Dados Públicos

O Marco Legal das Startups (MLS), instituído pela Lei Complementar 182/21, inaugurou uma nova modalidade de contratação pública denominada "Contrato Público para Solução Inovadora" (CPSI). Um ano após a vigência do marco legal, é de interesse acadêmico investigar como a Administração Pública e a iniciativa privada reagiram à novidade. De início, cumpre pontuar que o MLS nasceu com a ousada proposta de desburocratizar o procedimento de contratação de práticas tecnológicas pelo Poder Público e de fomentar o empreendedorismo inovador. Há a reafirmação do laço de cooperação entre o público e o privado, direcionado ao incentivo do estímulo à inovação nas empresas e à modernização tecnológica do Estado a partir de seu poder de compra (art. 12, II). Por meio do CPSI, busca-se o "fomento à inovação e as potenciais oportunidades de economicidade, de benefício e de solução de problemas públicos com soluções inovadoras" (art. 3º, VIII). Em termos normativos, a edição do MLS não trouxe muitas novidades para a seara do direito administrativo licitatório, visto que, de certa forma, as práticas ali delineadas já eram consideradas possíveis a partir da combinação de outros diplomas legais1 (em especial: lei 10.973/2004 - Lei de Inovação - e sua consequente alteração pela lei 13.243/2016; lei 14.133/2021 - Nova Lei de Licitações; e lei 13.303/2016 - Lei das Estatais). Não se discute, contudo, que houve a inauguração de práticas modernas e convenientes com o cenário empresarial atual, sobretudo ao se considerar que as startups - protagonistas da norma - são tidas como os grandes berços da inovação tecnológica. Com isso, buscou-se aproximar a Administração Pública de boas técnicas resolutivas, de modo que constituem finalidades do CPSI "resolver demandas públicas que exijam solução inovadora com emprego de tecnologia"; e "promover a inovação no setor produtivo por meio do uso do poder de compra do Estado" (art. 12, caput). A edição do MLS vincula todo o Poder Público ao novo regime de compras, até mesmo a Administração Pública direta, autárquica e fundacional, inclusive no âmbito estadual, distrital e municipal2 (art. 12, § 1º), com possibilidade de adoção também pelas empresas públicas e sociedades de economia mista3, no que couber, observadas disposições específicas em regulamento interno (art. 12, § 2º). Para estudar o CPSI, inaugurado pelo MLS, optou-se por analisar editais públicos lançados ao longo do último ano e em diversos níveis da Administração Pública. No âmbito do Programa ImpulsiONar, parceria do Instituto Lemann com vários municípios brasileiros, foram lançados diversos editais baseados no MLS com o objetivo de construir práticas inovadoras voltadas à construção de tecnologias para o combate da defasagem nas disciplinas de Língua Portuguesa e Matemática entre os estudantes do 6º ao 9º ano da rede pública de ensino4. Todos os editais foram elaborados com a finalidade de atrair edtechs - startups focadas no desenvolvimento de soluções tecnológicas em educação - para encontrar caminhos inovadores de combate à defasagem escolar a partir de um problema social específico: o déficit nas disciplinas básicas durante as fases finais do ensino fundamental. Para atrair competitividade e fomentar a participação da maior quantidade possível de soluções, os editais delimitam o escopo da licitação com proposituras abrangentes e fazem constar especificamente os resultados que são esperados com a contratação pública, nos moldes do que autoriza o art. 13, § 1º, do MLS. No âmbito do programa ImpulsiONar, muitos são os desafios encontrados pelos gestores em educação no Brasil, de modo que a possibilidade de aliar tecnologia com práticas pedagógicas a partir da contratação pública abre novas portas para soluções criativas. Contribui para a abertura de novos caminhos a possibilidade de delimitação aberta do objeto do contrato, a partir da indicação do problema a ser resolvido e dos resultados esperados pela Administração Pública, o que permite que as startups proponham práticas tecnológicas modernas e personalizadas para a resolução da necessidade específica. Há uma integração entre a demanda e a oferta, de sorte que