Construto normativo da tutela da privacidade e proteção de dados pessoais

O direito à vida privada, ou mais modernamente, o direito à privacidade, é um conceito normativo profundamente enraizado nas tradições das escolas da filosofia, economia, política, sociologia e do direito. Tradicionalmente, a privacidade pode ser entendida na forma de como as dimensões psicológicas e fisiológicas de um indivíduo se relacionam com a coletividade de sua sociedade, isto é, com sua interação com outros indivíduos, o que tradicionalmente se reflete em sua relação com o Estado.

Nesse contexto, e como bem apontado por Peter Blume [1], essa abordagem pressupõe que o indivíduo detém uma certa autonomia para determinar o que deve ou não ser revelado às demais pessoas, implicando na capacidade de participar de uma comunidade ao mesmo tempo em que preserva seu espaço íntimo. É notável que essa concepção de privacidade também está ligada à independência e ao controle que um cidadão possui sobre sua própria vida, ou seja, de uma negativa que se traduz em um direito de ser o único responsável por suas decisões em seu espaço pessoal. O direito à privacidade pode ser interpretado como uma ideia ancestral que, nos tempos atuais, se desdobra em múltiplos aspectos quando aplicada à sociedade contemporânea.

As raízes das discussões sobre esse tema remontam às reflexões iniciais, como as encontradas na teoria de Aristóteles, que explorava a diferenciação entre a vida privada e a vida pública. Aristóteles levantou a questão de se seria mais benéfico se envolver nos assuntos públicos e participar deles ou se libertar de todo o contexto político e viver como um estranho no Estado (2009, p. 232). Essa indagação marcou o início das discussões sobre a privacidade como a conhecemos hoje.

No entanto, a discussão sobre o direito à privacidade adentrou o âmbito jurídico vários séculos após as reflexões filosóficas do Mestre do Liceu [2], com a publicação do artigo intitulado “The Right to Privacy“, de autoria de Samuel Warren e Louis Brandeis [3]. Originalmente publicado em 1890, esse artigo marcou um ponto de partida fundamental para grande parte das pesquisas jurídicas contemporâneas sobre o tema da privacidade [4]. A tese central apresentada nesse trabalho era a existência de um “direito de ser deixado em paz” (ou the right to be let alone). Inspirando-se fortemente no raciocínio jurídico europeu e considerando-o um componente essencial do “direito à personalidade”, Warren e Brandeis fizeram referência à doutrina filosófica e jurídica europeia ao sustentar o direito de um indivíduo em desenvolver sua personalidade sem ser afetado por intromissões indesejadas na sua privacidade [5]. Eles advogaram pela inclusão do reconhecimento do direito à privacidade no direito consuetudinário, uma ideia que teve um impacto significativo e moldou a evolução tanto do direito consuetudinário como do direito estatutário relacionado à privacidade.

A noção de “direito de ser deixado em paz” proposta por Warren e Brandeis ressoou profundamente nas discussões legais subsequentes e contribuiu para a construção de uma compreensão mais robusta da privacidade como um direito fundamental [6]. Entretanto, esse conceito foi particularmente concretizado na expansão da jurisprudência e da legislação internacional, à medida que as sociedades modernas enfrentaram desafios cada vez mais complexos relacionados à exposição de informações pessoais. A respeito desse ponto, destaca-se as conclusões da pesquisa de David H. Flaherty, que abordou os efeitos constitucionais do direito à privacidade e proteção de dados [7]:

“Historicamente, a privacidade tem sido em grande parte um conceito não legal no sentido de que os indivíduos afirmaram reivindicações amplas e restritas à privacidade individual e, em grande parte, podiam se defender contra qualquer desafio para proteger interesses de privacidade, como em processos comuns de direito para escutas telefônicas. Isso mudou drasticamente desde as fases iniciais da industrialização no século 19. Apesar dos esforços mais bem-intencionados para manter a privacidade, a atuação de leis externas e autoridades se tornou essencial para sua preservação.” (Tradução livre)

Delineadas tais premissas teóricas, o qual buscou-se, em apertada síntese, demonstrar que o conceito sobre privacidade evolui de um plano plenamente da metafísica, para o conceito normativo, sendo, hoje, tutelado pelas normas constitucionais de diversos países de Civil Law.

