A proteção de dados pessoais tornou-se uma das discussões jurídicas mais relevantes do século XXI. A promulgação da EC 115/22, ao inserir o inciso LXXIX no art. 5º da CF/88, reconheceu a proteção de dados pessoais, inclusive nos meios digitais, como direito fundamental autônomo. Paralelamente, a LGPD (lei 13.709/18) consolidou um sistema normativo voltado à tutela da privacidade, da liberdade e do livre desenvolvimento da personalidade.
Contudo, os recentes episódios de vazamento de dados envolvendo milhões de brasileiros suscitam uma reflexão inevitável: a proteção jurídica dos dados pessoais tem sido suficiente para assegurar a efetiva autodeterminação informacional dos indivíduos? Ou estaríamos diante de um fenômeno mais complexo, relacionado não apenas à circulação de informações, mas também à crescente concentração de poder decorrente da capacidade de coletar, cruzar e interpretar dados em larga escala?
1. Da privacidade à autodeterminação informacional
A preocupação com a privacidade não é recente. Em 1890, Samuel Warren e Louis Brandeis publicaram o clássico artigo The Right to Privacy, defendendo o chamado right to be let alone, expressão normalmente traduzida como "o direito de ser deixado em paz" (WARREN; BRANDEIS, 1890). O objetivo era proteger os indivíduos contra as invasões promovidas pela imprensa e pelas tecnologias de reprodução de imagem então emergentes.
A partir da segunda metade do século XX, entretanto, o avanço da informática e dos sistemas de armazenamento de informações provocou uma mudança significativa de perspectiva. Conforme observa Mendes (2014), a preocupação deixou de se limitar à proteção da intimidade e passou a abranger a própria circulação dos dados pessoais. Já não bastava impedir a invasão da esfera privada; tornou-se necessário disciplinar a coleta, o armazenamento, o tratamento e o compartilhamento das informações relacionadas às pessoas.
Nesse contexto, consolidou-se a compreensão de que os dados pessoais representam projeções da personalidade humana e, por essa razão, merecem tutela jurídica específica (DONEDA, 2021). O marco teórico mais relevante dessa evolução surgiu em 1983, quando o Tribunal Constitucional Federal Alemão julgou o chamado Caso do Censo (Volkszählungsurteil), desenvolvendo o conceito de autodeterminação informacional (informationelle Selbstbestimmung). Segundo a Corte, a liberdade individual pressupõe a possibilidade de o cidadão conhecer e controlar a utilização de suas informações pessoais, sob pena de comprometimento da própria democracia (ALEMANHA, 1983).
Posteriormente, Stefano Rodotà (2008) ampliou esse debate ao demonstrar que a proteção de dados não constitui apenas instrumento de defesa da intimidade, mas verdadeira garantia de liberdade em sociedades cada vez mais estruturadas pela informação. A discussão, portanto, passou gradativamente da privacidade para os dados e dos dados para a autonomia individual.
Essa evolução teórica não permaneceu restrita à experiência europeia. Seus reflexos passaram a influenciar progressivamente a construção constitucional brasileira acerca da proteção de dados pessoais.
No Brasil, essa compreensão foi consolidada pelo STF no julgamento da ADIn 6.387/DF, em 2020. Ao suspender a eficácia da MP 954/20, que determinava o compartilhamento de dados de usuários de telefonia com o IBGE, o STF reconheceu que a proteção de dados pessoais constitui expressão dos direitos fundamentais à privacidade, à intimidade, à autodeterminação informacional e ao livre desenvolvimento da personalidade. A decisão tornou-se marco relevante na construção constitucional brasileira da tutela dos dados pessoais, antecipando fundamentos que posteriormente seriam reforçados pela EC 115/22.
2. O capitalismo de dados e a transformação da informação em poder
Se a proteção de dados surgiu para preservar a liberdade individual, o desenvolvimento das plataformas digitais revelou um novo desafio: a transformação da informação em ativo econômico e instrumento de poder.
Os recentes episódios de vazamento de dados amplamente divulgados pela imprensa nacional evidenciam a dimensão do problema. Em maio de 2026, a Dataprev informou que um incidente envolvendo sistemas relacionados ao INSS atingiu aproximadamente 2,8 milhões de números de CPF, sendo que cerca de 98% dos registros estavam vinculados a pessoas falecidas (MÁXIMO, 2026). Poucos dias depois, o iFood confirmou o vazamento de dados cadastrais de aproximadamente 1,2 milhão de usuários, o equivalente a cerca de 2% de sua base de clientes, reacendendo o debate sobre segurança informacional e responsabilidade dos agentes de tratamento (ESTADÃO CONTEÚDO, 2026).