essa última passa a ter que se adequar ao problema a ser solucionado não mais de forma abstrata, mas para atender às necessidades específicas do ente público. Para a seleção da proposta, dispõe o art. 13, § 4º, do MLS que os critérios de julgamento, sem prejuízos de outros constantes do edital de licitação, devem considerar: o potencial de resolução do problema a partir da solução proposta; a potencial economia para a administração pública; o grau de desenvolvimento da solução; a viabilidade e a maturidade do modelo de negócio da solução; a viabilidade econômica da proposta, considerando os recursos financeiros disponíveis; e a demonstração comparativa de custo e benefício da proposta em relação às demais. Há, ainda, a possibilidade de contratação de mais de uma proposta, cujo quantitativo deve ser exposto no edital (art. 13, § 6º), inclusive em modalidade de consórcio (art. 13, caput). Com isso, o legislador tentou aproximar startups concorrentes para a resolução conjunta de problemas específicos, o que cria cooperação para o cumprimento do interesse público - além de alocação mais eficiente dos recursos. Nos editais do Programa ImpulsiONar há vedação específica da contratação de consórcio, diferentemente do que ocorre no Edital CPSI - Licitação n. 2857625219 - lançado pela Petrobrás S.A em 2021. Neste caso, a opção pela possibilidade de formação de  consórcios para a proposta de soluções tecnológicas conjuntas aos desafios da Empresa foi o de atrair a maior quantidade possível de players do mercado nacional e internacional para dirimir questões técnicas inerentes às áreas finalísticas. O edital contempla diversos desafios que visam munir a Petrobras S.A de soluções tecnológicas nas áreas de robótica, tecnologias digitais e saúde. Os desafios são divididos em Fast Track - de seleção única e simplificada - e Inception - cuja seleção é feita em duas etapas. No primeiro caso, as propostas foram submetidas a uma comissão de licitação composta por especialistas responsáveis por avaliar os critérios de julgamento do edital. Já quanto aos desafios mais complexos (Inception), as propostas foram indicadas pela Autoridade Superior e apresentadas pela Comissão de Licitação ao Comitê Técnico composto por especialistas na área de cada desafio, com o objetivo de dirimir dúvidas específicas. Cabe pontuar que o MLS dispõe que as propostas devem ser julgadas e avaliadas por comissão especial integrada por, no mínimo, três pessoas de reputação ilibada e notório conhecimento técnico, obrigatoriamente sendo: um servidor público integrante do órgão contratante; e um professor de instituição pública de ensino superior na área relacionada ao tema objeto do contrato (art. 13, § 3º, I e II). Nesse ponto, as críticas especializadas apontam um engessamento no processo de tomada de decisão e de escolha da melhor proposta, já que a designação de comissão especial, de acordo com a doutrina administrativista, não é capaz de assegurar completamente a tecnicidade e a impessoalidade5. Isso porque, sobretudo no campo de tecnologia e inovação, há uma específica proximidade entre os atores e os técnicos-julgadores que costumam ser conhecidos, direta ou indiretamente, o que pode impor na influência de critérios subjetivos na tomada de decisão6. Uma vantagem é que os editais ora analisados se aproveitaram da possibilidade de análise posterior da documentação relativa aos requisitos de habilitação (art. 13, § 7º), o que traz maior celeridade ao procedimento. Agora, a administração pública somente avança para analisar o dossiê daquelas propostas que passaram pelo crivo prévio de adequação. Ainda, há a possibilidade de dispensa motivada da documentação de habilitação ou da prestação de garantia para a contratação (art. 13, § 8º, I e II), cuja permissividade legal objetiva também oportunizar a participação de startups que não tenham experiência prévia em processos licitatórios e que buscam no poder público oportunidades de crescimento. É certo que o MLS e o CPSI trazem vantagens para a Administração Pública e para o setor das startups no Brasil, em especial as govtechs. Sua consolidação depende do desenvolvimento de hábitos jurídicos positivos que