Assim, propõe-se a seguir demonstrar o construto normativo desse direito, associado ao plano constitucional e à recente jurisprudência brasileira. Logo nesse primeiro momento, destacamos duas dimensões normativas que podem ser encontradas no direito à privacidade: (i) dimensão negativa e (ii) dimensão positiva.

A dimensão negativa se relaciona com a proteção do indivíduo contra interferências indevidas em sua esfera privada[8]. Isso implica que o Estado e terceiros não têm o direito de invadir a privacidade de um indivíduo sem justa causa ou consentimento. Essa faceta do direito à privacidade está intrinsecamente ligada à proteção da autonomia individual e da capacidade de determinar o que deve ou não ser compartilhado com outros. A dimensão positiva [9], por outro lado, envolve a capacidade do Estado de garantir um ambiente propício para o desenvolvimento pleno da personalidade e da privacidade. Isso pode incluir medidas legislativas e regulatórias que promovem a proteção de dados pessoais, bem como a promoção de condições sociais e econômicas que permitam aos indivíduos desfrutarem de sua privacidade de maneira eficaz.

Nesse contexto, é evidente que a privacidade, em ambas as dimensões, desempenha um papel central no conceito de “autodeterminação informativa”, que engloba tanto o direito do indivíduo de controlar o acesso e uso de suas informações pessoais (dimensão negativa), como a responsabilidade das instituições, sejam elas públicas ou privadas, de estabelecerem mecanismos e políticas que protejam efetivamente esses dados (dimensão positiva).

A partir dessas concepções é que o direito à privacidade passa a estar no cerne do direito à proteção de dados pessoais de uma pessoa identificada ou identificável. Para melhor compreensão da assertiva, valemo-nos da lição de Ingo Wolfgang Sarlet[10]:

“O fundamento constitucional direto mais próximo de um direito fundamental à proteção de dados seja mesmo o direito ao livre desenvolvimento da personalidade, radicado diretamente no princípio da dignidade da pessoa humana e no direito geral de liberdade, o qual também assume a condição de uma cláusula geral de proteção de todas as dimensões da personalidade humana,17 que, de acordo com tradição jurídica já consolidada no direito constitucional estrangeiro e no direito internacional (universal e regional) dos direitos humanos, inclui o (mas não se limita ao!) direito à livre disposição sobre os dados pessoais, o assim designado direito à livre autodeterminação informativa.”

Em 25 de maio de 2018, entrou em vigor o “Regulamento Geral de Proteção de Dados”, conhecido como GDPR (General Data Protection Regulation), uma legislação promulgada pela União Europeia que estabelece regras abrangentes para o tratamento de dados pessoais por empresas e entidades públicas. O GDPR estipula que a transferência de informações e dados para outras nações só é permitida se essas nações tiverem leis de proteção de dados específicas e equivalentes em vigor. Essa exigência pressionou muitos países a aprimorarem suas próprias regulamentações de proteção de dados.

Nesse contexto, surgiu a Lei nº 13.709, de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD). Com a LGPD, o Brasil estabeleceu uma legislação específica para a proteção de dados pessoais, abrangendo o tratamento desses dados, inclusive em meios digitais, por pessoas naturais e jurídicas, sejam elas de direito público ou privado. O principal objetivo da LGPD é proteger os direitos fundamentais de liberdade, privacidade e o desenvolvimento pessoal das pessoas.

A LGPD coloca o Brasil em conformidade com as tendências internacionais em proteção de dados e garante aos cidadãos brasileiros uma estrutura legal que resguarda sua privacidade e segurança no tratamento de informações pessoais. Mais recentemente, no julgamento da Ação Direta de Inconstitucionalidade (ADI) nº 6387 [11], o ministro do Supremo Tribunal Federal (STF) Gilmar Mendes enfatizou a importância da abordagem tanto subjetiva quanto objetiva do direito à autodeterminação informacional. Sob a perspectiva subjetiva, o legislador é confrontado com a obrigação de apresentar justificativas constitucionais para qualquer intervenção que possa afetar, de alguma maneira, o direito à autodeterminação informacional.

Desta forma, a autodeterminação do titular sobre seus dados deve ser a regra, podendo ser excepcionalmente afastada. A justificativa constitucional para essa intervenção deve ser claramente definida, identificando a finalidade e estabelecendo limites específicos e claros para o tratamento de dados em cada área. Já na dimensão objetiva, a afirmação do direito fundamental à proteção de dados pessoais impõe ao legislador o dever de proteger efetivamente o direito à autodeterminação informacional. Esse dever de proteção, fortemente interpretado da jurisprudência alemã[12], deve ser implementado por meio da criação de mecanismos institucionais de salvaguarda, traduzidos em normas de organização e procedimento, bem como normas de proteção.

