O ano de 2025 começa com grandes desafios em relação à concretização dos direitos fundamentais no ambiente digital. No Congresso Nacional, dois temas estão no centro das atenções: a regulação da IA – Inteligência Artificial (PL 2.338/23) e das plataformas digitais (PL 2.630/20 e PL 4.691/24).
Esse debate não acontece somente no Brasil. Em todo o mundo, reflete-se a respeito dos desafios de garantir os direitos fundamentais, clássicos e novos, mesmo diante das transformações tecnológicas. Segundo o professor alemão Hoffmann-Riem, ainda que as Constituições e as legislações nacionais permaneçam inalteradas, é importante atualizar a sua interpretação por meio de soluções criativas e inovadoras, para que os valores e princípios constitucionais continuem em pelo vigor, por meio de uma adaptação constitucional que atenda às demandas e transformações atuais1.
Um conceito que ganha força nesse contexto é o de “constitucionalismo digital”.2 Na visão de Gilmar Mendes e Victor Fernandes, trata-se de criar diretrizes capazes de proteger direitos fundamentais no especo digital, servindo de base para legislações e decisões judiciais.3
No Brasil, o tema ganhou destaque em 2024 com julgamentos importantes do STF e do STJ. Essas cortes traçaram caminhos para lidar com os desafios do mundo digital, especialmente na proteção de dados pessoais – um direito reconhecido expressamente pela CF/88 no art. 5º, inciso LXXIX.
Nesse artigo, analisaremos as principais decisões no campo da proteção de dados pessoais, tanto no STJ quanto no STF, o que permitirá também uma análise do que podemos esperar deste ano que se inicia.
Um olhar para os principais julgados de 2024
STF: Requisição de dados por autoridade de investigação e anulação de provas
Um dos temas que foi discutido em diversas oportunidades no STF foi a constitucionalidade de dispositivos legais que permitem MP e órgãos de investigação policiais requisitarem diversos tipos de dados pessoais para empresas privadas sem a necessidade de ordem judicial prévia.
Esse tema é de grande relevância, na medida em que contrapõe princípios bastante diversos: por um lado, as autoridade de investigação precisam de mecanismos precisam de mecanismos ágeis para combater crimes e garantir a segurança pública; por outro, a proteção da privacidade e dos dados pessoais é um direito fundamental, assegurado pela Constituição e reforçado pela LGPD – Lei Geral de Proteção de Dados. O desafio, portanto, está em encontrar um equilíbrio entre eficiência investigativa e salvaguardas adequadas para evitar abusos, garantindo que a requisição de informações respeite limites constitucionais e a proporcionalidade no uso desses dados.
O primeiro caso julgado no ano foi o Habeas Corpus 222.141 pela Segunda turma do STF no mês de fevereiro4, no qual o MP requisitou diretamente a provedores de internet o congelamento de dados como histórico de pesquisa, todo conteúdo de e-mail e iMessages, fotos, contatos e históricos de localização de um investigado. A questão debatida pela turma foi sobre o conceito de “registros de conexão” presente no Art. 13, §2º do marco civil da internet, além da possibilidade de pedidos de congelamento desses dados, para posterior acesso mediante ordem judicial.
A proteção de dados pessoais foi conceito essencial para a solução do caso, sendo utilizado pelo ministro Gilmar Mendes. Em seu voto, foi destacado que os parâmetros procedimentais determinados pelo direito fundamental à autodeterminação informacional devem ser observados em todas as etapas de um tratamento. Nas suas palavras:
Aqui, embora o acesso às informações tenha decorrido de decisão judicial, a própria coleta dos dados, ou congelamento, ocorreu sem a observância dos procedimentos legais. Noutros termos, se é verdade que o sigilo das informações não foi vulnerado sem prévia autorização judicial, também é correto afirmar que o controle da paciente sobre seus dados foi subtraído sem a observância dos procedimentos legais e sem qualquer ordem judicial. Nesse sentido, uma vez inserida na equação a autodeterminação informacional, o mero congelamento de dados sem autorização judicial e fora das hipóteses legais afronta a tutela da privacidade. É inconstitucional, portanto, a subtração do controle do cidadão sobre suas informações (congelamento) sem observância das regras de organização e procedimento, ainda que a quebra do sigilo em si tenha ocorrido, posteriormente, mediante ordem judicial. Caso contrário, a própria possibilidade de dispor de suas informações pessoais, cerne do direito fundamental à proteção de dados pessoais, estaria inviabilizada, sem qualquer autorização legal, parâmetro normativo ou decisão judicial.
