Fruto de um longo debate público sobre a proteção de dados pessoais, a Lei Geral de Proteção de Dados (LGPD) foi responsável por uma revolução na disciplina brasileira da proteção de dados. Ao entrar em vigor, a legislação passou a garantir direitos fundamentais para os titulares, além de regular o compartilhamento de dados entre pessoas jurídicas de direito público e privado. Porém, todas as conquistas obtidas com a aplaudida LGPD tiveram que ser deixadas em stand by no campo da segurança pública e da persecução penal, já que, consoante o art. 4º, inciso III, alíneas “a” e “d”, da própria, a LGPD não é aplicável ao tratamento de dados com fins exclusivos de segurança pública ou de atividades de investigação e repressão de infrações penais.

Conquanto tenha excluído de seu âmbito o tratamento de dados pessoais para os fins supracitados, a LGPD preocupou-se em trilhar caminho futuro. No §1º do art. 4º, por exemplo, resta estabelecido que o tratamento de dados com fins exclusivos de segurança pública ou de atividades de investigação e repressão de infrações penais será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular. 

Seguindo a recomendação legislativa descrita na LGPD, um grupo de trabalho composto por renomados juristas criou um anteprojeto, que embora já apresentado à Câmara dos Deputados, ainda deve passar pelo escrutínio público.

Não há como prever qual será o resultado final do trâmite político do que vem sendo chamado de “LGPD Penal”. Porém, podemos elencar os pontos que não escaparão das vindouras discussões legislativas sobre dados, segurança pública e persecução penal:

Consentimento, finalidade e licitude: A base do microssistema proposto pelo anteprojeto da LGPD Penal apoia-se nestes três pilares. De acordo com o texto, a atividade de tratamento de dados pessoais deve ser respaldada por lei e ter propósitos específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com o que o usuário tenha previamente consentido. Tais princípios visam evitar que dados produzidos nas interações cotidianas entre indivíduos e Estado sejam utilizados indiscriminadamente para fins de persecução penal. Como exemplo de excessos, podemos imaginar um magistrado que se utiliza do histórico médico coletado pelo SUS para avaliar a conduta social dos apenados (art. 59, do Código Penal) a partir do uso (ou não) de substâncias psicoativas, tais como o álcool.

Segurança e sigilo dos dados: Após o escândalo envolvendo o vazamento de dados pessoais de mais de 220 milhões de brasileiros, é quase certo que haverá preocupação com as medidas de segurança adotadas para o armazenamento de informações. Atualmente, o sistema de justiça criminal acumula (de forma não linear) uma profusão de dados relativos às investigações criminais, incluindo aqueles extremamente sigilosos provenientes de quebras de sigilo. Logo, não é de se espantar que acessos não autorizados ou situações acidentais de perda, alteração ou divulgação aflijam o legislador.

Compartilhamento de dados pessoais entre órgãos de persecução penal: Esta é uma demanda dos órgãos policiais que visa atribuir eficiência às investigações. Após sopesar a reivindicação com o respeito aos direitos fundamentais, o anteprojeto da LGPD Penal foi capaz de prever uma sistemática em que o uso compartilhado de dados entre autoridades competentes é possível mediante autorização legal ou judicial, ainda que precedido de justificação e contexto. Com isso, visa-se garantir a rastreabilidade dos acessos aos bancos de dados, além de evitar abusos, como o escrutínio indiscriminado de indivíduos. 

Colaboração de entidades privadas: A colaboração prestada por pessoas jurídicas de direito privado às investigações criminais é tema bastante ausente na legislação brasileira. Iniciando este importante debate, o anteprojeto da LGPD Penal propõe que o acesso de autoridades competentes a dados pessoais controlados por entidades privadas ocorra mediante previsão legal, além de estabelecer regras para restringir requisições desmotivadas, genéricas ou que estabeleçam obrigações impossíveis. Ainda, o anteprojeto finalmente complementa o §2º, art. 10, do Marco Civil da Internet, ao estabelecer balizas para a ordem judicial que busque dados pessoais sigilosos. 

Preocupação com decisões automatizadas: Discriminação algorítimica é outro tópico importante, em especial quando resulta em impactos graves para indivíduos em situação de vulnerabilidade. No âmbito da segurança pública, há preocupações concretas sobre a gradativa substituição do fator humano nas decisões da execução penal. Por conta disso, é possível que legislações vindouras se preocupem com a obscuridade de decisões automatizadas. Até lá, como bem ressalta o anteprojeto, o caminho para a auditabilidade passa por reconhecer que o segredo industrial e comercial não pode se sobrepor ao direito do afetado de conhecer os parâmetros da decisão.