Direito ao Esquecimento – Ed. 2020

2. Os Fundamentos de Um “Direito ao Esquecimento”

Entre no Jusbrasil para imprimir o conteúdo do Jusbrasil

Acesse: https://www.jusbrasil.com.br/cadastro

Como já observado, é possível fundamentar um direito ao esquecimento nas normas de proteção de dados pessoais. Esse approach encontra-se atualmente fortalecido na literatura estrangeira diante da decisão do TJUE no caso Google Espanha e das decisões judiciais e administrativas que lhe sucederam na Europa, bem como por conta do esforço de atualização das normas de proteção de dados pessoais daquele continente com a aprovação do RGPD. A força normativa europeia tem influência global e consequências concretas para o direito brasileiro, seja pela adoção de conceitos semelhantes aos europeus na legislação pátria, pela constante referência aos precedentes europeus e seu arcabouço regulatório na discussão sobre um direito ao esquecimento brasileiro, seja, em alguns casos, pela importação pouco cuidadosa de termos e conceitos para casos concretos no Brasil.

Mesmo antes de o Brasil aprovar normas gerais de proteção de dados pessoais que espelham as normas europeias, argumentos e fundamentos teóricos da proteção de dados pessoais já vinham sendo afirmados na literatura brasileira. Ideias como a de autodeterminação informacional, afirmada pelo Tribunal Constitucional Alemão em 1983, 1 não são mais completamente estranhas ao debate jurídico pátrio e tensionam a interpretação de nossas normas e princípios no sentido da necessidade de se reconhecer determinadas proteções à pessoa, incluindo o reconhecimento de que a proteção da privacidade implica certas formas de proteção de dados pessoais, como o controle espacial, contextual e temporal dos próprios dados 2 e o controle de dados genéticos. 3 Mais do que um tensionamento na interpretação do direito, a crescente produção legislativa 4 e de literatura 5 no campo da proteção de dados pessoais refletiu-se nas demandas sociais 6 por uma legislação que em grande medida mimetiza o sistema europeu. 7

Para além disso, mesmo antes da aprovação e da entrada em vigor da Lei nº 13.709/2018, seria absolutamente incorreto afirmar que o Brasil não possuía quaisquer normas de proteção de dados pessoais. Na realidade, ao contrário do omnibus approach 8 da UE sobre o tema, baseado em normas gerais de proteção de dados com “aplicação multissetorial, transversal, em toda a sociedade, nos serviços e tecnologias online ou offline”, 9 a proteção de dados pessoais no direito brasileiro existia apenas em legislação esparsa, como o Marco Civil da Internet, o Código de Defesa do Consumidor, a Lei de Acesso a Informacao e a Lei de Habeas Data. 10

No contexto de ausência de normas gerais de proteção de dados, os debates sobre o direito ao esquecimento brasileiro apoiaram-se, de um lado, nas normas específicas de proteção de dados pessoais já existentes no ordenamento pátrio, 11 e, de outro, na proteção da privacidade, intimidade e vida privada ou, de maneira geral, na ideia de que um direito ao esquecimento estaria contemplado nas cláusulas gerais de proteção da dignidade da pessoa humana e de proteção da personalidade (ou como um dos direitos da personalidade).

A distinção entre tais fundamentos demonstra-se relevante por alguns motivos. Em primeiro lugar, porque o escopo e alcance das normas de proteção de dados pessoais e das regras gerais de proteção de privacidade são notadamente distintos. Em segundo, porque possuem níveis de detalhamento e concretude diferentes, conferindo assim diferentes contornos e consequências a um possível direito ao esquecimento, especialmente quando esse debate é transportado para o contexto da Internet e da atividade dos mecanismos de busca. Em terceiro, porque os princípios gerais de proteção da privacidade e seus elementos jurisprudenciais oferecem uma margem interpretativa ao operador do direito diferente daquela oferecida pelas balizas e pelos conceitos das normas de proteção de dados à moda europeia. Tudo isso nos leva a crer que os fundamentos jurídicos de uma demanda por esquecimento e sua causa de pedir terão consequências concretas e importantes para o alcance e limites dessas demandas, bem como para o esforço de ponderação a ser realizado pelo Poder Judiciário nos casos concretos ou pelos formuladores de políticas públicas diante de uma ideia geral de direito ao esquecimento.

Compreendendo que tanto a proteção da privacidade em seus múltiplos significados quanto a proteção de dados pessoais têm como um de seus objetivos fundamentais a proteção da pessoa, este capítulo apresentará algumas considerações sobre esses direitos, traçando algumas bases que permitam entender a importância dessa distinção para o debate sobre um direito ao esquecimento.

O conceito de Privacidade

Como brevemente antecipado na introdução a este estudo, qualquer trabalho que trate, ainda que incidentalmente, do tema da privacidade trará as já conhecidas anotações iniciais apontando para a dificuldade de conceituação do termo e para a completa falta de consenso quanto à sua abrangência.

Diante dos problemas conceituais que cercam a ideia de um direito ao esquecimento – apresentados no capítulo anterior – a fundamentação desse direito na proteção da privacidade parece apontar para um problema intransponível: como delimitar de alguma maneira um conceito jurídico aberto se um dos seus próprios possíveis fundamentos (a privacidade) é apontado pela literatura nacional e estrangeira como uma ideia (ou direito) extremamente complexa (o) e, no limite, de impossível conceituação. 12

A afirmação de um direito à privacidade parece conter em sua própria história os mesmos dilemas que este trabalho investiga. São muitas as obras que já indagaram sobre quais seriam os fundamentos de um direito à privacidade, quais seus contornos e limites. 13 A existência de um direito à privacidade foi questionada em alguns países, entre outros argumentos, apontando para o fato de que a privacidade não estaria afirmada explicitamente no ordenamento jurídico ou na Constituição. 14 De maneira semelhante aos questionamentos sobre um direito ao esquecimento, questionamentos à ideia de privacidade nos EUA basearam-se na ideia de que os interesses por ela protegidos seriam mais adequadamente tutelados por outros institutos jurídicos já existentes. 15

Nesse contexto, como não andar em círculos nesse debate? Com efeito, parece não haver uma resposta definitiva para os problemas conceituais aqui apresentados. O mapeamento e a organização desse debate, entretanto, permitem que algumas considerações sejam tecidas. No ordenamento jurídico brasileiro, a ideia de proteção da personalidade por meio de uma cláusula aberta e a consolidação de uma doutrina que aponta para a ausência de necessidade de tipificação dos direitos da personalidade oferece a fundamentação teórica necessária para um direito ao esquecimento conceitualmente amplo, sem balizas predefinidas. Entretanto, como se observará mais adiante, essa maneira de abordar o problema se apresenta de forma conflituosa com os raciocínios jurídicos considerados aceitáveis para promover limitações à liberdade de expressão. 16 De qualquer maneira, é somente a partir do mapeamento desse debate que algumas considerações de valor instrumental poderão ser tecidas. 17

O próximo item deste trabalho apresentará os conceitos de privacidade e de proteção de dados pessoais, de maneira brevíssima, a partir de uma perspectiva histórico-evolutiva.

2.1. Privacidades e Proteção de Dados – Uma visão geral

A literatura sobre privacidade frequentemente aponta para o artigo seminal de Warren e Brandeis, 18 escrito em 1890, como um marco na formulação do conceito moderno de privacidade, ainda que seja possível observar elementos de proteção de uma esfera privada mesmo antes da sua elaboração.

Um exemplo das discussões sobre a existência de elementos da privacidade anteriores à formulação teórica de Warren e Brandeis pode ser encontrado na importante obra Privacy and Freedom, elaborada por Alan Westin nos anos 1960. 19 A obra de Westin possui dimensões que vão muito além da mera análise jurídica, pois contou com a contribuição de especialistas em psicologia, biologia e antropologia, revelando aspectos sobre o conceito de privacidade de outros povos e de outras espécies, além de inquirir sobre os mecanismos psicológicos que levam o ser humano a buscar o isolamento e a reclusão, ou a omissão de certos aspectos da vida privada individual. De igual forma, Westin explora o reverso da moeda, ou seja, os motivos que levam o ser humano à curiosidade e à integração com o restante dos indivíduos em uma sociedade.

