Desde a tramitação do projeto que se converteu na Lei 13.709/2018– conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD) – pende o debate sobre sua aplicabilidade ou não à certas atividades estatais relacionadas à segurança pública, à persecução criminal e à defesa nacional.
Na Nota Técnica 175/2023, a Autoridade Nacional de Proteção de Dados (ANPD) tomou posição. O objeto da manifestação da agência foi o “Acordo de Cooperação entre o MJSP e a CBF para compartilhamento de dados pessoais visando ao aprimoramento do Projeto Estádio Seguro”.[1]
Esta importante iniciativa da Confederação Brasileira de Futebol (CBF) e do Ministério da Justiça e da Segurança Pública, para aumentar a positividade e a segurança dos espectadores das competições futebolísticas, visa implementar “ações de combate ao racismo e à violência nos estádios brasileiros, com a aplicação do uso de tecnologias que permitam identificar torcedores que tenham se envolvido em ilícitos e possam, porventura, causar problemas nas praças esportivas.”
O projeto foi submetido à atuação da Autoridade Nacional de Proteção de Dados. Segundo o § 3º do art. 4º da LGPD, compete à ANPD emitir “(…) opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais”. Valendo-se desse dispositivo e do art. 55-J, inciso XX, da LGPD,[2] a ANPD considerou ter competência para se manifestar sobre o projeto Estádio Seguro.
Como primeiro ponto de abordagem, devo ressaltar que esta competência autárquica é limitada, uma vez que não cabe à ANPD regular as atividades de persecução criminal e de segurança pública. Estas devem estar sujeitas a um órgão próprio no âmbito do sistema de justiça, formado pelo Conselho Nacional de Justiça (CNJ)[3] e pelo Conselho Nacional do Ministério Público (CNMP), a fim de preservar a autonomia e a independência do Poder Judiciário e do Ministério Público no desenho geral dos poderes estatais. Assim, nas duas atividades em tela, a atribuição da ANPD é meramente consultiva, não podendo ser imposta ao Ministério Público nem ao Poder Judiciário. A utilização da palavra “recomendação” pelo legislador apoia este entendimento.
A segunda questão controvertida – e que é a que mais importa – está nas exceções previstas no art. 4º, inciso III, da LGPD, que aparentemente excluiriam sua incidência sobre o tratamento de dados pessoais realizado para fins exclusivos de:
segurança pública;
defesa nacional;
segurança do Estado; ou
atividades de investigação e repressão de infrações penais.
A ANPD examinou o âmbito de aplicação do diploma legal à luz do referido inciso III do art. 4º da LGPD. Apesar do que ali está escrito, o §1º do mesmo dispositivo legal estabelece uma proteção mínima para os titulares dos dados sujeitos a tratamento no âmbito da segurança pública e do processo penal. Esse campo de força de proteção não pode ser ignorado pela Administração Pública nem pelo sistema de justiça criminal.
Ao examinar as finalidades do projeto Estádio Seguro, a ANPD entendeu, conforme a própria LGPD, que os princípios gerais e os direitos do titular dos dados nela previstos se aplicam ao tratamento de dados pessoais no contexto da segurança pública. Conforme o § 5.8 da NT 175:
“5.8. A partir da análise dos documentos encaminhados, foi possível identificar as finalidades principais da operação de compartilhamento de dados no âmbito do Projeto Estádio Seguro: (i) recapturar indivíduos com mandado de prisão ou medidas penais restritivas; (ii) auxiliar na recuperação de veículos roubados ou furtados; e (iii) evitar a venda de ingressos utilizando dados de pessoas falecidas, combatendo o cambismo”.
Tais atividades são inequivocamente de segurança pública e interessam ao Ministério da Justiça neste âmbito, tendo repercussões diretas em ações penais em andamento. Basta pensar na possibilidade de identificação e captura de pessoas foragidas a partir de dispositivos de reconhecimento facial, baseados ou não em sistemas de inteligência artificial. Os dados das câmeras instaladas nos estádios, nos pontos de venda e nos seus estacionamentos poderão ser compartilhados com o Ministério da Justiça.
O projeto visa à prevenção de crimes envolvendo torcedores e frequentadores de eventos. Por outro lado, o direito à proteção de dados pessoais (PDP) não pode ficar desguarnecido justamente naquelas atividades que mais podem lhe causar impacto, devido à intrusividade que lhes é inerente.