A relevância desses acontecimentos não decorre apenas da exposição indevida das informações. O verdadeiro problema reside na possibilidade de cruzamento de dados provenientes de múltiplas fontes. Um CPF isolado pouco revela. Uma localização específica também parece irrelevante. Da mesma forma, um histórico de compras, uma busca realizada na internet ou uma curtida em rede social, analisados individualmente, aparentam possuir reduzido potencial lesivo. Entretanto, quando reunidos e processados por sistemas capazes de identificar padrões, esses fragmentos informacionais tornam-se extraordinariamente valiosos.
É justamente nesse ponto que as reflexões de David Harvey assumem especial relevância. Ao analisar o capitalismo contemporâneo, Harvey sustenta que as plataformas digitais, os sistemas de vigilância, a inteligência artificial e os fluxos de informação passaram a integrar os próprios mecanismos de acumulação de capital (HARVEY, 2026). A informação deixa de ser apenas um meio de comunicação para se transformar em recurso econômico estratégico, capaz de influenciar mercados, comportamentos e decisões.
Nesse cenário, a expansão dos sistemas de inteligência artificial amplia exponencialmente o valor econômico dos dados pessoais, pois permite a extração automatizada de padrões comportamentais, perfis de consumo e previsões de conduta.
Em estudo recente sobre a obra The Story of Capital, John Bessai observa que Harvey identifica uma crescente concentração dos fluxos de informação nas mãos de grandes conglomerados tecnológicos, responsáveis não apenas pela circulação de dados, mas também pela construção de visibilidade, credibilidade e autoridade social (BESSAI, 2026). O problema deixa de ser apenas quem possui os dados. Passa a ser quem exerce poder por meio deles.
Sob essa perspectiva, a proteção de dados não pode ser compreendida apenas como um mecanismo de prevenção de vazamentos. Ela representa também uma tentativa de limitar estruturas capazes de transformar informações pessoais em instrumentos de controle econômico, social e político.
3. Ainda existe autodeterminação informacional?
A complexidade desse cenário torna-se ainda mais evidente quando observamos a crescente utilização jurídica dos dados pessoais. Em precedente paradigmático, o Tribunal Regional do Trabalho da 2ª Região reconheceu a validade da utilização de dados de geolocalização para apuração da jornada de trabalho, registrando que:
"A geolocalização é uma prova mais robusta que a prova testemunhal, pois as testemunhas podem se esquecer de fatos ou mesmo alterar a verdade dos fatos de forma deliberada. (...) A medida é adequada e necessária. (...) Quanto à exposição da privacidade da autora, o Juízo soube equilibrar os direitos em colisão, pois delimitou a exposição dos dados relativos apenas aos períodos em que a reclamante estaria no local de trabalho e determinou que os dados fossem colhidos por amostragem (...), de forma que a decisão impetrada é proporcional em sentido estrito e, portanto, válida" (TRT da 2ª Região, MSCiv 1002734-56.2022.5.02.0000, relatora desembargadora Ivete Bernardes Vieira de Souza).
O julgado demonstra que os dados pessoais assumem funções múltiplas na sociedade contemporânea. A mesma geolocalização utilizada para direcionamento de publicidade, monitoramento logístico ou recomendação de serviços pode servir como meio de prova judicial. O dado pessoal converte-se simultaneamente em ativo econômico, instrumento de gestão, mecanismo de vigilância e elemento probatório.
Nesse contexto, a principal ameaça à autodeterminação informacional talvez não decorra da coleta isolada de informações. O indivíduo normalmente sabe quando informa seu nome, fornece seu CPF ou compartilha sua localização. O que raramente percebe é o processo posterior de integração desses fragmentos informacionais. Informações aparentemente desconectadas são reunidas por sistemas capazes de reconstruir hábitos, preferências de consumo, padrões de deslocamento, interesses profissionais, relacionamentos pessoais e até tendências comportamentais futuras.
À primeira vista, episódios dessa natureza parecem representar apenas falhas de segurança ou descumprimento de deveres legais. Entretanto, a dimensão do problema revela-se mais profunda quando se observa que o verdadeiro valor econômico dos dados não reside em uma informação isolada, mas na capacidade de reunir fragmentos provenientes de múltiplas fontes. Um CPF, uma localização geográfica, um histórico de compras ou uma pesquisa realizada na internet possuem utilidade limitada quando analisados individualmente. Todavia, quando processados conjuntamente, tornam-se capazes de revelar padrões de comportamento, preferências, vulnerabilidades e tendências futuras, transformando informação em conhecimento e conhecimento em poder.