Apesar de relevantes para uma discussão filosófica a respeito dos contornos da privacidade e da natureza humana, os debates nesse campo vão muito além dos objetivos deste estudo. 20

2.1.1. A privacidade “moderna”

Conforme aponta Doneda, “a distinção entre o público e privado, nos moldes em que conhecemos, não se apresentava na Idade Média.” Foi a partir da “penetração do individualismo em todo o tecido social e do fortalecimento da burguesia” que teria nascido “a ideia de privacidade em sua concepção moderna”. 21

A origem moderna desse direito remonta, portanto, ao momento de ruptura das sociedades antigas e a emergência da sociedade capitalista e sua classe burguesa, que aportou novas teorias sobre os fundamentos do poder do Estado e seus limites, sobre a noção de indivíduo (muitas vezes em contraposição à sociedade), bem como sobre aspectos associados à iniciativa privada e à propriedade. Nesse sentido, Rodotá afirma o quanto segue:

o nascimento da privacidade não se apresenta como a realização de uma exigência ‘natural’ de cada indivíduo, mas como a aquisição de um privilégio por parte de um grupo. Não é por acaso que seus instrumentos jurídicos de tutela foram predominantemente modelados com base naquele característico do direito burguês por excelência, a propriedade; e que exigências análogas àquelas que a burguesia fez valer ou não foram reconhecidas em qualquer medida à classe operária ou o foram somente mais tarde, através de instrumentos jurídicos completamente diferentes (por exemplo, a tutela da personalidade nas fábricas). 22

Inclui-se entre os importantes desenvolvimentos históricos que impulsionaram o delineamento da ideia de privacidade também a transição campo-cidade, conforme afirma Doneda, ao apontar sobre a “nova disposição arquitetônica das casas e das cidades, que se tornaram mais propícias à separação por classes e categorias e mesmo ao isolamento tornaram-se regra.” 23

Ao tratar da ideia de intimidade, Hannah Arendt aponta em sua clássica obra Human Condition para Jean-Jacques Rousseau como o primeiro explorador e teórico sobre a intimidade. Segundo Arendt, 24 entretanto, Rousseau teria chegado a essa descoberta não por uma rebelião contra o poder do Estado, mas por uma rebelião contra a sociedade, suas demandas niveladoras e pressões por conformidade. 25

Com efeito, é nessa passagem para a modernidade que se pode identificar os vetores que deram o impulso inicial para o desenvolvimento de elementos da privacidade: a emergência da ideia de indivíduo e o delineamento de uma esfera privada (intimamente ligada, em seus primórdios, à própria noção de propriedade), longe do alcance do Estado e em reação ao absolutismo. 26

Dessa forma, aspectos da privacidade passaram a ser protegidos por meio de diversos institutos mesmo antes da articulação de uma ideia geral do direito à privacidade. Segundo Doneda, no Brasil, aspectos ligados à inviolabilidade de domicílio, por exemplo, eram protegidos desde a Constituição do Império. 27 Já nos EUA, Westin aponta que entre 1790 e 1880 a realidade tecnológica limitava a comunicação apenas à fala e às correspondências. 28 Nesse contexto, o direito estadunidense estabeleceu mecanismos de privacidade para proteger a autonomia individual e organizacional, assegurar a intimidade familiar e pessoal dentro das casas e assegurar a confidencialidade nas formas básicas de comunicação. A Primeira Emenda à Constituição garantiria o direito de se expressar, mas também de manter o silêncio. A Terceira Emenda asseguraria a privacidade no lar por meio da proibição do aquartelamento de tropas em propriedades privadas em tempos de paz. A Quarta Emenda, por meio da proibição de buscas e apreensões sem justificativa (mandados judiciais). A Quinta Emenda, por sua vez, protegia o direito dos indivíduos de não se incriminar. Em nível infraconstitucional, as leis e a jurisprudência proibiram distúrbios (barulhos e cheiros) que perturbassem a tranquilidade do lar. As normas de trespass proibiam a invasão de domicílio. Segredos comerciais eram protegidos por doutrinas de common-law sobre marcas (trademarks).

Westin acrescenta que com a evolução tecnológica entre os anos 1880 e 1950, novos desafios para a privacidade surgiram. Entres os desenvolvimentos tecnológicos relevantes no final do Século XIX estão o telefone (e o grampo telefônico) em 1880, o microfone (1870) e dictographer recorder (1890), bem como o aperfeiçoamento da fotografia pela Kodak em 1880. Esses desenvolvimentos deram origem a novas modalidades de invasão da privacidade. A resposta do sistema jurídico estadunidense, entretanto, durante muito tempo girou sobre a base proprietária, não reconhecendo violações das garantias constitucionais em casos de grampos (wiretapping) 29 ou eavesdropping (escuta microfonada). 30

Em giro similar, o desenvolvimento dos jornais impressos como meios de comunicação em massa trouxe novas ameaças. No mesmo ano do seminal artigo de Warren e Brandeis, 31 Godkin apontava para o desenvolvimento do desejo por privacidade na sociedade estadunidense e realçava que quando a legislação reconheceu a casa como um local de repouso, esse teria sido um sinal visível do respeito da lei à personalidade individual. 32 Segundo Westin, a preocupação de Godkin girava em torno dos incentivos econômicos conferidos aos jornais para invadir a privacidade e as limitações da lei para endereçar o problema.

É nesse contexto que Warren e Brandeis ofereceram uma articulação do direito à privacidade que apontava para uma fundamentação não tanto em termos proprietários, definindo o centro de gravidade desse direito em torno da inviolabilidade da pessoa, 33 fazendo com que alguns autores comparassem o direito à privacidade nos EUA a um verdadeiro direito geral da personalidade. 34

O artigo de Warren e Brandeis descreve como o common-law evoluiu ao longo do tempo, partindo de uma proteção contra interferências físicas na propriedade ou contra ameaças à integridade física da pessoa para, posteriormente, reconhecer a natureza espiritual do homem, conferindo então proteção aos seus sentimentos e intelecto. 35 O próximo e inevitável passo, para os autores, seria o reconhecimento daquilo que Thomas Cooley (juiz de direito em Michigan) chamou de um “right to be let alone36 em sua obra “The elements of Torts”. 37

Os autores analisam que vários casos poderiam ser protegidos por um direito geral à privacidade que serviria para determinar a extensão em que os sentimentos, pensamentos e emoções de um indivíduo poderiam ser compartilhados com outros. Tratar-se-ia da proteção da peace of mind, inviolate personality e uma imunidade geral da pessoa. Warren e Brandeis afirmavam que a proteção da privacidade já fazia parte da common-law (one’s home as one’s castle), 38 mas a tecnologia teria tornado importante o reconhecimento dessa proteção sob o nome de um direito à privacidade.

É importante destacar que Warren e Brandeis não trouxeram uma definição precisa de privacidade, o que rendeu grandes debates e críticas que continuam a desenvolver-se na atualidade. Isso porque os autores remeteram à ideia de privacidade até mesmo para questões como a proteção contra a divulgação de textos inéditos, já protegidas nos EUA por normas de direito autoral, 39 ligando essa proteção a uma inviolabilidade da personalidade em contraposição a um direito de propriedade. 40

William Prosser, em artigo de 1960, afirma que naquela época a maior parte dos Estados nos EUA já havia reconhecido ou estava em vias de reconhecer um direito à privacidade. O autor afirma, entretanto, que a complexidade da jurisprudência deu ensejo a quatro torts 41 diferentes, decorrentes de quatro formas distintas de violações de privacidade. Apesar de reunidos sob a mesma denominação, esses quatro tipos descritos por Prosser não teriam nada em comum a não ser “o interesse do Plaintiff (autor) de ser deixado só (ou em paz)”. 42 René Ariel Dotti traduz assim os 4 privacy torts identificados por Prosser:

Segundo ele, distinguem-se em quatro categorias diversas os ataques à intimidade da vida privada de modo a reclamar, como resposta, quatro tipos de reação: 1.ª – Proteção do indivíduo contra a intrusão no seu retiro ou solidão ou em assuntos privados; 2.ª – Proibição de divulgar ao público fatos privados, especialmente os que podem causar algum embaraço ao interessado; 3.ª – Reconhecimento da ilegalidade de publicações que exponham as pessoas sob uma falsa imagem, mesmo não difamatória; 4.ª – Proteção contra as apropriações por terceiros de certos elementos da personalidade individual com ânimo de lucro, tendo como caso freqüente a apropriação do nome ou da imagem ou de ambos a uma só vez sem consentimento do interessado e para anunciar algum produto. 43

A visão e categorização de Prosser ainda influencia o direito estadunidense e os quatro torts são reconhecidos até hoje pelo American Legal Institute, 44 que sistematiza os desenvolvimentos da common-law no Direito dos EUA. 45

No direito estadunidense, portanto, o direito à privacidade contempla aspectos que, em nosso direito, estariam protegidos por institutos que se distinguem da proteção da intimidade e da vida privada, como os torts de false light (que protegem a reputação, encontrando um paralelo com algumas semelhanças a um direito à honra) ou appropriation (em paralelo – mas com diferenças em relação – à proteção do nome ou imagem). Tendo isso em vista, parece fazer sentido a aproximação do Right to Privacy desenvolvido nos EUA com um direito geral da personalidade nos países de tradição romano-germânica.

