Direito Fundamental à Proteção de Dados Pessoais. E agora?

O Congresso Nacional aprovou recentemente a Emenda Constitucional n. 115, que inclui no rol dos direitos fundamentais o direito à proteção de dados pessoais. A inclusão expressa desse direito fundamental somente realça algo que já havia sido decidido e confirmado pelo STF em julgado recente. A confirmação desse novo direito fundamental tem o seu valor simbólico, mas, na prática, como ele funcionará? Quais são as repercussões que já se podem analisar? Será que o Poder Judiciário começará a aplicar o direito à proteção de dados pessoais, pois, em muitos julgados, não tem nem aplicado a Lei Geral de Proteção de Dados Pessoais (LGPD)?

Passados mais de 2 anos da entrada em vigência da LGPD, todas as promessas que nos foram feitas sobre a aplicação dos direitos dos titulares de dados e a criação de um sistema protetivo de dados ainda não se cumpriram. Não há fiscalização. Não há aplicação de multas. Não há uma discussão feita que implique em mudanças estruturais e de práticas que estão consolidadas. Não há uma Autoridade de Proteção de Dados atuante. Não existe a mínima implantação de uma cultura de proteção de dados pessoais.

Da Profusão de Cursos e Certificados Profissionais

Infelizmente, somente enxergamos uma corrida desenfreada em marketing e cursos. Aliás, são os cursos que vêm crescendo assustadoramente tanto em quantidade quanto em valor. São caríssimos. Para serem caros, esses cursos inventam certificações com uma sequência incrível de sopa de letras. Quanto mais letras, maiores são os valores. Mas os currículos desses cursos atendem a quais diretrizes? Pelos cursos que vi o programa e pelo que cursei, não há nada que garanta que a pessoa que esteja realizando aquele treinamento, ao seu final, torne-se apto a exercer a função, por exemplo, de um Encarregado de Dados Pessoais, tal como determina o art. 41 da LGPD. Eles são, em grande parte, jurídicos e não preparam os alunos às exigências multidisciplinares que a área da proteção de dados demanda. A promessa não se realiza ao final do curso completado. 

Para que, então, servem essas certificações? As certificações são um símbolo visível para todos que estão envolvidos na área entendam os conhecimentos, as competências e as habilidades de quem exerce essas atividades. Contudo, as certificações devem, ou pelo menos deveriam, ser um parâmetro de entendimento de quem se apresenta, mas não um critério eliminador de quem trabalha na área, tal como tenho visto nas exigências de emprego. A área da proteção de dados pessoais é recente. Muitos dos que trabalham com ela já exerciam, anteriormente, sem certificações, trabalhos nas áreas de privacidade e de segurança da informação. É um campo que foi se consolidando ao longo do tempo e veio a aumentar com as perspectivas trazidas pela proteção de dados pessoais. Quem é mais antigo e experiente nessas áreas de privacidade e de segurança da informação dificilmente buscará essas certificações para a proteção de dados pessoais, que serão utilizadas por novos profissionais ingressantes. Aí, nesse embate entre os profissionais mais experientes e os certificados, estes utilizarão da força dos rótulos para se posicionarem nesse mercado, o que pode gerar assimetrias na definição de quem está ou não autorizado a exercer a função ou a atividade na área da proteção de dados. Essa indefinição gera injustiças e pode afastar profissionais experientes e qualificados para atuarem na área.

Cabe lembrar que a questão dos rótulos e das certificações já são discutidas há muito na área da segurança da informação e o debate é sempre intenso e altamente carregado de conflitos e críticas pesadas, pois não determinam aqueles que são ou não aptos para exercerem as funções necessárias. Isso, sem dúvida alguma, se repetirá na área da proteção de dados pessoais em maior escala, pois envolve mais fortemente o campo jurídico, que não está acostumado a se utilizar de certificações, além das acadêmicas. As certificações, autorregulamentadas ou não, necessitam impor padrões comuns e reconhecíveis por todos os envolvidos na área da proteção de dados pessoais. Contudo, até o presente momento, não há nada que unifique ou diferencie essas certificações e o porquê de elas existirem.

