Organizações da sociedade civil manifestam preocupação com o avanço do projeto de lei 1515/22, que desmonta as garantias constitucionais elaboradas por comissão de juristas no ‘Anteprojeto de LGPD Penal’
A Sua Excelência
Senhor Presidente da Câmara dos Deputados
Deputado Arthur Lira
Aos cuidados da presidência da Câmara dos Deputados
Assunto: Posicionamento da sociedade civil organizada contra a tramitação do Projeto de Lei 1515 de 2022, que dispõe sobre a Lei de Proteção de Dados Pessoais para fins exclusivos de segurança do Estado, de defesa nacional, de segurança pública, e de investigação e repressão de infrações penais.
Estimado Senhor Presidente da Câmara dos Deputados,
A Coalizão Direitos na Rede (CDR) é uma rede de entidades que reúne 52 organizações acadêmicas e da sociedade civil em defesa dos direitos digitais, tendo como temas principais de atuação a defesa do acesso, liberdade de expressão, proteção de dados pessoais e privacidade na Internet. As entidades que integram o coletivo participaram ativamente da construção de políticas públicas de Internet de grande relevância para o Brasil, como o processo de discussão e elaboração do Marco Civil da Internet e de seu decreto regulamentador, bem como a Lei Geral de Proteção de Dados Pessoais. Em vista do Projeto de Lei nº 1515/2022, enviado à Comissão Especial para a análise da matéria, a CDR se posiciona contra a tramitação do Projeto por: 1) promover o desmonte das garantias democraticamente construídas no âmbito do Anteprojeto de LGPD Penal elaborado por comissão de juristas; 2) ampliar demasiadamente o âmbito de aplicação do texto a matérias que possuem fundamentos e principiologia próprias; 3) suprimir conceitos importantes e fragilizar a proteção dada aos dados cadastrais; e 4) promover o desmonte do arcabouço principiológico de controle sobre as autoridades; 5) enfraquecer o repertório de controle sobre decisões automatizadas; e 6) autorizar de forma demasiadamente genérica o compartilhamento de dados entre entidades da administração pública e o acesso a bancos de dados mantidos por atores privados.
1. Desmonte das garantias democraticamente construídas no âmbito do Anteprojeto de LGPD Penal elaborado por comissão de juristas
Em novembro de 2020, foi apresentado o Anteprojeto de LGPD Penal à Presidência da Câmara dos Deputados¹. A construção do texto contou com uma participação multissetorial e democrática, em um processo que durou cerca de 1 ano. O PL 1515/2022, no entanto, utiliza-se exatamente da estrutura do Anteprojeto, mas fragiliza as principais garantias aos Direitos Fundamentais, como abordaremos em detalhes nos tópicos seguintes.
Por hora, cabe destacar que diferentemente do PL 1515/2022, o Anteprojeto apresentado em 2020 foi elaborado por uma comissão de juristas especializados no tema e indicados pela presidência da Câmara dos Deputados, sob a presidência do Ministro do Superior Tribunal de Justiça Nefi Cordeiro e da relatoria da Professora da Universidade de Brasília Laura Schertel. A comissão contou ainda com especialistas como Jaqueline de Abreu, Vladimir Aras, Danilo Doneda e Tércio Sampaio Ferraz Júnior, estudiosos da intersecção entre proteção de dados e segurança pública.
À época, a Comissão de Juristas e a Câmara dos Deputados organizaram um seminário internacional para discussão das principais questões que circundam as garantias constitucionais e o tratamento de dados na investigação criminal e segurança pública, para garantir subsídio técnico para elaboração do texto. Fruto de um debate democrático e com ampla mobilização do mais diversos setores da sociedade, o projeto contou inclusive com apoio do Conselho Pleno da Ordem dos Advogados do Brasil.
A elaboração do Anteprojeto da LGPD Penal seguiu, portanto, a tradição de construção democrática que o Brasil tem em normas como o Marco Civil da Internet (MCI) e a Lei Geral de Proteção de Dados Pessoais (LGPD), em contraste com a celeridade excessiva com que o Congresso Nacional vem buscando tratar de temas altamente sensíveis de direitos digitais.
