RESENHA DO LIVRO “DA PRIVACIDADE À PROTEÇÃO DE DADOS PESSOAIS: FUNDAMENTOS DA LEI GERAL DE PROTEÇÃO DE DADOS”, DE DANILO DONEDA BOOK REVIEW “DA PRIVACIDADE À PROTEÇÃO DE DADOS PESSOAIS: FUNDAMENTOS DA LEI GERAL DE PROTEÇÃO DE DADOS”, DE DANILO DONEDA Referência completa: DONEDA, Danilo. Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de Dados. 2. ed. São Paulo: Revista dos Tribunais, 2019.

Publicado em: REVISTAJURÍDICADAUEMG TECNOLOGIA . INFORMAÇÃO . INOVAÇÃO Recebido: 28/10/22 Aceito: 28/10/22 Publicado: 28/10/22 Thalles Ricardo Alciati Valim Doutorando e Mestre em Direito Civil pela Universidade de São Paulo; Mestre em Droit et Pratique des Contrats pela Université de Lyon; Chefe do Departamento de Ciências Jurídicas e Professor de Direito Civil da Universidade do Estado de Minas Gerais (UEMG – Unidade Ituiutaba). thalles.valim@uemg.br D4 D5 VALIM, T. R. A. Resenha do livro “Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de dados”, de Danilo Doneda. Inova Jur, Belho Horizonte, v. 1, n. 1, p. D1-D13, jan./jun. 2022.

A obra e o autor Desde que a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) foi editada, uma série de estudos a respeito da proteção de dados surgiram, mas a obra de Danilo Doneda é, sem dúvida, precursora no cenário brasileiro, uma vez que a sua primeira edição foi publicada antes mesmo que o país aprovasse um marco regulatório acerca do tema. As edições mais recentes foram adaptadas para abranger as questões advindas da lei específica.

Danilo Doneda é doutor e mestre em Direito Civil pela Universidade do Estado do Rio de Janeiro (UERJ), bacharel em Direito pela Universidade Federal do Paraná (UFPR), professor do Instituto Brasiliense de Direito Público (IDP), advogado e consultor. No âmbito específico da tutela de dados pessoais e do Direito Digital, é digno notar que o autor já foi consultor do Comitê Gestor da Internet no Brasil (CGI.br) e membro titular do Conselho Nacional de Proteção de Dados Pessoais (CNPD), órgão vinculado à Autoridade Nacional de Proteção de Dados (ANPD). A obra ora resenhada foi fruto da tese de doutoramento em Direito Civil, pela Faculdade de Direito da UERJ, em 2004, sob a orientação do Professor Gustavo Tepedino e com banca composta pelos professores Maria Celina Bodin de Moraes, Régis Fichtner, Luiz Edson Fachin e Luiz Gustavo Grandinetti de Carvalho.

O objetivo geral do trabalho está em buscar traçar a evolução do direito à privacidade que acabou por redundar no reconhecimento de um novo direito subjetivo: o da proteção aos dados pessoais. A obra divide-se em quatro capítulos: (i) Pessoa e privacidade na sociedade da informação; (ii) Privacidade e informação; (iii) A base normativa da proteção de dados pessoais; (iv) Elementos para a proteção dos dados pessoais no direito brasileiro. Volume 1, nº 1 Jan./Jun. 2022 jur

O direito à privacidade O primeiro capítulo tem por objeto o próprio direito à privacidade, tratado pelo autor em conexão com a noção de pessoa, tutela dos direitos da personalidade, tecnologia e informação. Verifica-se, então, que o direito de privacidade, inicialmente conceituado como o “direito de ser deixado só” (right to be let alone), tal como formulado no artigo inaugural de Brandeis e Warren, The right to privacy, “hoje compreende algo muito mais complexo do que o isolamento ou a tranquilidade” (DONEDA, 2019, p. 31). Na visão de Doneda, isso se deve, em grande medida, ao reconhecimento do direito à privacidade como espécie de direito fundamental, com a sua consequente funcionalização, permitindo desdobrá-lo em uma série de direitos subjetivos, tais como o direito à vida privada e à vida familiar, mas também o direito à proteção dos dados pessoais (DONEDA, 2019, p. 43).