Entretanto, há diferenças importantes. No clássico artigo de direito comparado de James Q. Whitman, o autor aponta para as diferentes origens da ideia de privacidade nos EUA e na Europa continental, indicando que a privacidade nessas duas tradições parecem orbitar sobre centros de gravidade distintos. 46 Seu argumento central, em resumo, aponta que nos EUA a ideia de privacidade estaria muito mais ligada a uma noção de liberdade (em especial de liberdade contra o Estado e de liberdade no mercado). Já na “continental law”, a privacidade orbitaria em torno de um valor de dignidade, que pressupõe a ideia de livre desenvolvimento da personalidade que permitiria a cada indivíduo realizar seu completo potencial e, portanto, menos resistente à imposição de limitações ao mercado e mais amigável à ação do Estado. 47

A partir da evolução das normas de privacidade na França e na Alemanha, Whitman observa que na tradição continental europeia o valor de dignidade e proteção da honra foram centrais para a formatação de uma ideia de privacidade que a princípio protegia a nobreza e a aristocracia daqueles países, para depois ser estendida a todos os cidadãos por meio da construção de uma teoria de proteção da personalidade. Nos dois países, curiosamente, essa construção mostrou-se como uma forma de afirmar paulatinamente a existência de uma proteção jurídica ao indivíduo que iria além dos termos meramente econômicos ou proprietários, esforço que teve início numa aproximação dessa ideia de proteção da dignidade com as normas de direito de autor, desenvolvendo aspectos peculiares do sistema europeu (refletido também no Brasil), como a proteção de direitos morais do autor. Para Whitman, a semelhança entre esse percurso e o argumento apresentado por Warren e Brandeis em 1890 não seria obra do acaso. 48

Analisando a bibliografia citada no artigo, a conexão de Brandeis com a Alemanha e casos famosos (como o caso Dumas), Whitmann aponta que os autores foram influenciados pelos desenvolvimentos europeus, talvez até mesmo importando o termo personality para o contexto estadunidense. 49

Essas diferenças são fundamentais quando pensamos nos problemas de definição da ideia de privacidade, especialmente quando expressões como a de “um direito de estar só” são importadas sem a devida contextualização para o debate brasileiro. Mas esse não é o único obstáculo a uma completa compreensão da ideia de privacidade. No último século, o conceito de privacidade foi profundamente transformado diante dos novos desafios de uma sociedade cada vez mais complexa. Para além da mudança na ótica interpretativa da ideia de privacidade (de termos econômico-proprietários para uma interpretação mais centrada na proteção da pessoa), é imperativo observar outras transformações que modificaram os contornos, limites e alcances desse direito, como as teorias que abordam as esferas de privacidade e o controle de informações pessoais.

2.1.2. Das esferas de privacidade ao controle das informações pessoais

Marcel Leonardi, em sua obra Tutela e Privacidade na Internet, aponta para a insuficiência do conceito de privacidade elaborado por Warren e Brandeis como um “direito de estar só” ou “um direito a ser deixado em paz”. Para Leonardi, a ideia “é incapaz de definir o que está ou não incluso em seu âmbito de proteção.” 50 No mesmo sentido argumenta Doneda ao observar que a ideia de privacidade de Warren e Brandeis “não nos permite determinar parâmetros para julgar o que ela representa em um mundo no qual o fluxo de informações aumenta incessantemente, assim como aumenta o número de oportunidades de realizarmos escolhas que podem influir na definição da nossa esfera privada”. 51

Essas insuficiências impulsionaram, ao longo do tempo, outras transformações no conceito. Antes do boom da informática trazido pelo acelerado desenvolvimento computacional, o conceito de privacidade como um aspecto da proteção da personalidade amadureceu tanto na doutrina brasileira como na literatura e jurisprudência estrangeiras. 52 No Brasil, Milton Fernandes 53 elaborou o conceito de “resguardo contra interferências alheias” (que seria distinto do isolamento físico), caracterizado pela possibilidade de “excluir razoavelmente da informação alheia ideias, fatos e dados pertinentes ao sujeito.” 54 Leonardi atribui o sucesso de conceitos nessa linha, entre outras coisas, “à popularidade da teoria das esferas, desenvolvida pelo Tribunal Constitucional Alemão e esmiuçada pelas obras de Heinrich Henkel e Heinrich Hubmann”. 55

Essa importante teoria de origem alemã 56 traça distintos níveis de proteção da privacidade, partindo de uma esfera interior (Intmsphäre), em que estão resguardados os segredos mais íntimos de um indivíduo, para esferas mais amplas, como uma esfera privada (Privatsphäre) e uma esfera individual (Öffentlichkentsbereich). Na lição de Paulo da Mota Pinto:

Na Alemanha generalizou-se, sobretudo por obra de H. HUBMANN, a chamada "teoria das três esferas", que distinguia entre uma esfera individual ou pessoal, protegendo a própria vida do indivíduo na publicidade, nas suas relações com o mundo, uma esfera privada, com a vida quotidiana no trabalho, com as amizades, com a família, mas também na rua ou em locais públicos, e uma esfera secreta, à qual pertenceria tudo o que o indivíduo reconhecivelmente encara como secreto. 57

Como se verá mais adiante, a teoria das esferas materializa, de certa forma, a superação do paradigma proprietário-econômico de proteção da privacidade, e influenciou de maneira importante a terminologia jurídica da proteção da privacidade em diversos países. No Brasil, por exemplo, a letra constitucional afirma a inviolabilidade da intimidade e da vida privada.

A opção do legislador possui justificativa no desenvolvimento legislativo, histórico e doutrinário mais recente. Nela ecoa, por exemplo, a doutrina de Hubmann, constantemente referida, que utiliza um esquema de esferas concêntricas para representar os diferentes graus de manifestação do sentimento de privacidade: a esfera da intimidade ou do segredo (Intimsphäre, que para outros autores seria a Geheimnisphäre); a esfera privada (Privatsphäre) e, em torno delas, a esfera pessoal, que abrangeria a vida pública (Öffentlichkentsbereich). Tal teoria, que hoje chega a ser referida pela própria doutrina alemã como a teoria da "pessoa como uma cebola passiva", foi desenvolvida e posteriormente abandonada (em célebre sentença de 1983) pelo Tribunal Constitucional Alemão. 58

Mais do que uma influência terminológica e um reflexo do amadurecimento da ideia de personalidade, a teoria das esferas também parece projetar elementos, talvez ainda um pouco difusos, de superação da dicotomia público-privado, ou entre segredo e publicidade, nas discussões sobre privacidade. 59 Com efeito, a leitura simplista da privacidade por meio de uma visão binária poderia conduzir à interpretação de que tudo aquilo que deixou o âmbito privado estaria fora do alcance de um direito à privacidade ou, em outras palavras, que o direito à privacidade não poderia ser invocado para proteger o indivíduo contra a disseminação de informações que, de alguma forma, possam ser consideradas públicas. A superação dessa dicotomia dialoga com várias das definições de um direito ao esquecimento, notadamente aquelas que apontam que o direito ao esquecimento distinguir-se-ia de outros direitos por tratar de fatos ou aspectos públicos do passado de uma pessoa.

No Brasil, a doutrina também ecoou a importância da teoria das esferas por meio de algumas relevantes obras produzidas no meio do Século XX, por autores como Paulo da Costa Jr., 60 Milton Fernandes 61 e René Ariel Dotti. 62

Foi a partir dessas diversas teorias que tratam de esferas da intimidade que se desenvolveu a noção de que as distintas formas de intimidade poderiam ser refletidas em círculos concêntricos, nos quais as esferas mais íntimas estariam no centro, e as menos íntimas, progressivamente, mais distantes do centro, englobando as primeiras. 63

A ideia de círculos concêntricos, assim, parece superar a visão dicotômica público-privado, aportando elementos para a construção de uma ideia de privacidade que contempla não apenas um indivíduo isolado, mas também em relação com a sociedade, numa evolução importante e, em algumas situações, ainda pouco compreendida por operadores do direito.

Segundo Leonardi, a teoria das esferas acabou questionada diante de críticas por ser “artificial e impraticável”, uma descrição “rudimentar dos diferentes graus de intensidade aos quais, sob diferentes condições, a proteção de direitos fundamentais está submetida”. 64 Apesar disso, ainda hoje a teoria das esferas é reconhecida como uma ferramenta útil para determinar os níveis de gravidade de uma violação da privacidade, por oferecer um parâmetro, ainda que pouco preciso, para determinar em que a personalidade de um indivíduo é afetada por intrusões ou pela divulgação de aspectos da vida privada. 65

Sem cair na tentação de apontar determinada teoria como correta ou equivocada, é necessário reconhecer, como observado, sua relevância e influência na doutrina brasileira. Como se observará mais adiante, é importante ter em mente essa etapa da evolução do conceito de privacidade para entender como determinadas decisões, inclusive sobre um direito ao esquecimento, tomam forma.