serão estruturados com o passar dos anos e a partir do pronunciamento dos órgãos de controle em casos concretos. Sua existência no mundo normativo reforça a concepção de que o avanço social, em questão de direito administrativo, depende do alinhamento com a inovação e tecnologia. Em matérias de compras públicas, o alinhamento com as melhores soluções em tecnologia e inovação é o diferencial para a construção de políticas públicas de qualidade que façam sentido para o progresso do País. No último ano, houve a mobilização de CPSI para atrair o setor de tecnologia para a administração pública. Viu-se que, a partir do MLS, o Programa ImpulsiONar auxilia na conexão de edtechs com órgãos da administração pública que necessitam de soluções inovadoras para melhorar a qualidade do ensino na rede pública. A partir de outro contexto, também delineou-se a aplicação do CPSI no âmbito do Estado Empreendedor para garantir maior proximidade com o setor privado na busca de soluções e serviços inovadores na área de petróleo e energia. Ficam claras as vantagens do uso de instrumento de contratação pública tanto para a Administração Pública, quanto para a iniciativa privada. Logo, muito embora ainda exista muito no que avançar em termos de legislação de compras públicas e inovação, é indubitável que o MLS abriu portas para a aproximação mais eficiente, e com certa segurança jurídica, entre Estado e startups. __________ 1 Para críticas que se aprofundam nesse ponto, conferir: Schiefler, Gustavo. CPSI no Marco Legal das Startups: o que se vê e o que não se vê. Revista Conjur, 08 de agosto de 2021. 2 Exemplo do Edital n. 003/2021 do Município de Guaramiranga/CE que objetivou a construção de inovação tecnológica para combater a defasagem nas disciplinas Língua Portuguesa e Matemática dentre os estudantes do 6º ao 9º ano da rede pública de ensino. 3 Vide, como exemplo, o Edital Petrobrás de Chamada Pública de Testes de Soluções 2021/1, elaborado com base no MLS e com o objetivo de "selecionar soluções já validadas ou em fase de validação no mercado, com potencial para atender os desafios da Petrobras". 4 Exemplos: Edital n. 003/2021 do Município de Guaramiranga/CE; Edital 001/2022 do Município de Volta Redonda/RJ; Edital 001/2022 do Município de Bonito/PE; Edital n. 001/2021 do Município de Cabrobó/CE; Edital n. 001/2022 do Município de Santa Maria/RS. 5 Ver Di Pietro, Maria Sylvia. Licitações e contratos administrativos. São Paulo: Editora Forense, 2021. 6 Em igual sentido, conferir: Schiefler, Gustavo. CPSI no Marco Legal das Startups: o que se vê e o que não se vê. Revista Conjur, 08 de agosto de 2021.

É difícil achar um tema sobre privacidade e proteção de dados pessoais que já não tenha sido objeto de discussão no Brasil. Desde a entrada em vigor do Regulamento Geral de Proteção de Dados da União Europeia (RGPD) e da Lei Geral de Proteção de Dados Pessoais (LGPD), inúmeros foram os seminários, palestras, livros e lives que trataram sobre os variados aspectos das legislações, incluindo seus pontos controvertidos1 e omissões. No entanto, ao menos um debate - importante e promissor - permanece inédito (ou insuficientemente enfrentado2) em solo nacional: a proteção dos dados pessoais sob a ótica dos deveres fiduciários informacionais. Para facilitar a leitura, a presente exposição foi divida em duas partes. A primeira foca nos pontos centrais da teoria, incluindo sua origem, conceitos, alcance e atrativos. Já a segunda trata dos riscos, das críticas e da sua potencial aplicação no direito brasileiro, tanto do ponto de vista da base normativa e complementaridade com a LGPD, quanto dos aspectos práticos dos modelos regulatórios possíveis. Feita essa nota introdutória, passamos ao estudo do tema. O modelo fiduciário de proteção de dados pessoais foi originalmente pensado por Jack Balkin, professor de Direito da Yale Law School, em 20143. Em uma publicação em seu blog4, Balkin esboçou as primeiras linhas do que viria a ser uma proposta inovadora de proteção da privacidade e dos dados pessoais nos EUA. Desde então, o conceito foi ampliado e desenvolvido em uma série de artigos5, com a colaboração de Jonathan Zittrain, professor de Direito