É fundamental ressaltar que, apesar do reconhecimento pelo STF da proteção de dados pessoais como um direito fundamental, houve um marco significativo na legislação com a promulgação da Emenda Constitucional nº 115/2022. Essa emenda incluiu expressamente o direito à proteção de dados pessoais, inclusive no âmbito digital, no rol dos direitos e garantias fundamentais da Constituição[13].

Ademais, em aspecto infraconstitucional, tem-se a Lei nº 13.709/2021 (LGPD), que elencou em seu artigo 2º os princípios que fundamentam a matéria de proteção de dados pessoais, o que se tornou um vetor interpretativo para todo o sistema da tutela da privacidade:

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I – o respeito à privacidade; II – a autodeterminação informativa; […] V – o desenvolvimento econômico e tecnológico e a inovação; VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e […]

Como se pode observar, os direitos da privacidade e proteção de dados são agora parte integrante do ordenamento jurídico com base constitucional, com aplicação imediata e vinculante. Assim, qualquer intrusão nos direitos de privacidade e proteção de dados, a qual passaremos a denominar como “tratamento de dados pessoais”[14], quando justificada perante as partes interessadas, seja pelo Estado na qualidade de administrador do interesse público em busca de objetivos de interesse geral, seja por entidades privadas na busca de seus objetivos comerciais e econômicos, deve ser criteriosamente regulamentada e basear-se em princípios e diretrizes sólidas para assegurar que os direitos individuais sejam respeitados.

[1] BLUME, Peter. Data protection and privacy–basic concepts in a changing world. Scandinavian Studies in Law. ICT Legal Issues, v. 56, p. 151-164, 2010.

[2] Para maior amplitude sobre as contribuições da obra de Aristóteles, sobre as discussões da formação do conceito de privacidade, sugere-se ao leitor a leitura da pesquisa realizada por Judith A. Swanson, publicada no livro “The Public and the Private in Aristotle’s Political Philosophy”, da Cornell University Press. Em apertada síntese, a  autora realiza uma empreitada a respeito da concepção de privacidade aristotélica como não apenas um ponto de vista do indivíduo, mas também do ponto de vista público.

[3] WARREN, Samuel; BRANDEIS, Louis. The right to privacy. In: Killing the Messenger: 100 Years of Media Criticism. Columbia University Press, 1989. p. 1-21.

[4] A título de exemplo, com uma breve pesquisa do artigo na plataforma Google Scholar, é possível observar que a tese dos autores fora citada por mais de 14.976 artigos científicos publicados na Rede Mundial de Computadores, o que por si só demonstra a relevância para o mundo acadêmico da teoria trazida por Warren e Brandeis.

[5] A teoria proposta é discutida em detalhes por Peter Blume, em Data protection and privacy–basic concepts in a changing world. Scandinavian Studies in Law. ICT Legal Issues, v. 56, p. 151-164, 2010. “Uma interpretação mais razoável do direito de ser deixado em paz é que ele é derivado do direito autoral. No direito autoral, é uma ideia fundamental que o autor possui plenos e ilimitados direitos sobre sua obra antes de optar por torná-la pública. A obra é verdadeiramente privada, e o autor pode optar por não compartilhá-la com ninguém; ele pode até mesmo destruí-la. Essa opção pode ser identificada com a privacidade, implicando que a privacidade é um direito ao segredo. A esfera privada não pode ser invadida por ninguém, e a pessoa, consequentemente, é deixada sozinha. A privacidade é vista como um direito de reclusão. Quando, por exemplo, informações deixam essa esfera, elas não são mais privadas no verdadeiro sentido da palavra, mas isso, no entanto, não implica necessariamente que elas possam ser usadas livremente. Regras legais podem determinar os limites.” (Tradução Livre)

[6] O direito à privacidade é constituído em diversos instrumentos internacionais. Destacam-se a Convenção Americana sobre Direitos Humanos (art. 11), no Pacto de São José da Costa Rica, que originou a Declaração Universal dos Direitos Humanos; na Carta de Direitos Fundamentais da União Europeia, em seu art. 8º, reconhece-se que “todas as pessoas têm direito à proteção dos dados de caráter pessoal que lhes digam respeito”. No Brasil, no âmbito infraconstitucional, o direito à privacidade é tratado na Lei do Habeas Data, na Lei de Arquivos Públicos, no Código Civil, no Código de Defesa do Consumidor, na Lei de Acesso à Informação, na Lei do Cadastro Positivo e, mais recentemente, no Marco Civil da Internet e na Lei Geral de Proteção de Dados.