Diante disso, reconhecendo o processo multidisciplinar de confluência de vários campos do conhecimento, em que não há a primazia de nenhum, e da necessidade de parâmetros serem definidos, qual é a legitimidade dessas pessoas e empresas que criam esses cursos e certificações? São certificados pelas Universidades ou pela ANPD? São aprovados pelo Ministério da Educação? Os conteúdos são discutidos e aprovados por quem? Quem garante que os profissionais desses cursos possuem a qualificação necessária para serem tutores? Ao cabo, quem garante a qualidade do profissional advindo desses cursos e certificações? Mesmo diante dessas incertezas, estamos envoltos no enxame de cursos e de certificações, cujos valores podem passar dos 8 mil reais, e não há nada que garanta aos estudantes as competências e as habilidades necessárias para desenvolverem as funções ali descritas. A formação dos profissionais da área de proteção de dados, nesse quadro, coloca-se em xeque e, no curto prazo, há uma grande preocupação em relação a prevalência do marketing sobre a construção de conhecimentos que possam consolidar melhores práticas em proteção de dados pessoais.

Por outro lado, além do problema das certificações, as faculdades, principalmente as de Direito, não possuem em seus currículos acadêmicos matérias relacionadas à proteção de dados pessoais, direito digital, segurança da informação, tecnologia e privacidade. Há uma completa ausência de conhecimentos fundamentais para o desenvolvimento de profissionais na área da proteção de dados, o que poderia diminuir o quadro caótico de formação e qualificação. Em face disto, evidencia-se um problema estrutural de formação dos profissionais, principalmente no campo do Direito.

Dos Problemas Estruturais Institucionais

O problema estrutural não está somente interligado a questão da formação dos profissionais, estende-se para as condições materiais e institucionais que deveriam implementar as normas de proteção de dados pessoais. E nesse ponto as instituições do Poder Executivo e do Judiciário são as mais deficitárias para atender às demandas desse novo campo.

O Poder Executivo responsabilizou-se por garantir a existência de uma agência reguladora independente para fiscalizar a aplicação das normas de proteção de dados pessoais. Essa agência deveria ser a Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Contudo, desde a sua formação jurídica, que é interligada à Presidência da República, até a formação do quadro de profissionais, nada foi construído de forma correta a se desenvolver um quadro regulatório de excelência. A consequência dessas escolhas enviesadas é a não atuação da ANPD em questões de vazamentos de dados, violação da LGPD e fiscalização praticamente inexistente. 

O Poder Judiciário ignora que, diante das tecnologias de informação e de comunicação, a sua estrutura teria de ser organizada de forma diferente para atender as normas de proteção de dados pessoais. Não há ainda no Poder Judiciário uma estrutura de cadeia de custódia transparente de recolhimento e de guarda de dispositivos informáticos. Não raro, vê-se peritos, policiais e cartorários carregando dispositivos informáticos para suas casas sem o devido cuidado com a preservação das provas e o cumprimento da inviolabilidade dos equipamentos. Qual é a garantia que o investigado ou réu tem de que os documentos existentes não foram adulterados ou violados? Não há garantias. Não há procedimentos instituídos para como se deve recolher, colher, guardar, manter e produzir provas digitais íntegras em processos judiciais. Como haverá pacificação social e a construção da verdade por meio do processo judicial sem transparência das regras de produção de provas? Não se sabem onde estão as provas, com quem estão, se existemprocedimentos sigilosos e confidenciais de guarda, enfim, o Poder Judiciário, que deveria garantir o devido processo legal com transparência, não tem estrutura mínima para determinar e assegurar o efetivo cumprimento das normas que deveria seguir, muito menos em relação a questões que envolvam normas de proteção de dados pessoais.

