O legislador brasileiro, ao instituir, por meio da LGPD, o sistema brasileiro de proteção de dados pessoais, decidiu pela adoção de um sistema compreensivo. Isso significa que a legislação protetiva tem um amplo escopo de incidência, seja objetivo (todo e qualquer tratamento de dados pessoais), seja subjetivo (aplicando-se a todas as pessoas, privadas ou pública, que realizem o referido tratamento). Como regra, para que as normas desse sistema tenham incidência, basta que o fato ocorrido se caracterize como um tratamento de dado pessoal (art. 1º LGPD), independentemente da pessoa que realize a referida operação. Nada mais, nada menos.

Todavia, após definir o seu escopo material de forma bastante clara, a LGPD (também à semelhança do que fez o RGPD), apresentou as situações que, uma vez configuradas e embora se enquadrem na hipótese de incidência genérica do seu art. 1º (ou seja, situações que se enquadram como "tratamento de dado pessoal"), geram uma derrogação, parcial ou total, do sistema de proteção de dados brasileiro. Assim, ainda que determinada situação fática possa ser enquadrada como um "tratamento de dado pessoal", tal fato não irá gerar a incidência das normas da LGPD e do seu sistema protetivo.

Nesse ponto, um importante fator deve ser levado em consideração. Por se tratar de uma regra que estipula uma exceção, a interpretação das hipóteses da sua aplicabilidade deve ocorrer de forma restritiva. Ou seja: uma vez que a incidência da LGPD para todas as situações que caracterizem tratamento de dados pessoais é a regra do nosso sistema brasileiro de proteção de dados, todas exceções previstas pelo art. 4º ou pela legislação complementar que verse sobre o tema de proteção de dados devem ser interpretadas restritivamente. Não se esqueça, também, que a 2ª parte do art. 1º da LGPD estabelece que o seu sistema tem por objetivo "proteger os direitos fundamentais de liberdade e de privacidade", bem como assegurar "o livre desenvolvimento da personalidade da pessoa natural", sendo esse mais um motivo para a restrição hermenêutica das regras que criam exceções ao sistema brasileiro de proteção de dados pessoais.

A derrogação da LGPD para fins de atividade de segurança pública está prevista pelo inciso III do art. 3º, atividade essa que pode ser definida a partir de um ponto de vista subjetivo ou objetivo. Sob o ponto de vista subjetivo, as atividades de segurança pública abarcadas pelo aludido dispositivo podem ser exercidas por: a) órgãos estatais encarregados de garantir a segurança pública desde a coleta original (eg. atividades de identificação criminal executadas por Secretarias de Segurança Pública, bem como a respectiva criação de bases de dados com essas informações etc.), b) órgãos estatais encarregados de garantir a segurança pública com dados coletados originariamente por entidades públicas ou privadas para finalidades diversas da segurança pública (eg. registro de condutores, atividades escolares etc.) ou c) entidades privadas com a finalidade de garantia da segurança privada e pública (eg. câmeras privadas em condomínios etc.).¹ Note-se, no entanto, que, embora as entidades privadas possam colaborar com a segurança pública, essa é uma tarefa do Estado, de modo que a exceção ao âmbito de incidência material prevista pelo art. 4º, inciso III da LGPD somente se aplica quando o tratamento for realizado pelo próprio Estado. As imagens captadas por uma câmera de segurança instalada por um condomínio com a finalidade de monitorar o passeio público, por exemplo, não se beneficia dessa regra derrogatória. Mas, uma vez armazenadas pelo condomínio, o acesso a essas imagens pelo Estado para fins de investigação penal, por exemplo, não será um tratamento de dados pessoais regulado pela LGPD.

Sob o ponto de vista objetivo, as atividades relativas à segurança pública lato sensu são dividas pelo art. 4º, inciso III da LGPD em quatro itens: a) segurança pública stricto sensu, b) defesa nacional, c) segurança do Estado ou d) atividades de investigação e repressão de infrações penais. Vale notar que cada um dos itens especificados no aludido dispositivo se refere a uma das frente de atividades de segurança presentes em Estados modernos e a papéis dispensados por diferentes agências e órgãos estatais.² Além disso, também se referem a atividades inseridas em diferentes ramos de Direito (Direito Administrativo, Direito Militar, Direito Processual Penal), que, por isso, podem sofrer o influxo de outros subsistemas normativos, além do sistema brasileiro de proteção de dados pessoais.

