Spiros Simitis e a primeira lei de proteção de dados do mundo

Migalhas de IA e Proteção de Dados

Nos diversos trabalhos dedicados à disciplina da proteção de dados, é usual que se aponte, para fins de registro histórico, a Lei do Estado alemão de Hesse como o primeiro texto legal a ser editado no mundo, no ano de 1970¹.

O exemplo serve para demonstrar o pioneirismo dos alemães no tratamento da matéria: mensagem que é acompanhada da informação de que no ano de 1977 seria editada a Lei Federal Alemã de Proteção de Dados (Bundesdatenschutzgesetz), e, no ano de 1983, o Tribunal Constitucional Federal (Bundesverfassungsgericht) pronunciaria, no âmbito da decisão do censo, o direito fundamental à autodeterminação informativa.

O objeto do presente texto é o de abordar o contexto em que a Lei de Hesse de 1970 foi editada, com destaque para a participação do jurista Spiros Simitis, bem como o seu conteúdo principal, de modo a investigar como foi estruturada e acerca do que efetivamente dispôs, colocando em evidência a criação da figura da autoridade de supervisão, ou comissário.

O contexto da edição da Lei de Hesse

Cogita-se que a elaboração de uma lei de proteção de dados no Estado de Hesse tenha sido motivada por um artigo publicado em 10.6.1969, no tradicional jornal Frankfurter Allgemeine Zeitung, de autoria de seu redator-chefe Hanno Kühnert, de formação jurídica, e que alertava para os perigos do lado sombrio dos computadores e dos bancos de dados².

O articulista temia pela utilização totalitária das informações relacionadas aos cidadãos, e clamava por regras que disciplinassem o assunto.

Relata-se que chefe de governo do Estado de Hesse à época, Georg-August Zinn, leu o artigo de Hanno Kühnert e de pronto tomou a decisão de que editaria uma lei que disciplinasse a utilização das informações relacionadas ao cidadão³.

Mas a elaboração da Lei de Hesse não pode ser dissociada da figura de Spiros Simitis. Esse jurista nasceu na Grécia em 19.10.1934 e mudou-se para a Alemanha após o período escolar para cursar a Faculdade de Direito na tradicional Universidade de Marburg (1952-1956), localizada em Hesse, onde também concluiu seu doutorado⁴.

Interessante para os que se dedicam ao estudo do Direito Civil é descobrir que a tese de doutorado de Spiros Simitis, de nada mais nada menos do que 619 páginas(!) abordou o tema das relações contratuais de fato, desempenhando um relevante papel para uma figura jurídica que posteriormente seria superada na Alemanha⁵, mas que também obteve repercussão em Portugal e no Brasil⁶.

Posteriormente, realizou sua habilitação na Universidade de Frankfurt, mas iniciou a docência na Universidade de Giessen, vindo a receber um convite para voltar, como professor, para Frankfurt no ano de 1969, onde lecionou Direito Civil, Direito do Trabalho, Direito Europeu e Informática Jurídica com ênfase em proteção de dados.

Todas essas cidades de sua trajetória acadêmica se encontram em Hesse, de modo que Simitis sempre manteve a vinculação com esse Estado da federação alemã, onde vive até hoje.

Em 2015, Simitis concedeu entrevista à Revista da Universidade de Frankfurt, Forschung Frankfurt, oportunidade em que esclareceu os detalhes dos fatos que levaram à edição da Lei de Hesse⁷.

Simitis esteve diretamente envolvido com a edição da pioneira lei de 1970 e com a própria criação da disciplina da proteção de dados. É reconhecido internacionalmente como o "Pai da proteção de dados" ou "Prof. Dr. Proteção de Dados", qualificativos que aceita, pois entende que efetivamente participou ativamente do desenvolvimento da disciplina⁸.

Simitis relata que no final dos anos 1960, a Alemanha⁹, no contexto da modernização da área da saúde, empenhou-se na construção de diversos hospitais públicos. Essa iniciativa foi seguida com muita seriedade pelo governo do Estado de Hesse. E, como se tratava de hospitais que dispunham de uma multiplicidade de dados, especialmente de pacientes, o processamento automatizado das informações chegava no momento oportuno.

Sob a justificativa de uma maior eficiência no diagnóstico e tratamento dos pacientes, os dados pessoais seriam coletados e formariam bancos de dados centralizados. E aí está o ponto que fez de Hesse o Estado de vanguarda na proteção de dados, pois foi justamente lá onde a informatização e a automação da administração pública se encontravam bastante avançadas para os padrões da época. E, nesse ambiente, conforme enfatiza Simitis, os hospitais funcionaram como um primeiro pilar central do debate público acerca da proteção de dados.

