"LGPD penal", vigilantismo e o papel do CNJ como autoridade competente: considerações iniciais acerca do anteprojeto de lei

Estruturado em doze capítulos com sessenta e oito artigos, o Anteprojeto de Lei Geral de Proteção de Dados para segurança pública e persecução penal pretende estabelecer princípios balizares e diretrizes para que a autoridade competente possa desempenhar suas funções com maior segurança jurídica ao mesmo tempo que protege o cidadão contra eventuais abusos e arbitrariedades estatais. Em outras palavras, o objetivo é compatibilizar os deveres do Estado quanto à prevenção e repressão de ilícitos criminais e as garantias processuais e prerrogativas fundamentais dos cidadãos no âmbito da proteção de dados pessoais.

A persecução penal busca alcançar verdade¹, porém tal tarefa não pode ser realizada a qualquer custo. Deve-se ponderar o interesse público em se garantir a ordem e os direitos fundamentais dos titulares, o que envolve a consolidação de garantias ante o vasto aparato tecnológico do Estado.

Nesse contexto, não há dúvidas quanto à necessidade do presente Antreprojeto, que recebeu a alcunha de "LGPD Penal". Além da urgente necessidade de imposição de limites à vigilância estatal, o Anteprojeto atende à exigência prevista no art. 4º, §1º e inciso III da LGPD quanto à aprovação de lei específica para o tratamento de dados com fins de segurança pública, defesa nacional e atividades de investigação e repressão de infrações penais. Ademais, a exposição de motivos do Anteprojeto aponta como fatores ensejadores deste debate (i) a falta de adequação aos padrões internacionais de segurança e (ii) a ausência de legislação sobre a licitude, transparência ou segurança do tratamento de dados no âmbito penal.²

Diante da onipresença e do barateamento das novas tecnologias, a circulação e tratamento de dados aumentaram expressivamente ao longo dos anos. No cenário brasileiro, as empresas têm participado cada vez mais na construção e operacionalização de grandes sistemas de tecnologia de monitoramento³. Os megaeventos, como a Copa do Mundo em 2014 e o Jogos Olímpicos em 2016, motivaram a criação do Sicc (Sistema Integrado de Comando e Controlado), inaugurando uma nova etapa na história da segurança pública brasileira. A partir de então, vivenciam-se diversos casos como o do Sistema Córtex, cedido pelo governo do Estado de São Paulo à Seopi - Secretaria de Operações Integradas da Secretaria Nacional de Segurança Pública do Ministério da Justiça. O sistema cruza placas de trânsito capturadas pelas câmeras rodoviárias com outros bancos de dados de empresas, possibilitando que se rastreie a movimentação do cidadão pela cidade, além de descobrir informações como endereço, CPF, salário, etc.⁴ Durante o Carnaval de 2019 na cidade do Rio de Janeiro foram identificadas cerca de oito mil pessoas foragidas, suspeitas ou desaparecidas por meio de reconhecimento facial⁵. Já em 2020 houve ainda o episódio do "dossiê antifascista" no qual a Seopi elaborou um relatório sobre 579 agentes da segurança pública e quatro professores considerados "formadores de opinião" do movimento dos policiais antifascistas. Como se pode perceber, o vigilantismo, antes remoto e distópico tal qual ficção-científica, hoje é banalizado e cotidiano.  

Assim, a LGPD Penal traz um debate pertinente num momento delicado no qual as liberdades individuais, direitos fundamentais e garantias processuais conflitam com o uso desenfreado de tecnologias de vigilância pela Administração Pública. No caso, um dos mecanismos limitadores do poder de polícia do Estado está presente no Capítulo VI do Anteprojeto que determina a obrigação das autoridades competentes de fornecer informações claras e atualizadas sobre a base legal, a finalidade, os objetivos específicos, os procedimentos e as práticas utilizadas para a execução de suas atividades (art. 40). Além disso, em conformidade com a principiologia da LGPD, o Anteprojeto reforça os princípios da responsabilização e prestação de contas, destacando como obrigação dos agentes de tratamento a elaboração de relatórios de impacto à proteção de dados pessoais em caso de tratamento de dados sensíveis, sigilosos ou operações de elevado risco para os direitos, liberdade e garantias dos titulares (art. 42, Capítulo VIII). Resumidamente, o intuito é que o cidadão não se sinta vítima de mecanismos estatais de vigilância.⁶

Em favor do Anteprojeto, a Coalizão Direitos na Rede afirmou que este se trata de mais um passo importante para o Brasil no campo de proteção de dados pessoais, facilitando as atividades de cooperação jurídica internacional, sobretudo em matéria penal⁷. Por sua vez, o Instituto de Referência em Tecnologia e Sociedade identificou no Anteprojeto um possível remédio contra o solucionismo tecnológico na segurança pública, enxergando no texto apresentado pelos juristas uma contribuição bem-vinda para o desenvolvimento participativo de uma solução legislativa sobre o tema⁸.

Diante o exposto, o timing é apropriado para o levantamento deste debate e aparentemente, não há motivos para se colocar contrariamente ao Anteprojeto. Entretanto, não se deve esquecer que informação é poder e, como se sabe, é a partir dos dados que informações valiosas são extraídas. A questão é: quem será aquele a deter tais informações acerca dos cidadãos e o que fará com elas?