da Harvard Law School6, tendo influenciado, ainda, o projeto de lei intitulado "Data Care Act of 2018", apresentado no Senado Federal em 12/12/2018.7 Mas no que consiste a teoria dos deveres fiduciários informacionais? Segundo Balkin e Zittrain, vivemos em uma era em que a informação tem um papel central no desenvolvimento econômico e na organização social, de modo que as organizações têm um incentivo de maximização de coleta de dados dos seus usuários, no intuito de usá-los em benefício próprio. Nesse ambiente, quando o titular fornece seus dados em troca de bens e serviços, ele se vê obrigado a confiar no prestador, já que, em regra, ele não compreende a complexidade do mundo virtual e de que maneira seus dados podem ser usados contra os seus interesses. Ainda que entenda, raramente terá a faculdade de não utilizar o serviço ou o poder de barganha para mudar os termos do contrato.8 É justamente por conta dessa relação de sujeição e confiança "cega", aliada aos problemas de assimetria informacional, de vulnerabilidade do consumidor e de incentivo econômico ao abuso no tratamento dos dados pessoais, que Balkin sugere que os provedores de aplicação de internet deveriam ser tratados como fiduciários informacionais, os quais deveriam obedecer a três deveres legais: lealdade, confidencialidade e cuidado. No entanto, antes de minudenciar o conteúdo desses deveres, é preciso entender o porquê da analogia proposta por Balkin. A palavra fiduciário vem do verbo latim fidere, que significa confiar.9 Conceitualmente, fiduciário é alguém que mantém uma relação de confiança com um terceiro (conhecido como "beneficiário", "principal" ou "cliente") e que está autorizado a manter e gerir algo valioso - como dinheiro, propriedade e informações - em nome deste beneficiário. Nessa relação, o beneficiário deposita sua confiança no fiduciário, que, por sua vez, tem o dever (fiduciário) de não trair essa confiança. Esses "deveres fiduciários" já são amplamente reconhecidos em uma gama bem ampla de relações jurídicas, como, por exemplo, nas relações que os clientes têm com os seus advogados, médicos e psicólogos, que devem utilizar tais informações em benefício do cliente/paciente ou, na pior das hipóteses, de modo que não prejudique os seus interesses ou as suas expectativas legítimas. Deveres fiduciários existem para proteger indivíduos que estão numa posição de fraqueza numa relação jurídica e servem, sobretudo, para regular os casos de interesses conflitantes entre as partes. No Brasil, por exemplo, advogados não podem violar seu sigilo profissional, estabelecer entendimento com a parte adversa sem autorização do cliente, locupletar-se às custas deste ou receber valores, da parte contrária ou de terceiro, relacionados com o objeto do mandato, sem expressa autorização do constituinte10. Médicos também devem resguardar o sigilo profissional e se valer dos seus conhecimentos técnicos sempre em benefício do paciente11. Psicólogos não podem induzir a convicções políticas, filosóficas, morais ou religiosas, ou receber vantagens por encaminhamento de serviços, e devem "considerar as relações de poder nos contextos em que atuam e os impactos dessas relações sobre as suas atividades profissionais"12. A lista de exemplos é extensa, mas todos os casos possuem os mesmos elementos em comum: (i) desequilíbrio de poder entre as partes e assimetria informacional; (ii) inabilidade do cliente/paciente para supervisionar, controlar ou monitorar as atividades do profissional; (iii) a relação de sujeição que se estabelece entre o profissional e o interessado; e (iv) a consequente vulnerabilidade associada à necessidade de confiança naquele prestador. A ideia, portanto, é que os agentes de tratamento, no geral, e as plataformas, no particular, sejam compelidas a agir de maneira confiável, tal como fiduciários tradicionais, rentabilizando seus serviços dentro dos limites impostos não só pela legítima expectativa dos clientes, mas também pela natureza da relação fiduciária, que pressupõe que o agente fiduciário não se locupletará em detrimento do próprio beneficiário, ainda que este possa não ter o conhecimento técnico necessário para identificar