A disciplina jurídica dos dados pessoais assenta-se numa tensão entre a garantia da autodeterminação informativa (privacidade/controle) e o reconhecimento da necessidade do tratamento desses dados pelo poder público, especialmente em matéria de segurança e ordem públicas, e também pelo setor privado, face à importância da circulação de dados no mercado.
Claramente inspirada pela regulação europeia relativa aos dados pessoais, a Lei 13.709/2018, que regula a proteção de dados pessoais em âmbito nacional, aspira a conciliação entre a proteção da pessoa, o interesse público e o incentivo ao desenvolvimento econômico e tecnológico, vinculados, em nossas sociedades, à circulação e ao uso da informação.
Antes da promulgação dessa lei, em 14 de agosto último, a tutela desses dados tinha por fundamento normativo o direito à vida privada e à intimidade, consagrados no artigo 5º, X da Constituição e no artigo 21 do Código Civil. A preocupação com essa questão também já se anunciava no Marco Civil da Internet (Lei 12.965/2014), visto que é com as tecnologias da informação que o tratamento de dados pessoais adquire seu alcance atual.
Apesar da aprovação tardia da legislação de proteção de dados pessoais no Brasil, sua utilização é massiva tanto pelo Estado como nas atividades privadas. Um exemplo disso, no setor público, é o recadastramento biométrico, iniciado pelo Tribunal Superior Eleitoral (TSE), já em 2008. Esse trabalho de coleta de dados biométricos dos cidadãos brasileiros expandiu-se, de forma significativa na última década, e inclui a coleta de dados biométricos para renovação de passaporte e da Carteira Nacional de Habilitação.
No ano passado, foi aprovada a Lei 13.444/2017, que dispõe sobre Identificação Civil Nacional (ICN). Essa lei representa um desdobramento importante do projeto iniciado pelo TSE, para fins de identificação dos eleitores brasileiros. Ela pretende não apenas identificar toda a população brasileira com base na biometria, mas também, integrar as bases de dados já existentes para as mais diversas finalidades.
Cumpre, entretanto, indagar sobre a compatibilidade entre esse ambicioso projeto da Identificação Civil Nacional e a proteção de dados pessoais, regulada pela Lei 13.709/2018.
A Lei Geral de Proteção de Dados (LGPD) estabelece como fundamentos o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião, a inviolabilidade da intimidade, da honra e da imagem, o direito ao livre desenvolvimento da personalidade, o desenvolvimento econômico e tecnológico, a livre iniciativa, a livre concorrência e a defesa do consumidor (artigo 2º da Lei 13.709/2018).
Esses fundamentos vêm refletidos nos princípios que regem o tratamento de dados pessoais: princípio da finalidade, da adequação, da necessidade, do livre acesso aos dados por parte dos titulares, da qualidade dos dados, da transparência e da não discriminação (artigo 6º da Lei 13.709/2018).
Assim como na regulação europeia, a lei brasileira protege especialmente os chamados “dados sensíveis” (artigo 5º, II), que revelam informações com risco significativo para privacidade ou que podem dar base para eventual discriminação, dentre os quais os dados biométricos.
A regra para esses dados é a da proibição do tratamento (artigo 11, caput), excetuadas as hipóteses expressas em lei: “consentimento específico e em destaque, pelo titular, para finalidades específicas” (artigo 11, I); quando seu tratamento for indispensável para cumprir obrigação legal do controlador dos dados, ou para execução de políticas públicas, realização de estudos e pesquisas, o exercício regular de um direito, proteção da vida ou da incolumidade física do titular dos dados, ou de sua saúde e a segurança (artigo 11, II).
A LGPD é aplicável ao tratamento de dados tanto por pessoas jurídicas de direito público como de direito privado. Assim, o regime geral da tutela dos dados pessoais incide sobre a regulação da Identidade Civil Nacional.
Deve-se destacar, no entanto, que a LGPD excetua de seu campo de incidência o tratamento de dados, por pessoa jurídica de direito público, “... realizado para fins exclusivos de segurança pública, de defesa nacional, de segurança do Estado ou de atividades de investigação e repressão de infrações penais”, cuja proteção deverá ser objeto de lei específica (artigo 4º).
Em suma, os dados armazenados na base da ICN estão protegidos pela LGPD. Em princípio, a dispensa do consentimento para coleta, armazenamento e uso desses dados está baseada no artigo 11, II da LGPD, que autoriza o tratamento de dados pelo poder público para execução de políticas públicas e prestação de serviços públicos. Ao lado dessas hipóteses, a previsão da lei da ICN quanto ao uso dos dados para o fim de persecução criminal, poderia encontrar guarida no artigo 4º da LGPD.
Entretanto, ao examinarmos a forma como foi regulada a utilização e compartilhamento dos dados biométricos coletados pelo TSE, e os que serão coletados para fins de identificação civil, emerge, mais claramente, a questão de sua compatibilidade com a tutela jurídica de dados pessoais e o direito à privacidade, bem como com as garantias constitucionais típicas de um Estado de Direito.
A previsão de um regime mais brando para a proteção de dados pessoais em matéria de segurança pública e nacional é elemento comum da regulação, também, no plano internacional. Do mesmo modo, a execução de políticas públicas e serviços públicos ou o interesse público constituem hipóteses, de um modo geral, de dispensa de consentimento para tratamento de dados pessoais. Isso não significa, porém, uma licença para um uso amplo e compartilhamento indiscriminado entre órgãos públicos.
