Em 2018 foi sancionada, pelo então Presidente da República Michel Temer, a Lei nº 13.709/2018, que regulamentou a proteção de dados pessoais no Brasil. Também no ano passado foi publicada a Lei Complementar nº 161, de 05 de julho de 2018, pela Câmara Municipal de Vinhedo/SP, que regulamentou o tratamento de dados pessoais no âmbito deste município paulista.
De outro lado, tramita na Assembleia Legislativa do Estado de São Paulo o Projeto de Lei 598/2018, que visa regulamentar o tratamento de dados pessoais no âmbito estadual, o qual está sob apreciação da Comissão de Constituição, Justiça e Redação.
Entretanto, questiona-se: é possível que municípios e estados também legislem sobre os temas de proteção de dados e privacidade?
A proteção de dados pessoais pode ser interpretada como um desdobramento do direito fundamental à privacidade, protegido pela Constituição Federal de 1988 (CF), em seu artigo 5º, inciso X, que prevê que “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurando o direito a indenização pelo dano material ou moral decorrente de sua violação”. Esse direito também está garantido pelo artigo 21 do Código Civil Brasileiro, que prevê que “a vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma”.
Ocorre que o direito à privacidade é direito da pessoa natural, sendo afeto a esfera do Direito Civil e conexo a própria personalidade jurídica que, como muito bem define a doutrinadora Maria Helena Diniz, trata-se de uma criação jurídica que“exprime a aptidão genérica para adquirir direitos e contrair obrigações”, e segue, “a personalidade é o conceito básico da ordem jurídica, que a estende a todos os homens, consagrando-a na legislação civil e nos direitos constitucionais de vida, liberdade e igualdade”. (DINIZ, 2007, 114)
A professora segue ensinando que “reconhece-se nos direitos da personalidade uma dupla dimensão: a axiológica, pela qual se materializam os valores fundamentais da pessoa, individual ou socialmente considerada, e a objetiva, pela qual consistem em direitos assegurados legal e constitucionalmente, vindo a restringir a atividade dos três poderes, que deverão protege-los contra quaisquer abusos, solucionando problemas graves que possam advir com o progresso tecnológico”. (DINIZ, 2007, 115)
Ao se fazer uma análise das competências constitucionais, podemos observar a seguinte divisão: competência exclusiva, privativa, concorrente, suplementar, comum, cumulativa, residual e remanescente. Em um primeiro momento, as palavras “exclusiva” e “privativa” parecem significar a mesma coisa, entretanto, competência exclusiva da União é aquela que não pode ser delegada, enquanto a privativa é delegável a outros entes.
Dessa forma, verificamos que o artigo 21 da CF prevê as competências exclusivas da União, ou seja, aquelas que não poderão ser delegadas por esta. Já no artigo 22, temos elencadas as matérias de competência privativa da União, ou seja, aquelas que a União poderá delegar aos Estados e Municípios, através de Lei Complementar, para que esses entes criem leis específicas.
A Carta Magna em seu artigo 22, inciso I, determina que é competência privativa da União Federal legislar sobre Direito Civil. Considerando que a proteção de dados pessoais está abrangida pela noção de privacidade e consequentemente pelo Direito Civil, chegaríamos à conclusão inicial de que os estados e municípios só poderiam legislar sobre o tema, caso a União delegasse expressamente, através de Lei Complementar.
Porém, está tramitando no Congresso Nacional um Projeto de Emenda Constitucional (PEC) de nº 17 de 2019, que tem como objetivo inserir a proteção de dados pessoais como direito fundamental do cidadão, bem como fixar a competência privativa expressa da União para legislar a matéria, ou seja, incluindo um inciso no artigo 22 da CF, de modo a não deixar dúvidas de que a proteção de dados pessoais será de competência privativa da União, não sendo exclusiva.
Caso a PEC, que hoje se encontra sob a apreciação da Comissão de Constituição, Justiça e Cidadania aguardando designação de relator, seja aprovada, os estados e municípios poderão legislar sobre o tema proteção de dados pessoais, desde que a União delegue essa competência, através de Lei complementar.
Quanto ao conteúdo da PEC, consideramos o primeiro ponto (inserção de proteção de dados pessoais como direito fundamental) de extrema relevância e importância pois a Constituição Federal, através dos direitos fundamentais elencados em seu artigo 5º, visa garantir as condições mínimas de vida ao ser humano, lhe assegurando o respeito à vida, liberdade, igualdade e dignidade, para que o cidadão possa ter o pleno e livre desenvolvimento de sua personalidade.
Sendo assim, a Constituição deve acompanhar a evolução social e tecnológica, de modo a continuar assegurando o respeito aos preceitos do artigo 5º, como a dignidade da pessoa humana, à sua liberdade e igualdade. Nesse sentido a proteção aos dados pessoais deve adquirir o status de direito fundamental de forma que o titular dos dados possa ter respeitada a sua vida privada, liberdade de expressão, de informação, de comunicação, bem como a inviolabilidade de sua intimidade, sua honra e imagem.
Em relação ao segundo ponto proposto pela PEC (inserção do inciso XXX ao artigo 22), consideramos que, apesar de ser positivo inserir a proteção de dados pessoais como competência constitucional expressa da União, para não restar dúvidas, esta não deve delegar a competência legislativa aos estados e municípios, pois acreditamos que deve haver uma uniformização do tema. Tendo em vista que as leis que existem atualmente sobre o assunto (lei municipal de Vinhedo e lei estadual de São Paulo) são meras replicações da Lei Federal, o entendimento aqui defendido é pela não delegação da competência legislativa aos estados e municípios. Vale ressaltar que, além da competência legislativa, existe a chamada competência administrativa ou material, que é aquela relacionada com a atuação efetiva dos estados e municípios nesse caso, para executar tarefas, em cumprimento à Constituição e às leis existentes.
Ao nosso ver, os estados e municípios devem possuir apenas a competência administrativa para que consigam dar efetividade aos comandos previstos na Lei Federal de proteção de dados pessoais.
De acordo com tudo que foi exposto acima, para responder ao questionamento feito ao início deste artigo, se a PEC mencionada for aprovada ficará explícito que a União tem competência privativa para legislar sobre proteção de dados pessoais, podendo delegar esta competência para os estados e munícipios, através de Lei complementar. Contudo, no nosso entendimento, a competência dos estados e municípios deve ser apenas administrativa e não legislativa, para evitar que haja conflito normativo entre as Leis e que continue prevalecendo o ambiente hoje existente de insegurança jurídica, no qual os atores envolvidos na proteção de dados pessoais ficam sem saber qual legislação devem seguir, diante da existência de lei municipal, estadual e federal sobre o tema, com questões conflitantes e em desacordo com a Lei Federal de 2018.