Desde a promulgação da Emenda 115, de 2022, que é posterior à Lei 13.709/2018, o direito à PDP passou a ter status constitucional no inciso LXXIX do art. 5º,[4] o que aciona obrigações estatais para sua proteção imediata sempre que estiver sujeito a interferências estatais ou de terceiros. Como escrevi em texto publicado em uma coletânea publicada em 2020, tal exclusão:
“Foi um erro de legística, uma vez que as sensíveis questões abordadas em segurança pública e persecução criminal mereceriam regulamentação simultânea às questões gerais, hoje abrangidas pela LGPD, num enfoque que garantisse a proteção de dados e, ao mesmo tempo, não criasse dificuldades insuperáveis para os órgãos de inteligência e de persecução criminal.”[5]
Posteriormente, em artigo veiculado em 2022 no JOTA , acentuei que, embora o § 1º do art. 4º da LGPD assevere que o tratamento de dados pessoais para fins exclusivos de segurança pública e de persecução criminal “será regido por legislação específica”, é essencial notar que tal diploma futuro “deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular”.
Tais direitos e princípios já estão listados na LGPD, embora não apenas nela. Portanto, a futura “LGPD penal”, como tem sido chamado o diploma, “deverá observar os mesmos parâmetros, que, desde já, devem ser aplicados ao tratamento de dados pelo Poder Público, tendo em vista o princípio do efeito imediato, insculpido no §1º do art. 5º da Constituição”.[6]
Mais ainda: conforme o inciso XXXV do art. 5º, a lei não pode excluir da apreciação do Poder Judiciário qualquer lesão ou ameaça de lesão a direito fundamental. Trata-se da garantia de acesso à justiça, que também tem dignidade convencional, à luz da Convenção Americana de Direitos Humanos e do Pacto Internacional de Direitos Civis e Políticos, de 1966. Tanto na instância penal quanto na tutela coletiva, deve haver instrumentos para a proteção do direito à PDP, inclusive nos segmentos excluídos pela LGDP.
Estamos diante de uma situação que reclama a aplicação do princípio da proporcionalidade, em função de potencial desproteção a direitos internacionalmente reconhecidos. Direitos fundamentais previstos em normas de eficácia plena ou de eficácia contida têm aplicação imediata[7] e, se não pode haver excessos ou abusos na ação estatal, tampouco pode haver deficiência nas suas salvaguardas.
Ao interpretar tais direitos, deve-se ainda ter em conta o princípio pro persona, que coloca a pessoa humana no centro da ordem jurídica, seja ela o acusado ou a vítima de uma interferência, dado que a Constituição não faz acepção de pessoa, isto é, não se inclina para este ou para aquele.
A incapacidade do Estado brasileiro de plenamente proteger dados pessoais no campo da segurança pública e do processo penal pode resultar em portas fechadas inclusive nas interações internacionais para o enfrentamento ao crime organizado e outras graves formas de delinquência transnacional. O acordo do Brasil com a União Europeia para cooperação policial entre a Europol e a Polícia Federal[8] confirma essa asserção, segundo se vê na parte final do seu art. 1º, que exclui expressamente o intercâmbio de dados pessoais de seu escopo.
A falta de um regime adequado de PDP no Brasil e a inexistência de um acordo sobre Passenger Name Records (PNR) tem dificultado o acesso aos dados de passageiros de voos com origem em países da Europa, causando óbices à identificação de pessoas autoras ou vítimas de crimes. Dificilmente o Brasil terá um acordo pleno de cooperação com a Eurojust – um projeto muito importante para o Ministério Público – enquanto não for equacionado o déficit legislativo e institucional na proteção dos dados pessoais na persecução criminal.
Embora o direito à proteção de dados tenha uma história de mais de meio século, desde que surgiu na Alemanha no pós-guerra, somente nos últimos dez ou quinze anos a PDP se tornou um tema corrente na doutrina brasileira. Ainda não somos partes da Convenção do Conselho da Europa para a Proteção das Pessoas relativamente ao Tratamento Automatizado de Dados de Caráter Pessoal (Convenção 108), de 1981, mas a Convenção de Budapeste sobre Cibercriminalidade, que entrou em vigor para o Brasil em 2023,[9] faz referência expressa a documentos internacionais sobre PDP e no seu art. 15 impõe aos Estados, como obrigação positiva, que garantam:
“Proteção adequada aos direitos humanos e às liberdades públicas, incluindo os direitos nascidos em conformidade com as obrigações que esse Estado tenha assumido na Convenção do Conselho da Europa para a Proteção dos Direitos Humanos e das Liberdades Fundamentais, de 1950, na Convenção Internacional da ONU sobre Direitos Civis e Políticos, de 1966, e em outros instrumentos internacionais de direitos humanos, e que tais poderes e procedimentos incorporarão o princípio da proporcionalidade”.