Na esfera da "segurança pública stricto sensu" (alínea "a"), inserem-se atividades policiais que interferem diretamente na vida cotidiana de cidadãos e que são exercidas "para a preservação da ordem pública e da incolumidade das pessoas e do patrimônio", por meio da polícia federal, da polícia rodoviária federal, das polícias civis, das polícias militares e dos corpos de bombeiros militares (art. 144 da CF). Incluem-se, aqui, a atuação da polícia administrativa, com foco em prevenção a atividades criminosas, como policiamento ostensivo (principalmente das polícias militares e das guardas civis metropolitanas) e outras atividades de monitoramento geral que façam parte de políticas públicas de segurança (inclusive atividades da Unidade de Inteligência Financeira, por exemplo, voltada à prevenção à lavagem de dinheiro e ao combate ao financiamento do terrorismo).³

As atividades de "defesa nacional" (alínea "b") são aquelas que dizem respeito ao "conjunto de medidas e ações do Estado, com ênfase na expressão militar, para a defesa do território, da soberania e dos interesses nacionais contra ameaças preponderantemente externas, potenciais ou manifestas".⁴ Compõem os objetivos da defesa nacional: a) a garantia da soberania, do patrimônio nacional e da integridade territorial, b) a defesa dos interesses nacionais e das pessoas, dos bens e dos recursos brasileiros no exterior, c) a contribuição para a preservação da coesão e unidade nacionais, d) a promoção da estabilidade regional, e) a contribuição para a manutenção da paz e da segurança internacionais e f) a projeção do Brasil no concerto das nações e sua maior inserção em processos decisórios internacionais. Assim sendo, todo e qualquer tipo de tratamento de dados pessoais realizado pelas Forças Armadas, tendo em vista a consecução desses objetivos, parece estar fora do escopo material da LGPD.⁵

Já as atividades relativas à "segurança de Estado" (alínea "c") dizem respeito às ações de inteligência. Elas são ligadas ao "exercício permanente de ações especializadas, voltadas para a produção e difusão de conhecimentos, com vistas ao assessoramento das autoridades governamentais nos respectivos níveis e áreas de atribuição, para o planejamento, a execução, o acompanhamento e a avaliação das políticas de Estado" e estão divididas em duas áreas: a) a inteligência, que é a atividade que objetiva produzir e difundir conhecimentos às autoridades competentes, relativos a fatos e situações que ocorram dentro e fora do território nacional, de imediata ou potencial influência sobre o processo decisório, a ação governamental e a salvaguarda da sociedade e do Estado e b) a contrainteligência, que é a atividade que objetiva prevenir, detectar, obstruir e neutralizar a Inteligência adversa e as ações que constituam ameaça à salvaguarda de dados, conhecimentos, pessoas, áreas e instalações de interesse da sociedade e do Estado.⁶ Com base nesse dispositivo, estão excluídas as atividades de inteligência e contrainteligência ligadas à segurança de Estado, que se dão sobretudo no âmbito do Gabinete de Segurança Institucional e da Agência Brasileira de Inteligência.⁷

Em quarto e último lugar, as "atividades de investigação e repressão de infrações penais" (alínea "d") estão ligadas à repressão da atuação das forças policiais (ao contrário da hipótese da alínea "a", que está ligada às atividades de prevenção da atuação policial). Com base nesse dispositivo, estão excepcionadas do escopo material de incidência da LGPD todas as atividades da polícia judiciária ligadas à investigação de atividades criminosas com intuito de instruir inquéritos policiais e processos penais, bem como para cumprimento de determinações do Poder Judiciário.⁸

Ainda no que diz respeito ao tratamento de dados para fins de investigação e repressão de infrações penais, não se pode esquecer que a lei 12.965, de 23 de abril de 2014 (Marco Civil da Internet), regula o denominado "direito de retenção", por meio do qual se impõe às empresas que prestem serviços de telecomunicações, o armazenamento obrigatório dos dados de conexão (art. 13), pelo prazo de 01 (um) ano, e os registros de acesso à aplicação (art. 15), que devem ser mantidos por 06 (seis) meses. A finalidade de retenção obrigatória desses dados tem por finalidade facilitar a identificação de usuários da internet pelas autoridades competentes, haja vista que a responsabilização dos usuários é um dos princípios do uso da internet no Brasil (art. 3º, inciso VI). Não há, entretanto, qualquer previsão legal determinando que os provedores de aplicações que oferecem serviços de e-mail devam armazenar as mensagens recebidas ou enviadas pelo usuário e que foram deletadas.