Com o surgimento do computador e a ampliação das possibilidades de coleta e processamento de dados pessoais, o conteúdo do conceito de privacidade passou a contemplar também a ideia de “controle sobre as informações pessoais” ou autodeterminação informacional. Alguns dos marcos desse momento conceitual encontram-se, também, em contribuições alemãs, como a aprovação da primeira lei de proteção de dados pessoais e a decisao de 1983 do Tribunal Constitucional Alemão sobre a coleta de dados previstas na Lei do Recenseamento de População, Profissão, Moradia e Trabalho de 25 de março de 1982.

2.1.3. Controle das Informações Pessoais, Proteção de Dados Pessoais e Autodeterminação Informativa

A afirmação de uma ideia de privacidade orbitando o controle de informações pessoais e o consequente desenvolvimento de normas de proteção de dados pessoais também possuem, como um de seus fundamentos, o avanço tecnológico.

Com efeito, a literatura que aborda a ideia de controle das informações pessoais é fortemente influenciada pelo avanço dos computadores em meados do Séc. XX. e suas possibilidades de intrusão na vida privada. 66

Entre os principais argumentos impulsionando uma intervenção legislativa diante do avanço computacional estava a ideia de que as novas possibilidades trazidas pela tecnologia provocam importantes deslocamentos de poder. Nos EUA, esse argumento foi desenvolvido em duas obras fundacionais na construção da ideia de privacidade como “controle de informações pessoais”. Alan Westin, em 1967, tratando de maneira geral a evolução das tecnologias de vigilância, apresenta uma das mais relevantes e influentes reflexões sobre o tema ao elaborar de maneira profunda a conexão entre tecnologia e poder, bem como ao apontar o caráter fundamental da proteção da privacidade para o exercício de liberdades individuais e coletivas e, portanto, também para a democracia. Arthur Miller, em 1971, por sua vez, descreveu com clareza em sua obra Assault on Privacy como as mudanças trazidas pelos computadores poderiam representar riscos à privacidade na ausência de qualquer regulação.

Westin aborda diversas formas de vigilância possibilitadas pelo avanço tecnológico de seu tempo. 67 Na elaboração do autor, a questão sobre privacidade trazida pela “computadorização” era se a crescente e incontrolada coleta e processamento de informações para diversos propósitos públicos e privados poderia levar a um poder abrangente de vigilância, pelo governo, dos indivíduos e das atividades desenvolvidas em organizações. Diante das crescentes pegadas/impressões digitais deixadas por cada um, os governos poderiam adquirir um “power-through-data position” inexistente em tempos passados. 68

Tais já podiam ser notadas nos EUA desde 1950. Na década de 1960, com especialistas apontando para os desequilíbrios de poder e os riscos de que grandes bancos de dados fossem usados contra os interesses do indivíduo, 69 bem como que eventuais tiranias seriam muito mais restritivas, inclusivas, eficientes e inescapáveis. Essas preocupações se fizeram notar em artigos na mídia, na resistência à inclusão de questões sobre religião no censo de 1960, 70 bem como diante da proposta de adoção de um número único de identificação já em 1948. 71 Westin nota, ainda, a emergência da produção acadêmica e artística sobre o tema em meados dos anos 1960. 72 O tema chegou a entrar em debate no Congresso estadunidense em 1965, quando um subcomitê destinado a estudar de maneira genérica a invasão da privacidade incluiu um tópico sobre arquivos e computadores. 73 No final dos anos 1960, liberais e conservadores se uniram em reação ao computerized Big Brother. 74

O fôlego da obra de Westin e as suas ideias influenciaram de maneira importante relatórios e estudos elaborados por algumas comissões instaladas no âmbito do Poder Legislativo nos EUA. 75 Até mesmo no Brasil o pensamento de Westin ecoou no debate público. Na edição de 20 de novembro de 1977 de O Estado de S.Paulo, a matéria O computador e a erosão da privacidade explicitava as preocupações e o estado atual do debate sobre privacidade nos EUA, tendo Westin como um dos especialistas entrevistados. 76 No ano de 1972, a obra de outro autor que elaborou a ideia de “controle de informações pessoais” nos EUA (Arthur Miller) foi repercutida em matéria do Jornal do Brasil. A matéria Assalto à Vida Privada citava trechos da obra Miller (Assault on Privacy) e tratava das novas possibilidades de violação da privacidade por meio de grampos telefônicos e computadores. 77

Na sua obra, Miller aponta para a importância da privacidade na manutenção de relações sociais e de liberdade pessoal, bem como enfatiza os possíveis deslocamentos de poder decorrentes do controle, por terceiros, de informações relativas a um indivíduo. 78

Miller aponta para dois riscos associados com o crescente uso do computador e a tendência à constituição de bancos de dados centralizados: a perda de controle sobre quem tem acesso às informações pessoais; e a perda de controle sobre a precisão (ou correção) dos dados. Em relação aos riscos associados a quem tem o acesso, Miller apresenta diversas observações sobre a segurança da informação, e os diversos pontos de vulnerabilidade que poderiam permitir que um terceiro não autorizado obtivesse acesso a informações pessoais. Entre suas várias e relevantes observações, uma de especial importância para este trabalho diz respeito à vulnerabilidade de dados computadorizados, cuja destruição pode ocorrer de maneira muito mais fácil, rápida e menos custosa do que informação armazenada em arquivos de papel ou em livros. 79

O autor ainda aponta que, a despeito da sua imagem de infalibilidade, computadores eram instrumentos delicados que poderiam muitas vezes funcionar mal ou erraticamente, corrompendo informações. A visão de Miller soma-se à de Jones 80 para mitigar a força do argumento-vetor da “memória como regra”, apresentado no item 1.4.1. deste trabalho.

Já no que diz respeito aos riscos associados à correção dos dados, o autor analisa diversas possibilidades de introdução de erros em bancos de dados, que vão desde o erro humano e da atividade descuidada ou maliciosa de administradores de sistemas ou daqueles que manuseiam a informação até a própria negligência na gestão da informação. As preocupações do autor também dialogam com o problema da contextualização da informação, analisado no item 1.4.2. deste trabalho como o segundo argumento-vetor a impulsionar a ideia de um direito ao esquecimento. 81

Miller e Westin apontavam, naquele momento histórico, para a necessidade de que medidas fossem tomadas para assegurar a privacidade. Westin apontava para um approach regulatório centrado num paradigma proprietário, ou seja, indicando que as informações pessoais deveriam ser entendidas como propriedade dos seus titulares. 82 Miller, por usa vez, afirmava a insuficiência dos conceitos de propriedade, misappropriation, e até mesmo de trust para lidar com o problema das informações pessoais. Miller chega a questionar a proposta de Westin de estabelecer um novo writ de Habeas Data (até onde se sabe, utilizando essa expressão pela primeira vez na literatura), 83 análogo ao de Habeas Corpus, apontando para a necessidade de um conjunto de regulações ou a criação de um general standard por meio de legislação federal, estabelecendo diretrizes e dando às cortes autoridade para resolver as disputas que eventualmente emergissem. Miller apontava para a necessidade de uma lei que cobrisse tanto os bancos de dados públicos quanto os privados e que reconhecesse as inter-relações entre esses sistemas. 84 Além disso, o autor já aventava a necessidade de alocar em alguma agência administrativa (talvez uma nova agência) a competência para lidar com a privacidade na era da computação, sugerindo até mesmo a criação de uma Study Commission on Informational Privacy. 85

As primeiras leis de proteção de dados pessoais

Do outro lado do Atlântico, as mesmas preocupações afligiam as democracias ocidentais europeias. 86 Ao mesmo tempo que a discussão sobre o controle das informações pessoais amadurecia nos EUA, a primeira lei de proteção de dados pessoais foi elaborada no estado de Hesse, na Alemanha, tendo sido aprovada no dia 30 de Setembro de 1970. A nova lei buscava endereçar, de certa forma, os receios das comunidades locais diante de um movimento enxergado como uma centralização de poder e influência nas mãos do Estado.

Como Burkert observa que, ainda que normas sobre confidencialidade já existissem, foi com a Lei de Proteção de Dados de Hesse que o debate foi pela primeira vez materializado em legislação, desencadeando um processo legislativo similar em outros estados. Pelas normas da Hessische Datenschutzgesetz, a confidencialidade seria a regra, e exceções a essa regra seriam possíveis quando outros regulamentos assim permitissem, nos casos em que houvesse consentimento ou quando o processamento fosse considerado necessário. Foram criados, ainda, um direito de acesso e correção, bem como instrumentos legais para a tutela em casos de processamento ilegal de dados pessoais.