A sociedade vigilantista é marcada por uma forte assimetria informacional⁹, deixando o cidadão desamparado no tocante à sua capacidade de determinar seu próprio fluxo informacional. Para reverter esse cenário, a LGPD, assim como o GDPR consagram o princípio da autodeterminação informativa, que não se traduz apenas no consentimento livre, inequívoco e informado, mas também no poder do titular de definir quem tratará seus dados, sob quais condições e para quais finalidades. Nesse contexto, é fundamental ter em mente a posição de maior vulnerabilidade do cidadão ante o aparato estatal.

O Anteprojeto ora analisado se inspirou na Diretiva 680/2016 da União Europeia¹⁰ que estabelece um regime de proteção de dados pessoais bastante sólido, possibilitando a livre circulação de dados pessoais entre as autoridades competentes para efeitos de prevenção de ameaças à segurança pública a nível da União, investigação, repressão de infrações, execução de sanções penais, dispondo ainda sobre a facilitação na transferência de dados para países terceiros e organizações internacionais. Nesse aspecto, o Anteprojeto se assemelha à Diretiva quanto aos registros de atividade de tratamento, à segurança e ao sigilo dos dados e à transferência internacional.

A supramencionada Diretiva fala ainda em "autoridades competentes" que no âmbito da União Europeia, "podem incluir não só as autoridades públicas como, por exemplo, as autoridades judiciárias, a polícia ou outras autoridades de aplicação da lei, mas também outros organismos ou entidades designados pelo direito dos Estados-Membros para o exercício da autoridade e dos poderes públicos para efeitos da presente diretiva". No Brasil, este papel seria atribuído ao Conselho Nacional de Justiça, responsável pela aplicação, supervisão e monitoramento (enforcement).

Existiriam três principais razões para tal escolha: a primeira relaciona-se com a autonomia e pluralidade do CNJ. O órgão é composto por indicações do STF, STJ, TST, PGR, Conselho Federal da OAB, da Câmara dos Deputados e do Senado Federal. A segunda razão é de natureza financeira, já que se evitaria novos gastos com a criação de um órgão específico. Por último, alega-se ainda que, em virtude da sua composição plural e independente, seria possível formular políticas públicas uniformes em todo o país.

No entanto, a atribuição dessas novas funções ao CNJ extrapola o âmbito daquelas constitucionalmente previstas. Basicamente, a missão do Conselho, criado por meio da Emenda Constitucional nº 45 de 2004, é desenvolver políticas judiciárias que promovam a efetividade e a unidade do Poder Judiciário, orientadas para os valores de justiça e paz social¹¹. Nos termos do art. 103-B, §4º da Constituição Federal, compete ao Conselho o controle da atuação administrativa e financeira do Poder Judiciário e do cumprimento dos deveres funcionais dos juízes. Portanto, trata-se de um órgão administrativo e não jurisdicional.

O Anteprojeto parece buscar a saída mais prática para o problema da determinação da autoridade competente ao indicar a criação da Unidade Especial de Proteção de Dados em Matéria Penal (UPDP), vinculada ao Conselho (art. 59, Capítulo X).

É inquestionável que, ao longo dos seus quinze anos de existência, o CNJ vem atuando em matéria de direito penal e processual penal. Além de desempenhar papel fundamental no monitoramento do sistema carcerário¹², a Resolução nº 213 de 2015 do Conselho estabeleceu a audiência de custódia, atualmente prevista na Lei Anticrime (Lei 13.964/19)¹³.

Entretanto, sua função precípua permanece sendo a fiscalização da atuação dos magistrados, promovendo maior eficiência no serviço prestado ao cidadão. Dito de outra forma, o papel do Conselho é de transparência e controle do Judiciário, agindo estrategicamente para atingir seus objetivos.

Conforme apontado por Néfi Cordeiro, presidente da comissão de juristas que apresentou o Anteprojeto na Câmara dos Deputados, a intenção é concentrar os poderes de supervisão em um órgão fora da estrutura do Executivo¹⁴. Todavia, como ele mesmo sinaliza, trata-se de uma proposta inicial e a Câmara será quem definirá se mantém a mesma autoridade prevista na LGPD, isto é, a Autoridade Nacional de Proteção de Dados Pessoais.

Nesse ponto, vale frisar que é possível que haja um conflito de competência entre a ANPD e o CNJ. O art. 4º, inciso III, §3º da LGPD estabelece que "A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais." Ora, se a LGPD não se aplica às hipóteses de segurança pública, defesa nacional e persecução penal, como pode prever também a atuação da ANPD na matéria?

Em síntese, o Anteprojeto inicia um relevante debate sobre os limites da atuação no Estado no tocante ao tratamento de dados pessoais. Nessa esteira, a legislação em questão pretende inibir abusos, demandando transparência e responsabilidade das entidades públicas e privadas. As tecnologias de monitoramento já são realidade da qual se é inescapável. Por isso, mais do que nunca, é necessário criar um instrumento que proteja os cidadãos enquanto permita a realização do interesse público. Contudo, não se pode esquecer que qual seja o órgão responsável pela supervisão, este concentrará muito poder e influenciará os rumos da política nacional de segurança pública.

____________

1 ARANHA, Estela; SION, Paula. A (falta de) proteção de dados pessoais no âmbito penal. Disponível em: https://politica.estadao.com.br/blogs/fausto-macedo/a-falta-de-protecao-de-dados-pessoais-no-ambito-penal/. Acessado em 12 de novembro de 2020.