Na mesma medida, não se pode ignorar que a tendência jurisprudencial do STF e do STJ é, sem dúvida, de fortalecer o direito à PDP e o direito à autodeterminação informativa,[10] assim como de salvaguardar do direito à privacidade no ambiente digital.[11]
Conforme a concepção adotada pelo Tribunal de Justiça da União Europeia (TJUE) no caso Schrems II, a conferência do status de país com nível de proteção adequado a Estados terceiros depende, não apenas da existência de leis e de órgãos de proteção de dados, mas também da disponibilidade de remédios efetivos para lidar com eventuais violações e de uma jurisprudência consistente dos órgãos judiciários nacionais.[12]
Conforme o art. 45, §2º, do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, ao avaliar a adequação do nível de proteção, a Comissão Europeia deve levar em conta o primado do Estado de Direito, o respeito aos direitos humanos, a legislação em vigor em matéria de segurança pública, defesa, segurança nacional e processo penal “e a jurisprudência, bem como os direitos dos titulares dos dados efetivos e oponíveis, e vias de recurso administrativo e judicial para os titulares de dados cujos dados pessoais sejam objeto de transferência”.[13]
Em 2023, o direito à proteção de dados pessoais passou a integrar o corpus juris regional das Américas, quando a Corte Interamericana de Direitos Humanos (Corte IDH) o reconheceu expressamente, no âmbito do art. 11 da Convenção Americana de 1969. De fato, ao decidir o caso Membros da Corporação Coletivo de Advogados José Alvear Restrepo (CAJAR) vs. Colômbia,[14] a Corte IDH, em San José, afirmou categoricamente que o tratamento de dados pessoais para fins de inteligência de segurança pública deve observar o direito à PDP e o direito à autodeterminação informativa, que também foi reconhecido regionalmente.
Visto esse cenário, a supressão ou a fragilização dos direitos do titular quando do tratamento de dados para fins de segurança pública e persecução criminal é incompatível com o art. 5º, incisos XXXV e LXXIX, da Constituição. Tal conjuntura é também inconvencional, por limitar a proteção judicial efetiva exigida pelo art. 25 da Convenção Americana de Direitos Humanos para a garantia do direito à PDP e à autodeterminação informativa.
Nesta linha de ideias, embora a ANPD não seja nem possa ser a autoridade de controle das atividades do Poder Judiciário e do Ministério Público no campo da segurança pública e do processo penal, a Nota Técnica 175/2023, como instrumento opinativo, diz exatamente o que deveria dizer sobre a necessária incidência dos direitos do titular previstos na LGPD em atividades de tratamento de dados para fins de segurança pública.
É passada a hora de o Congresso Nacional se debruçar sobre o tema para que vençamos esse eloquente déficit legislativo, e o Brasil tenha um marco normativo que concilie a defesa do direito à proteção de dados pessoais e as necessidades da persecução criminal numa sociedade democrática.
[1] BRASIL. Autoridade Nacional de Proteção de Dados Pessoais. Nota Técnica nº 175/2023/CGF/ANPD, de 25 de outubro de 2023. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/documentos-de-publicacoes/nota-tecnica-no-175-2023-cgf-anpd-acordo-de-cooperacao-mjsp-e-cbf.pdf. Acesso em: 26 abr. 2024.
[2] Segundo este inciso, compete à ANPD “deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos”.
[3] O art. 59 do anteprojeto da LGPD Penal propõe que “O Conselho Nacional de Justiça (CNJ), por meio da sua Unidade Especial de Proteção de Dados em Matéria Penal (UPDP), será responsável por zelar, implementar e fiscalizar a presente lei em todo o território nacional”. BRASIL. Câmara dos Deputados. Comissão de Juristas instituída por Ato do Presidente da Câmara dos Deputados, de 26 de novembro de 2019. Anteprojeto de Lei de Proteção de Dados para segurança pública e persecução penal. Disponível em: https://static.poder360.com.br/2020/11/DADOS-Anteprojeto-comissao-protecao-dados-seguranca-persecucao-FINAL.pdf. Acesso em: 26 abr. 2024.
[4] Constituição Federal, art. 5º, inciso LXXIX: “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.
[5] ARAS, Vladimir. A título de introdução: segurança pública e investigações criminais na era da proteção de dados. In: ARAS, Vladimir B.; MENDONÇA, Andrey Borges de; CAPANEMA, Walter A.; SILVA, Carlos Bruno F. da; COSTA, Marcos Antônio da S. (Org.). Proteção de dados pessoais e investigação criminal. Brasília: ANPR, 2020, p. 14-31.
[6] ARAS, Vladimir. Boate Kiss: a seleção dos jurados e o direito à proteção dos dados pessoais. Jota, 4 de janeiro de 2022. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/boate-kiss-selecao-jurados-direito-protecao-dados-04012022. Acesso em: 26 abr. 2024.
[7] Constituição Federal, art. 5º, § 1º: “As normas definidoras dos direitos e garantias fundamentais têm aplicação imediata”.