Na LGPD, veda-se o compartilhamento de dados sensíveis, com exceção de “... dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos." (artigo 11, II, "b"). O artigo 23 da lei, por sua vez, estabelece os parâmetros para o tratamento de dados pessoais pelo poder público: deve ser realizado para uma finalidade pública, norteada pelo interesse público, e com o objetivo de executar suas competências legais ou atribuições legais do serviço público.
Não há, portanto, uma autorização para o compartilhamento generalizado de dados pessoais, muito menos os sensíveis, como os biométricos. Ainda assim, é de notar que a vinculação ao "interesse público" e a finalidade de "execução de políticas e serviços públicos" dá margem a uma interpretação extensiva que permitiria o compartilhamento dos dados em nome da "eficiência da administração pública" e da "segurança pública".
Outro ponto importante a ser destacado é ao dever do ente público responsável pelo tratamento de dados, mesmo nos casos de dispensa do consentimento, de respeito aos direitos dos titulares de dados e aos princípios da LGPD (artigo 18). Dentre esses princípios, interessam, especialmente, para este debate, o da finalidade e o da adequação, que exigem que o compartilhamento dos dados da ICN, pelo TSE, passe por um controle de compatibilidade com as finalidades admitidas em lei (artigo 6º, I e II da Lei 13.709/2018).
Por fim, a questão mais delicada a ser enfrentada diz respeito ao compartilhamento dos dados pessoais sensíveis, inclusive os biométricos, com as polícias Federal e Civil, para fins de investigação criminal. Nos termos da lei que cria a base de dados da ICN, utilizando-se dos dados biométricos do cadastro eleitoral, está prevista a plena integração dessa base com as bases de dados de identificação criminal (artigo 3º).
Com isso, franqueia-se aos órgãos de segurança pública acesso irrestrito aos dados pessoais, dentre eles os biométricos, coletados, de toda a população, para fins de identificação civil.
A pretensão de que essa base de dados alcance toda a população é explícita, como se vê da portaria do Ministério da Saúde, publicada em fevereiro de 2018, que determina a identificação palmar de todos os recém-nascidos brasileiros, juntamente com a identificação biométrica de sua mãe, de forma obrigatória (Portaria 248/2018).
O compartilhamento integral das bases de dados de identificação civil para fins de persecução penal amplia, de forma preocupante, a possibilidade de coleta e armazenamento de dados pessoais dos cidadãos, pelo Poder Público, com fundamento na segurança pública.
Por força do artigo 5º, LVIII da Constituição Federal, a identificação criminal, mediante registro fotográfico e recolha de dados datiloscópicos, só é permitida nas hipóteses previstas em lei, especialmente, em caso de ausência ou imprecisão da identificação civil e da necessidade justificada, e autorizada por decisão judicial fundamentada (Lei 12.037/2009).
A Lei 12.654/2012, que criou a base de perfis genéticos para fins de investigação criminal, restringe, por sua vez, a inclusão compulsória desses dados apenas a pessoas condenadas pela prática de crimes hediondos ou dolosos e violentos contra a pessoa (artigo 9º-A). Ademais, essas informações estão protegidas pelo sigilo e pelo dever de observância do princípio da finalidade (artigo 5º-A).
Com a lei que cria a base de dados da ICN, ao contrário, há uma previsão de compartilhamento indiscriminado entre a identificação civil, especialmente a partir de dados biométricos, e as bases de dados destinadas à persecução criminal.
Embora a relativização do direito à proteção de dados em matéria de segurança pública também esteja presente no regulamento europeu, percebe-se uma maior preocupação em definir os limites do tratamento de dados pessoais pelo Poder Público. A legitimidade desse tratamento está condicionada à existência de previsões legais, no âmbito do direito interno de cada Estado-membro, e "que constituam uma medida necessária e proporcionada numa sociedade democrática” (artigo 23), para salvaguardar os objetivos referidos no artigo 23º, 1, dentre os quais “a segurança do Estado e a segurança pública".
No Brasil, entretanto, a significativa ampliação das hipóteses de coleta compulsória e utilização não autorizada pelos titulares dos dados, por parte do Poder Público, em nome da segurança pública, foi promovida com base em uma autorização genérica para o acesso a dados coletados para fins de identificação civil.
A legitimidade dessa autorização pode, contudo, ser questionada, especialmente com a promulgação da Lei Geral de Proteção de Dados. Isto porque, a despeito exclusão feita nessa do tratamento de dados em matéria de segurança pública e nacional, os dados coletados e integrados às bases da ICN, foram obtidos para fins de identificação civil e eleitoral. A alteração de sua finalidade para identificação criminal não pode ser justificada, de forma automática, pelo interesse da segurança pública.
A crescente demanda de tratamento de dados pessoais dos cidadãos e estrangeiros na área da segurança pública, perceptível não apenas no Brasil, mas no plano internacional, tem conduzido a uma relativização da proteção dos dados pessoais e da privacidade.
No Brasil, os altos índices de violência e a insegurança generalizada coloca a segurança pública dentre as principais preocupações da população brasileira. Esse cenário, aliado à aposta na tecnologia como vetor inexorável de desenvolvimento, constitui um ambiente favorável ao afrouxamento dos limites à coleta e utilização de dados pessoais pelo poder público.
É preciso, contudo, estar atento aos riscos de autoritarismos e violação não apenas de direitos, em sua dimensão individual (proteção de dados pessoais e privacidade), mas também das garantias inextrincáveis do Estado Democrático de Direito.