Apesar de limitada, a legislação definiu alguns elementos básicos da futura legislação europeia, como o negative default rule (o processamento de dados pessoais passou a ser visto como uma interferência que necessita de fundamento legítimo), os rights of the data subject (os sujeitos relacionados ao dado passaram a ter um direito de acesso aos dados independentemente da demonstração de qualquer razão/motivo), o omnibus approach (apesar da legislação não atingir o setor privado por limitações de competência legislativa, regulava as atividades de todo o setor público no seu âmbito de competência), e o estabelecimento de uma instituição de proteção da privacidade (expressando uma filosofia de regulação que apontava para a necessidade de instituições e de um back-up institucional, em oposição à uma filosofia que deixaria os próprios litígios na sociedade influenciarem o comportamento geral). 87

Seguindo o exemplo de Hesse, em 1971 o governo federal alemão determinou que um grupo de estudos na Universidade de Regensbourg traçasse a estrutura de uma possível legislação federal. O resultado desse estudo, que segundo Burkert teria se baseado de maneira relevante nos trabalhos de Westin e Miller, teria sido, entre outras coisas, um livro em que teria utilizado pela primeira vez o termo autodeterminação informativa 88 – expressão utilizada pelo Tribunal Constitucional Alemão em importante decisao de 1983, analisada mais adiante. 89

Como já mencionado, o tema não se encontrava em discussão somente nos EUA e na Alemanha. Segundo Schwartz, o desenvolvimento de vastas organizações de vigilância, processamento computadorizado, meios inovadores para coletar e compartilhar informações pessoais, bem como o reconhecimento de que os indivíduos deixariam rastros com seus dados ao longo da vida impulsionaram uma reação por meio do desenvolvimento dos chamados FIPs (Fair Information Practices) tanto nos EUA (onde a privacidade havia se desenvolvido, como já visto, pelo Tort Law) quanto na Europa Ocidental. 90

A partir da década de 1970, assim, uma grande produção de estudos e reports passou a influenciar a agenda legislativa de países na Europa, nos EUA, bem como uma agenda regulatória internacional. Sem a pretensão de esgotar o tema, 91 podemos citar a aprovação de leis incorporando elementos dos FIPs na Suécia (Lei de Proteção de Dados Pessoais, de 1973) nos EUA (Privacy Act de 1974), no Reino Unido (1984) e na Alemanha (1976). Para além desses países, objeto do estudo comparativo de Bennett, 92 outros seguiram pelo mesmo caminho, como a França (1978, com vigor em 1980). 93

Com a aprovação de uma série de novas normas de proteção de dados pessoais em diversos países, a produção de diretrizes internacionais sobre o tema teve impulso a partir de uma série de preocupações que, já naquele momento, eram compreendidas como de difícil resolução por meio de legislações nacionais, como o uso de barreiras não comerciais, a criação de conflitos jurisdicionais e a dificuldade de se operacionalizar os direitos dos titulares de dados pessoais caso uma violação ocorresse em outro país. 94 Diante disso, a comunidade internacional deu início a um esforço de harmonização, descrito nas palavras de Hondius como um “gradual construction of a common legal order.95

A construção do debate em âmbito internacional não se restringiu a um único fórum, iniciando-se em 1967 em Estocolmo no International Commission of Jurists, em 1968 na ONU por meio da Resolução 2450 (XXIII) e em 1971 com o Nordic Council, que reunia parlamentares e membros do executivo de países como Dinamarca, Islândia, Noruega, Suécia e Finlândia. 96 As iniciativas que trouxeram maior impacto de harmonização, entretanto, foram desenvolvidas no âmbito do Conselho da Europa e da OCDE.

O Conselho já vinha acompanhando o tema desde 1968, a partir de uma ampla avaliação sobre o impacto da tecnologia nos direitos humanos e, em especial, por meio de um estudo a ser realizado por um Comitê de Experts sobre as possíveis violações à privacidade provocadas pela tecnologia. O trabalho do Comitê acabou refletido em duas resoluções do Conselho da Europa que representavam em grande medida as diretrizes dos FIPs. 97

Em 1976, o Comitê de Ministros do Conselho determinou a elaboração de um instrumento para a proteção de dados pessoais. A Convenção 108 foi aprovada em setembro de 1980 e aberta à ratificação pelos países membros em janeiro de 1981, tornando-se o primeiro tratado internacional sobre dados pessoas com força vinculante (legally binding) para os seus membros. 98

Os fluxos internacionais de dados foram endereçados pela OCDE em suas diretrizes de 1980 (atualizadas em 2013) e compõem até hoje um capítulo importante das normas de proteção de dados e da história da evolução legislativa dessas normas na Europa e no mundo. 99

Bennett explica que a OCDE passou a se interessar pelo tema da proteção de dados a partir de 1960, considerando dados (pessoais ou não) como uma importante commodity a ser trocada internacional e nacionalmente. O interesse pela privacidade, entretanto, deixou de ser tangencial em razão do trabalho desenvolvido pelo Conselho da Europa. A OCDE organizou o Congresso de Viena, em 1977, com foco especial no fluxo internacional de dados e na proteção da privacidade. 100 Apesar das discordâncias entre os representantes dos EUA e os representantes europeus, 101 um grupo de experts foi formado em 1978 para elaborar as diretrizes, eventualmente adotadas em Setembro de 1980. 102 As diretrizes da OCDE essencialmente replicaram os princípios desenvolvidos nos documentos que elaboraram os FIPs 103 e, assim como nas outras versões desses princípios, propuseram direitos e remédios aos data subjects e assinalaram responsabilidades aos detentores das informações. 104

A Convenção do Conselho da Europa alcançou um impacto maior nas legislações, pois demandava dos países membros que ratificaram o seu texto que adaptassem suas leis. 105 Apesar de os documentos da OCDE e de o Conselho da Europa terem se baseado nos FIPs (mesmo não utilizando o termo), as diretrizes da OCDE tornaram-se o documento mais citado nos anos subsequentes. 106 Esse impacto foi mais importante para aqueles países que, após a aprovação da Convenção e das diretrizes, ainda não haviam legislado a respeito. 107

Autodeterminação Informativa

A transição de uma ideia de privacidade como exclusão de certas informações de uma esfera pública para uma ideia de controle das informações pessoais foi materializada na jurisprudência alemã por meio da decisão de seu Tribunal Constitucional no caso BVerfGE 65, 1, “Volkszählung”, que afirmou a ideia de autodeterminação informacional (ou informativa), rompendo assim com uma tradição centrada na teoria das esferas (apresentada no item 2.1.2.).

No dia 13 de abril de 1983, o Tribunal Constitucional Alemão suspendeu a execução de um censo populacional, previsto na Lei do Recenseamento de População, Profissão, Moradia e Trabalho de 25 de março de 1982 (doravante, Lei do Censo de 1982). 108 No dia 15 de dezembro de 1983, o First Senate do Tribunal julgou constitucional a maior parte das provisões, mas determinou que o Legislativo alterasse a lei antes da execução do Censo, atrasando sua execução por mais de 4 anos. Ao estabelecer um direito à autodeterminação informacional, o First Senate determinou que o Legislativo eliminasse todas as lacunas legais que poderiam permitir abusos na coleta, armazenamento, uso e transferência de dados pessoais. 109

Diante de mais de uma centena de reclamações apresentadas diretamente por cidadãos, o Tribunal Constitucional Alemão suspendeu temporariamente a realização do censo populacional, afirmando que a transferência de dados pessoais para determinados órgãos públicos violaria os direitos à privacidade e à personalidade. 110 Entre os pontos controversos da Lei estavam, segundo Doneda:

– a possibilidade de que os dados obtidos pelo censo fossem confrontados com os dados do registro civil para uma eventual retificação do próprio registro;

– os mesmos dados, desde que não identificados com o nome de cada titular, poderiam ser transmitidos às autoridades federais e aos Länder.

– uma multa pecuniária, relativamente elevada, para os que não respondessem, bem como um mecanismo de favorecimento àqueles que denunciassem tais pessoas. 111

Segundo a decisão, os direitos fundamentais previstos nos artigos 1(1) e 2(1) da Lei Fundamental, que protegem a dignidade humana e o livre desenvolvimento da personalidade, ganhavam importância no contexto do desenvolvimento das novas tecnologias. 112 O Tribunal observou que diversos casos julgados indicavam que esse direito incluía a autoridade para que o indivíduo decidisse por si – baseando-se na ideia de autodeterminação – como, quando em com quais limites fatos sobre sua vida pessoal poderiam ser revelados.

