Pioneirismo da lei 824/1984 do RJ na proteção de dados pessoais

Dados Públicos

A lei estadual 824, de 28 de dezembro de 1984¹, ainda formalmente em vigor², pode ser considerada um dos primeiros documentos normativos do mundo a tutelar os dados pessoais e, muito provavelmente, a primeira norma brasileira sobre o assunto. Seu objetivo declarado era "assegurar o direito de obtenção de informações pessoais contidas em bancos de dados, públicos e privados, operando no Estado do Rio de Janeiro". Em termos práticos, a lei antecipou em décadas o reconhecimento de princípios que se tornariam a base do direito da proteção de dados, bem como diversos direitos dos titulares de dados e algumas obrigações dos controladores.

Princípio da Finalidade: em seu art. 3º, a lei incorpora explicitamente o princípio da limitação de finalidade (purpose specification), dispondo que, como regra, os dados pessoais coletados para uma finalidade específica não poderiam ser tratados para fins diversos daqueles para os quais foram originalmente obtidos, a menos que se obtenha o consentimento expresso do titular dos dados.
Princípio da Accontability: em seu art. 1º, parágrafo único, a lei determina que qualquer informação pessoal só pode ser registrada acompanhada da identificação da fonte de onde foi obtida. Esse requisito garante a rastreabilidade da origem dos dados, desencorajando a manutenção de dados obtidos de forma ilícita ou desconhecida.
Princípio da Transparência: em seu art. 2º, dispõe a lei que "os bancos de dados existentes no Estado do Rio de Janeiro devem ter sua existência divulgada publicamente, juntamente com informações sobre sua finalidade, abrangência e categorias de informações armazenadas, bem como o nome do responsável por sua administração (controlador)". Além de reforçar a accountability, esta disposição antecipa o princípio da transparência, permitindo que os cidadãos saibam quais bases de dados existem e para que finalidades seus dados podem estar sendo utilizados.
Direito de Acesso: em seu art. 1º, a lei garante a toda pessoa (física ou jurídica) o direito de saber, gratuitamente, quais informações pessoais a seu respeito constam em bancos de dados, sejam eles públicos (estaduais ou municipais) ou privados, em operação no Estado do Rio de Janeiro. Além disso, a pessoa tem o direito de ter acesso a outras informações sobre o tratamento, como a procedência e a finalidade declarada no momento da coleta dessas informações.
Direito de Retificação: além de ter garantido o acesso, o art. 1º também assegura a qualidade dos dados pessoais, reconhecendo o direito do titular de obter a complementação e/ou correção dos dados incompletos ou inexatos.
Direito de Oposição: em seu art. 3º, a lei garante ao titular o direito de contestar a relevância das informações a seu respeito para as finalidades declaradas na formação do banco de dados, opondo-se ao tratamento.
Limitação ao Compartilhamento: em complemento ao princípio de finalidade, o art. 4º da lei limita o tratamento secundário de dados pessoais ao proibir a transferência de dados pessoais de um banco de dados para outro cujo objetivo seja distinto, salvo consentimento prévio e expresso do titular. Trata-se de importante salvaguarda contra o compartilhamento indiscriminado de informações entre bases de dados diferentes. Esse dispositivo antecipa a garantia de que dados coletados em um contexto sejam transferidos para tratamentos em contextos com finalidades distintas, sem que haja ciência e anuência expressa do indivíduo.

Em conjunto, os dispositivos acima mostram que a lei 824/1984 consagrou, de forma pioneira, alguns institutos fundamentais do moderno direito de proteção de dados pessoais: limitação de finalidade, accountability, transparência, limitações ao compartilhamento e tratamento secundário, qualidade dos dados, bem como de alguns direitos dos titulares, como os direitos de acesso, retificação e oposição. Embora apresentados em formulações sintéticas e sem a precisão conceitual (atual) da disciplina, esses institutos são equivalentes àqueles encontrados em leis modernas. A lei, portanto, colocou o Estado do Rio de Janeiro na vanguarda da discussão sobre direitos informacionais dos indivíduos.