e mensurar a dimensão do dano. É nesse cenário que exsurgem os três deveres fundamentais do fiduciário informacional. O primeiro deles é o dever de lealdade, que requer que as organizações ajam de modo a satisfazer os interesses e as expectativas do usuário, evitando práticas que permitam um benefício próprio em detrimento do titular de dados. O segundo é o dever de confidencialidade, que exige que o provedor do serviço não divulgue ou compartilhe os dados em desconformidade com a legítima expectativa de privacidade dos seus usuários. O terceiro é o dever de cuidado, que exige que a organização proteja os dados pessoais sob sua guarda e não os compartilhe com terceiros que não assumam deveres fiduciários informacionais de igual estatura. Todos esses deveres convergem em um dever geral de confiança, que impede que as organizações se aproveitem de uma situação privilegiada em uma relação assimétrica para coletar, processar, usar e compartilhar dados de uma forma que seja prejudicial aos interesses e legítima expectativas dos seus usuários.13 Vale dizer que essa construção do Balkin é teórica e contextual, muito como a definição de privacidade enquanto "integridade contextual"14. Ela se inspira nos fundamentos dos deveres fiduciários tradicionais para criar um sistema equivalente de tutela da privacidade e dos dados pessoais, sem entrar nas minúcias regulatórias envolvendo cada tipo de negócio. A proposta é, portanto, deliberadamente aberta, se limitando às diretrizes que devem guiar as relações sociais em um mundo conectado, sem fechar as portas para futuros serviços e modelos de negócio que ainda não conhecemos. E o que essa teoria traz de novo para o debate sobre privacidade e proteção dos dados pessoais? Em que medida ela se compara (e se compatibiliza) com o RGPD e a LGPD? É possível dizer que ambas as propostas comungam dos mesmos diagnósticos a respeito dos problemas relacionados à violação da privacidade e mercantilização dos dados pessoais, mas propõem vias alternativas de solução. Assim como a proposta legislativa de Balkin, o GDPR e a LGPD também admitem a existência de uma assimetria informacional entre titulares de dados e controladores. No entanto, enquanto o GDPR e a LGPD dão ênfase ao empoderamento e à autodeterminação informativa do titular do dado pessoal, a proposta de Balkin foca na relação em si e na mudança de status jurídico que traz obrigações próprias ao seu controlador. Apesar das suas diferenças, parece não haver incompatibilidade entre os modelos. Em um dos seus artigos, Balkin contrastou a sua proposta com o GDPR, concluindo que "existe uma sobreposição razoável entre os dois, sendo que a principal diferença é a base para a proteção da privacidade - enquanto o GDPR foca no consentimento do usuário em um modelo contratual, a abordagem fiduciária se afasta dos termos de uso e obriga os provedores de serviço na internet a agirem em boa-fé e de modo não manipulativo."15 A ausência de incompatibilidade entre os modelos é, na realidade, um dos atrativos da teoria de Balkin. Os deveres fiduciários informacionais podem (e devem) dialogar com outras fontes do ordenamento jurídico, como as normas oriundas do direito do consumidor, do direito da concorrência e das leis gerais de proteção de dados pessoais. Além dessa versatilidade, outras vantagens dessa teoria podem ser notadas:  Diminuição da fadiga do usuário e da pressão sobre o seu consentimento - Muitos titulares de dados têm dificuldade para entender o complexo fluxo de informações no ambiente virtual e as consequências práticas das suas escolhas de privacidade. Não só isso, seu consentimento raramente é livre e informado, sendo influenciado por vieses cognitivos e pela própria arquitetura de escolha. Assim, ao fim do dia, o usuário-médio não está preocupado com o aviso de privacidade da plataforma. Ele apenas espera usar o serviço, não ser prejudicado e não ter a sua confiança abusada (o que é um dos objetivos almejados pelos deveres fiduciários informacionais).   