Diante desse raciocínio, a ementa do julgado prevê que “Uma vez inserida na equação a autodeterminação informacional, o mero congelamento de dados sem autorização judicial e fora das hipóteses legais afronta a tutela da privacidade”.
Em 2024, outros dois julgamentos se debruçaram sobre dispositivos legais que permitiam requisição de dados sem a necessidade de ordem judicial para crimes específicos.
A ADIn 5.642, julgada no mês de abril pelo plenário5, tratou sobre as requisições diretas nos crimes de sequestro e cárcere privado, redução a condição análoga à de escravo, tráfico de pessoas, extorsão mediante restrição de liberdade da vítima, extorsão mediante sequestro, tráfico internacional de criança ou adolescente.
Considerando a gravidade dos delitos e a necessidade de rápida atuação dos órgãos investigadores, o entendimento majoritário do Tribunal foi no sentido de que há uma prevalência maior da urgência na adoção de medidas para encontrar as vítimas e investigados do que a proteção de dados pessoais dos envolvidos.
A tese fixada estabeleceu os tipos de dados que podem ser objeto de requisição sem a necessidade de ordem judicial para os crimes já citados: “São passíveis de requisição sem controle judicial prévio, mas sempre sujeito ao controle judicial posterior, a localização de terminal ou IMEI de cidadão em tempo real por meio de ERB por um período determinado e desde que necessário para os fins de reprimir os crimes contra a liberdade pessoal descritos no art. 13-A do Código de Processo Penal; o extrato de ERB; os dados cadastrais dos terminais fixos não figurantes em lista telefônica divulgável e de terminais móveis; o extrato de chamadas telefônicas; o extrato de mensagens de texto – SMS ou MMS; e os sinais para localização de vítimas ou suspeitos, após o decurso do prazo de 12 horas constante do § 4º do art. 13-B do Código de Processo Penal”.
Já no mês de setembro, foi julgada a ADIn 4.906, que confrontava a problemática da requisição de dados cadastrais sem ordem judicial para crimes de lavagem de dinheiro6.
Esse caso trouxe uma superação da jurisprudência do Tribunal que tradicionalmente separava os dados estáticos, que eram protegidos pelo art. 5º, inciso X e XII e os dados em comunicação, que não possuíam proteção. Nesse sentido, o ministro Gilmar Mendes destaca que o direito fundamental à proteção de dados pessoais superou essa segregação: “É importante que fique claro que a posição tradicional desta Corte no sentido da diferenciação entre dados estáticos e fluxos comunicacionais para delimitação da proteção constitucional foi superada. Por força do direito fundamental à proteção dos dados pessoais, todas essas informações estão albergadas pela tutela constitucional” (grifo nosso).
Nesse novo contexto constitucional, a preocupação diz respeito às interpretações ampliativas do conceito de “dados cadastrais” para fins de dispensa da reserva jurisdicional. Para evitar esse cenário, em tese defendida pelos ministros Gilmar Mendes e Rosa Weber, foi decido pela necessidade de limitar o conceito de dados cadastrais.
Desa forma, foi fixada a tese: “É constitucional norma que permite o acesso, por autoridades policiais e pelo MP, a dados cadastrais de pessoas investigadas independentemente de autorização judicial, excluído do âmbito de incidência da norma a possibilidade de requisição de qualquer outro dado cadastral além daqueles referentes à qualificação pessoal, filiação e endereço (art. 5º, X e LXXIX, da CF/88).
Essa decisão marca um avanço na jurisprudência do STF ao reforçar a proteção constitucional dos dados pessoais e estabelecer limites claros para a atuação das autoridades investigativas. A superação da distinção entre dados estáticos e fluxos comunicacionais demonstra um reconhecimento da crescente relevância da privacidade no ambiente digital. Ao restringir o conceito de “dados cadastrais” à qualificação pessoal, filiação e endereço, o Tribunal cria uma salvaguarda contra interpretações ampliativas que poderiam comprometer a privacidade dos cidadãos, garantindo maior segurança jurídica no tratamento dessas informações.
STJ: Responsabilidade civil por danos à violação de proteção de dados pessoais e decisões automatizadas
Foram dois os grandes temas envolvendo a LGPD que o STJ analisou envolvendo a existência de responsabilidade civil: decisões automatizadas e danos morais causados por incidentes de segurança.
No julgamento do REsp 2.135.783, a Terceira turma do STJ determinou que as informações utilizadas no descredenciamento de prestadores de serviços, como motoristas de aplicativos, constituem dados pessoais e estão sujeitas à aplicação da LGPD.