Justificativas do PL: Soberania digital e riscos sociais

A lei 824, de 28 de dezembro de 1984, do Estado do Rio de Janeiro, originada do PL 441/1984 de autoria do deputado Eduardo Chuahy, foi elaborada em meio a crescentes preocupações com os efeitos sociais da informática³. Na justificativa do projeto, foi destacado que a informação tornara-se onipresente - "nas fábricas, nos escritórios, nas escolas, nas fazendas e até nos lares" - sendo imperativo que o Brasil desenvolvesse tecnologia própria para não se tornar dependente de outros países, sob pena de "perder até mesmo a sua soberania". Essa referência à necessidade de autonomia tecnológica revela uma preocupação precoce com a soberania digital, antecipando debates modernos sobre independência tecnológica e segurança de dados nacionais.

Além disso, o progresso tecnológico também trazia riscos sociais. A justificativa advertia que o avanço da informática possuía "uma face perversa": a coleta e armazenamento massivo de dados pessoais em bancos de dados poderiam ameaçar a privacidade individual. O texto compara o cenário ao "trágico mundo de Orwell", indicando temor de que, sem controles, pessoas poderiam tornar-se títeres nas mãos do Estado ou de atores inescrupulosos. Em outras palavras, o projeto reconhecia o perigo de um Estado totalitário ou entes privados acumularem informações sobre cidadãos a ponto de minar liberdades individuais - uma clara alusão às distopias de vigilância.

Como resposta, Chuahy propôs medidas legais para regular os efeitos sociais da informática e resguardar os direitos individuais. A justificativa menciona explicitamente a necessidade de normas para proteger os cidadãos contra "tendências totalitárias", assegurando o respeito à privacidade. Essas ideias se basearam em pareceres técnicos e diretrizes elaboradas pela APPD/RJ - Associação de Profissionais de Processamento de Dados do Rio de Janeiro⁴. O Departamento Técnico-Científico da APPD/RJ havia proposto diretrizes gerais para uma política de informática no Estado⁵, e o projeto de lei seguiu essas orientações. Essa influência técnica demonstra que já em 1984 profissionais da área de dados se preocupavam com princípios como proteção à privacidade, controle do uso das informações e direitos dos indivíduos frente a bancos de dados - temas centrais da futura legislação de proteção de dados.

Contexto histórico

Mundial: O desenvolvimento da proteção de dados tem alguns marcos legislativos importantes. Há um consenso de que a Hessisches Datenschutzgesetz, editada pelo estado alemão de Hesse, em 1970, foi a primeira legislação mundial a tratar especificamente sobre o tema, adiantando alguns conceitos que, nas próximas décadas, iriam formar as bases da disciplina. Outras iniciativas legislativas também são comumente referenciadas como pioneiras. No âmbito nacional, destacam-se as legislações da Suécia (1973), dos EUA (Privacy Act de 1974) e da França (lei "Informática e Liberdades" de 1978). Já no âmbito internacional, destaca-se a Convenção 108 do Conselho da Europa de 1981 (primeiro tratado internacional sobre dados pessoais). Não se pode ignorar, também, que a promulgação da lei 824/1984 ocorreu no mesmo período histórico da decisão judicial proferida pelo BVerfG - Tribunal Constitucional Federal da Alemanha no famoso "Julgamento do Censo" (Volkszählungsurteil), relativo à constitucionalidade do censo nacional de 1983.

No entanto, não há na literatura especializada qualquer menção à lei 824/1984 do Estado do Rio de Janeiro, que deve ser reconhecida como uma das primeiras normas mundiais sobre proteção de dados pessoais, seja de âmbito mundial, nacional ou regional. Embora a lei 824/1984 tenha escopo e contexto distintos das legislações acima mencionadas, todas elas compartilham de uma mesma preocupação subjacente: a necessidade de proteger os indivíduos frente ao desenvolvimento das novas tecnologias de processamento de dados. Essas normas emergem como resposta ao surgimento da "sociedade da informação", apresentam enormes similaridades conceituais e compartilham alguns princípios-chave: a ideia de que dados pessoais só devem ser coletados e usados dentro de finalidades legítimas e explícitas, que existe um direito do indivíduo de conhecer, corrigir ou complementar seus dados, e que deve haver limites ao intercâmbio de informações entre diferentes bases sem autorização.