Abordagem menos formalista - Enquanto soluções baseadas em consentimento16 ignoram a realidade de desinteresse do usuário (que, normalmente, consente com os termos de uso sem ler), a teoria dos deveres fiduciários informacionais impõe às organizações um dever de atuação contínua em prol dos interesses do usuário. Em outras palavras, a teoria traz um novo padrão de conduta para os provedores, e não apenas uma camada artificial de conformidade regulatória.   Deslocamento do paradigma de proteção do "contratual" para o "regulatório" - Modelos contratuais se mostram pouco protetivos se o usuário-médio for incapaz de avaliar o dano e o risco cumulativo das suas escolhas de privacidade. Portanto, os deveres fiduciários informacionais seriam um modelo de imposição regulatória, que traria maior confiança, previsibilidade e estabilidade nas expectativas de privacidade, já que os direitos dos usuários não ficariam sujeitos aos simples termos de uso das plataformas, que podem mudar subitamente.  À luz de todos esses traços e características originais, a proposta de Balkin merece, no mínimo, debate e consideração pela academia brasileira. É uma perspectiva nova e instigante, sem precedente no direito positivo, mas com vasto potencial a ser explorado. Em síntese, é mais uma ferramenta à disposição do Estado para a tutela efetiva do direito fundamental à proteção de dados pessoais. Agora, há espaço para adoção da teoria dos deveres fiduciários informacionais no Brasil? Há base normativa (na LGPD ou no ordenamento jurídico pátrio) para adoção dessa ferramenta de tutela dos dados pessoais? Quais são as suas principais críticas e riscos? Qual seria o melhor desenho regulatório, no caso de sua eventual implementação? Essas são algumas das questões que serão tratadas na segunda parte desta exposição. __________ 1 Especial ênfase deve ser dada à discussão a respeito dos limites das bases de tratamento de dados pelo "consentimento" e "legítimo interesse", já que se conectam diretamente com a presente discussão sobre a teoria dos deveres fiduciários informacionais. 2 Em consulta realizada em 31/07/2022, o Google não retornou nenhum resultado para a expressão "deveres fiduciários informacionais", seja em seu buscador geral, seja em seu buscador acadêmico. 3 Embora haja quem defenda que a ideia de plataformas online enquanto "fiduciários informacionais" foi cunhada pelo professor Kenneth Laudon no início dos anos 90. Cf. KHAN, Lina M.; POZEN, David. E. A Skeptical View of Information Fiduciaries. Harvard Law Review, Vol. 133, pp. 497-541, 2019. Disponível aqui. Acesso em 31 de julho de 2022. 4 BALKIN, Jack M. Information Fiduciaries in the Digital Age. Balkinization, 5 de março de 2014. Disponível aqui. Acesso em 31 de julho de 2022. 5 Cf. BALKIN, Jack M.; ZITTRAIN, Jonathan. A Grand Bargain to Make Tech Companies Trustworthy. Atlantic, 03 de outubro de 2016. Disponível aqui; BALKIN, Jack M. Information Fiduciaries and the First Amendment. UC Davis Law Review, Vol. 49, No. 4, 2016. Disponível aqui. Id. Free Speech in the Algorithmic Society: Big Data, Private Governance, and New School Speech Regulation. Yale Law School, Public Law Research Paper No. 615. Disponível aqui. Id. Free Speech is a Triangle. Yale Law School, Public Law Research Paper No. 640. Disponível aqui. Id. Fixing Social Media's Grand Bargain. Yale Law School, Public Law Research Paper No. 652. Disponível aqui; Id. The First Amendment in the Second Gilded Age. 66 Buff. L. Rev. 979 (2018). Disponível aqui; Id. The Fiduciary Model of Privacy. Harvard Law Review, Vol. 134, No. 1 (2020). Disponível aqui; e Id. How to Regulate (and Not Regulate) Social Media. Journal of Free Speech Law 71 (2021). Disponível aqui. 6 ZITTRAIN, Jonathan. Facebook Could Decide an Election Without Anyone Ever Finding Out. New Republic, 1º de junho 2014. Disponível aqui; Id. How to Exercise the Power You Didn't Ask For, Harv. Bus. Rev., 19 de setembro de 2018. Disponível aqui; Id. Mark Zuckerberg Can Still Fix This Mess. N.Y. Times, 7 de abril de 2018. Disponível aqui.; e Id. Engineering an Election. Harvard Law Review Forum, Vol. 127, p. 335, 2014. Disponível aqui. 7 Data Care Act of 2018, S. 3744, 115th Congress. Disponível aqui. Acesso em 31 de julho de 2022. 