O que a edição da medida provisória 954/20 tem a nos ensinar sobre proteção de dados pessoais?

No dia 17 de abril de 2020, o Executivo Federal editou a medida provisória 954, que dispõe sobre o compartilhamento de dados por empresas de telecomunicação com o Instituto Brasileiro de Geografia e Estatística, IBGE, para viabilizar a produção estatística oficial durante a crise sanitária decorrente do coronavírus.

A iniciativa provocou, já na segunda-feira seguinte, 20 de abril de 2020, o ajuizamento de 4 Ações Diretas de Inconstitucionalidade, ADIn, por meio das quais o Conselho Federal da Ordem dos Advogados do Brasil, CFOAB, o Partido Socialista Brasileiro, PSB, o Partido da Social Democracia Brasileira, PSDB, e o Partido Socialismo e Liberdade, PSOL, buscam a suspensão dos efeitos de parte ou de todo o texto da medida.

Dentre as justificativas aventadas pelos autores das ADIn, está a problemática da constante vigilância da população fomentada pela medida provisória, a ausência de vinculação efetiva entre a finalidade trazida pelo ato normativo e a pandemia, a ausência de garantia da manutenção do sigilo tratado no art. 3o, inciso I, da referida MP, dentre outras.

Diante desse cenário, o que podemos extrair da edição da MP 954/20 e das ações diretas de inconstitucionalidade ajuizadas?

É bem verdade que direcionar a discussão a respeito da proteção de dados pessoais para a competência da Suprema Corte, especialmente em um cenário de prorrogação do início da vigência da Lei Geral de Proteção de Dados, LGPD, consubstancia um passo importante rumo à construção de uma cultura cada vez mais consistente de proteção de dados.

Rememoremos o leading case¹ de 2014, em que o Poder Judiciário, por intermédio do Superior Tribunal de Justiça, STJ, foi instado a se manifestar sobre o credit scoring, sistema de avaliação do risco de concessão do crédito.

Naquela oportunidade, o STJ definiu que a referida avaliação, feita a partir de modelos estatísticos, deveria respeitar as balizas impostas pelo Código Consumerista quanto à tutela da privacidade e à transparência nas relações negociais.

Agora, com o ajuizamento das ADIn, o Supremo Tribunal Federal, STF, é instado a se debruçar sobre o tema, assim como, guardadas as devidas proporções, o Tribunal Constitucional Alemão que, em 1983, declarou a inconstitucionalidade da "Lei do Censo" e reinterpretou a lei federal de proteção de dados pessoais alemã à luz da Lei Fundamental de Bonn, ao proclamar que os cidadãos alemães possuem direito à autodeterminação informativa, segundo Laura Schertel.²

Pela declaração do Tribunal de Justiça da União Europeia, no caso Digital Rights Ireland (C-293/12), qualquer medida legislativa promulgada para fornecer uma base legal para o tratamento de dados pessoais deve: (I) atender à proporcionalidade; (II) constituir uma etapa adequada para alcançar os objetivos legítimos perseguidos pela legislação em questão e (III) não exceder os limites do que é apropriado e necessário para alcançar os objetivos previamente definidos.³

Quanto à própria utilização de dados pessoais, Danilo Doneda⁴ elucida que a sua justificativa se baseia, inicialmente, em dois fatores: a eficiência e o controle social. Assim, a realização de censos e pesquisas, finalidade imperiosa do IBGE, encontra respaldo no discurso de que a administração pública deve ser eficiente.

Segundo o autor, essa eficiência pode significar, inclusive, "o estabelecimento de regras para tornar compulsória a comunicação de determinadas informações pessoais à administração pública"⁵, como é exatamente o caso da MP 954/20.

