Há grande expectativa quanto aos impactos da Lei Geral de Proteção de Dados Pessoais brasileira. Sua própria vigência tem sido objeto de amplas discussões e tem gerado controvérsias acerca dos desdobramentos que poderá vir a ter, especialmente quanto às sanções administrativas que prevê (artigos 52 a 54) e à responsabilidade civil (artigos 42 e seguintes).

O legislador brasileiro não cuidou, todavia, de aspectos penais relacionados às más práticas que envolvam dados pessoais, e este é um debate que suscita reflexões. Por isso, notícia recente informa que uma comissão de juristas está cuidando da elaboração de um anteprojeto voltado exatamente a este fim¹. Uma das intenções é regulamentar a utilização de dados pessoais e as hipóteses de fornecimento nos casos de investigação penal, sendo que a hipótese de interesse público não poderia ser utilizada de forma ampla e irrestrita.

Não se trata, portanto, da criação de tipos penais especificamente relacionados às violações de dados pessoais.

Noutros ordenamentos jurídicos, porém, tem-se previsões de natureza penal mais específicas, e alguns breves apontamentos podem propiciar reflexões importantes sobre o tema e até mesmo sobre sua viabilidade no Brasil.

Exemplo emblemático é o Japão, onde vigora uma legislação especificamente voltada à proteção de dados pessoais desde 30 de maio de 2017 - trata-se da   (lê-se "Kojin joho no hogo ni kansuru horitsu", na transliteração Hepburn), a "lei de proteção de dados pessoais" japonesa - que prevê tipos penais específicos em seus artigos 82 a 88. As penas são, basicamente, de multa, à exceção do crime descrito no artigo 84, que prevê pena restritiva de liberdade de até 6 (seis) meses, além de multa, para hipóteses variadas de violações (tendo em vista que o dispositivo faz remissão ao artigo 42, ns. 2 e 3): 

Artigo 84. A pessoa que violar os termos do artigo 42, parágrafo (2) ou parágrafo (3) será punida com pena de prisão, com possibilidade de trabalho, por período não superior a seis meses ou multa de até 300.000 ienes. (tradução livre)

Artigo 42. (...)

(2) A Comissão de Proteção de Dados Pessoais pode ordenar ao operador de tratamento de dados pessoais que atue em conformidade com recomendação por ela expedida, ao reconhecer que uma violação grave aos direitos e interesses de um indivíduo é iminente quando já tenha, anteriormente, expedido uma recomendação ao agente de tratamento de dados pessoais, nos termos do parágrafo anterior, e este não tenha realizado ação em conformidade com a recomendação, tampouco apresentado fundamento legítimo para não fazê-lo. (tradução livre)

(3) A Comissão de Proteção de Dados Pessoais pode, não obstante as disposições dos dois parágrafos anteriores, ao reconhecer a necessidade de tomar medidas urgentes porque há um fato que prejudica gravemente os direitos e interesses de um indivíduo, nos casos em que um operador de dados manipula informações pessoais e tenha violado as disposições dos Artigos 16, 17, 20 a 22, do Artigo 23, parágrafo (1), do Artigo 24 ou do Artigo 36, parágrafo (1), parágrafo (2) ou parágrafo (5), ou nos casos em que tenha havido violação às disposições do Artigo 38 (gestão de dados anonimizados), ordenar ao operador que tome as medidas necessárias para retificar a violação, como suspender o ato respectivo. (tradução livre)². 

O exemplo do país asiático não é isolado. Na Itália, um dos países pioneiros na positivação de normas para a proteção de dados pessoais, as alterações realizadas pelo decreto legislativo 101/2018 à Parte III, do Título II, do decreto legislativo 193/2003 (Codice della Privacy), justamente para adaptar a legislação já existente aos rigores do Regulamento Geral sobre a Proteção de Dados (2016/679), da União Europeia (o conhecido RGPD europeu), ampliou o escopo protetivo da norma local, adaptando-a aos regramentos supranacionais, mas mantendo a tipificação penal.

