Em 08 de abril de 2014 o Tribunal de Justiça da União Europeia respondeu aos pedidos de decisão prejudicial solicitados pelas cortes superiores da Irlanda (C-293/12) e da Áustria (C-594/12), que questionaram a validade da Diretiva 2006/24/CE de 15/03/2006.

A Diretiva 2006/24/CE disciplinava a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. No pedido irlandês foram questionadas as exigências presentes nos artigos 3°, 4° e 6° da Diretiva 2006/24/CE, se elas seriam incompatíveis com o artigo 5°(4) do TUE, e no pedido da Áustria, se a obrigação criada pela Diretiva de armazenamento de uma grande variedade de tipos de dados relativos a um número ilimitado de pessoas, por um longo período, seria compatível com o direito fundamental dos particulares à proteção de dados, garantido pela norma constitucional austríaca.

A primeira consideração da Corte analisou o impacto da obrigação de armazenamento de dados estabelecida pela Diretiva. Os julgadores concluíram que, os dados armazenados, por força da obrigação da Diretiva, permitiriam a identificação de informações precisas da vida privada de um usuário, como com quem ele se comunicou e o meio utilizado, a determinação do tempo da comunicação e o local de onde ela foi realizada.

Essas informações, que estariam sendo conservadas para eventual acesso das autoridades competentes para efeitos de investigação, detenção e repressão de crimes graves, permitiriam a determinação dos lugares onde se encontram os usuários, de forma permanente ou temporária, os seus deslocamentos diários ou outros, as atividades exercidas, as relações sociais e os meios sociais frequentados.

Assim, concluem que o armazenamento de dados pelos fornecedores de serviços de comunicações eletrônicas publicamente disponíveis  estabelecido pela Diretiva revela ingerência sobre dados pessoais e deve respeitar as exigências estabelecidas pela Carta dos Direitos Fundamentais da União Europeia, especificamente sobre o respeito pela vida privada e particular (art.7) e proteção de dados pessoais (art.8).

Os julgadores concluíram, ainda, que essa ingerência é verificada independentemente da classificação desses dados da vida privada como de caráter sensível, ou pela verificação de efetivo inconveniente sofrido pelo seu titular por conta do acesso aos seus dados, logo, a obrigação de armazenamento de dados e de seu tratamento, estabelecidas pela Diretiva, refletem ingerência sobre os direitos garantidos pelos artigos sétimo e oitavo da Carta dos Direitos Fundamentais da União Europeia. Ademais, apontaram que o acesso desses dados pelas autoridades nacionais competentes, como estabelecido pela Diretiva, revela ingerência suplementar a este direito fundamental.

Uma vez concluído que há ingerência sobre esses dois direitos fundamentais, os julgadores passaram analisar as razões do seu estabelecimento no texto da Diretiva e identificaram que o objetivo material da Diretiva é o de contribuir com a luta contra a criminalidade grave e, em última análise, com a garantia da segurança pública. Portanto, este objetivo de interesse geral, ao estabelecer ingerência sobre direitos fundamentais, deve respeitar o princípio da proporcionalidade e este estabelece, na interpretação da Corte, a verificação dos limites do que é adequado e necessário para a sua realização.

Ponderou-se que conservação dos dados é adequada à realização do objetivo material da Diretiva, de combate a criminalidade, já que o acesso aos dados eletrônicos revela possibilidade suplementar de elucidação de crimes graves pelas autoridades nacionais em matéria penal, especialmente no contexto social presente de crescente importância dos meios da comunicação eletrônica.

Por outro lado, sobre a perspectiva de verificação da necessidade de permitir essa ingerência, os julgadores resgatam a jurisprudência do Tribunal sobre derrogações à proteção dos dados pessoais e concluem que devem ser resguardadas garantias mínimas ao titular destes dados contra riscos de abuso, bem como de acesso e uso ilícitos.

A análise dos julgadores, em síntese, levou em consideração os seguintes pontos:

• Não são estabelecidos filtros sobre os dados que devem ser conservados, que derivam de tráfego decorrente de rede telefonia fixa, de telefonia móvel, de acesso à internet, de correio eletrônico e comunicações telefônicas feitas por meio da internet. Estes filtros poderiam estabelecer diferenciações, limitações ou exceções sobre os dados que sejam uteis para o objetivo da luta contra a criminalidade, não permitindo que qualquer cidadão europeu tenha seus dados armazenados, ainda que não suscetíveis de figurarem em ações penais;
• Uma vez desvinculados do objetivo de combate à criminalidade grave, os dados conservados não sofrem limitações temporais ou geográficas, ou mesmo podem ser identificados pela origem de pessoas que poderiam estar, diretamente ou indiretamente, à uma infração grave, o que permitiria a sua prevenção ou repressão;
• Não são definidos critérios objetivos para o acesso das autoridades nacionais competentes aos dados e a sua utilização posterior prevenção, verificação ou punição de infrações suscetíveis de serem consideradas suficientemente graves, à luz da amplitude e da gravidade da sua ingerência aos direitos fundamentais;
• O acesso das autoridades nacionais competentes é irrestrito, não são previstas condições materiais ou processuais para o acesso e uso dos dados, de forma a limitar quem possa acessar e utilizar esses dados estritamente aos fins perseguidos pela Diretiva. Por exemplo, poderia ser estabelecido controle prévio por órgão jurisdicional, que concederia acesso após pedido fundamentado das autoridades competentes para repressão criminal;
• A duração da conservação dos dados é genérica e estabelece um mínimo de 6 e máximo de 24 meses, não baseando-se em critérios objetivos para determinar esse prazo, ou prevendo distinção de prazo para as diferentes categorias de dados;
• Não são previstas regras claras e estritas para a proteção e a segurança dos dados conservados, garantindo a integridade e confidencialidade de dados sensíveis, por outro lado, autoriza os fornecedores levarem em consideração os custos de execução das medidas de segurança e suas condições econômicas;
• Não garante a destruição definitiva dos dados após o período de conservação máximo previsto, nem mesmo que sejam obrigatoriamente conservados em território da União, não podendo, então, garantir fiscalização por entidade independente das regras de proteção e segurança sobre a conservação dos dados.

O Tribunal concluiu, então, que a Diretiva não estabelece regras claras e precisas que regulem o alcance da ingerência nos direitos fundamentais, os quais decorrem dos dados sensíveis das pessoas que são conservados. A falta de garantias não permite que os dados armazenados sejam protegidos contra riscos de abuso, acesso e utilização ilícita. Por essas razoes, declara a invalidade da Diretiva.

Já no âmbito da jurisdição brasileira, foi apresentada, em 20 de abril de 2020, ação direta de inconstitucionalidade pelo Conselho Federal da Ordem dos Advogados do Brasil (ADI 6387) contra o inteiro teor da Medida Provisória nº 954, de 17 de abril de 2020, que dispõe sobre “o compartilhamento de dados por empresas de telecomunicações prestadoras de Serviço Telefônico Fixo Comutado e de Serviço Móvel Pessoal com a Fundação Instituto Brasileiro de Geografia e Estatística, para fins de suporte à produção estatística oficial durante a situação de emergência de saúde pública de importância internacional decorrente do coronavírus (covid19), de que trata a Lei nº 13.979, de 6 de fevereiro de 2020”.

Em síntese, o Conselho Federal da OAB apontou vícios da inconstitucionalidade formal e material. Formalmente, a medida aprovada não cumpriria com os requisitos da relevância e urgência (art. 62 da CF) e, materialmente, teria violado os direitos constitucionais da dignidade da pessoa humana, da inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas, do sigilo dos dados e da autodeterminação informativa (arts. 1º, inciso III, e 5º, incisos X e XII CF).

Em seu voto, a Ministra Rosa Weber, repetindo os seus argumentos desenvolvidos na decisão cautelar de suspensão do efeito da MP n. 954, observa que o art. 2º da MP n. 954/2020 impõe às empresas prestadoras do Serviço Telefônico Fixo Comutado e do Serviço Móvel Pessoal o compartilhamento, com o IBGE, da relação de nomes, números de telefone e endereços de seus consumidores, pessoas físicas ou jurídicas. Esses dados, que servem para a identificação efetiva ou potencial de pessoa natural, são dados pessoais e integram, na sua análise, o âmbito de proteção das cláusulas constitucionais assecuratórias da liberdade individual (art. 5º, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5º, X e XII).

A manipulação e tratamento destes dados, então, devem observar, sob pena de lesão a esses direitos, os limites delineados pela proteção constitucional prevista. A MP n. 954/2020, no entanto, apenas dispõe sobre a finalidade e o modo de utilização dos dados objeto da norma, previsto no § 1º do seu art. 2º, que limita-se a enunciar que os dados em questão serão utilizados exclusivamente pela Fundação IBGE para a produção estatística oficial, com o objetivo de realizar entrevistas em caráter não presencial no âmbito de pesquisas domiciliares. A Ministra aponta, por exemplo, que não é delimitado o objeto da estatística a ser produzida, a finalidade específica, a sua amplitude, a necessidade de disponibilização desses dados, e nem forma como serão efetivamente utilizados.