O jurista de origem grega seria, no âmbito das discussões, convocado pelo chefe de governo de Hesse, com o pedido de que apresentasse uma proposta de legislação sobre proteção de dados.

A razão que levou ao seu chamamento, segundo ele próprio¹⁰, teria sido a publicação de um relevante e pioneiro artigo jurídico para os tempos de então, sob o título "Oportunidades de utilização de sistemas cibernéticos para o direito"¹¹.

As publicações anteriores de Simitis não se dedicavam ao assunto, e é possível supor que jamais imaginasse que a repercussão de um único artigo de sua autoria pudesse guindá-lo à condição de autor do anteprojeto do que viria a ser a primeira lei do mundo de proteção de dados, e por consequência no reconhecimento de sua condição de pioneiro internacional da disciplina.

Atendendo ao convite formulado por Georg-August Zinn, prontamente redigiu o anteprojeto que passou por uma revisão interna no gabinete de governo, e, em alguns pontos modificado, para logo em seguida ser apresentado ao Parlamento de Hesse que em 07.10.1970 o aprovou e passou a vigorar em 13.10.1970¹².

Estrutura e conteúdo da Lei de Hesse: a figura da autoridade

A primeira lei do mundo, na sua versão original, não se notabilizou por sua extensão. Ela contemplou dezessete parágrafos distribuídos em três capítulos. Algo bastante diferente do que a Lei de Hesse, após diversas modificações, apresenta em 2021, uma vez que, na versão de sua última alteração, em 2018, contém cinco capítulos e noventa e um parágrafos.

Passa-se a destacar alguns dos dispositivos da lei originária.

O parágrafo primeiro estabelece regra sobre o que denomina "área da proteção de dados", estatuindo a abrangência da lei para todos os documentos confeccionados por meio de processamento automatizado de dados bem como para todos os dados armazenados e para o resultado de seu processamento. Esse dispositivo deixa claro, em sua parte final, que a lei se aplicava, e assim permaneceu até o ano de 2011, como se verá abaixo, exclusivamente ao setor público do Estado de Hesse.

O segundo parágrafo sob o título de "conteúdo da proteção de dados" estipula uma regra de segurança da informação, ao determinar que os documentos, dados e resultados referidos no parágrafo primeiro devem ser utilizados, compartilhados e conservados, de modo a vedar que pessoas não autorizadas os acessem, modifiquem ou os eliminem, o que deve ser implementado por meio de medidas técnicas.

E o parágrafo terceiro, por seu turno, contempla o dever geral de confidencialidade das pessoas que desempenhassem as funções de coleta, transmissão, armazenamento ou processamento automatizado de dados.

No parágrafo quarto foi disciplinado, sob a denominação de "pretensão à proteção de dados", e ainda que de forma incipiente, o que nos tempos atuais se conhece como direitos dos titulares de dados pessoais, expressos no dever do controlador de correção dos dados armazenados bem como no direito de restabelecimento da situação anterior sempre que ocorrer uma consulta, modificação ou eliminação irregular dos dados pessoais. A previsão de tutela inibitória em caso de ameaça também constou no dispositivo.

O parágrafo quinto dispõe sobre regras acerca de bancos de dados e sistemas de informação, contendo a diretriz de que deveria ser garantido, no âmbito da administração pública, a vedação a acessos ou à utilização de documentos, bem como aos dados e às inferências dos mesmos, a menos que houvesse vinculação com as atribuições do respectivo órgão ou entidade da administração. Com efeito, a questão da confidencialidade das informações é uma marca da lei.

No segundo capítulo da Lei de Hesse constou aquela que talvez tenha sido uma das maiores contribuições para a disciplina de proteção de dados, qual seja a previsão da autoridade de proteção de dados, na expressão em alemão, Datenschutzbeauftragter, e que Danilo Doneda traduziu por comissário de proteção de dados¹³.

Nesse contexto, é importante que se faça uma distinção por conta da terminologia utilizada na língua alemã, que pode levar a incompreensões quando se analisa a questão com base no quadro que temos no presente.