Note-se, aqui, que o inciso III do art. 4º é claro ao limitar a derrogação do escopo material aos tratamentos de dados pessoais "para fins exclusivos de" segurança pública.⁹ O que importa, aqui, para fins de derrogação objetiva da LGPD é a atividade de segurança pública em si. Isso significa que, quando um órgão estatal de investigação ou repressão realizar tratamento de dados pessoais para outras finalidades que não aquelas diretamente ligadas com a segurança pública, haverá regular incidência da LGPD (eg. tratamento de dados pessoais realizado por uma Secretaria de Segurança pelo respectivo setor de RH para pagamento da remuneração dos seus servidores). Por isso, pouco importa, em princípio,¹⁰ qual é a natureza da pessoa que realiza o tratamento do dado pessoal, se pessoa natural ou jurídica, se de direito privado ou de direito público. Para que seja caracterizada uma das hipóteses excepcionais de derrogação do sistema de proteção de dados previstas pelo art. 4º, o fator mais importante a ser analisado é a finalidade do tratamento realizado. Assim sendo, caso o tratamento seja realizado para uma das finalidades elencadas pelo art. 4º da LGPD, sua aplicação está derrogada e o tratamento de dados pessoais estará fora do seu escopo.

Além disso, dispõe o § 1º do art. 4º que o tratamento de dados pessoais realizados para fins de segurança pública "será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos" na LGPD. A observância do devido processo legal no tratamento de dados pessoais para fins de segurança pública sequer precisava estar ali mencionada, devido ao status constitucional dessa garantia. Da mesma forma, seria desnecessária a previsão de que a legislação "deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público", uma vez que essa limitação decorre do próprio regime jurídico de Direito Público imposto às ações estatais, no geral, e de segurança pública, no particular.

Surge, no entanto, uma pergunta: a lei específica, que vier a regular o tratamento de dados para fins de segurança pública, deverá observar "os princípios gerais de proteção e os direitos do titular previstos" na LGPD? Ou seja: estaria o legislador futuro obrigado a respeitar essas garantias quando decidir regulamentar os tratamentos de dados para fins de segurança pública? Ao que parece, não. Caso o legislador futuro descumpra a determinação do legislador pretérito, qual seria o vício da lex posterior? Seria uma lei que desrespeite outra lei "ilegal"?

A resposta para tais perguntas parte do pressuposto de que o conflito de normas de mesma hierarquia se resolve pela aplicação do princípio geral de hermenêutica lex posterior derogat lege priori. De fato, o parâmetro de conformidade de uma lei não pode ser uma outra lei, mas apenas uma norma que lhe seja hierarquicamente superior, no caso, a Constituição. Exatamente por isso, qualquer tentativa do legislador presente de vincular a atuação do legislador futuro seria inconstitucional, já que ninguém pode delegar um poder que não tem. Apenas a Constituição pode impor limites formais e materiais ao legislador, de forma que qualquer tentativa do legislador de limitar seu próprio poder seria inconstitucional, por ofensa ao princípio implícito da não-delegação,¹¹ inerente ao próprio sistema constitucional. Desse modo, a regra constante no §1° do art. 4º é inconstitucional, na medida em que tenta impor ao legislador futuro uma obrigação.

Isso não significa, no entanto, que a privacidade e os dados pessoais dos indivíduos estejam completamente desprotegidos. Há inúmeras normas constitucionais¹² e infraconstitucionais¹³ que dispõe sobre os deveres do Estado na segurança pública, o que inclui a proteção aos dados pessoais dos indivíduos. Isso porque, o reconhecimento da proteção de dados como um direito fundamental pelo STF na MC em ADI nº 6.387-DF e pela publicação da EC nº 115/2022, garantem algum nível de proteção seja garantido ao titular de dados, ainda que o tratamento de dados pessoais seja realizado para garantir a segurança pública, competindo à doutrina e aos tribunais definir a medida dessa extensão até que o legislador regulamente a matéria. É lógico que, na ausência de lei formal que forneça os parâmetros para a proteção de dados pessoais no âmbito da segurança pública, a atuação doutrinária e jurisprudencial será calcada em princípios jurídicos, que, por natureza e definição, são vagos e imprecisos. Esses atores devem ter especial cuidado na aplicação direta do direito fundamental à proteção de dados aos casos concretos, uma vez que a sua atuação traz um evidente déficit de legitimidade democrática, já que a competência primária para ponderar os diversos valores e interesses protegidos pela Constituição da República é do Congresso Nacional, que o fará por meio de lei.

Em todo caso, registre-se que o anteprojeto de uma "LGPD Penal", redigido por uma comissão de 14 juristas, já foi apresentado à Câmara dos Deputados.¹⁴ Espera-se que o Congresso Nacional não demore para dar andamento à questão, debatendo com a sociedade civil os pontos controvertidos e sensíveis e aprovando, ao final, um modelo regulatório adequado às peculiaridades do tratamento de dados pessoais em matéria de segurança pública.

__________

1 Abreu (2021), p. 590-593