Estas situações práticas interditam e inviabilizam a efetividade das garantias constitucionais da proteção de dados e de processos justos, equânimes e com segurança jurídica. São questões teoricamente simples e que teriam alcance amplo e que estão completamente ignoradas dentro da estrutura do Poder Judiciário e na construção do conjunto probatório. A sensação é a de que todos os procedimentos instaurados têm uma vida autonôma e totalmente dissonante do que é acesso efetivo à justiça, ao devido processo legal, ao contraditório e à ampla defesa.

Assim, verdade dos autos e a defesa dos direitos dos titulares, sem a regulamentação dos procedimentos e das estruturas para viabilizá-los, não enfrenta uma condição mínima de existência, o que Tomás de Aquino definiu como: “verdade de uma oração consiste em seu acordo (ou correspondência) com a realidade”. A correspondência deve ser estabelecida por padrões e procedimentos entendidos e estabelecidos a priori. Nessa atual situação, mesmo quando existem regulamentos ou resoluções para se realizarem provas digitais, elas não constroem práticas compatíveis com os princípios processuais constitucionais e com o direito fundamental da proteção de dados pessoais, que padece de efetividade.

Outro problema estrutural do Poder Judiciário e do Poder Executivo é a quantidade imensa de pedidos deferidos de interceptação de comunicações telefônicas. Com a interpretação trazida pela Lei n. 9.296/1996 (Lei de Interceptação de Comunicações Telefônicas), de que é permitida a interceptação de dados, o que foi reforçado pelo seu art. 1º, juntamente com a redação do Marco Civil da Internet, principalmente nos arts. 10, 11 e 15, a realidade descrita anteriormente do Poder Judiciário de total incapacidade estrutural e tecnológica para a guarda de dispositivos informáticos é elevada ao cubo com a possibilidade de que se possa realizar essas práticas de recolhimento compulsórios dos dados pessoais dos titulares, o que fere o seu direito fundamental à proteção de dados.

O Brasil é o país que mais faz interceptação de dados no mundo. São 1,06 pedidos por minuto, de acordo com o sindicato das empresas de telecomunicações do Brasil, o SindiTeleBrasil. São tantos os pedidos que as operadoras afirmam que não atendem todos por não estarem de acordo com o que determinam as regras da Lei de Interceptação de Comunicações Telefônicas. Neste sentido, inúmeras perguntas devem ser feitas: como um juiz pode conceder uma liminar de interceptação de dados pessoais de maneira ilegal? Como é que o sistema judiciário pode produzir provas de forma ilegal? Quem controla o enxame de decisões liminares sem quaisquer garantias constitucionais? E, ao final de tudo, percebe-se que a informação trazida, de que o Brasil é o país mais intercepta dados no mundo, realça a traços fortes um estado de vigilância constante que não cria e não tem, ou são fracos, os controles instituídos para evitar as invasões e a destruição das garantias constitucionais dos cidadãos.

Um caso muito notório, caso do radialista Mução, que foi preso por pedofilia infantil na internet, demonstra o quanto é preocupante a falta de controles instituídos, o que acaba por atribuir maior valor à repercussão do fato do que a legalidade da investigação em si. No caso do Mução foi autorizada pelo juízo a quebra do sigilo de dados de um endereço IP da sua casa. Sem investigações preliminares ou complementares, a Polícia Federal atribuiu a Mução a autoria do crime de pedofilia na internet, divulgando o seu nome em todos os meios de comunicação. Contudo, logo após a divulgação, mediante confissão do irmão de Mução, descobriu-se que ele era o verdadeiro criminoso. Sem entrar nos pormenores procedimentais do caso, vê-se claramente que não havia entendimento razoável de quem seria a autoria do fato, pois inúmeras pessoas poderiam utilizar ou compartilhar aquele mesmo endereço de IP, devendo-se abrir investigações complementares, após a interceptação de dados, para se determinar com correção quem realmente realizou o crime.