É que a palavra Datenschutzbeauftragter pode ser utilizada em três circunstâncias no sistema de proteção de dados alemão: ela designa, como no exemplo pioneiro de Hesse, a autoridade dos estados da federação, chamada Landesdatenschutzbeauftragter, no sentido de autoridade de proteção de dados que tem as atribuições de supervisão¹⁴, nos dias de hoje, tanto do setor público quanto do setor privado que tenha sede na respectiva unidade da federação.

A assunção da supervisão do setor privado pelos Landesdatenschutzbeauftragter se deu apenas a partir do ano de 2011, após modificações legislativas em reação à decisão do Tribunal de Justiça da União Europeia, que considerou insuficientes os mecanismos de fiscalização da atuação das pessoas jurídicas de direito privado.

Ao mesmo tempo, existe o Bundesdatenschutzbeauftragter, e que funciona como instância de controle independente para a supervisão da proteção de dados no setor público federal e em empresas que fornecem serviços postais e de telecomunicações.

E, por fim, há o Datenschutzbeauftragter, que é o que no Brasil se localiza na figura do encarregado no âmbito das pessoas jurídicas de direito privado e de direito público, não atuando, portanto, como autoridade, mas sim como ponto focal das questões internas relativas à proteção de dados das organizações bem como canal de comunicação com os titulares de dados pessoais¹⁵.

Para o modelo alemão que persiste até os dias de hoje no exemplo de Hesse, há a personificação da figura da autoridade, tanto do Landesdatenschutzbeauftragter quanto do Bundesdatenschutzbeauftragter, que goza de uma autonomia e de uma posição hierárquica com status do que no Brasil, na esfera estadual, estaria equiparado a uma secretaria de Estado. E, pelo menos no que toca a Hesse, desde a pioneira Lei de 1970, o Parlamento Estadual escolhe a pessoa que exercerá a função de autoridade¹⁶.

Uma curiosidade é que na versão atual da Lei de Hesse, a figura é tratada tanto como "ele", assim como "ela", não deixando dúvidas de que o cargo possa ser ocupado por um homem ou por uma mulher¹⁷.

Desde 2018, a Autoridade de Proteção de Dados de Hessen também acumula a função de supervisionar a garantia do acesso à informação aos cidadãos¹⁸.

Spiros Simitis marcou época na atuação como autoridade de proteção de dados do Estado de Hesse, posto que ocupou de 1975, após obter a cidadania alemã, até 1991. No transcurso de sua gestão, o Tribunal Constitucional Federal proferiu a decisão do censo (1983), em que reconheceu o direito fundamental à autodeterminação informativa. Simitis se refere à decisão como a "bíblia da proteção de dados" e o maior marco da disciplina, tendo chegado a afirmar que depois dessa decisão "não se brinca mais com a proteção de dados"¹⁹.

Simitis²⁰ foi sucedido por outras importantes personalidades, como Winfried Hassemer, que deixou o cargo para se tornar juiz do Tribunal Constitucional Federal, e, desde janeiro de 2021, personifica o papel de autoridade de proteção de dados de Hesse o Prof. Alexander Roßnagel²¹, da Universidade de Kassel, que apresenta um extenso currículo de atuação na área.

Por fim, há que se fazer o registro de que o trabalho de Spiros Simitis deixou marcas de excelência, indeléveis na área de proteção de dados: uma herança que ressoa em todos os pontos do mundo, inclusive na nossa Lei Geral de Proteção de Dados, o que se pode constatar pelo exame da pioneira Lei de Proteção de Dados de Hesse de 1970.

FABIANO MENKE é advogado e consultor jurídico em Porto Alegre, professor associado de Direito Civil da Faculdade de Direito e do Programa de Pós-Graduação em Direito da Universidade Federal do Rio Grande do Sul - UFRGS. Doutor em Direito pela Universidade de Kassel, com bolsa de estudos de doutorado integral CAPES/DAAD. Membro titular do Comitê Nacional de Proteção de Dados e da Privacidade. Coordenador do Projeto de Pesquisa "Os fundamentos da proteção de dados na contemporaneidade", na UFRGS. Membro Fundador do Instituto Avançado de Proteção de Dados - IAPD. Advogado. Instagram: menkefabiano

____________

1 Ver, por todos, DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 2ª ed. São Paulo: Thomson Reuters, 2019, p. 191.