Da leitura de trechos da decisão, 113 pode-se observar que o Tribunal Constitucional Alemão prestigia o argumento de que com o avanço tecnológico a capacidade de se armazenar informações sobre um indivíduo é praticamente ilimitada, tratando também da facilidade de recuperar informações imediatamente, independentemente de qualquer distância. 114

Entretanto, outros motivos também foram considerados para determinar a incompatibilidade da Lei do Censo de 1982 com a Lei Fundamental, como a utilização dos dados recolhidos simultaneamente “para fins administrativos e estatísticos (como a retificação do registro civil),” caracterizando “a diversidade de finalidades, que impediria que o cidadão conhecesse o uso efetivo que seria feito de suas informações.” Nesse ponto, o Tribunal observou a ideia contida no “princípio da finalidade na coleta de dados pessoais”. 115

Mesmo nos casos de informações anonimizadas ou a serem utilizadas com fins estatísticos, a Corte apontou que o legislador deve examinar a existência de um perigo de um “etiquetamento” dos indivíduos (por exemplo, como viciado em drogas, pessoa com antecedentes criminais, doente mental, pessoa antissocial, entre outros) e se o objetivo do questionário a ser aplicado não poderia ser realizado por meio de uma investigação anônima, materializando, assim, a ideia de proporcionalidade. 116

Por fim, é importante enfatizar uma mudança importante no raciocínio do Tribunal ao afastar a ideia de que “o tratamento de dados pessoais seria irrelevante para a privacidade.” 117 Nos termos da sentença, mesmo informações públicas podem adquirir importância singular se associadas a outras informações. 118 Dessa forma, a Corte aponta para um caminho que afasta a necessidade da presença de um dano na caracterização da irregularidade do tratamento de dados pessoais. Por esse raciocínio, todo tratamento de informações pessoais afeta o direito à autodeterminação informativa, apontando para a superação da dicotomia sigilo-publicidade, que não seria mais suficiente para resolver questões associadas à circulação de informações pessoais. 119

O Tribunal alertou, por fim, que o direito à autodeterminação informacional que ali se afirmava não era absoluto, enfatizando que a Lei Fundamental alemã havia postulado, conforme a jurisprudência já assentada naquela Corte, não um indivíduo isolado, mas ligado à comunidade, afastando uma noção individualista e afirmando que o indivíduo deveria aceitar certos limites à sua autodeterminação informacional por razões de interesse público.

A consequência prática e mais imediata da decisão foi a promoção de mudanças pela legislação de 1985, que tratava do censo de 1987. A nova lei separou dados estatísticos de informações individualizadas, informou sobre as finalidades da coleta de informações e sobre a obrigação de fornecê-las, bem como vetou a transferência de dados pessoais entre autoridades federais e regionais, entre outras coisas. 120 Segundo Mayer-Schönberger, a decisão influenciou toda a estrutura da Lei de Proteção de Dados Alemã. 121

A influência da decisão, entretanto, foi muito além disso. Burkert trata a decisão como um marco que transformou a percepção do Tribunal Constitucional Alemão sobre a privacidade, fazendo-o passar de um entendimento baseado na teoria das esferas para um entendimento fundado na autodeterminação informativa. 122

Laura Schertel Mendes aponta que a sentença “criou o marco para a teoria da proteção de dados pessoais e para as subsequentes normas nacionais e europeias sobre o tema”, tendo como grande mérito a “consolidação da ideia de que a proteção de dados pessoais baseia-se em um direito subjetivo fundamental, que deve ser concretizado pelo legislador e que não pode ter o seu núcleo fundamental violado.” 123

Parte da doutrina espanhola, entretanto, preferiu o desenvolvimento da ideia de “libertad informatica”. A doutrina da liberdade informática – sustentada por Vittorio Frosini 124 – é, segundo Doneda, “uma leitura particular do direito à autodeterminação informativa, que tende a aproximar-se dos direitos da personalidade como uma subespécie destes, relacionando-se diretamente com o direito à privacidade.” 125 Essa noção, de “uma liberdade em um novo ‘meio’, estaria, inclusive, na raiz do pensamento que veio a despontar no instituto brasileiro do habeas data”. 126

Como veremos adiante, a decisão do Tribunal Constitucional Alemão é representativa do que, na classificação adotada por Mayer-Schönberger, 127 seria uma transição para a terceira geração das normas de proteção de dados pessoais europeias. A classificação do autor é extremamente útil para compreender a evolução dessas normas desde os anos 1970 até o momento de aprovação da Diretiva 95/46/EC na União Europeia.

2.1.4. As gerações das Leis de Proteção de Dados na Europa

Como visto, o conceito de privacidade transformou-se ao longo dos anos, incorporando na década de 1970 a ideia de controle das informações pessoais e materializando-se, na Europa, em normas de proteção de dados pessoais.

Como demonstra Mayer-Schönberger a partir de uma análise geracional das normas europeias, as leis de proteção de dados pessoais naquele continente foram se atualizando ao longo do tempo diante do avanço tecnológico. Com o tradicional alerta de que o termo “proteção de dados” não veicula a ideia mais adequada sobre esse tipo de norma – afinal, o que se busca proteger é o indivíduo, e não os dados – Mayer-Schönberger aponta que a melhor forma de compreender a concepção europeia de proteção de dados é deixar de lado as definições teóricas e usar essa terminologia de maneira mais dinâmica e contemplando seu espírito evolutivo. 128

A primeira geração de normas de proteção de dados, na visão do autor, seria a daquelas normas aprovadas em reação à emergência do processamento de dados no Estado e em grandes corporações, ou seja, em resposta à criação de grandes bancos de dados centralizados para o tratamento de dados pessoais. 129 Essa geração de normas estaria marcada pelo advento do computador, somando-se à necessidade de planejamento dos estados de bem-estar social europeus, que demandavam a coleta de quantidades cada vez maiores de informações, bem como seu processamento e associação com outras informações já existentes. Mayer-Schönberger observa que a criação desses enormes bancos de dados gerou reações. 130

Como consequência, a maior parte das normas de proteção de dados desse período focaria a regulação e o controle do processamento automatizado de dados – em outras palavras, essas normas focavam mais as possibilidades trazidas pelo computador –, em vez de mirar mais diretamente na proteção da privacidade individual. 131 Nesse sentido, as normas dessa geração muitas vezes traziam a necessidade de registro ou obtenção de licença para o processamento de dados. A consequência desse approach regulatório é de que as normas de proteção de dados de primeira geração não conferiam aos cidadãos, individualmente, o papel de assegurar sua observância, mas estabeleciam entidades para supervisionar a aplicação da lei. 132 O aspecto funcional dessas normas também ficaria evidenciado pelos direitos de acesso às informações coletadas pelas legislaturas, evitando, assim, um desbalanceamento de forças em favor do Poder Executivo.

As expectativas do legislador desse período, entretanto, não se confirmaram. Para além da oposição dos cidadãos aos grandes bancos de dados centralizados, a tecnologia avançou em outra direção, fazendo com que computadores de menor porte passassem a permitir o processamento de dados por estruturas menores e descentralizadas, multiplicando o número de unidades organizacionais processando informação. 133

Diante da ampliação do número de potenciais ofensores, a segunda geração de normas de proteção de dados focou os direitos individuais de privacidade dos cidadãos em vez da tecnologia e somente então foram explicitamente associadas ao direito à privacidade. Isso fez com que os direitos individuais fossem reforçados, alargados, conectados a direitos fundamentais. O consentimento passou a ser pré-condição para o processamento de dados em alguns casos e os indivíduos passaram a ter influência nesse processo. 134

Foi nesse momento que o crescimento do tráfego transnacional de informações pessoais acrescentou uma nova dimensão internacional às normas de proteção de dados. Entretanto, a regulação ainda continuava a ser nacional, tratando o fluxo internacional de dados a partir de normas de reciprocidade. 135

Com a ênfase nos direitos individuais, as autoridades de proteção de dados existentes passaram a incorporar a competência de proteger o direito dos cidadãos. Algumas autoridades foram transformadas em órgãos de adjudicação. A expectativa de empoderamento do indivíduo com direitos em relação ao processamento de seus dados pessoais, entretanto, não se confirmou na prática. Mayer-Schönberger explica que a própria inserção do indivíduo na sociedade demandava o compartilhamento de informações. Segundo o autor, na vida real os indivíduos raramente tinham a chance de decidir entre se tornar parte ou remanescer fora da sociedade. 136

A terceira geração de normas de proteção de dados pessoais representou, assim, uma transição no sentido de assegurar a autodeterminação informativa do indivíduo na sociedade. Nesse sentido, Tratando da decisão do Tribunal Constitucional Alemão no caso do Censo de 1983 (abordado no item anterior), Mayer-Schönberger, afirma que a Corte declarou que todas as fases do processamento de informações, da coleta à transmissão, passaram a ser objeto das limitações constitucionais, estendendo os direitos de participação a todos esses estágios. 137 É nesse sentido que se fala de uma tutela dinâmica da privacidade, 138 por meio da qual os direitos do indivíduo sobre seus dados não se esgotam com o mero consentimento, conferindo ao sujeito a possibilidade de continuar a influir e decidir sobre seu processamento.

