O Supremo Tribunal Federal declarou inconstitucional a Medida Provisória nº 954/2020 que determinava o compartilhamento dos dados da população brasileira (telefone, nome completo e endereço) com o IBGE a fim de que fosse criada uma estatística oficial sobre a pandemia[1].
O julgamento foi interessante na medida em que houve o reconhecimento de um direito fundamental à proteção dos dados pessoais – ainda que exista uma PEC neste sentido em trâmite no Congresso. A decisão foi além, ao exigir o respeito aos princípios da finalidade, transparência e segurança, previstos com maior ênfase na Lei Geral de Proteção de Dados que ainda não está em vigor.
A respeito da vigência da LGPD, vale tecer alguns comentários. Tramita no Congresso o Projeto de Lei 1179/2020, recentemente aprovado na Câmara para postergar a vigência da LGPD: janeiro de 2021, com exceção dos artigos referentes à aplicação das sanções administrativas (arts 52 a 54 da LGPD), que entrariam em vigor apenas em agosto de 2021. É o que foi aprovado no Senado Federal e encaminhado para análise da Câmara dos Deputados.
Paralelamente, a MP 959/2020 postergou a vigência da Lei Geral de Proteção de Dados Pessoais para 03 de maio de 2021. Esse prazo, contudo, não é definitivo, pois necessita da conversão em Lei pelo Congresso Nacional.
A votação do Projeto de Lei 1179/2020 prosseguiu na Câmara essa semana e lá restou decidido que as sanções administrativas realmente ficarão para agosto de 2021. Já a vigência do restante da LGPD será apreciada quando o Congresso analisar a MP 959/2020, em manobra bastante contestada.
Sendo assim, há a possibilidade de postergação da vigência da LGPD para 2021 e que esta se dê de forma gradativa, isto é, deslocando-se para um momento posterior os artigos referentes às sanções administrativas. De modo que por um lapso de tempo, haja vigência das obrigações legais, mas não haja aplicação de sanções. E tudo isso pode mudar se a MP não for acolhida pelo Congresso e o Presidente não sancionar o PL 1179/2020, mantendo assim a vigência integral da Lei para agosto/2020. Um caos.
De qualquer forma, o recado dado pelo Supremo Tribunal Federal foi bastante claro: o Direito protege e tutela a proteção dos dados pessoais independentemente da legislação própria e específica. E a tutela tem natureza constitucional e é cláusula pétrea.
Enquanto o acórdão não está disponível, podemos analisar os termos da decisão liminar da Ministra Rosa Weber:
“Observo que o único dispositivo da MP 954/2020 a dispor sobre a finalidade e o modo de utilização dos dados objeto da norma é o §1º do seu art. 2º. E esse limita-se a enunciar que os dados em questão serão utilizados exclusivamente pela fundação IBGE para a produção de estatística oficial, com o objetivo de realizar entrevistas em caráter não presencial no âmbito de pesquisas domiciliares. Não delimita o objeto da estatística a ser produzida, nem a finalidade específica, tampouco a amplitude. Igualmente não esclarece a necessidade de disponibilização dos dados nem como serão efetivamente utilizados.”
(...)
“Nada obstante, a MP 954/2020 não apresenta mecanismo técnico ou administrativo apto a proteger os dados pessoais de acessos não autorizados, vazamentos acidentais ou utilização indevida, seja na sua transmissão, seja no seu tratamento. Limita-se a delegar a ato do Presidente da Fundação IBGE o procedimento para compartilhamento dos dados, sem oferecer proteção suficiente aos relevantes direitos fundamentais em jogo. Enfatizo: ao não prever exigência alguma quanto a mecanismos e procedimentos para assegurar o sigilo, a higidez e, quando o caso, o anonimato dos dados compartilhados, a MP 954/2020 não satisfaz as exigências que exsurgem do texto constitucional no tocante à efetiva proteção de direitos fundamentais dos brasileiros.”