Adicionalmente, a tutela dos dados pessoais ultrapassa uma proteção individual, como tradicionalmente é vista aquela conferida ao direito à privacidade, apresentando ainda uma “dimensão coletiva”, através do reconhecimento dos dados pessoais como instrumento apto para o controle político dos indivíduos e suscetível de uso para discriminar grupos minoritários (DONEDA, 2019, p. 46). O direito à privacidade é, para o autor, bastante maleável, a começar pelas diversas nomenclaturas assumidas pela figura: “vida privada, intimidade, segredo, sigilo, recato, reserva, intimidade da vida privada” (DONEDA, 2019, p. 98). Em certa medida, cada um desses termos reveste parcela da proteção garantida à privacidade, razão pela qual Doneda prefere referir-se a esse último termo como sinônimo dos demais (DONEDA, 2019, p. 106).

Diversos aspectos do direito à privacidade sempre foram protegidos e valorizados pelas sociedades. Entretanto, até determinada época, a tutela que lhes era conferida não se encontrava unificada sob a noção de privacidade. A mudança começou a ocorrer, conforme aponta Doneda, no século XVI (DONEDA, 2019, p. 117), com duas causas principais: a formação do Estado-nação e o fim do feudalismo, com o reconhecimento de uma esfera particular de atuação, livre das interferências do Estado (DONEDA, 2019, p. 118). Um novo passo foi dado com as revoluções burguesas, que intensificaram o ideal individualista, e as revoluções industriais, que deram meios materiais para permitir o isolamento das pessoas, através de moradias menores e urbanas, com núcleos familiares reduzidos e protegidos da curiosidade alheia por novas técnicas (DONEDA, 2019, p. 122). Talvez em nenhum outro país esses fatores tenham sido tão presentes, no século XIX, quanto nos Estados Unidos da América. De sorte que não seria motivo de surpresa o fato de a discussão sobre o right to privacy ter surgido naquele ordenamento, com o artigo de Warren e Brandeis, de 1890, intitulado “The right to privacy”. É de se destacar, contudo, que a originalidade do artigo não está somente na formulação de um conceito unitário para as diversas esferas da privacidade, mas também por não conectar a sua tutela ao direito de propriedade, apresentando-o, antes, como um reflexo da “inviolate personality”. Por essa razão, na visão de Doneda, os estudos comparativos do nosso ordenamento com o estadunidense devem ter a cautela de observar que o right to privacy, para os tribunais norte-americanos, tem uma acepção tão ampla e maleável que lhe permite ser reconhecido, por um jurista de Civil Law, como um “verdadeiro direito geral de personalidade” (DONEDA, 2019, p. 125). Todavia, a evolução da privacidade não teria parado nesse estágio, pois novas tecnologias e novos mecanismos de controle e transmissão de informação teriam feito surgir uma acepção positiva da privacidade, que exigia o fornecimento aos seus titulares de mecanismos eficazes para a construção de uma esfera privada na qual possam desenvolver plenamente a sua personalidade. Para Doneda, seguindo-se essa visão, a privacidade não é mais um “direito à privacidade”, tal como um direito subjetivo qualquer, mas uma “situação jurídica complexa”, composta por feixes de relações. Assim sendo, a privacidade não seria um fim em si mesma , mas um conceito relacional, um instrumento pelo qual a personalidade e, em última medida, a dignidade humana são protegidas. Em suas palavras: A privacidade assume, portanto, posição de destaque na proteção da pessoa humana, não somente tomada como escudo contra o exterior – na lógica da exclusão – mas como elemento indutor da autonomia, da cidadania, da própria atividade política em sentido amplo e dos direitos de liberdade de uma forma geral. Nesse papel, ela é pressuposto de uma sociedade democrática moderna, da qual o dissenso e o anticonformismo são componentes orgânicos. (DONEDA, 2019, p. 128-129) E, nesse aspecto, a privacidade teria, como elemento nuclear de seu conceito, a noção de informação. Nesse ponto, Doneda empresta para si a definição que Stefano Rodotà dava para privacidade, entendida como “o direito de manter o controle sobre as próprias informações e de determinar as modalidades de construção da própria esfera privada” (RODOTÀ apud DONEDA, 2019, p. 132). Com isso, o autor encaminha a discussão para o segundo capítulo de sua obra, no qual trata da relação entre privacidade e informação.