[8] BRASIL; UNIÃO EUROPEIA. Decreto nº 10.364, de 21 de maio de 2020. Promulga o Acordo de Cooperação Estratégica entre a República Federativa do Brasil e o Serviço Europeu de Polícia, firmado em Haia, em 11 de abril de 2017. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/decreto/D10364.htm#:~:text=DECRETO%20N%C2%BA%2010.364%2C%20DE%2021,11%20de%20abril%20de%202017. Acesso em: 26 abr. 2024.
[9] BRASIL. Decreto nº 11.491, de 12 de abril de 2023. Promulga a Convenção sobre o Crime Cibernético, firmada pela República Federativa do Brasil, em Budapeste, em 23 de novembro de 2001. Disponível em: https://www.planalto.gov.br/ccivil_03/_Ato2023-2026/2023/Decreto/D11491.htm. Acesso em: 26 abr. 2024.
[10] BRASIL. Supremo Tribunal Federal. ADIn 6387 MC-Ref, Relatora Ministra Rosa Weber, Tribunal Pleno, julgado em 07/05/2020.
[11] STF: “8. A concepção do direito à privacidade como uma garantia individual de abstenção do Estado na esfera privada individual passou por profundas transformações no decorrer do século XX. Devido ao próprio avanço das tecnologias da informação, assistiu-se a uma verdadeira mutação jurídica do sentido e do alcance do direito à privacidade. A releitura do direito à privacidade coincide com o desenvolvimento jurisprudencial do conceito de autodeterminação informacional (die informationelle Selbsstbestimmung) pelo Tribunal Constitucional Alemão. Essa nova abordagem revelou-se paradigmática por ter permitido que o direito à privacidade não mais ficasse estaticamente restrito à frágil dicotomia entre as esferas pública e privada, mas, sim, se desenvolvesse como uma proteção dinâmica e permanentemente aberta às referências sociais e aos múltiplos contextos de uso. 9. A maior abrangência da proteção atribuída ao direito de autodeterminação repercute no âmbito de proteção do direito à proteção de dados pessoais, que não recai sobre a dimensão privada ou não do dado, mas sim sobre os riscos atribuídos ao seu processamento por terceiros. A força normativa do direito fundamental à proteção de dados pessoais decorre da necessidade de proteção da dignidade da pessoa humana, vis-à-vis a contínua exposição dos indivíduos ao risco de comprometimento da autodeterminação informacional”. [11] BRASIL. Supremo Tribunal Federal. HC 222.141 AgR, Relator Ministro Ricardo Lewandowski, Segunda Turma, julgado em 06/02/2024.
[12] TJUE: “188. Para este efeito, o artigo 45.o, n.o 2, alínea a), do RGPD exige que, no âmbito da sua avaliação da adequação do nível de proteção garantido por um país terceiro, a Comissão tenha em conta, nomeadamente, as ‘vias de recurso administrativo e judicial para os titulares de dados cujos dados pessoais sejam objeto de transferência’. O considerando 104 do RGPD sublinha, a este respeito, que o país terceiro ‘deverá garantir o controlo efetivo e independente da proteção dos dados e estabelecer regras de cooperação com as autoridades de proteção de dados dos Estados‑Membros’ e precisa que este deve ‘ainda conferir aos titulares dos dados direitos efetivos e oponíveis e vias efetivas de recurso administrativo e judicial’”. TRIBUNAL DE JUSTIÇA DA UNIÃO EUROPEIA. Acórdão do Tribunal de Justiça de 16 de julho de 2020. Processo C-311/18, Data Protection Commissionercontra Facebook Ireland Ltd., Maximilian Schrems et al. § 188. Disponível em: https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=PT&mode=req&dir=&occ=first&part=1&cid=10257253. Acesso em: 26 abr. 2024.
[13] UNIÃO EUROPEIA. Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016 relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados). Disponível em: https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:32016R0679. Acesso em: 26 abr. 2024.
[14] CORTE IDH: “En lo que atañe al objeto de este proceso, las Buenas prácticas para garantizar los derechos humanos por los servicios de inteligencia reconocen el derecho de los particulares de acceder a sus datos personales que obren en poder de los organismos con facultades para desarrollar acciones de inteligencia, así como el de reclamar su rectificación cuando no sean exactos. Cualquier excepción a esta regla, además de estar regulada legalmente, debe ser proporcional y necesaria para el desempeño del mandato que rige los servicios de inteligencia”. CORTE INTERAMERICANA DE DIREITOS HUMANOS. Caso Miembros de la Corporación Colectivo de Abogados “José Alvar Restrepo” vs. Colombia. Sentencia de 18 de octubre de 2023, § 584. Disponível em: https://www.corteidh.or.cr/docs/casos/articulos/seriec_506_esp.pdf. Acesso em: 26 abr. 2024.