2 DITTRICH, Monika. Eine Idee wird 50: Wie in Hessen der Datenschutz erfunden wurde. Disponível em https://www.deutschlandfunk.de/eine-idee-wird-50-wie-in-hessen-der-datenschutz-erfunden-100.html

3 Idem.

4 https://www.munzinger.de/search/portrait/Spiros+Simitis/0/15230.html

5 Sobre o ponto, ver: CANARIS, Claus-Wilhelm. O "contato social" no ordenamento jurídico alemão. Revista de Direito Civil Contemporâneo, vol. 16, ano 5. p. 211-219. São Paulo: Ed. RT, jul.-set. 2018.

6 A tese foi publicada sob o título: Die faktischen Vertragsverhältnisse als Ausdruck der gewandelten sozialen Funktion der Rechtsinstitute des Privatrechts. Frankfurt a. M.: Vittorio Klostermann, 1957. Em tradução livre, "As relações contratuais de fato como expressão transformadora da função social dos institutos jurídicos de direito privado". No Brasil, a título de exemplo, ver o texto da Profa. Vera Fradera em homenagem à obra e aos julgados do Min. Ruy Rosado de Aguiar Júnior, em que cita a acolhida das relações contratuais de fato na jurisprudência do STJ com inspiração na doutrina de Clóvis do Couto e Silva: https://www.conjur.com.br/2019-dez-16/direito-civil-atual-contribuicao-ruy-rosado-junior-magistrado-parte-ii#sdfootnote6sym

7 Ver entrevista de Spiros Simitis, concedida à Revista Forschung Frankfurt: Das Wissenschaftsmagazin der Goethe-Universität, vol. 1/2015, disponível em www.forschung-frankfurt.uni-frankfurt.de

8 Idem.

9 Recorde-se que no final da década de 1960 a Alemanha estava dividida em Alemanha Ocidental e Alemanha Oriental. O depoimento de Simitis se refere à Alemanha Ocidental (Bundesrepublik Deutschland).

10 Entrevista disponível em https://netzpolitik.org/2015/spiros-simitis-man-spielt-nicht-mehr-mit-dem-datenschutz/

11 Tradução livre do título da seguinte publicação: SIMITIS, Spiros. Rechtliche Anwendungsmöglichkeiten kybernetischer Systeme. Mohr: Tübingen, 1966.

12 Entrevista de Spiros Simitis à Revista Forschung Frankfurt: Das Wissenschaftsmagazin der Goethe-Universität, vol. 1/2015, disponível em www.forschung-frankfurt.uni-frankfurt.de

13 DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 2ª ed. São Paulo: Thomson Reuters, 2019, p. 308.

14 A competência pela supervisão das atividades do que hoje se denomina agentes de tratamento de dados pessoais foi estabelecida no § 10, 1, da Lei de Hesse de 1970. A regra estipula que a autoridade de proteção de dados supervisiona a observância das regras da lei e das demais disposições legais sobre o tratamento confidencial de informações relacionadas aos cidadãos. Na parte final do dispositivo consta ainda que a autoridade instruirá as repartições públicas do Estado acerca de violações e sugere medidas para aprimorar a proteção de dados.

15 A teor do que determina o art. 38 do Regulamento Europeu de Proteção de Dados.

16 Na lei originária, o §7º, I contemplava a forma de eleição da autoridade por parte do Parlamento, após sugestão do chefe de governo, e na lei atual dispositivo equivalente consta no § 9º.

17 Já no título do Capítulo IV da Lei de Hesse em vigor consta o artigo "a" ou "o" para designar a autoridade, ou comissária(o) de proteção de dados. No original: "Die oder der Hessische Datenschutzbeauftragte".

18 Temática que no Brasil é regrada pela Lei de Acesso à Informação, Lei Federal nº 12.527, de 18.11.2011. Note-se que no Brasil não existem autoridades centrais dedicadas ao assunto.

19 Entrevista disponível em https://netzpolitik.org/2015/spiros-simitis-man-spielt-nicht-mehr-mit-dem-datenschutz/

20 Vale à pena a leitura dos comentários ao Regulamento Europeu de Proteção de Dados, de autoria de Spiros Simitis em conjunto com Indra Spiecker e Gerrit Hornung, estes últimos professores atuantes no Estado de Hesse. SIMITIS, Spiros; HORNUNG, Gerrit; SPIECKER, Indra. (Org.): Datenschutzrecht: DSGVO mit BDSG. Nomos: Baden-Baden, 2019.

21 Para a biografia do Prof. Alexander Roßnagel: https://datenschutz.hessen.de/ueber-uns/biografie-der-hessische-datenschutzbeauftragte

COORDENAÇÃO

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.

outras edições

APOIADORES

FOMENTADORES