A informação

No segundo capítulo da obra, Doneda apresenta um conceito para informação pessoal, sendo essa última compreendida como “vinculada a uma pessoa, revelando ou podendo revelar algum aspecto objetivo desta” (DONEDA, 2019, p. 140). Por isso, faria sentido falar em técnicas de “anonimização” de dados pessoais, com a finalidade de impedir a sua recondução a uma pessoa em específico. Os dados pessoais, por sua vez, podem ser segmentados em setores correspondentes a diversas parcelas da vida de uma pessoa. Doneda adverte que, embora útil, por um lado, em razão da possibilidade de tratamento adequado por legislação específica para cada uma dessas parcelas, a setorização apresenta o risco de enfraquecer a própria tutela da personalidade do indivíduo, considerada unitariamente (DONEDA, 2019, p. 142). De todo modo, sob a perspectiva da setorização dos dados pessoais, apresentam-se os dados  sensíveis, que seriam aqueles cuja utilização tem potencial discriminatório dos indivíduos. Sabe- -se que qualquer dado pessoal pode, em última medida, ser utilizado para o fim de se discriminar. Entretanto, Doneda reconhece a relevância do conceito em decorrência da “necessidade de estabelecer uma área na qual a probabilidade de utilização discriminatória da informação é potencialmente maior” (DONEDA, 2019, p. 144). Mas a proteção e atenção maiores conferidas aos dados sensíveis se revela, mesmo assim, insuficiente, por haver, na visão do autor, uma “mudança qualitativa no tratamento dos dados pessoais”, mediante a construção de padrões de ação de indivíduos (profiling), que podem ser utilizados para prever, estimular ou influenciar de algum outro modo o comportamento de pessoas ou grupos específicos (DONEDA, 2019, p. 151). Essa técnica se torna possível mediante o advento de mineração de dados com o uso de algoritmos e pela alta capacidade de tratamento de dados dos computadores atuais (DONEDA, 2019, p. 154). Por consequência, cresce o risco à esfera de liberdade dos indivíduos: A partir do momento em que um perfil eletrônico é a única parte da personalidade de uma pessoa visível a outrem, as técnicas de previsão de padrões de comportamento podem levar a uma diminuição de sua esfera de liberdade, visto que vários entes com os quais ela se relaciona partem do pressuposto que ela adotaria um comportamento predefinido, tendo como consequência uma potencial diminuição de sua liberdade de escolha visto que muitas de suas possibilidades podem ser pré-formatadas em função destas ilações. (DONEDA, 2019, p. 152) Doneda conclui que essa mudança qualitativa no tratamento dos dados pessoais importa na distinção entre dois tipos de informação. Primeiramente, há a “informação-base”, que foi fornecida, consciente ou inconsciente, pelo titular, para uma determinada finalidade. Em segundo lugar, como consequência das técnicas de profiling e data mining, surge a “informação-resultado”, que pode ser utilizada para finalidade não antevista pelo titular. Essa “informação-resultado” faz com que o titular perca o controle sobre seus dados pessoais, gerando potenciais riscos de diminuição da sua autodeterminação informacional (DONEDA, 2019, p. 158). Mas essa mudança qualitativa também importou na expansão da tutela dos dados pessoais, atravessando os limites estabelecidos pelo direito à privacidade. Na exposição apresentada por Doneda, essa transformação da tutela dos dados pessoais, dotando-a de autonomia em relação à privacidade, foi marcada por dois estágios, cada qual representado por casos paradigmáticos. No primeiro estágio, os casos National Data Center e SAFARI, que ocorreram, respectivamente, nos Estados Unidos da América e na França, houve a oposição de setores da sociedade à criação de bancos de dados unificados sob o controle do Estado. Embora essas tentativas tenham sido frustradas, Doneda ressalta ter havido uma vitória de Pirro, visto que o verdadeiro problema no tratamento de dados sensíveis não foi posto no centro do debate, mas apenas a existência de bancos unificados de dados (DONEDA, 2019, p. 163). O segundo estágio foi marcado pelo caso do Censo alemão, instituído pela lei do land de Hesse,  de 1970, julgada inconstitucional pela Corte Constitucional Alemã (Bundesverfassungsricht), por