8 Não se pode perder de vista que a proposta de Balkin parte da premissa que, nos EUA, ainda não existe uma legislação compreensiva federal sobre proteção de dados, de modo que os termos de uso e os avisos de privacidade ainda são a principal fonte de proteção da privacidade e dos dados pessoais. 9 Véliz (n 8), p. 185 10 Art. 34, VII, VIII, XIX e XX da Lei Federal no 8.906/1994. 11 Cap. I, V, XI, XVII, XXIII; Cap. III, art. 20 e Cap. V, art. 32 da Resolução CFM no 1.931/09. 12  Art. 2º, alíneas "b" e "p" da Resolução CFP no 010/05. 13 Balkin sintetiza a ideia da seguinte forma: "Perhaps the best way of summarizing the idea of information fiduciaries in the digital age is that online service providers may not act like con men. The term 'con man' is short for 'confidence man,' and the point of a 'con game' (or 'confidence game') is to gain the trust and confidence of a mark in order to act against their interests later on. The idea of a con game is just the mirror image of the idea of a fiduciary duty: if you induce another to treat you with confidence, you cannot turn around and betray that confidence." BALKIN, Jack M. Information Fiduciaries and the First Amendment. UC Davis Law Review, Vol. 49, No. 4, 2016. p. 1224. 14 Cf. NISSENBAUM, Helen. Privacy as contextual integrity. Washington Law Review, Vol. 79, No. 1 (2004), pp. 119-157. 15 BALKIN, Jack M. Fixing Social Media's Grand Bargain. Yale Law School, Public Law Research Paper No. 652. Disponível aqui. p. 15. 16 Note-se, no entanto, que esse ponto pode carregar uma certa compreensão equivocada ou, no mínimo, desatualizada sobre o sistema europeu. De fato, nas suas origens no constitucionalismo alemão, o consentimento acabava desempenhando um papel de destaque, tendo em vista o princípio da autodeterminação informacional. Se essa crítica era, de certa forma, válida sob o regime da Diretiva 95/46/CE, o mesmo não pode ser dito do regime do RGPD, que representa um tremendo esforço regulatório contra a centralidade do consentimento.

"Todos os dados sobre nós são, na verdade, componentes da nossa personalidade." Rachel Richterich Os dados estão em toda parte. Eles constituem um dos pilares da denominada 4ª revolução industrial,1 uma profunda transformação tecnológica ainda em curso, caracterizada por ondas simultâneas de notáveis avanços tecnológicos em diversas áreas do conhecimento e pela interação/fusão dessas tecnologias nos domínios físico, biológico e digital. Na "era da informação", todos os dados - com especial destaque para os dados pessoais - são negociados como verdadeiras "commodities", cujos custos de armazenamento, transporte e replicação são praticamente nulos.2 Os perigos da "comoditização" dos dados, no geral, e dos dados pessoais, em particular, já foram bem explorados pela literatura especializada.3 Há uma espécie de consenso de que o maior dos perigos é que a coleta e o processamento dessa enorme quantidade de dados geram conhecimento, e isso, por sua vez, implica poder. A partir dos dados pessoais, empresas e governos aprendem cada vez mais sobre o seu titular. No limite, esse imenso poder acaba permitindo que organizações decidam à revelia das pessoas o que conta e o que não conta como conhecimento sobre elas.4 E essa nova forma de exploração pode representar um risco mensurável a partir de diferentes escalas e com diferentes repercussões pessoais. Exatamente para combater os efeitos indesejados da "economia de dados"5 é que surgiram, nas últimas décadas, diversas leis sobre proteção de dados pessoais. A preocupação de recolocar o indivíduo no controle das informações que lhe digam respeito está na base dessas legislações desde a histórica decisão do BVerfG,6 de 1983, que reconheceu a autodeterminação informacional como um direito fundamental.7 Seu objetivo é fornecer aos indivíduos um poder real e permanente de controle sobre os seus próprios dados,8 livrando-o de influências externas e dando-lhe conhecimento de como terceiros lidam com as informações lhe dizem respeito. Apesar de alguns avanços pontuais, ainda há muitos desafios em aberto e diversos problemas a serem resolvidos.9 A razão dessas limitações parece ser óbvia. Da forma em que evoluíram nas últimas décadas, essas legislações acabaram sendo muito eficientes para proteger