Nacional: A aprovação da lei 824/1984 ganha ainda mais relevo quando inserida no contexto político brasileiro da época. O Brasil vivenciava o auge do movimento Diretas Já, que clamava pelo retorno das eleições diretas para a presidência da República⁶. Era um período de transição, em que, apesar da abertura política gradual iniciada pelo Governo Geisel (1974-1979) e continuada pelo Governo Figueiredo (1979-1985), ainda vigoravam mecanismos de exceção e o aparato de segurança nacional montado pelos militares (como o SNI - Serviço Nacional de Informações).

É notável que, neste ambiente de regime de exceção, tenha sido possível aprovar uma lei profundamente comprometida com direitos individuais e com a limitação do poder estatal e privado sobre informações pessoais. Durante grande parte da ditadura, o monitoramento de cidadãos, a censura e a coleta sigilosa de informações foram práticas comuns do aparato repressivo. A lei 824/1984 contrasta com esse legado autoritário ao afirmar prerrogativas do cidadão comum perante os detentores de bancos de dados - inclusive perante o próprio Estado. Em essência, a lei reconhece que mesmo o Estado do Rio de Janeiro (por meio de seus órgãos e entidades) deveria respeitar a privacidade do indivíduo e conceder transparência sobre os dados que armazenasse, algo impensável nos anos de chumbo mais duros.

O pioneirismo da lei 824/1984 fica evidente também por sua precedência em relação ao arcabouço jurídico nacional. Apenas em 1988, com a nova Constituição da República já no período democrático, o Brasil passaria a prever expressamente o habeas data como garantia fundamental - instrumento que, similarmente, assegura ao cidadão o direito de acessar dados pessoais em arquivos governamentais e de corrigi-los. Ou seja, quatro anos antes da Constituição Cidadã consagrar esse direito no plano nacional, o Estado do Rio de Janeiro já o havia implementado, ainda que de forma mais tímida, por lei ordinária. Além disso, deve ser ressaltado que a lei 824/1984 antecipa discussões que só retornariam à pauta legislativa décadas depois, culminando na LGPD de 2018.

Considerações finais

A lei 824/1984 do Rio de Janeiro revelou-se um diploma visionário e precursor no campo da proteção de dados pessoais e do direito à privacidade informacional no Brasil. Sua elaboração refletiu a preocupação com a soberania tecnológica nacional, ao alertar contra a dependência estrangeira em informática, e simultaneamente deu resposta ao risco à privacidade imposto pela informatização acelerada da sociedade. Ao consagrar princípios como finalidade específica, consentimento para usos adicionais, transparência, e direitos de acesso e retificação, a lei antecipou em mais de três décadas os pilares do atual regime de proteção de dados, demonstrando forte alinhamento com os debates então emergentes no cenário internacional.

Sob a ótica da história brasileira, a promulgação dessa lei no final de 1984 - ainda sob um governo militar - simboliza o contraponto entre um regime de exceção e a defesa de garantias civis. Representa uma afirmação dos valores democráticos e do Estado de Direito nas vésperas da redemocratização: mesmo antes do fim formal da ditadura em 1985, o legislador fluminense lançou mão de uma ferramenta jurídica para limitar abusos informacionais e proteger a esfera privada do cidadão. Trata-se, portanto, de um marco jurídico que combina corajosamente a inovação normativa com a defesa de direitos fundamentais num contexto adverso.

Em síntese, a lei 824/1984 do Rio de Janeiro permanece como um exemplo emblemático de pioneirismo legislativo no Brasil. Antecipando conceitos que hoje são universais, ela assegurou direitos e estabeleceu obrigações em matéria de dados pessoais muito antes de isso se tornar tendência global ou demanda interna generalizada. Sua análise evidencia como a preocupação com a privacidade e a dignidade da pessoa na era da informação pode florescer mesmo nas circunstâncias políticas mais desafiadoras, servindo de referência histórica valiosa no contínuo desenvolvimento do direito à proteção de dados.

