No início de 1983, a Lei do Censo alemã determinou o processo de recenseamento de toda a população alemã impondo-se à coleta de dados sobre a profissão, moradia e local de trabalho para fins estatísticos, declaradamente no propósito de averiguar o crescimento populacional e sua composição demográfica e social, inclusive sob a perspectiva econômica. Essas informações seriam comparadas aos registros públicos existentes e havia expressa permissão, na lei, para que os dados fossem transmitidos, anonimamente, a repartições públicas federais, estaduais e municipais.
O que deveria ter sido um procedimento comum e burocrático do governo alemão tornou-se rapidamente alvo de críticas e de ações constitucionais, sob a alegação de violação de direitos fundamentais, entre eles o direito ao livre desenvolvimento da personalidade. Segundo os questionamentos, o levantamento dos dados era uma ação irreversível, o que acabaria por afetar permanentemente os direitos dos cidadãos.
Em seu julgamento, o tribunal alemão reconheceu que a pessoa humana tem um direito de personalidade que abrange, especialmente, a proteção contra o processamento sem limites de seus dados pessoais. Ou seja, esse direito fundamental deve assegurar o poder de o cidadão decidir, ele mesmo, sobre como seus dados devem ser tratados (direito à autodeterminação sobre a informação). Essa é, portanto, uma discussão sobre informação, poder e controle.
Já naquela época, enxergou-se a fragilização do poder do titular dos dados, ameaçado pelo processamento eletrônico de informação: decisões sobre o indivíduo poderiam ser tomadas, com a tecnologia da época, em segundos, a partir de qualquer lugar. O armazenamento ilimitado de dados pessoais e a integração de sistemas e bases de dados permitiriam a formação de quadros de personalidade completos, reduzindo a capacidade de o cidadão controlar efetivamente as informações a seu respeito ou seu uso por terceiros.
A mensagem da própria Corte Constitucional alemã foi emblemática: quem não consegue determinar quais informações sobre si são conhecidas pode ser inibido em sua liberdade de planejar ou decidir com autodeterminação.
Tudo, então, passa a importar: desde o tipo até a finalidade de uso do dado. O efetivo controle informacional não despreza mais nenhum dado, todos são relevantes. Por uma razão muito simples: um dado aparentemente insignificante pode, através das múltiplas possibilidades de processamento e cruzamento de informações, adquirir um novo valor.
Dessa maneira, o legislador se torna obrigado a criar instrumentos e mecanismos para assegurar o respeito ao direito à personalidade, quando o objeto da regulação for o uso de dados pessoais.
Esse contexto histórico representa um recorte sobre a origem do pensamento que levou a União Europeia a editar a Diretiva 95/46/CE, do Parlamento Europeu e do Conselho da Europa, sucedido pelo Regulamento Geral de Proteção de Dados, hoje em vigor, o qual, por sua vez, é a fonte de inspiração – declarada – do Brasil na edição da Lei Geral de Proteção de Dados Pessoais (LGPD).
Entre os elementos essenciais da lei brasileira, está o reconhecimento expresso do direito à privacidade e à autodeterminação informativa, permitindo a organização do marco legal em quatro ambientes de regulação: (I) fundamentos, princípios, aplicabilidade e conceitos; (II) direitos do titular; (III) obrigações regulatórias; e (IV) fiscalização, penalidades e regras de transição.
Em termos quantitativos, não é preciso muito esforço em compreender que a LGPD possui muito mais dispositivos e controles que repercutem em obrigações legais do que qualquer outro elemento que a compõe.
Isso porque se trata de uma lei de regulação da atividade social, ou seja, seu propósito é, de fato, intervir na atividade de tratamento praticada pelo particular ou pelo Estado impondo mecanismos e limitações que vão condicionar a maneira como se processarão os dados pessoais.
Mas, embora sejam mais evidentes esses controles, fato é que a lei deve ser vista mais pelas precauções organizacionais e processuais que impõe, com o objetivo maior de combater a violação ao direito de personalidade – exatamente como na visão histórica da Suprema Corte alemã.
Em outras palavras: todos os mecanismos regulatórios da LGPD convergem para o respeito aos direitos do titular de dados. E não são poucos:
I. Direito de acesso facilitado às informações sobre o tratamento de dados pessoais;
II. Direito de confirmação da existência do tratamento;
III. Direito de correção de dados incompletos, inexatos ou desatualizados;
IV. Direito de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
V. Direito de portabilidade de dados;
VI. Direito de eliminação de dados pessoais tratados com o consentimento;
VII. Direito de informação sobre o compartilhamento de seus dados;
VIII. Direito de informação sobre a possibilidade de não fornecimento de consentimento;
IX. Direito de revogação do consentimento;
X. Direito de peticionar perante a Autoridade Nacional de Proteção de Dados (ANPD) e organismos de defesa do consumidor;
XI. O polêmico e ainda controverso direito à oposição; e
XII. Direito de revisão de decisões tomadas unicamente com base em tratamento automatizado.
Esse conjunto de direitos, em sua grande maioria inéditos no Brasil, convergem para a efetividade do direito à autodeterminação informativa: não se pode conceber um direito de controle ou o exercício de um poder sobre si mesmo sem que se tenha suficiente informação sobre o tratamento dos próprios dados. Foi nessa mesma linha que a Corte Suprema alemã estabeleceu o marco teórico da proteção de dados pessoais.
Talvez, por isso, o primeiro direito previsto na LGPD esteja intimamente relacionado ao princípio da transparência: ter acesso às informações sobre o tratamento de dados pessoais é o início de um processo de autodeterminação informativa. Afinal, só é possível exercer qualquer outro direito quando se tem suficiente conhecimento sobre como, para que e por quem os dados estão sendo tratados.
A partir daí, o titular obtém uma ampla visão sobre o quadro informacional a seu respeito, podendo exigir retificação, revogação, revisão, eliminação, anonimização, portabilidade e apresentação de reclamações a autoridades públicas.
Por isso, todos os demais controles regulatórios previstos na LGPD acabam por servir ao propósito de assegurar o respeito a tais direitos.
A lei brasileira de proteção de dados pessoais pode ser numerosa em obrigações, mas é muito mais enfática quanto à previsão, delimitação e os mecanismos para o exercício dos direitos do titular.
É claramente uma lei de direitos, muito mais do que de obrigações.
E aquelas empresas que assim entenderem, adaptando seu modelo de negócios no respeito ao cidadão, terão a necessária confiança do titular de dados, destacando-se no mercado em razão do processamento legítimo e livre de questionamentos de seus dados pessoais.