melhor é que a LGPD entre em vigor o quanto antes. Pode-se argumentar que, dada a constitucionalização do tema, ter o regramento específico, na verdade, trará um incremento para a segurança jurídica. Além disso, a entrada em vigor da lei pode ser um empurrão para que a ANPD seja finalmente criada, saindo do papel. Por outro lado, aqueles agentes de tratamento que foram lenientes durante o período de adequação devem de alguma forma sofrer as consequências da inação. Todo o processo terá como resultado a maior proteção dos direitos dos titulares e instrumentos jurídicos mais sofisticados para lidar com temas relacionados ao tratamento de dados pessoais, principalmente para as empresas que se prepararam.
A essa visão otimista, pode-se estabelecer um contraponto. A entrada em vigor da lei, sem a ANPD, num contexto de crise econômica e de conflagração institucional, somada à não adequação dos agentes de tratamento e um ambiente reconhecidamente litigioso vai gerar uma profusão de disputas, inconsistências, divergências interpretativas e prejuízos que, ao cabo, nem farão bem aos agentes de tratamento, nem representarão um reconhecimento substantivo dos direitos dos titulares. A ausência de um direcionamento mais claro para os processos de adequação e a potencial disputa entre órgãos de controle diversos pelo vácuo da ANPD podem produzir um contexto de disfunção na dimensão econômica da proteção de dados, ameaçando o próprio fluxo informacional, que é condição do regime de proteção.
Nesse caso, vale chamar a atenção para dois fatos. O primeiro é o encaminhamento do PL 2.630/20. O mesmo Congresso Nacional que sugeriu a antecipação da entrada em vigor da LGPD no contexto da disputa com o Executivo federal discute agora um projeto de lei que, entre outras medidas, sugere a necessidade de conferência de documentos governamentais para autenticação de perfis em redes sociais. É curioso contrastar algumas implicações do PL 2.630/20 e aspectos proferidos no voto do ministro Edson Fachin relacionados ao bloqueio de aplicativos. Alguns aspectos do projeto de lei parecem inevitavelmente inconstitucionais diante do reconhecimento da primazia da liberdade de expressão e até mesmo do anonimato como ferramenta de exercício de direitos no contexto da Internet. Até por isso, o cenário de insegurança jurídica, ao menos no curto prazo, parece mais provável do que um ciclo de reforços positivos que tende à pacificação de conflitos na esfera dos debates sobre privacidade e proteção de dados.
O segundo fato diz respeito ao voto do próprio ministro Edson Fachin no contexto da discussão sobre o bloqueio de aplicativos. Embora pareça uma questão menor, o ministro faz uma interpretação no mínimo controvertida sobre o fato de que a aplicação das sanções previstas no artigo 12 do Marco Civil da Internet seria de atribuição da ANPD. As consequências não são bem exploradas no voto, mas a impressão é que teria havido algum tipo de alteração tácita trazida pela LGPD ao dispositivo do Marco Civil da Internet, que, vale dizer, está no ordenamento jurídico muito antes de a ANPD existir sequer no papel. O problema é que as sanções do artigo 12 do Marco Civil não dizem respeito ao descumprimento apenas de disposições relacionadas à proteção de dados pessoais no sentido estrito; incluem também componentes como liberdade de expressão e o próprio direito à comunicação, aliás reconhecidos pelo ministro. Faria sentido a ANPD ganhar essas atribuições com base em uma decisão do STF?
Esse ponto abre flanco para outra discussão bastante complexa. O Legislativo tomou a decisão de alterar expressamente o Marco Civil da Internet em apenas dois dispositivos, o inciso X do artigo 7º e o inciso II do artigo 16, deixando para traz uma série de tensões mal resolvidas, que incluem desde a definição de dados pessoais e tratamento de dados pessoais, passando pela aplicabilidade do consentimento e chegando ao próprio debate dos artigos 10, 11 e 12 do Marco Civil. Nesse ponto em particular, especialmente por não ter incluído esse aspecto no dispositivo de seu voto, o ministro Edson Fachin parece ter contribuído pouco para o esclarecimento da questão, além de adicionar um escopo à ANPD que, salvo melhor juízo, estaria além de sua proposta inicial.
Os pontos acima parecem indicar que o cenário otimista pode não ser o provável. Às empresas, recomenda-se acompanhar as implicações com muita atenção, sem deixar de, desde já, articularem planos de mitigação. Será difícil evitar um cenário de insegurança jurídica a partir de agora, mas articular-se minimamente com uma estratégia de avaliação de riscos e priorização de ações estruturantes é necessário para proteger-se de surpresas não agradáveis.
É essencial observar e reconhecer esse ponto de não retorno sobre o tema da proteção de dados mencionado no início desse artigo. As garantias à proteção de dados pessoais são matérias constitucionalizadas. Se alguém ainda tinha dúvidas que o tema de proteção de dados iria pegar, passou da hora de saná-las. Esse é um tema central na agenda institucional, com repercussões claras e concretas no desenho de políticas públicas, na Administração Pública, nas forças de segurança pública e no setor privado. E o cenário que se avizinha não parece ser de decantação do processo, mas de um aumento das complexidades e contingências.
[1] Voto da min. Rosa Weber na medida cautelar nas Ações Diretas de Inconstitucionalidade nº 6.387, 6.388, 6.389, 6.393, 6.390 suspendendo a eficácia da Medida Provisória nº 954/20. O voto foi referendado pelo Plenário do STF.