_______

1 O texto integral da lei 824/84 pode ser encontrado aqui.

2 Apesar de não expressamente revogada ou invalidada, é discutível se a Lei 824/84 não foi tacitamente revogada pela Lei Geral de Proteção de Dados (Lei Federal no 13.709/2018) ou mesmo pela Lei do Habeas Data (Lei Federal no 9.507/1997), na forma do art. 2º, §1º da LINDB (Decreto-Lei no 4.657/1942), já que são leis posteriores que trazem normas gerais em matéria de proteção de dados e acesso a informações pessoais em bancos de dados públicos. Rememora-se, ainda, que, após a promulgação da Emenda Constitucional no 115/2022, passou a ser de competência privativa da União legislar sobre proteção e tratamento de dados pessoais.

3 Os autores tiveram acesso aos autos do processo de tramitação do PL n. 441/84. Ao todo, o documento tem apenas 23 páginas e não traz muitas novidades além da sua justificativa, que está limitada a duas páginas do documento. Infelizmente, o Deputado Eduardo Chuahy faleceu em 2021, motivo pelo qual não foi possível investigar mais a fundo as motivações que justificaram a propositura do referido projeto de lei. Disponível aqui, com acesso em 27 maio 2025. Por fim, registramos o agradecimento a Leonardo Felipe de Oliveira Ribas por localizar e compartilhar os autos do processo legislativo do PL 441/84 com os autores do presente texto.

4 A Associação dos Profissionais em Processamento de Dados do Rio de Janeiro (APPD-RJ) foi criada em 1977 e absorvida pelo Sindicato dos Trabalhadores em Empresas e Serviços Públicos e Privados de Informática e Internet e Similares do Estado do Rio de Janeiro (SINDPD-RJ) em 1985.

5 Os autores entraram em contato com o SINDPD-RJ para buscar informações adicionais (a) sobre as diretrizes gerais mencionadas no PL, bem como (b) sobre informações de contato de algum associado que pudesse esclarecer o contexto da elaboração do PL e/ou que tenha auxiliado o Deputado Chuahy nessa tarefa. No entanto, o SINDPD-RJ informou que - infelizmente - não possui qualquer registro documental das atividades da APPD-RJ ou o contato de qualquer dirigente da época.

6 No Rio de Janeiro, por exemplo, esse movimento teve uma de suas maiores manifestações no Comício da Candelária, realizado em abril daquele ano, reunindo cerca de um milhão de pessoas.

COORDENAÇÃO

Alisson Possa Advogado. Mestre em Direito Constitucional. Doutorando em Direito. Professor do IBMEC e IDP. Membro da Comissão de Proteção de Dados da Corregedoria do CNJ.

Fabrício da Mota Alves é advogado e professor. Sócio do Serur Advogados na área de Direito Digital. Presidente do Conselho Consultivo da ANATEL e vice-presidente da Comissão de Direito Digital da OAB. Coordenador-adjunto do Observatório Nacional de Cibersegurança, IA e Proteção de Dados. Ex-conselheiro do CNPD/ANPD e membro da Comissão de Juristas de IA no Senado. Certificado como DPO (ECPC-B) e Lead Implementer (ISO 27701).

Rodrigo Borges Valadão é procurador do Estado do Rio de Janeiro. Membro Conselho Nacional de Proteção de Dados e da Privacidade (CNPD). Fundador, ex-presidente e conselheiro da Associação Brasileira de Governança Pública de Dados Pessoais (govDADOS). Especialista em Advocacia Pública pela FGV/RJ. Mestre em "Privacy, Cybersecurity, Data Management, and Leadership" pela Universidade de Maastricht (Países Baixos). Mestre em Teoria do Estado e Direito Constitucional pela PUC/RJ. Doutor em Direito Público pela Albert-Ludwigs-Universität Freiburg (Alemanha). Doutor em Direito Público pela Universidade de São Paulo (USP). Instagram: @rodrigobvaladao

outras edições

APOIADORES

FOMENTADORES

COLUNAS

Dados Públicos

Muito antes da LGPD: O pioneirismo da lei 824/1984 do Estado do Rio de Janeiro em matéria de proteção de dados pessoais

Alisson Possa Advogado. Mestre em Direito Constitucional. Doutorando em Direito. Professor do IBMEC e IDP. Membro da Comissão de Proteção de Dados da Corregedoria do CNJ.