O caso envolveu um motorista excluído da plataforma 99 sob a acusação de descumprir o código de conduta da empresa. A relatora, ministra Nancy Andrighi, destacou7 que plataformas digitais utilizam análises de perfil baseadas em decisões automatizadas, frequentemente processadas por IA, que incluem dados pessoais. Ela ressaltou que o art. 5º, inciso I, da LGPD define dado pessoal como qualquer informação relacionada a uma pessoa natural identificada, e que o art. 12, §2º, amplia esse conceito para dados utilizados na formação de perfis comportamentais.
A relatora enfatizou que o motorista, enquanto titular dos dados, tem o direito de solicitar a revisão de decisões automatizadas que impactem seu perfil profissional. Ela também lembrou que a transparência, prevista no art. 6º, VI, da LGPD, é um princípio fundamental, assegurando ao titular acesso a informações claras sobre o tratamento de seus dados. Segundo Nancy Andrighi, o art. 20 da LGPD garante ao motorista o direito de ser informado sobre os motivos de sua suspensão, bem como de solicitar revisão da decisão, preservando seu direito à defesa. A ministra ponderou que, em casos de condutas graves, a plataforma pode suspender imediatamente o motorista para garantir a segurança dos usuários. Nesses casos, o direito de defesa pode ser exercido posteriormente, caso o motorista busque seu recredenciamento.
O caso indica a importância da LGPD para garantir direitos relacionados a decisões automatizadas, que tendem a se tornar uma realidade cada vez maior nos mais diversos setores da economia. Para que o indivíduo possa se proteger contra eventuais abusos, tais como vieses dos algoritmos, dados incorretos ou modelos equivocados ou sem base científica, é fundamental garantir o direito de revisão por uma pessoa natural, sempre que essas decisões tiverem um impacto relevante sobre a sua esfera jurídica.
O tema dos incidentes de segurança que comprometem dados pessoais foi analisado pela Segunda e pela Terceira turma do STJ, resultando em diferentes entendimentos.
No julgamento do agravo em recurso especial 2.130.619 pela Segunda turma, sob a relatoria do ministro Francisco Falcão, ficou decidido que, embora o vazamento de dados pessoais seja uma falha indesejável no tratamento de informações, ele não gera automaticamente o direito à indenização por danos morais. Para que haja compensação, o titular dos dados deve demonstrar um prejuízo efetivo decorrente da exposição dessas informações.
O ministro Francisco Falcão destacou que o art 5º, inciso II, da LGPD estabelece uma categoria específica de dados pessoais considerados sensíveis, os quais, conforme o art 11 da lei, exigem tratamento especial. Entre esses dados estão informações relacionadas à origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicatos ou organizações de caráter religioso, bem como dados sobre saúde, vida sexual e outros de natureza íntima.
No caso em questão, os dados envolvidos eram nome completo, RG, gênero, data de nascimento, idade, telefone fixo, telefone celular e endereço, além de informações relacionadas ao contrato de fornecimento de energia elétrica celebrado com a ré, como carga instalada, consumo estimado, tipo de instalação e leitura de consumo. Esses dados foram considerados pelo relator como comuns, geralmente fornecidos em cadastros diversos, “inclusive nos sites consultados no dia a dia, não sendo, portanto, acobertados por sigilo, e o conhecimento por terceiros em nada violaria o direito de personalidade da recorrida”8.
Ao vincular a possibilidade de reparação apenas ao vazamento de dados sensíveis ou íntimos, não se levou em conta o paradigma da proteção de dados inaugurado com a LGPD, segundo o qual não existe dado pessoal insignificante, merecendo proteção qualquer dado pessoal, seja ele sensível ou não. Diante da sensibilidade do tema, é preciso construir de forma coerente e equilibrada a dogmática e a jurisprudência relacionada à LGPD, sempre em conformidade com a garantia constitucional da proteção de dados pessoais e outros direitos fundamentais.
Já a Terceira turma, em dezembro, ao julgar o recurso especial 2.147.374, reconheceu a responsabilidade da Enel pelo vazamento de dados não sensíveis de uma consumidora, ocorrido após um ataque hacker.
Entre as informações expostas estavam o nome completo, os números de RG e CPF, o endereço, o e-mail e o telefone da consumidora. A ação foi movida para requerer indenização da empresa, que, à época, operava sob o nome Eletropaulo.