A Ministra aponta, ainda, que o art. 1º, parágrafo único, da MP n. 954/2020 apenas dispõe que o ato normativo terá aplicação “durante a situação de emergência de saúde pública de importância internacional decorrente da COVID-19”, não afirmando taxativamente que a estatística que será produzida terá relação direta com a pandemia, embora essa associação possa ser deduzida. Ademais, o período de uso dos dados é, ainda, estendido até trinta dias após o decreto do fim da situação de emergência de saúde pública (art. 4º, parágrafo único, da MP nº 954/2020), o que permite conservação dos dados pessoais, pelo ente público, por tempo manifestamente excedente ao estritamente necessário para o atendimento da sua finalidade.

Adiante, a Ministra afirma não haver a definição do modo e da finalidade da coleta de dados no texto normativo impugnado, o que não permite uma avaliação de da sua adequação e necessidade. Ademais, verifica que este não apresenta mecanismo técnico ou administrativo apto a proteger os dados pessoais de acessos não autorizados, vazamentos acidentais ou utilização indevida, seja na sua transmissão, seja no seu tratamento. A norma, na sua interpretação, limita-se a delegar a ato do Presidente da Fundação IBGE o procedimento para compartilhamento dos dados, sem oferecer proteção suficiente aos direitos fundamentais envolvidos.

A Ministra, explicita, por exemplo, que não há previsão de cuidados mínimos para a anonimização ou pseudonimização dos dados coletados, o que afastaria a capacidade de identificar, direta ou indiretamente, o indivíduo a que originalmente se referem. Essa medida não afetaria a finalidade do uso dados coletados para elaboração de estatísticas.

Por fim, a Ministra afirma não haver previsão de auditoria externa e de medida de responsabilização por eventual acesso indevido ou mau uso dos dados coletados, portanto, a coleta dos dados não pode ser feita, por força da MP, de forma se garanta proteção compatível com as cláusulas constitucionais assecuratórias da liberdade individual (art. 5º, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5º, X e XII).

O voto da Ministra-Relatora foi acompanhado pela maioria dos membros presentes na votação, Dias Toffoli, Celso de Mello, Gilmar Mendes, Ricardo Lewandowski, Cármen Lúcia, Roberto Barroso, Edson Fachin e Alexandre de Moraes, com poucas variações argumentativas, sendo apenas combatido pelo voto do Ministro Marco Aurélio.

Faz-se destaque, porém, ao voto do Ministro Luiz Fux que somou-se à maioria formada, manifestando concordância com os argumentos explicitados nos votos anteriores, mas, pontuando diálogo jurisprudencial com o Tribunal de Justiça da União Europeia, especificamente no caso Digital Rights Ireland, no qual afirmou-se o direito fundamental à proteção de dados pessoais.

Em consonância com as conclusões dadas pela Corte internacional, o Ministro destaca:

• A MP não “especifica ou detalha quais as finalidades específicas para as quais esses dados serão utilizados”, não estando delimitados nem o objeto da estatística, nem a finalidade específica, nem a amplitude, e nem a necessidade da disponibilização dos dados;
• Está presente desproporcionalidade entre os dados necessários para uma pesquisa amostral e os dados requisitados;
• Em oposição ao disposto no Regulamento Sanitário Internacional da OMS, que, em atenção a situação da pandemia, destacou que não “se deve pleitear dados desnecessários e incompatíveis com o propósito de avaliação e manejo de um risco para a saúde pública”;
• O relatório de impacto à proteção de dados pessoais a ser apresentado pela Fundação IBGE, nos termos da MP, após à coleta e uso dos dados, deve ser apresentado previamente;
• Há o risco de identificação precisa e formação do perfil dos usuários e a difusão desses dados dá ensejo à criação do que denomina de “bolhas de filtros”, onde se “pode identificar a tendência das pessoas”, permitindo que a invasão alcance para além da privacidade, chega à esfera da própria liberdade intrínseca do pensamento.

O Ministro destaca que que o Tribunal de Justiça da União Europeia, no caso Digital Rights Ireland (C-293/12), asseverou a existência do direito fundamental à proteção dos dados pessoais, assentando que qualquer medida legislativa promulgada para fornecer uma base legal para o tema deve atender a princípio da proporcionalidade, de modo que “só podem ser introduzidas restrições a esses direitos e liberdades se forem necessárias e corresponderem efetivamente a objetivos de interesse geral reconhecidos pela União ou à necessidade de proteção dos direitos e liberdades de terceiros”.

E por esse motivo, a Medida Provisória nº 954/2020 teria, na sua opinião, ultrapassado os limites fixados pelos direitos fundamentais à proteção de dados, à autodeterminação informativa e à privacidade, não sendo observado o postulado da proporcionalidade, já que não delimita o objeto e resulta em excesso ao “determinar o compartilhamento de dados de milhões de brasileiros, quando as pesquisas amostrais realizadas pelo IBGE, em geral, envolvem apenas 70 mil pessoas”.