Aí, ao cabo desse recorte sobre a interceptação de dados, vê-se que a construção da verdade na produção de provas digitais, na prática, distancia-se sobremaneira do mandamento constitucional de que não haverá provas ilícitas no processo, ou seja, provas obtidas fora das garantias e direitos individuais do titular de dados. Na maioria dos casos, os procedimentos para investigação não existem. Quando eles são instituídos, são totalmente opacos e abertos, desrespeitando o direito fundamental à proteção de dados pessoais.

Da Proteção de Dados Pessoais promovendo direitos sociais

A partir dessas análises, pergunta-se sobre a proteção de dados pessoais, instituída como direito fundamental, tem capacidade de realizar efetivamente a promoção dos direitos sociais?

Quanto a isso, é cediça a necessidade do cidadão de se incluir digitalmente aos meios tecnológicos e à internet. Aqueles que não tiverem acesso aos dispositivos informáticos, bem como à informação e à comunicação, estarão excluídos digitalmente do acesso ao conhecimento e às benesses sociais advindas da possibilidade de acesso à internet.

A proteção de dados pessoais, bem como a inclusão digital, portanto, inserem-se no contexto da inclusão social, mais amplo e abrangente. No entanto, ela se tornará cada vez mais urgente a partir do momento em que os instrumentos de tecnologia de informação e de comunicação se difundirem mais intensamente no meio social. Essa tendência é percebida hoje em dia, com a nítida preferência de governos, pessoas físicas e jurídicas prestarem seus serviços virtualmente. Dessa forma, o cidadão que não tiver acesso aos meios de comunicação e nem protegido dos tratamentos de dados ilegais, estará excluído das oportunidades e dos serviços fornecidos, acentuando-se as desigualdades já existentes.

Diante disto, o direito fundamental à proteção de dados pessoais, grosso modo, poderia ser compreendida como ação complexa oriunda do Governo, do Terceiro Setor e mesmo de particulares que visa atingir, dentre outros, dois objetivos primordiais: a uma, promover o acesso de toda a população aos meios tecnológicos existentes (computadores, softwares e rede física de telecomunicações), para que, conectados à internet, possam se autodeterminar como seres humanos, ampliando suas perspectivas pessoais e profissionais; a duas, educar e ensinar o povo sobre a utilização, interação, reconhecimento e domínio das ferramentas tecnológicas disponíveis e quais os benefícios delas na melhoria da qualidade de vida e das oportunidades para os cidadãos.

A proteção de dados está intimamente ligada à inclusão digital e a facilitação do acesso dos cidadãos às máquinas e às ferramentas necessárias à informação e à comunicação, pois somente com o acesso implementado que o titular pode defender-se das violações de dados cometidas contra si. Contudo, no Brasil, os custos para o cidadão comum ter acesso a estes instrumentos tecnológicos são proibitivos e excludentes e, às vezes, mesmo com dinheiro, não conseguem ter acesso à internet por não estarem com serviços de telecomunicações executados num determinado local.

Deve-se, mais do que propiciar o conhecimento dos rudimentos da informática, capacitar os cidadãos ao pleno domínio de todos os aspectos inerentes à aplicação das normas de proteção de dados pessoais. E nisto reside o cerne das políticas públicas que devem ser desenvolvidas neste segmento, promover o efetivo acesso dos cidadãos excluídos social-digitalmente à internet e às normas de proteção de dados pessoais. Com isto, quer-se dizer que é imprescindível que o cidadão tenha acesso físico ao computador, para que, mediatamente, possa usufruir dos direitos sociais cujo exercício poderá eventualmente gozar através da internet sem ter a sua dignidade humana atacada ou vilipendiada por uso indevido ou vazamento de seus dados.

Não se pode mais aceitar que a proteção de dados seja tratada com base liberais sem se atentar para a sua função social. Os juristas e operadores do direito não podem mais negar a realidade histórico-social e acreditar que ainda vivemos num mundo muito parecido com o liberalismo econômico.

Clique e conheça o livro do autor

LEIA TAMBÉM

• Liberdade de Expressão e o Marco Civil da Internet
• “O Poder Judiciário não sabe lidar com internet” | Dificuldades em torno do Marco Civil da Internet