A evolução tecnológica também teve papel importante nesse momento, com os computadores pessoais conectados por meio de redes rápidas e eficientes, tornando impossível o rastreamento físico dos dados pessoais. Essa realidade acelerou uma mudança no approach regulatório que já se observava na segunda geração de normas de proteção de dados, abandonando o foco da regulação na tecnologia para enfatizar a afirmação de liberdades individuais e direitos de participação no tratamento dos dados. A extensão dos direitos, entretanto, não se mostrou eficiente diante dos custos financeiros e sociais em que os indivíduos precisariam incorrer para exercitar seu direito à autodeterminação informativa.

A quarta geração de normas de proteção de dados buscou resolver esse problema com o reconhecimento do fraco poder de barganha dos indivíduos no exercício dos seus direitos. Para restaurar o equilíbrio entre as partes, as normas de quarta geração buscam, de um lado, fortalecer o poder do indivíduo diante das instituições que coletam e processam informações pessoais, e, de outro, tornar obrigatórias certas formas de proteção que, por sua importância, não devem poder ser negociadas individualmente. Esse approach regulatório se manifesta em diversas normas de proteção de dados aprovadas ou emendadas na década de 1990, assim como na Diretiva da União Europeia de Proteção de Dados Pessoais de 1995, que proíbe o processamento de dados sensíveis (raça, religião, opinião política), salvo nos casos expressos. 139

Para Mayer-Schönberger, a Diretiva 95/46/EC reflete essa evolução geracional, conferindo protagonismo aos direitos de participação individuais, afirmando o consentimento como uma das razões para o processamento legal de dados pessoais e para a transmissão de dados para países que não oferecem proteção adequada. O autor também aponta a necessidade de consentimento expresso e informado para o processamento de dados pessoais, o direito de proibir o tratamento de dados para fins de marketing direto, o estabelecimento de mecanismos de enforcement de reclamações individuais e a compensação monetária para violações como traços que permitem a categorização da Diretiva como uma norma de quarta geração.

2.1.5. A Diretiva 95/46/ECA análise mais detalhada da Diretiva merece maior atenção por ao menos três razões: em primeiro, porque a Diretiva 95/46/EC teve como efeito a adoção de normas de proteção de dados não só em nível europeu, 140 mas também no desenvolvimento de normas semelhantes para muito além do Velho Continente; 141 em segundo, porque foi no âmbito europeu (e com fundamento na Diretiva 95/46/EC) que se afirmou um direito ao esquecimento com base na proteção de dados pessoais, a partir do caso Google Espanha; 142 por fim, porque na Europa se afirmou um direito fundamental à proteção de dados pessoais, cuja autonomia (ou não) em relação a um direito à privacidade tem sido discutida com potenciais e imprevisíveis efeitos para o debate sobre um direito ao esquecimento.

A história da afirmação do direito fundamental à proteção de dados no artigo 8º da Carta de Direitos Humanos da União Europeia é concretizada a partir de um processo dialógico entre as ideias de privacidade, proteção da vida familiar, proteção de dados, entre outros. Nesse processo, é comum a utilização dessas expressões com sentidos ambíguos ou ambivalentes, o que, segundo González-Fuster, ofereceu uma grande margem interpretativa para afirmar o direito à proteção de dados pessoais como fundamental, ora o baseando na ideia privacidade, ora o tratando como instrumental à ideia de privacidade, ora como autônomo, num processo de afirmação da sua autonomia que, até o momento, não se encontra plenamente concretizado. 143

O impacto da Diretiva na legislação dos países membros da UE

A Diretiva 95/46/EC conferiu aos países membros da UE um prazo de 3 anos para que adaptassem a sua lei doméstica aos termos da Diretiva. Segundo Doneda, “em 1997, a legislação nacional de todos os 18 países já a havia incorporado.144 Para González-Fuster, entretanto, a transposição nas leis nacionais teria sido mais lenta do que o esperado, levando a Comissão a iniciar procedimentos contra Estados membros em 1999. 145

Nos anos subsequentes à aprovação da Diretiva, entretanto, uma intensa atividade normativa pôde ser observada. Itália (1996), 146 Grécia (1997), 147 Suécia e Reino Unido (1998), 148 Portugal 149 e Bélgica 150 (atualização em 1998) e Espanha (atualização em 1999). 151 Até 2004, diversos países realizaram adaptações nas suas normas. Outros países que ingressaram na União Europeia em 2004 (notadamente os países comunistas que consolidavam suas democracias) também já vinham tomando medidas para adoção de normas de proteção de dados a partir da Convenção 108. 152

A influência mundial do modelo europeu

Michael Birnhack aponta que os efeitos da Diretiva 95/46/EC foram muito além de um impacto no âmbito da UE, transformando-a não apenas em uma fonte de inspiração ou de estudo comparado, mas em um mecanismo efetivo que elevou o nível da proteção de dados no mundo inteiro. Em 2008, o autor já apontava para os esforços de países latino-americanos como Chile, Colômbia, México e Uruguai, que buscavam o reconhecimento da adequação de suas normas. No mesmo sentido eram os esforços da Nova Zelândia. A diretiva europeia teria influenciado, ainda, as normas na China, em Dubai, na Índia e na Turquia, e os argumentos de integração econômica, desenvolvimento do mercado ou de facilitação do fluxo internacional de dados impulsionaram a adoção de legislações com padrão europeu em países como Austrália, Hong-Kong, Israel, Japão e África do Sul. 153

Tal argumentação aparece também nas palavras do Deputado Federal Orlando Silva (PC do B-SP), responsável pela relatoria do Projeto de Lei de Proteção de Dados Pessoais (PL 5276/2016), 154 que viria a se tornar a Lei nº 13.709 (LGPD). Segundo Silva:

Regras claras e previsíveis sobre o uso econômico dos dados dos cidadãos são essenciais para equilibrar 2 pressupostos constitucionais: o respeito à privacidade e à livre-iniciativa. O Brasil precisa aprovar um marco legal soberano, mas harmônico com normas internacionais para dar segurança às pessoas e também estimular a atividade econômica por meio da atração de data centers e das gigantes ponto.com. 155

A dinâmica da expansão das normas de proteção de dados pessoais pelo mundo possui diversas justificativas. Birnhack aponta para os próprios aspectos existentes já na Diretiva 95/46/EC como instrumentos de um “non-coercive mechanism of soft legal globalization” que tornariam as regras da Diretiva “the main engine of the emerging data protection regime”. 156

O autor refere-se às normas que demandam a adequação de países fora da UE para a transferência internacional de dados (art. 25 da Diretiva), ou mesmo as derrogations presentes no artigo 26, que incluem as standard clauses de proteção (aprovadas pela Comissão Europeia) e as Binding Corporate Rules, 157 por meio das quais corporações multinacionais podem elaborar uma espécie de Código de Conduta a ser aprovado pela Comissão Europeia com base em requisitos estabelecidos pelo Grupo de Trabalho do Artigo 29. 158 Ao lado dos princípios de safe harbor 159 então adotados por meio da negociação do Departamento de Comércio dos EUA e da Comissão Europeia – posteriormente derrubados pela decisão no Caso Schrems, já mencionado, e substituídos por um modelo batizado de Privacy Shield 160 –, tais normas impulsionariam a adoção de padrões de proteção de dados pessoais no modelo europeu por todo o mundo (e ao seu modo, também nos EUA).

Apenas a título de reflexão, é importante situar a influência mundial das normas de proteção de dados europeias em um contexto maior, de modo a não deixar a falsa impressão de que o fenômeno da influência regulatória europeia se limita a essas regras. 161

2.1.6. A Afirmação do Direito à Proteção de Dados Pessoais na Carta dos Direitos Fundamentais da UE

Um capítulo importante da evolução do Direito Europeu nesse tema diz respeito à positivação de um direito fundamental à proteção de dados pessoais por meio da aprovação da Carta dos Direitos Fundamentais da União Europeia (ou somente Carta, daqui em diante). 162 Esse documento, dotado de força vinculante desde a assinatura do Tratado de Lisboa, soma-se como instrumento internacional de direitos humanos à já existente Convenção Europeia de Direitos Humanos, aprovada pelo Conselho da Europa e em vigor desde 1953. As violações à Convenção Europeia de Direitos Humanos podem ser levadas à Corte Europeia de Direitos Humanos, com sede em Estrasburgo. As violações às normas da UE, por sua vez, podem ser levadas ao Tribunal de Justiça da UE, com sede em Luxemburgo.