Basicamente, o DL 101/2018 passou a prever seis condutas típicas: (i) tratamento ilícito de dados (art. 167); (ii) comunicação e difusão ilegais de dados pessoais processados em grande escala (art. 167-bis); (iii) aquisição fraudulenta de dados pessoais processados em grande escala (art. 167-ter); (iv) comunicação falsa de ilícito à Autoridade Garante (Garante della Privacy) ou embaraço ao cumprimento, por esta, de suas funções institucionais (art. 168); (v) inobservância de provimentos emanados da Autoridade Garante (art. 170); (vi) violação de disposições em matéria de controle (art. 171).

Além de anotar o fato de que, no referido país, a tipificação penal por decreto legislativo não viola o princípio da reserva legal³, cumpre analisar a hipótese clara de novatio legis incriminadora, na medida em que a redação anterior contemplava apenas a punição ao tratamento ilícito de dados (art. 167); a comunicação falsa de ilícito, embora sem a remissão - inserida pela reforma de 2018 - à possibilidade de enquadramento típico noutro delito, com pena mais grave ("[s]alvo che il fatto costituisca più grave reato", art. 168); e a omissão de medidas de proteção (art. 169), mantida com a mesma redação.

Quanto à primeira figura, qual seja, o tratamento ilícito de dados (art. 167), a menos que o ato constitua uma ofensa mais grave, quem quer que, a fim de obter lucro para si ou para outrem ou causar danos à pessoa, agindo em violação às regras definidas, será punido com reclusão, que poderá variar de seis meses a um ano e seis meses. E, nos casos mais graves, até três anos⁴.

A comunicação e difusão ilegais de dados pessoais processados em grande escala (art. 167-bis) é punível com pena de reclusão de um a seis anos⁵. Por sua vez, aquisição fraudulenta de dados pessoais processados em grande escala (art. 167-ter) é punível com pena de reclusão de um a quatro anos⁶. Enfim, o não cumprimento das funções de garante, devido à comunicação falsa ou à criação de embaraços (art. 168), gera sanção penal (pena de reclusão de três meses a dois anos) a quem o fizer, tendo ocorrido alteração, neste ponto, apenas quanto à já mencionada ressalva inserida na parte inicial do dispositivo.

Os artigos 170 e 171, por outro lado, sofreram apenas alterações textuais para a correção de remissões feitas a outros dispositivos legais.

Neste ponto específico, nota-se a preocupação do legislador italiano com a sanção de eventos relacionados à utilização indevida de dados pessoais. Indo além das sanções administrativas e da responsabilidade civil visualizadas nos artigos 77 a 84 do RGPD, tem-se tipos penais⁷, o que revela a preocupação extrema em punir determinadas condutas, notadamente em cenários de comercialização de dados e de criação de embaraços ou empecilhos ao exercício das funções da Autoridade Garante.

Outrossim, a Lei de Proteção de Dados Pessoais Portuguesa (lei 58/2019), que regulamenta o RGPD, estabelece como crime a utilização de dados de forma incompatível com a finalidade da coleta. Nesse diapasão, o art. 46º da referida norma prevê a pena de prisão até um ano ou multa para a referida hipótese. No mesmo sentido, o acesso indevido de dados pessoais também é combatido pelo art. 47 com prisão ou multa. Há naquele diploma a hipótese para desvio de dados, destruição de dados, inserção de dados falsos e também tipo penal para a violação do dever de sigilo.

A LGPD brasileira, embora admita a sanção penal ao fazer remissão específica aos crimes tipificados no Código de Defesa do Consumidor (artigo 52, §2º⁸), não a regulamenta, deixando ao legislador a missão de, em lei própria, tipificar condutas relacionadas à violação da proteção de dados.

Com efeito, o objetivo da Comissão de juristas, é ampliar o espectro de aplicação material da LGPD. Atualmente, o microssistema protetivo dos dados pessoais não se sujeita às atividades de segurança pública, assim como de investigação e repressão de infrações penais, como dispõe o art. 4º da lei. De acordo com a informação exarada, o objetivo é vincular as hipóteses de tratamento de dados pessoais em persecução penal, efetivamente, para melhor circunscrever o interesse público nessas hipóteses de tratamento.