Em relação ao controle social, de acordo com o autor, o Estado poderá potencializá-lo com a disponibilização cada vez maior e mais robusta de informações sobre os indivíduos, o que aumenta o seu poder sobre eles, tal como fizeram os regimes totalitários⁶

De acordo com o guia Data Sharing in the Public Sector, produzido pela Data Protection Commission, os órgãos públicos devem seguir uma lista de verificação mínima⁷ para avaliar uma iniciativa de compartilhamento de dados, seja como fornecedor, seja como destinatário dos dados pessoais:

1) identificar, registrar e documentar os objetivos das iniciativas que pretendem utilizar o compartilhamento de dados;

2) verificar se os objetivos podem ser alcançados sem o compartilhamento de dados pessoais ou, ainda, se são atingidos com a utilização da técnica de anonimização de dados pessoais;

3) observar os princípios da necessidade e da finalidade, a fim de promover o compartilhamento de informações mínimas necessárias para se alcançar os objetivos estabelecidos inicialmente;

4) avaliar os possíveis riscos do compartilhamento de dados, desde os impactos negativos e desproporcionais que podem haver em setores específicos até o aumento da desconfiança dos indivíduos, que poderão resistir ao fornecimento de dados precisos;

5) identificar os limites temporais e a frequência com que os dados devem ser compartilhados, bem como avaliar se o compartilhamento será contínuo ou periódico e definir os responsáveis que deverão responder em eventuais situações;

6) considerar a elaboração de um relatório de impacto à proteção de dados, uma vez que esse tipo de documento pode ser utilizado para identificar e mitigar riscos relacionados à proteção de dados decorrentes de novas ações de tratamento.

Ao longo do texto da MP 954/20, nota-se que alguns dos aspectos elencados acima foram, de certa forma, pincelados. Entretanto, não há como afirmar que tal medida foi precedida de um debate e de uma avaliação profunda a respeito de pontos exorbitantemente relevantes, como o estabelecimento de objetivos, a verificação da real necessidade de se fazer uso da técnica de compartilhamento de dados e, principalmente, a avaliação de riscos oriundos dessa técnica e de seus impactos negativos.

Para além, não há como afirmar que todas as empresas de telecomunicação prestadoras de Serviço Telefônico Fixo Comutado e de Serviço Móvel Pessoal que podem ser abarcadas pela medida provisória estejam alinhadas ao princípios e diretrizes que norteiam e definem a efetiva proteção das informações pessoais dos usuários. Tampouco há qualquer segurança de que o IBGE siga uma política de preservação e de proteção de dados pessoais adequada e consistente, sobretudo porque a lei 13.709/18, LGPD, ainda está em vacatio legis.

Dadas as incertezas que pairam sobre essas questões, não há sequer como aferir ou examinar de forma incisiva o grau de proteção atribuído aos agentes envolvidos no ato normativo, uma vez que inexiste, até então, a Autoridade Nacional de Proteção de Dados, figura que, segundo o art. 30 da lei 13.709/18, "poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais".

A própria forma adotada para abordar o tema levanta inúmeros questionamentos também trazidos pelas ações diretas de inconstitucionalidade. Isso porque, o instituto da medida provisória, previsto no art. 62 da Constituição da República, determina que tal ferramenta poderá ser utilizada pelo Presidente da República em casos de relevância e urgência. Contudo, o tema abordado demanda reflexões e discussões prévias, que podem ser oportunizadas por outros institutos que não o da medida provisória.

De todo modo, como salientado, extraiamos um fato importantíssimo trazido pela MP 954/20, o de conferir uma oportunidade ao STF para realizar o controle de constitucionalidade concentrado, que tem como objetivo garantir a segurança jurídica do ordenamento sob dada perspectiva, especialmente no atual cenário, em que o Senado Federal aprovou a prorrogação do início da vigência da LGPD para janeiro de 2021.

_________

_________

*Priscila Maria Menezes de Araújo é graduada em Direito pela Universidade de Brasília, pós-graduanda em Direito Digital pela Fundação Escola Superior do Ministério Público e advogada do Torreão Braz Advogados.