2. Ampliação demasiada do âmbito de aplicação do texto às matérias que possuem fundamentos e principiologia próprias
O PL nº 1515/2022 amplia demasiadamente seu âmbito de aplicação e extrapola o microssistema legislativo da segurança pública e persecução penal para incluir em um mesmo texto normativo a segurança do Estado e a defesa nacional e até as imprecisas “atividades de inteligência das autoridades competentes” (art. 1º, §2º, PL 1515/22). Apesar de eventuais intersecções, tais microssistemas normativos contam com fundamentos, principiologia e órgãos de atuação próprios. Assim, seria necessário um amplo debate para que garantias e salvaguardas necessárias ao regramento do tratamento para tais finalidades fossem gestadas. Esse arcabouço está ausente do texto do PL 1515, cujo artigo 7º apresenta uma autorização ampla e genérica para o tratamento quando da ocorrência de previsão legal. Essa autorização se estende mesmo ao compartilhamento de dados entre órgãos incumbidos dessas atividades, que passariam a poder circulá-los livremente, tendo por condição exclusiva e genérica o respeito à principiologia da lei e nenhuma garantia ou salvaguarda específica.
3. Supressão de conceitos importantes e fragilização da proteção aos dados cadastrais
O art 3º do PL oferece uma definição de dados cadastrais que exclui taxativamente a proteção legal ou constitucional. Tais dados, conforme o § 1º do referido artigo, podem incluir inclusive informações biométricas. Ao excluir a proteção da confidencialidade dos dados cadastrais, que podem ser biométricos, o PL inverte a lógica das LGPD, que enquadrou tais informações como sensíveis e por isso lhes atribuiu um nível maior de proteção.
Além disso, a redação amplia o poder de acesso a dados em relação ao atualmente previsto no artigo 10, § 3º do Marco Civil da Internet. Segundo o texto do MCI, a ordem judicial apenas é dispensada nos casos de autoridades com competência legal específica para a sua requisição. Essa competência legal está prevista em leis especiais determinadas (Lei 12.850/2013 e Lei 9.613/1998) e em disposição específica do atual Código de Processo Penal (art. 13-A). Os dados cadastrais, que incluem o nome e o endereço de uma pessoa, por exemplo, são cruciais para a identificação de nossas atividades online e uma informação capaz de articular um perfil detalhado sobre alguém a partir de dados relacionados a esta navegação (por exemplo, se as autoridades já possuem um endereço IP e querem identificá-lo). Dados cadastrais de aplicações específicas podem revelar dados sensíveis, como relativos à vida sexual ou à saúde de seus usuários. O acesso a dados cadastrais, assim, não deve ser entendido como inerentemente menos sensível ou menos capaz de ferir a privacidade das pessoas envolvidas.
Ainda, o PL suprimiu o conceito de dado pessoal sigiloso previsto no Anteprojeto. Tal inovação conceitual seria de enorme importância para a harmonização do atual arcabouço jurídico brasileiro em matéria de proteção de dados pessoais, historicamente calcado na ideia de sigilo de dados e comunicações, com o novo paradigma trazido pela LGPD e fundado em uma compreensão da proteção de dados como um direito que extrapola o sigilo.
4. Desmonte do arcabouço principiológico de controle sobre as autoridades
O PL 1515 suprimiu diversos princípios que garantem controle democrático aos titulares quanto ao que é feito de seus dados. O princípio da proporcionalidade, baliza fundamental da ação estatal em matéria penal e processual penal, foi completamente excluído, assim como foram os princípios do livre acesso e da transparência. Os princípios da finalidade e da qualidade foram alterados para remover diretrizes importantes, como o dever de tratamento para propósitos específicos e informados ao titular. Ainda, o princípio da responsabilização e prestação de contas foi substituído por um “princípio da auditabilidade”, que reduz o nível de expectativa quanto à observância das normas de proteção de dados pelos agentes de tratamento.