Por oportuno, é importante observar que em matéria de tramitação processual, notadamente, no que concerne aos atos, a regra constitucional é da publicidade dos mesmos (art. 5º, LX, e 93, IX, da Constituição da República). Nesse sentido, inevitavelmente, em termos práticos, as eventuais adequações devem observar essa máxima. Naturalmente, por força de processo judicial ou do próprio inquérito, dados são tratados e, inclusive, expostos em sistemas públicos. Em sendo assim, as hipóteses de avanço da proteção de dados pessoais em matéria persecutória deverão encontrar apoio nas balizas dos princípios constitucionais que iluminam o sistema de justiça brasileiro.

Desse modo, a estrutura principiológica da carta constitucional endereça os limites da publicidade dos atos por meio da redação do inc. IX do art. 93: 

"todos os julgamentos dos órgãos do Poder Judiciário serão públicos, e fundamentadas todas as decisões, sob pena de nulidade, podendo a lei limitar a presença, em determinados atos, às próprias partes e a seus advogados, ou somente a estes, em casos nos quais a preservação do direito à intimidade do interessado no sigilo não prejudique o interesse público à informação".               

Nessa senda, a opacidade do tratamento referenciado pela Constituição deve ser analisada no caso concreto, situação em que o Juiz detém legitimidade para mitigar a publicidade.

Entretanto, ao que consta, a iniciativa pretende avançar no cerne dos agentes responsáveis por investigações e/ou gestões de informação sobre inteligência. Atualmente, a cooperação entre agentes ocorre sob a tutela do controle jurisdicional, que não esclarece o dever do uso de bases de dados, assim como compartilhamento de informações para fins de investigação. Como se sabe, a estrutura estatal possui marcante capacidade de gerenciamento, organização e processamento de dados pessoais dos cidadãos em geral. O uso indevido dessas informações, sem limitações claras, pode mitigar as garantias constitucionais que permeiam a relação entre o indivíduo e o Estado.

Nesse sentido, observa-se que o compartilhamento de dados entre agentes de investigação, em suas linhas gerais, enquadra-se como flexão de hipótese de tratamento de dados. Sendo assim, o avanço da LGPD penal poderia prever sanções claras para hipóteses dessa natureza, resguardando a legitimidade para situações suportadas por decisões judiciais autorizadoras nos limites da finalidade requerida.

Acreditar que as pretensões não comprometeram a liberdade investigativa é um equívoco. De outro modo, sob a ótica do contraditório, ampla defesa e, principalmente, paridade de armas, será possível o debate aprofundado pelas partes angularizadas em um determinado procedimento de natureza penal.

Por fim, a referida comissão de juristas acena para a possibilidade de regulação da cooperação internacional em matéria de compartilhamento de dados. O tema é de extrema relevância. Contudo, destacamos que eventual previsão nesse sentido deve prever a hipótese de resguardo técnico hígido dos dados pessoais, assim como não fazer com que o compartilhamento de dados entre Estados promova a alimentação de bancos de dados pessoais transfronteiriços. 

*José Luiz de Moura Faleiros Júnior é mestre e bacharel em Direito pela Faculdade de Direito da UFU. Especialista em Direito Processual Civil, Direito Civil e Empresarial, Direito Digital e Compliance. Membro do Instituto Avançado de Proteção de Dados - IAPD e do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Advogado.

**Juliano Madalena é professor de Direito na Fundação Escola Superior do Ministério Público. Doutorando e mestre em Direito pela Faculdade de Direito da Universidade Federal do Rio Grande do Sul, onde também adquiriu o título de especialista em Direito Internacional. É graduado em Direito pela Fundação Escola Superior do Ministério Público. Pesquisador do Grupo de Pesquisa Mercosul e Direito do Consumidor - CNPQ/UFRGS. Coordenador do curso de pós-graduação em Direito Digital e Advocacia Corporativa da Fundação Escola Superior do Ministério Público.