Em seu voto, que foi acompanhado por todos os demais membros da turma, o relator ministro Villas Bôas Cueva entendeu que a EC 115/22 introduziu a proteção e o tratamento de dados pessoais no rol de direitos e garantias fundamentais da Constituição, conforme disposto no art 5º, inciso LXXIX. Essa mudança representou um novo marco no ordenamento jurídico brasileiro, fortalecendo os direitos de personalidade, a liberdade e a autodeterminação informativa.
A empresa recorrente, na condição de agente de tratamento de dados, tinha a obrigação legal de implementar medidas de segurança adequadas para proteger as informações dos titulares. Seus sistemas deveriam estar estruturados para atender aos requisitos de segurança, aos padrões de boas práticas e governança, bem como aos princípios gerais da LGPD e às normas regulamentares aplicáveis.
Ainda seguindo ele, o compliance de dados, que visa garantir a conformidade com a LGPD, desempenha um papel essencial ao assegurar a aplicação da legislação e demonstrar a eficácia dos programas de conformidade implementados.
Por fim, entendeu que o tratamento de dados pessoais é considerado irregular quando não oferece o nível de segurança esperado pelo titular, levando em conta as técnicas disponíveis à época, conforme o art 44, inciso III, da LGPD. No caso em questão, a empresa não conseguiu comprovar que o vazamento ocorreu exclusivamente devido a um incidente de segurança, o que inviabiliza a aplicação da excludente de responsabilidade prevista no art 43, inciso III, da LGPD.
O que esperar de 2025
Neste ano, os Tribunais Superiores devem seguir como protagonistas na delimitação de direitos e deveres no ambiente digital. Entre os temas centrais estão a proteção de dados pessoais e a liberdade de expressão.
Um caso emblemático é a arguição de descumprimento de preceito fundamental 1.143, que discute o uso de softwares espiões pela Abin – Agência Brasileira de Inteligência. Sob relatoria do ministro Cristiano Zanin, o julgamento promete avançar neste ano. As audiências públicas realizadas em 2024 destacaram a necessidade urgente de criar regras que equilibrem a proteção dos direitos fundamentais com a segurança nacional.
Outro ponto de destaque são os julgamentos dos Temas 987 e 533, em julgamento no STF, previstos para o início de 2025. Ambos tratam da constitucionalidade do art 19 do marco civil da internet e da responsabilidade das plataformas digitais sobre conteúdos de terceiros. As decisões terão impacto direto no equilíbrio entre a liberdade de expressão e a responsabilização das plataformas no Brasil.
O ano de 2025 promete ser decisivo para a consolidação de um arcabouço jurídico que equilibre inovação tecnológica e proteção de direitos fundamentais no Brasil. O protagonismo do STF e do STJ nessas discussões reafirma a necessidade de um olhar atento para os impactos das novas tecnologias sobre a privacidade, a liberdade de expressão e a responsabilidade das plataformas digitais.
As decisões esperadas para este ano poderão definir diretrizes cruciais para o futuro do ambiente digital no país, influenciando tanto a atuação do Poder Legislativo quanto a atuação do setor privado. A busca por soluções jurídicas que garantam segurança jurídica sem comprometer direitos individuais continuará sendo um desafio essencial, e o acompanhamento desses julgamentos será fundamental para compreender os rumos da regulação digital no Brasil.
1 HOFFMANN-RIEM, Wolfgang. Innovaciones en la Jurisprudencia del Tribunal Constitucional Alemán, a Propósito de la Garantía de los Derechos Fundamentales en Respuesta a los Cambios que Conducen a la Sociedad de la Información. Direito Público, v. 12, 64, 2015, p. 43.
2 Sobre os diferentes debates acerca do conveito, ver PEREIRA, Jane Reis Gonçalves; KELLER, Clara Iglesias. Constitucionalismo Digital: contradições de um conceito impreciso. Revista Direito e Práxis, v. 13, 4, p. 2648-2689, 2022.
3 MENDES, Gilmar Ferreira; FERNANDES, Victor Oliveira. Constitucionalismo digital e jurisdição constitucional: uma agenda de pesquisa para o caso brasileiro. Revista Justiça do Direito, v. 34, 2, p. 6-51, 2020, p. 10.
4 Disponível aqui. Acesso em 24/1/25.
5 Disponível aqui. Acesso em 24/1/25.
6 Disponível aqui. Acesso em 24/1/25.
7 Disponível aqui. Acesso em 6/1/25.
8 Disponível aqui. Acesso em 6/1/25.
Fonte: Migalhas
Deixe um comentário