A decisão, muito comemorada pelos especialistas em privacidade, traz um grande risco, como quase sempre em que o judiciário pratica o ativismo. Esse risco parece ter aparecido mais rápido do que se imaginava. Há que se dizer que não existem regras definidas sobre todos os pontos levados a apreciação do Poder Judiciário. Pelo princípio do non liquet, o judiciário precisava se manifestar, e fez isso dizendo que o ordenamento jurídico é suficiente para resolver a questão (e não poderia ser diferente).
A decisão expressamente fala em “exigências que exsurgem do texto constitucional no tocante à efetiva proteção de direitos fundamentais” e, ainda, pontua que a MP não prevê “exigência alguma quanto a mecanismos e procedimentos para assegurar o sigilo, a higidez e, quando o caso, o anonimato dos dados compartilhados”. Ora, O STF limitou-se a dizer que a MP não seguiu os parâmetros exigidos pelo ordenamento jurídico, mas não disse quais parâmetros são esses e tampouco onde eles estão positivados (certamente não estão na CF).
O julgamento do STF trouxe, assim um grande problema para a doutrina e para os operadores do direito. Se o ordenamento jurídico é suficiente e a LGPD é prescindível, então quais são os critérios para delimitar, por exemplo, os princípios da finalidade e da adequação. Essa questão não tem resposta. Nem na lei e nem na própria decisão do STF (lembrando que é necessário aguardar o acórdão ser finalizado).
Ademais, se esse é o entendimento da Suprema Corte, podemos dizer que ele é tão genérico que poderia ser muito bem transportado para sancionar qualquer termo de uso de qualquer empresa e determinar que também não está de acordo com o ordenamento jurídico. Se por um lado a decisão é uma vitória, de outro é um risco para o próprio ecossistema. A diferença entre o remédio e o veneno é apenas a dosagem.
Qual a consequência prática disso? Vejamos um exemplo simples ocorrido essa semana. O PROCON/SP acaba de notificar a TikTok, plataforma de compartilhamento de vídeos, por suposta violação de privacidade infantil. Além disso, “a empresa deverá informar se disponibiliza o aplicativo para qualquer usuário-consumidor e a partir de quais critérios", assim como se exclui informação de usuários menores de idade quando constatada a falta de consentimento dos respectivos representantes legais, de acordo com leis brasileiras, e se são adotados no Brasil os padrões do GDPR (Regulamento Geral de Proteção de Dados) europeu na comunicação das políticas de uso de dados da plataforma”[2].
A atuação do PROCON/SP veio acompanhada de críticas da comunidade jurídica, pontuando que a LGPD ainda não estaria em vigor e pugnando pela aplicação do princípio tempos regit actum. Deixemos de lado um pouco a menção à LGPD. Olhando com imparcialidade o teor da notificação, ela não parece ter ido muito além do que decidiu o Supremo Tribunal Federal uma semana antes.
Ela exige o cumprimento do princípio da finalidade (reconhecido pelo STF), a indicação sobre compartilhamento (combatido pelo STF no caso do IBGE) e, acima de tudo, parece partir do pressuposto do direito fundamental da proteção de dados. Também exige cumprimento de requisitos de segurança do armazenamento dos dados (também utilizado como fundamento da decisão liminar no STF para a suspensão dos efeitos da MP 954/2020).
É possível, ainda, defender que o STF apenas seguiu as parcas regras do próprio Marco Civil da Internet, que também consagra a necessidade do consentimento e os princípios da finalidade e adequação (muito embora não traga parâmetros sobre o que isso significa concretamente), além de regras sobre segurança no armazenamento dos dados. Neste caso, a atitude do PROCON/SP também estaria embasada pelo próprio Marco Civil.
O problema da privacidade, portanto, é decidir o que queremos. Se ela é um direito fundamental e se os princípios da LGPD já podem ser aplicados, então o PROCON/SP age de maneira correta. Por outro lado, se, no mérito, o PROCON/SP age de maneira incorreta, então o julgamento do STF não pode prevalecer. Não podemos, todavia, usar os princípios quando convém e deixar eles de lado quando não convém.