__________

1 IGNACIO, Laura. Comissão de juristas elabora proposta para a LGPD penal. Valor Econômico, 15 set. 2020. Disponível aqui. Acesso em 16 set. 2020. 

2 JAPÃO. Kojin joho no hogo ni kansuru horitsu [Lei para a Proteção de Dados Pessoais], No. 57/2003 (30 maio 2003), com alterações pela Lei No. 51/2016. Disponível, no original, aqui. Disponível, em tradução para o inglês, atualizada até as emendas realizadas pela lei 65/2015, aqui. Acesso em 16 set. 2020. 

3 O princípio da reserva legal, em matéria de direito penal, implica a expressa proibição de punir uma conduta específica na ausência de uma lei preexistente que a constitua como crime. Está previsto no art. 25, II, da Constituição italiana. Ocorre que, no sistema jurídico da Itália, para parte da doutrina, decretos legislativos e decretos-lei, que são comumente utilizados, não são compatíveis com a reserva legal. A doutrina dominante, porém, entende que tanto o decreto legislativo, quanto o decreto-lei, podem ser fontes do direito penal, uma vez que é o mesmo sistema constitucional que reconhece esses atos normativos de forma eficiente como ocorre quanto às leis comuns, em sentido formal. Nesse sentido, a doutrina anota que, na hipótese do decreto legislativo, o princípio da reserva legal é garantido pelo fato de o Parlamento preservar, com a lei de delegação, a iniciativa legislativa e a identificação das escolhas políticas criminais, ao passo que, no caso do decreto-lei, o mesmo requisito de proteção é satisfeito através do mecanismo de conversão do decreto em lei. (MANTOVANI, Ferrando. Principi di diritto penale. 2. ed. Pádua: Cedam, 2007, p. 11-16.). 

4"Art. 167 (Trattamento illecito di dati).  

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per se o per altri profitto ovvero di arrecare danno all'interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all'articolo 129 arreca nocumento all'interessato, è punito con la reclusione da sei mesi a un anno e sei mesi. 

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per se o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies ovvero operando in violazione delle misure adottate ai sensi dell'articolo 2-quinquiesdecies arreca nocumento all'interessato, è punito con la reclusione da uno a tre anni. 

3. Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per se' o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all'interessato. 

4. Il Pubblico ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante. 

5. Il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell'attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell'attività di accertamento delle violazioni delle disposizioni di cui al presente decreto. 

6. Quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell'imputato o dell'ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita." 

5 "Art. 167-bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala).  

1. Salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde al fine di trarre profitto per se' o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter, 2-sexies e 2-octies, è punito con la reclusione da uno a sei anni. 

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per se' o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, è punito con la reclusione da uno a sei anni, quando il consenso dell'interessato è richiesto per le operazioni di comunicazione e di diffusione. 

3. Per i reati di cui ai commi 1 e 2, si applicano i commi 4, 5 e 6 dell'articolo 167." 

6 "Art. 167-ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala). 

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per se' o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni. 

2. Per il reato di cui al comma 1 si applicano i commi 4, 5 e 6 dell'articolo 167."

7 A responsabilidade civil e seus desdobramentos administrativos estão contemplados no regulamento europeu e na lei brasileira, mas, nota-se uma lacuna no que diz respeito à tutela penal que, em eventos relacionados às violações de dados, se entrelaça fortemente às outras esferas punitivas. Nesse contexto, para uma melhor compreensão da correlação entre responsabilidade civil e crimes, confira-se: DYSON, Matthew. Tort and crime. University of Cambridge Faculty of Law, Cambridge, Research Paper n. 48, p. 1-26, out. 2013. Disponível aqui. Acesso em 19 jun. 2020.

8 "Art. 52. (.) § 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na lei 8.078, de 11 de setembro de 1990, e em legislação específica."