violar os artigos 1.1 e 2.1 da Lei Fundamental alemã. Decorrem dessa decisão a preocupação com o desvirtuamento da finalidade para a qual os dados pessoais são coletados e a construção da noção de “autodeterminação informacional”, subsidiada diretamente no texto constitucional alemão. Parte dessa decisão, portanto, a construção do direito à proteção dos dados pessoais como espécie de direito fundamental (DONEDA, 2019, p. 169). A autonomia dada à tutela de proteção de dados pessoais em relação ao direito à privacidade atinge seu ápice com a aprovação das primeiras leis protetivas dos dados pessoais. Para classificar esse conjunto normativo, Doneda lança mão de uma sistematização proposta por Mayer Schönberger. Seguindo-se essa classificação, a primeira geração de leis de proteção de dados pessoais teria surgido a partir da década de 1970, com atos normativos tais como a Lei do land alemão de Hesse, a lei de proteção de dados sueca, de 1973, e o Privacy-Act dos EUA, de 1974. A principal preocupação desse primeiro grupo de leis era a fiscalização de bancos de dados centralizados e sob o controle estatal. Por essa razão, os mecanismos previstos para a sua vigilância eram de autorização para funcionamento e fiscalização por órgãos públicos. Todavia, logo essa realidade foi superada pelo avanço tecnológico, que veio a permitir a descentralização dos dados, com diversos centros de processamento em locais distintos. Esse novo panorama motivou o surgimento da segunda geração de leis, cujo foco deixa de ser a vigilância de bancos de dados. Em seu lugar, coloca-se o próprio cidadão, como titular de uma liberdade negativa, no sentido de poder negar aos demais sujeitos a utilização de seus dados pessoais. De um controle preventivo, passou-se, então, a um repressivo; não mais estatal, mas desenvolvido por órgãos paraestatais. Ocorre, contudo, que a segunda geração não esteve isenta de dificuldades, pois a possibilidade de se furtar à coleta e tratamento de dados pessoais mostrava-se impraticável, tendo em vista que importaria no alijamento do titular dos dados de aspectos essenciais da vida em sociedade (DONEDA, 2019, p. 177). Com isso, na década de 1980, uma terceira geração de leis teria vindo à luz, preocupando-se em dotar o titular dos dados pessoais de mecanismos para garantir que o tratamento desses dados fosse razoável. As leis pertencentes à terceira geração não se satisfazem com a permissão ou recusa ao tratamento de dados. Preocupam-se com a forma pela qual os dados são utilizados: O tratamento dos dados pessoais era visto como um processo, que não se encerrava na simples permissão ou não da pessoa à utilização de seus dados pessoais, porém, preocupava fazer com que a pessoa participasse consciente e ativamente nas fases sucessivas do processo de tratamento e utilização de sua própria informação por terceiros; essas leis ainda incluíam algumas garantias, como o dever de informação. (DONEDA, 2019, p. 178) Entretanto, a proteção individual não bastava, pois os custos para o exercício da autodeterminação informativa eram altos e, frequentemente, o titular dos dados pessoais aceitava condições abusivas premido pelas circunstâncias. Assim, chega-se ao último estágio das leis de proteção de dados pessoais, em que se concede a tutela coletiva. Dentre outros, são exemplos de marcas típicas desse conjunto de atos normativos as autoridades de vigilância independentes e legislação que trate setorialmente da utilização de dados pessoais, distinguindo entre, por exemplo, setores de saúde, consumo e financiamento (DONEDA, 2019, p. 181). A edição de diversos atos normativos com o escopo de proteção aos dados pessoais levou à consolidação de um conjunto de princípios pelos quais se pautam a temática, previstos na Convenção 108 do Conselho da Europa e nas Guidelines da OCDE: (i) o princípio da publicidade ou transparência; (ii) o princípio da exatidão; (iii) o princípio da finalidade; (iv) o princípio do livre acesso; (v) o princípio da segurança física e lógica. Para Doneda, esses princípios “são o núcleo das questões com as quais todo ordenamento deve se deparar ao procurar fornecer sua própria solução ao problema da proteção dos dados pessoais” (DONEDA, 2019, p. 182).