Antes da aprovação da Carta, a Convenção Europeia de Direitos Humanos (ConvEDH) e a Corte Europeia de Direitos Humanos (CEDH) representavam o principal locus para resolução e apuração das violações de direitos humanos na região. A aprovação da Carta, dessa forma, representou não apenas a afirmação, também no âmbito da UE, do compromisso do bloco na proteção dos direitos humanos, mas também a criação de uma complexa lógica de relação entre as duas Cortes e, de igual forma, entre os dois documentos.

A Carta dos Direitos Fundamentais da UE afirma o direito à proteção da vida privada e familiar no seu artigo 7º (em linguagem semelhante à utilizada pela ConvEDH em seu artigo 8º). Como se observará a seguir, antes da aprovação da Carta a interpretação das normas de proteção de dados pessoais não raras vezes recorria ao artigo 8º da ConvEDH para construir o liame entre essas normas e a proteção aos direitos humanos. A Carta, entretanto, positiva no seu artigo 8º (em artigo, portanto, distinto daquele que trata da proteção da vida privada e familiar), a proteção de dados pessoais. 163

González-Fuster aponta que a Carta de Direitos Fundamentais da EU criou um sistema binário (com a Convenção e a Carta), que trouxe alguns problemas em nível europeu. Em primeiro lugar, porque, apesar das semelhanças, a linguagem dos dois documentos não é idêntica, abrindo margens para interpretações sobre as diferenças de redação. Em segundo, porque a Carta foi proclamada solenemente, mas não tinha força vinculante. E, em terceiro lugar, porque a Carta era ao mesmo tempo descrita como um instrumento inovador que permitiria à UE acompanhar as mudanças sociais e o desenvolvimento científico e tecnológico, mas supostamente estava apenas reafirmando direitos já existentes. Dessa forma, González-Fuster aponta que dificilmente se pode afirmar que a Carta tornou os direitos fundamentais na UE mais previsíveis. 164

Com a aprovação da Carta de Direitos Fundamentais da UE e tendo como fundamento o seu artigo 8º, a literatura começou a reconhecer, ao menos parcialmente, a existência de um direito a proteção de dados pessoais autônomo. 165 Os efeitos da possível distinção entre privacidade e proteção de dados para fins de reconhecimento de um direito ao esquecimento serão explorados com mais detalhes ao longo deste capítulo.

Da Carta da UE ao início da Reforma da Diretiva 95/46/EC

As normas europeias continuaram sua evolução a partir da aprovação da Carta de DH da UE. Nesse percurso, as referências aos artigos 7º e 8º da Carta variaram de maneira ampla, ilustrando como os direitos à privacidade e à proteção de dados pessoais aparecem ora como semelhantes, ora como distintos, bem como que a construção jurídica dessas normas aponta em alguns momentos para um direito à proteção de dados pessoais instrumental para a proteção da privacidade ou, em outras situações, autônomo.

Foi a partir dessa relação ambivalente que a normas da União Europeia evoluíram até o ano de 2010, quando a Comissão Europeia anunciou sua intenção de atualizar a Diretiva 95/46/EC e passou a elaborar um novo Regulamento (a General Data Protection Regulation), que foi aprovado em maio de 2016 e entrou em vigor em maio de 2018.

Para além dos desenvolvimentos legislativos, outros desenvolvimentos tiveram lugar no TJUE, que teve a oportunidade de se manifestar em alguns casos sobre sua interpretação do art. 8º da Carta de Direitos Fundamentais da UE. González-Fuster aponta que até dezembro de 2009 o Tribunal manifestou-se sobre esse direito essencialmente em conjunto com o direito à vida privada, previsto no art. 7º da Carta. A partir de dezembro de 2009, quando a Carta adquiriu força legal vinculante, essas referências teriam se tornado mais frequentes. Mesmo assim, a Corte muito raramente teria mencionado o direito à proteção de dados sem remeter ao artigo 8º da ConvEDH e à jurisprudência da CEDH. 166

2.1.7. O Regulamento Geral de Proteção de Dados Pessoais da UE

Após a aprovação da Diretiva 95/46/EC, a Comissão Europeia ficou obrigada a reportar periodicamente ao Conselho e ao Parlamento Europeu sobre a implementação da Diretiva.

Após quase 15 anos sem propor alterações, a Comissão Europeia lançou, em maio de 2009, uma consulta pública sobre o future legal framework para o direito fundamental de proteção de dados pessoas na UE, 167 apontando que iniciativas legislativas e não legislativas poderiam ser necessárias. Em 2010, anunciou sua intenção de propor um novo marco regulatório. 168

Tal intenção foi traduzida, em 2012, em um pacote legislativo 169 , que, entre outras propostas, apresentava o projeto de regulação que viria a se tornar o Regulamento Geral de Proteção de Dados (RGPD), aprovado em 2016, com entrada em vigor em 25 de maio de 2018.

Como observou González-Fuster, a Comissão Europeia praticamente removia do texto da proposta as menções à palavra privacy. 170 A proposta apresentada em 2012 transformou-se ao longo dos anos, mas o texto final aprovado em maio de 2016 (batizado de Regulamento Geral de Proteção de Dados, ou simplesmente RGPD [no inglês, GDPR]) manteve a característica apontada por González-Fuster, não trazendo referências à privacidade como fundamento do Regulamento. No corpo do texto, o RGPD também faz brevíssimas referências à ideia de privacy ou mesmo ao artigo 7º da Carta de Direitos Fundamentais da EU.

Segundo Mira Burri e Rahel Schär, as principais motivações da elaboração de uma nova proposta seriam a intenção de manter a regulação atualizada diante do avanço tecnológico, as preocupações o fluxo transfronteiriço de dados e o enforcement das normas de proteção de dados, bem como a necessidade de um envolvimento mais ativo da UE no tema, na qualidade de entidade supranacional. Também impulsionaram a discussão as revelações de Edward Snowden sobre as atividades da NSA nos EUA, com a consequente anulação do chamado Privacy Safe-Harbor (acordo que permitia a transferência de dados entre UE e Estados Unidos) no caso Schrems, 171 bem como outras decisões judiciais (incluindo o leading case sobre direito ao esquecimento [caso Google Espanha 172 e a anulação da Diretiva sobre Data Retention [caso Digital Rights Ireland] 173 ), que apontavam para a necessidade de atualizar o marco regulatório europeu.

Burri e Schär apontam para um conjunto de mudanças-chave trazidas pela GDPR, que incluem: maior harmonização do Direito da UE; a maior proteção aos indivíduos e seus dados; 174 a ampliação das responsabilidades para controladores e processadores de dados pessoais; e inovações em relação ao alcance territorial do regulamento. 175

No que diz respeito à harmonização das normas europeias e como já mencionado anteriormente, uma das principais diferenças entre a Diretiva e o RGPD é sua aprovação na forma de Regulamento. No Direito da UE, os regulamentos são diretamente aplicáveis e não requerem a implementação ou transposição pelos países membros, tornando-se imediatamente parte do sistema jurídico dos Estados e revogando disposições em contrário. 176 O RGPD avança nesse sentido, ao estabelecer no seu artigo 5º um conjunto de princípios que se aplica ao processamento de dados pessoais, que inclui:

Artigo 5º – Princípios relativos ao tratamento de dados pessoais

1. Os dados pessoais são:

a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados («licitude, lealdade e transparência»);

b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89.º, n.º 1 («limitação das finalidades»);

c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»); 177

d) Exatos e atualizados sempre que necessário; devem ser adotadas todas as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para que são tratados, sejam apagados ou retificados sem demora («exatidão»); 178

e) Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; os dados pessoais podem ser conservados durante períodos mais longos, desde que sejam tratados exclusivamente para fins de...

Uma experiência inovadora de pesquisa jurídica em doutrina, a um clique e em um só lugar.

No Jusbrasil Doutrina você acessa o acervo da Revista dos Tribunais e busca rapidamente o conteúdo que precisa, dentro de cada obra.

  • 3 acessos grátis às seções de obras.
  • Busca por conteúdo dentro das obras.
Ilustração de computador e livro
jusbrasil.com.br
28 de Janeiro de 2022
Disponível em: https://thomsonreuters.jusbrasil.com.br/doutrina/secao/1201075293/2-os-fundamentos-de-um-direito-ao-esquecimento-direito-ao-esquecimento-ed-2020