Tais mudanças representam verdadeiro desmonte da principiologia da proteção de dados em favor de uma versão debilitada e opaca desse arcabouço. Se o objetivo era garantir que o dever de transparência não prejudique o exercício das atribuições dos órgãos de segurança, a questão já fora sanada pelo art. 20 do Anteprojeto. Esse dispositivo – cujo conteúdo foi inclusive mantido no PL – permitia aos órgãos de segurança adiar, limitar ou recusar a prestação de informações e a concessão e acesso a dados enquanto restar proporcional e necessária para evitar prejuízo a suas atividades. Assim sendo, a supressão do arcabouço de controle democrático se revela desnecessária, excessiva e prejudicial aos direitos dos titulares.
5. Enfraquecimento do repertório de controle sobre decisões automatizadas
O Anteprojeto estabelecia requisitos rigorosos para “decisões tomadas com base no tratamento automatizado de dados pessoais que afetem os interesses do titular” (art. 23) ou “que ensejem elevado risco para os direitos fundamentais dos titulares ou que possam acarretar medidas coercitivas ou restritivas de direitos” (art. 24). Tal arcabouço incluía a exigência de autorizações pelo Conselho Nacional de Justiça, uma procedimentalização robusta para relatórios de impacto, a impossibilidade de utilização de dados sensíveis para fundamentar tais decisões e o direito do titular de ser notificado sobre tais decisões.
O PL 1515, por outro lado, estabelece uma vedação geral a decisões realizadas “exclusivamente” com base no tratamento automatizado que produzam efeitos jurídicos adversos ao titular ou que afetem significativamente. Embora tal redação pareça protetiva de direitos, a adição do qualificador “exclusivamente” reduz significativamente o âmbito material de aplicação da proibição, posto que a participação de uma pessoa física em qualquer etapa da tomada de decisão poderia ser utilizada como fundamento para que a vedação fosse considerada inaplicável ao caso concreto. Do mesmo modo, a supressão do arcabouço relativo a relatórios de impacto e demais direitos do titular pode tornar tal vedação ineficaz, posto que não haveria instituto juridicamente consolidado para aferição de quais decisões automatizadas geram efeitos que justifiquem a aplicação da vedação.
6. Autorização genérica para o compartilhamento de dados entre entidades da administração pública e para o acesso a bancos de dados mantidos por atores privados
Por fim, o PL 1515/22 promove um cenário de ausência de balizas ao compartilhamento e acesso a dados pessoais e dados pessoais sensíveis pelas entidades da administração pública, estejam estes dados sob o controle de entes públicos ou privados. Por outro lado, o Anteprojeto estabelecia regimes específicos para o tratamento de dados pessoais, dados pessoais sensíveis e dados pessoais sigilosos, com o estabelecimento de parâmetros claros para o compartilhamento de dados e o acesso a bancos de dados mantidos por atores privados.
O PL 1515, portanto, promove verdadeiro desmonte das garantias construídas democraticamente no Anteprojeto. Assim, confere-se autorização genérica para i) o compartilhamento de dados para os fins de segurança do Estado e de defesa nacional (art. 7º, §2º); ii) o acesso de autoridades competentes a dados pessoais e a bancos de dados controlados por órgãos e entidades da Administração Pública (art. 11); iii) o acesso de autoridades competentes a dados pessoais e a bancos de dados controlados por pessoas jurídicas de direito privado (art. 12); iv) o compartilhamento de dados pessoais controlados pelos órgãos incumbidos de atividades de segurança pública com pessoas jurídicas de direito privado (art. 13); e v) o tratamento e o compartilhamento de dados pessoais e de dados pessoais sensíveis para finalidades de inteligência de segurança pública, investigação e repressão de infrações penais (art. 16).
Em vista do cenário apresentado, a Coalizão Direitos na Rede se posiciona contra a tramitação do Projeto de Lei 1515 de 2022, que dispõe sobre a Lei de Proteção de Dados Pessoais para fins exclusivos de segurança do Estado, de defesa nacional, de segurança pública, e de investigação e repressão de infrações penais.
Atenciosamente,
Coalizão Direitos na Rede
Brasília, 1° de agosto de 2022