A proteção jurídica aos dados pessoais

No terceiro capítulo da obra, são apresentados os principais modelos de proteção aos dados pessoais: os modelos norte-americano e europeu. No modelo europeu, tem-se a Convenção 109 do Conselho da Europa como norte orientador de toda a legislação, apresentando o tema sob a perspectiva dos direitos fundamentais e humanos. Particularmente em relação à União Europeia, destacam-se as Diretivas 46/95/CE, de 1995, e 2002/58/CE, de 2002, bem como o Regulamento Geral de Proteção de Dados (GDPR), que entrou em vigor em 25 de maio de 2018. De outra banda, o modelo norte-americano apresenta-se como fragmentado, embora ainda centrado na noção de right of privacy. Por essa razão, diversos níveis de proteção aos dados pessoais são encontrados nas legislações dos estados federados. Isso não significa, contudo, que a proteção seja inexistente, como adverte Doneda (2019, p. 247): “o sistema [de proteção] existe e é um sistema complexo, obedecendo a uma determinada configuração de interesses dentro do ordenamento norte-americano, que para desenvolvê-lo usualmente tem recorrido a soluções próprias”. O terceiro capítulo é finalizado com um breve panorama acerca da circulação dos dados pessoais entre diversos países. Nesse ponto, Doneda não reconhece, até o momento, nenhum tratado ou outro tipo de convenção internacional que regulamente diretamente o tratamento de dados pessoais (DONEDA, 2019, p. 250). Todavia, o regulamento europeu acabou incentivando a aprovação de atos normativos sobre o tema em diversos países, graças ao poder econômico e político da União Europeia e em virtude de o GDPR exigir, em seu artigo 45 (1), que a transferência de dados pessoais da União Europeia para países não-membros ocorra apenas quando estes últimos possuam um modelo regulatório de proteção de dados considerado adequado (DONEDA, 2019, p. 253).

O cenário brasileiro

O quarto e último capítulo da obra dedica-se à proteção de dados pessoais no direito brasileiro, apresentando a evolução que ocorreu e os primeiros fundamentos legais e constitucionais para ela. Para Doneda, o habeas data e o Código de Defesa do Consumidor foram decisivos na construção do regime jurídico nacional de proteção de dados pessoais. Em última medida, a proteção de dados pessoais contaria com um fundamento constitucional, antes mesmo de seu reconhecimento explícito como direito fundamental, através de uma interpretação conjunta dos incisos X e XII, do art. 5º, da Constituição Federal, e em decorrência da cláusula geral da personalidade (DONEDA, 2019, p. 264-265). No mesmo capítulo, Doneda ainda pesquisa acerca do papel que deve ser dado ao consentimento do titular no tratamento de seus dados pessoais. Para ele, deve-se negar, de plano, uma visão que conceda ao consentimento a função legitimadora de todo e qualquer tratamento de dados, para a qual deu o nome de “mito do consentimento”. Em determinada passagem, acentua as situações iníquas que tal visão pode criar: A alternativa a não revelação dos dados pessoais pelo seu titular costuma ser uma – por vezes, brutal – renúncia a determinados bens ou serviços. A disparidade de meios e de poder entre a pessoa de quem é demandado o consentimento para utilização dos dados pessoais em contemplação da realização de um contrato e aquele que os pede faz com que a verdadeira opção que lhe reste seja, tantas vezes, a de “tudo ou nada”, “pegar ou largar”. (DONEDA, 2019) Mas Doneda não nega que seja importante o papel do consentimento no tratamento dos dados pessoais. Recusa, apenas, a qualificação negocial ao consentimento dado. Entende que a conexão com os direitos da personalidade é suficiente para afastar a qualidade de negócio jurídico, podendo esse consentimento revestir-se como ato jurídico cujo efeito principal é a autorização do tratamento dos dados pessoais (DONEDA, 2019, p. 302). Essa qualificação, como hipótese de ato jurídico, justificaria a possibilidade de revogação incondicionada da autorização dada, tal como encampada pela LGDP, em seu art. 8º, § 5º. Entretanto, a revogação abusiva, a partir de vetores interpretativos tais como o abuso do direito e o venire contra factum proprium, poderá ensejar tutela reparatória por danos ocasionados (DONEDA, 2019, p. 305). Ademais, o consentimento deverá ser funcionalizado a partir dos princípios da finalidade e da informação, evitando-se um consentimento dado genericamente ou uma interpretação extensiva que permita usá-lo como justificativa para outros usos (DONEDA, 2019, p. 306). Por fim, a depender da natureza dos dados pessoais – por exemplo, quando se estivesse diante de dados sensíveis –, na visão de Doneda, os requisitos do consentimento poderiam ser mais rígidos (DONEDA, 2019, p. 307).

 

VALIM, T. R. A. Resenha do livro “Da privacidade à proteção de dados pessoais: fundamentos da Lei Geral de Proteção de dados”, de Danilo Doneda. Inova Jur, Belho Horizonte, v. 1, n. 1, p. D1-D13, jan./jun. 2022.