No dia 10 de fevereiro de 2022, o Congresso Nacional promulgou a Emenda Constitucional nº 115 (a 121ª Emenda à Constituição de 1988, considerando as seis Emendas de Revisão de 1994), que inclui a proteção de dados pessoais entre os direitos e garantias fundamentais listados no art. 5º e estabelece a competência material e legislativa da União sobre a proteção e o tratamento de dados pessoais.
Em primeiro lugar, a EC 115/2022 acrescentou o inciso LXXIX ao art. 5º da Constituição, para incluir expressamente a proteção dos dados pessoais:
"LXXIX é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.
Em 2020, o Supremo Tribunal Federal já tinha declarado a proteção dos dados pessoais como um direito fundamental implícito na Constituição, inserido na cláusula geral de privacidade (art. 5º, X e XII), ao analisar os limites das atividades de tratamento de dados pessoais diante do respeito à privacidade, ao julgar o pedido de tutela provisória em cinco ações diretas de inconstitucionalidade (ADI 6387, 6388, 6389, 6390 e 6393), propostas contra a Medida Provisória nº 954/2020. Essa MP, que teve a sua vigência encerrada em 14 de agosto de 2020 (Ato Declaratório do Presidente da Mesa do Congresso Nacional nº 112/2020), impunha às empresas de telefonia fixa e móvel o dever de compartilhar com o IBGE a relação dos nomes, dos números de telefone e dos endereços de seus consumidores, pessoas naturais e jurídicas (art. 2º), para permitir a manutenção da produção estatística oficial durante a situação de emergência de saúde pública de importância internacional decorrente da pandemia da COVID-19.
A inclusão expressa da proteção de dados pessoais no texto constitucional, mais especificamente no art. 5º, leva a três consequências diretas:
- a proteção de dados pessoais passa a ser um direito fundamental expresso na Constituição;
- em consequência, a proteção de dados pessoais é uma cláusula pétrea, que não pode ser revogada ou restringida, nem mesmo por Emenda Constitucional posterior (art. 60, § 4º, IV), ou seja, trata-se de um direito que, de agora em diante, só pode ser ampliado na Constituição;
- e define a competência constitucional do STF, para, em processos de competência originária ou recursal, apreciar questões relacionadas à proteção de dados pessoais, quando houver violação direta ao novo inciso do art. 5º.
Em segundo lugar, a EC 115/2022 modificou dois dispositivos relacionados à competência material e legislativa da União:
- incluiu o inciso XXVI ao art. 21 da Constituição, que contém a competência material exclusiva da União, para acrescentar que a ela incumbe "organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei;
- e acrescentou o inciso XXX ao art. 22 da Constituição, para inserir entre as matérias de competência legislativa privativa da União a proteção e tratamento de dados pessoais.
Desse modo, a Constituição também esclarece que a União tem o dever constitucional de adotar medidas positivas para conferir efetividade à proteção de dados pessoais e para fiscalizar as operações de tratamento (o que, nos termos da LGPD, é realizado pela Autoridade Nacional de Proteção de Dados).
Além disso, o novo texto também esclarece que a proteção de dados se insere na competência legislativa privativa da União (o que já era possível com fundamento no art. 22, I, da Constituição, por se enquadrar no Direito Civil), logo, os demais entes federativos não podem legislar sobre a matéria. Excepcionalmente, recorda-se que a Constituição autoriza que a União, por meio de lei complementar, permita que os Estados legislem sobre questões específicas da matéria (art. 22, parágrafo único).