Essa capacidade de integração e processamento de informações produz um desafio adicional à proteção dos dados pessoais. Não se trata apenas de impedir acessos indevidos, mas de compreender quem detém o conhecimento gerado a partir desses dados e quais consequências decorrem desse poder informacional.
A autodeterminação informacional pressupõe capacidade de escolha consciente. Entretanto, a crescente opacidade dos sistemas algorítmicos produz uma assimetria informacional em que o titular desconhece quem utiliza seus dados, para quais finalidades e quais inferências são produzidas a partir deles.
A efetividade da autodeterminação informacional não depende apenas da existência de direitos formalmente previstos na LGPD, mas também da capacidade institucional de fiscalização e aplicação das normas pela ANPD.
O risco contemporâneo não reside apenas na exposição indevida de um dado específico. O verdadeiro desafio surge quando informações fragmentadas, aparentemente irrelevantes e desconectadas, são reunidas para produzir conhecimento sobre o indivíduo. A partir desse mosaico informacional não se constrói apenas um retrato da pessoa. Constrói-se um modelo preditivo de comportamento.
A invasão da privacidade passa a ocorrer de maneira silenciosa. De dado em dado, forma-se um perfil. De perfil em perfil, estabelecem-se padrões. De padrões em padrões, desenvolvem-se mecanismos capazes de influenciar escolhas, direcionar consumo, sugerir relacionamentos, limitar oportunidades ou moldar decisões. O indivíduo acredita controlar as informações que fornece, mas frequentemente desconhece o alcance das inferências produzidas a partir delas.
A ameaça contemporânea à autodeterminação informacional não surge necessariamente quando um dado é coletado, mas quando fragmentos aparentemente irrelevantes são reunidos para construir modelos capazes de prever, influenciar e condicionar comportamentos. A violação da privacidade nem sempre ocorre de forma visível. Ela se desenvolve silenciosamente, informação após informação, até que o indivíduo deixe de ser apenas observado e passe a ser compreendido, classificado e potencialmente manipulado por estruturas que concentram poder informacional.
Nesse contexto, a LGPD permanece como instrumento indispensável à proteção dos direitos fundamentais na sociedade digital. Mais do que prevenir vazamentos ou disciplinar operações de tratamento de dados, sua função passa a ser a preservação da autonomia humana diante de estruturas capazes de transformar informações dispersas em conhecimento, conhecimento em influência e influência em poder. Em última análise, discutir proteção de dados pessoais já não significa apenas discutir privacidade. Significa discutir liberdade, autonomia e distribuição de poder na sociedade da informação.
_____
ALEMANHA. Bundesverfassungsgericht. Volkszählungsurteil (Julgamento do Censo). BVerfGE 65, 1. Karlsruhe, 15 dez. 1983.
BESSAI, John W. Capital's Media, Digital Command, and the Fate of Public Communication: Reflections on David Harvey's The Story of Capital. tripleC: Communication, Capitalism & Critique, v. 24, n. 1, p. 225-243, 2026.
BRASIL. Supremo Tribunal Federal. Ação Direta de Inconstitucionalidade n. 6.387/DF. Relatora: Ministra Rosa Weber. Julgamento em 07 maio 2020. Diário da Justiça eletrônico, Brasília, DF.
DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei Geral de Proteção de Dados. 3. ed. São Paulo: Thomson Reuters Brasil, 2021.
ESTADÃO CONTEÚDO. iFood confirma vazamento de dados de 1,2 milhão de usuários do aplicativo. Estadão Conteúdo/UOL Economia, São Paulo, 3 jun. 2026. Disponível em: https://economia.uol.com.br/noticias/estadao-conteudo/2026/06/03/ifood-confirma-vazamento-de-dados-de-12-milhao-de-usuarios-do-aplicativo.htm. Acesso em: 17 jun. 2026.
HARVEY, David. The Story of Capital: What Everyone Should Know About How Capital Works. London: Verso, 2026.
MÁXIMO, Wellton. Vazamento de dados no INSS atingiu 2,8 milhões de CPFs. Agência Brasil, Brasília, 26 maio 2026. Disponível em: https://agenciabrasil.ebc.com.br/economia/noticia/2026-05/vazamento-de-dados-no-inss-atingiu-28-milhoes-de-cpfs. Acesso em: 17 jun. 2026.
MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor. São Paulo: Saraiva, 2014.
RODOTÀ, Stefano. A vida na sociedade da vigilância: a privacidade hoje. Rio de Janeiro: Renovar, 2008.
TRIBUNAL REGIONAL DO TRABALHO DA 2ª REGIÃO. Mandado de Segurança Cível n. 1002734-56.2022.5.02.0000. Relatora: Ivete Bernardes Vieira de Souza. Seção Especializada em Dissídios Individuais – 1.