Cumpre consignar que esta coluna apenas teve acesso à notícia da Notificação ao Tik Tok[3] e não ao teor da própria notificação, assim, o posicionamento ora revelado considera que o Procon SP: (i) abriu um processo investigativo, não sancionatório, ainda; (ii) que buscou informações sobre as informações veiculadas aos usuários sobre o tratamento de dados; (iii) solicitou informação sobre o consentimento para eventual compartilhamento de dados pessoais, principalmente, de menores de idade.
Considerando estes pontos, a investigação do Procon poderia sim se amparar na Constituição Federal, que embora não disponha expressamente sobre a proteção de dados pessoais como um direito a garantia fundamental (apesar do Ministro Fux ter expressamente dito que existia no julgamento), assim prevê a vida privada, além dos dispositivos do Marco Civil da Internet, já comentados, e do próprio direito à informação constante no Código de Defesa do Consumidor.
No entanto, destes dispositivos não é possível extrair todo o regramento aprovado no texto da Lei Geral de Proteção de Dados Pessoais, do contrário, se assim o fosse, a sua aprovação não guardaria qualquer lógica e, menos sentido ainda, faria todo o esforço do Congresso Nacional em postergar a sua vigência em decorrência da pandemia, crise econômica e dos custos legais por esta legislação trazidos.
Por isso, podemos entender como legítima a fiscalização do Procon SP até o momento, por não se tratar de um processo sancionatório e pelas indagações estarem de acordo com outras normas e de acordo com a jurisprudência recente do STF. Se, por outro lado, se tratasse de um processo sancionatório e as infrações/artigos apontados como violados fossem referentes à LGPD, possivelmente, o Procon SP incorreria em violação aos princípios da legalidade[4] e tipicidade do processo sancionatório, vez que pautado em uma legislação ainda não vigente, trazendo insegurança jurídica aos administrados.
Portanto, apesar de ainda não vigente, o Judiciário e os órgãos de defesa do consumidor já sinalizam a consideração do texto normativo da LGPD como fundamento de suas decisões, aplicando-o de forma implícita ou explícita, o que, por ora, mostra-se descabido e preocupante; no entanto, após a entrada em vigor da maior parte dos artigos da Lei, tais decisões, ao menos as judiciais, certamente impactarão os agentes de tratamento, de modo que a postergação dos artigos 52 a 54, da LGPD contribuirá tão somente a afastar os impactos de sanções administrativas.
ANPD, salve-nos se puder.
Notas e Referências
[1] Disponível em http://www.stf.jus.br/portal/cms/verNoticiaDetalhe.asp?idConteudo=442902. Acessado em 15.05.2020.
[2] Disponível em https://www.uol.com.br/tilt/noticias/redacao/2020/05/14/procon-notifica-dona-do-tiktok-por-suposta-violacao-de-privacidade-infantil.htm. Acessado em 15.05.2020.
[3] https://www.procon.sp.gov.br/notificacao-tik-tok/ , acessada em 15 de maio de 2020.
[4] “(...) o princípio da legalidade é o da completa submissão da Administração às leis. Esta deve tão somente obedecê-las, cumpri-las, pô-las em prática. Daí que a atividade de todos os seus agentes (...) só pode ser a de dóceis, reverentes, obsequiosos cumpridores das disposições gerais fixadas pelo Poder Legislativo, pois esta é a posição que lhes compete no Direito Brasileiro”. Mello, Celso Antonio Bandeira de. Curso de Direito Administrativo. Malheiros Editores, 2009.p.101.
Imagem Ilustrativa do Post: STF // Foto de: Andréia Bohner // Sem alterações
Disponível em: https://www.flickr.com/photos/deia/3036497368
Licença de uso: https://creativecommons.org/publicdomain/mark/2.0/