[7] David H. Flaherty, On the Utility of Constitutional Rights to Privacy and Data Protection, 41 Case W. Rsrv. L. Rev. 831 (1991)

[8] Exemplos da dimensão negativa da proteção constitucional do direito à privacidade podem ser encontrados na Constituição Federal de 1988, especificamente nos incisos X e XII do artigo 5º. Estes dispositivos legais asseguram ao indivíduo resguardo contra intromissões indevidas de terceiros em sua esfera íntima e vida privada, conferindo-lhe o direito a um espaço confortável e harmonioso em relação ao mundo exterior.

[9] A efetivação dos procedimentos administrativos do Estado deve ser intrinsecamente vinculada ao Estado Democrático de Direito, que se pauta pelo estabelecimento de limites à atuação estatal. Nesse contexto, a proteção da privacidade e das informações pessoais desempenha um papel fundamental, tanto no âmbito do Poder Público quanto no das entidades privadas.

[10] SARLET, Ingo Wolfgang. Proteção de dados pessoais como direito fundamental na Constituição Federal brasileira de 1988. Direitos Fundamentais & Justiça, 2020.

[11] Em 1983, a Corte Constitucional Alemã emitiu uma decisão histórica, declarando a inconstitucionalidade da Lei do Censo de 1983 (Volkszählungsgesetz), particularmente no que se referia à obrigatoriedade dos cidadãos alemães de responder a um questionário com fins estatísticos populacionais. Nesse julgamento, a Corte considerou nulos os dispositivos relacionados à comparação e à transmissão dos dados coletados para repartições públicas.

[12] “EMENTA MEDIDA CAUTELAR EM AÇÃO DIRETA DE INCONSTITUCIONALIDADE. REFERENDO. MEDIDA PROVISÓRIA Nº 954/2020. EMERGÊNCIA DE SAÚDE PÚBLICA DE IMPORTÂNCIA INTERNACIONAL DECORRENTE DO NOVO CORONAVÍRUS (COVID-19). COMPARTILHAMENTO DE DADOS DOS USUÁRIOS DO SERVIÇO TELEFÔNICO FIXO COMUTADO E DO SERVIÇO MÓVEL PESSOAL, PELAS EMPRESAS PRESTADORAS, COM O INSTITUTO BRASILEIRO DE GEOGRAFIA E ESTATÍSTICA. FUMUS BONI JURIS. PERICULUM IN MORA. DEFERIMENTO. 1. Decorrências dos direitos da personalidade, o respeito à privacidade e à autodeterminação informativa foram positivados, no art. 2º, I e II, da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), como fundamentos específicos da disciplina da proteção de dados pessoais. 2. Na medida em que relacionados à identificação – efetiva ou potencial – de pessoa natural, o tratamento e a manipulação de dados pessoais hão de observar os limites delineados pelo âmbito de proteção das cláusulas constitucionais assecuratórias da liberdade individual (art. 5º, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5º, X e XII), sob pena de lesão a esses direitos. O compartilhamento, com ente público, de dados pessoais custodiados por concessionária de serviço público há de assegurar mecanismos de proteção e segurança desses dados.”

[13] Foi acrescido um inciso LXXIX ao artigo 5º, CF, dispondo que “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.

[14] É relevante ressaltar que, de acordo com o artigo 5º, inciso X, da LGPD, o tratamento de dados compreende todas as operações realizadas com dados pessoais. Isso inclui uma ampla gama de ações que envolvem informações pessoais, tais como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, bem como modificações, comunicações, transferências, difusão ou extração de dados. Em última análise, o tratamento de dados envolve a manipulação de informações pessoais por parte de terceiros, sejam eles entidades públicas ou privadas. Essa manipulação pode ser realizada em conformidade com as disposições legais da LGPD, quando houver uma base legal para o tratamento, ou de forma não regulamentada, o que seria uma desconformidade com a regulamentação.