as informações relacionadas à pessoa natural, mas não necessariamente a própria pessoa natural.10 Com efeito, as legislações atuais regulam e, como consequência, protegem especialmente o uso de certos elementos dessa identidade, e não a identidade em si. Um desvirtuamento de propósito e uma incongruência em relação ao intuito original dessas regulações. Em última análise, importante destacar que os dados pessoais não são - ou não deveriam ser - categorias externas, mas, sim, uma projeção da própria pessoa natural.11 De fato, parece que as legislações de proteção de dados inspiradas no sistema europeu evoluíram centradas no conceito de informação, falhando em estabelecer uma noção compreensiva do conceito de identidade digital da pessoa humana. Ocorre, contudo, que os dados pessoais são elementos constitutivos da própria identidade pessoal, e não algo externo a ela, de modo que não haveria qualquer "diferença entre a esfera de informação de uma pessoa e sua identidade pessoal".12 Uma vez que a proteção da pessoa no mundo digital é mais importante que a proteção dos seus dados pessoais,13 seria necessária uma mudança de paradigma, com o reconhecimento de uma categoria jurídica centrada na pessoa, e não nas suas informações. Note-se que houve um esforço, nesse sentido, na própria cláusula preliminar da LGPD: seu art. 1º, destinado a propagar o objeto da norma e seu âmbito de aplicação (art. 7º da LC  95/98), declara que seu propósito é "proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural", mas busca fazê-lo através de regras e de um estatuto de direitos voltados à conformação do tratamento da informação pessoal. Assim sendo, para aumentar a eficácia dos sistemas de proteção de dados pessoais, seria necessário o reconhecimento, em sede constitucional, de uma nova categoria jurídica compreensiva, que sirva de base adequada para a proteção da pessoa humana na era da informação. Esse seria o direito à integridade digital, um novo fundamento constitucional para os direitos digitais e uma nova manifestação do conceito restritivo de dignidade humana.14 De fato, na "era da informação", a existência humana não se limita aos seus atributos psicofísicos, mas, na atualidade, também inclui representações digitais desses atributos. É inegável que a vida de uma pessoa hoje se desenvolve em duas dimensões diferentes, que estão intrinsecamente interligadas como dois lados da mesma moeda: a dimensão psicofísica e a dimensão digital, que simplesmente não podem ser separadas. Como consequência, não é possível proteger juridicamente apenas uma dimensão e ignorar a outra.15 Assim sendo, se a existência psicofísica da pessoa é protegida por meio do reconhecimento de direitos fundamentais que impedem qualquer violação à sua integridade, o advento do homo digitalis também deve levar ao reconhecimento de direitos fundamentais que protejam a sua integridade no mundo digital.16 A lógica do argumento é simples: se as pessoas vivem digitalmente, sua integridade também se estende a essa dimensão e, por isso, deve ser protegida.17 E da mesma forma que o corpo psicofísico pode ser protegido de forma alheia ou, no limite, de forma contrária à vontade do seu titular, talvez também seja importante reconhecer uma proteção compreensiva do corpo digital. Essa proteção compreensiva decorre da própria natureza bidimensional da dignidade humana, suporte final da integridade humana, no geral, e da integridade digital, em particular. De um lado, a dignidade humana pode funcionar como um mandado de empoderamento. Essa é a abordagem clássica do direito da proteção de dados, que remonta ao reconhecimento da autodeterminação informacional como direito fundamental pelo BVerfG.18 Trata-se de uma leitura apoiada numa concepção formal de dignidade humana, própria da filosofia política,19 cuja máxima é "o homem é um sujeito capaz de se autodeterminar" (fórmula do reconhecimento mútuo).20 A ideia aqui é reconhecer a cada indivíduo autonomia21 para decidir os rumos da própria vida e, como consequência, o poder de decisão sobre o tratamento dos seus dados pessoais.22 De outro lado, a dignidade humana também pode funcionar como um mandado de constrangimento, ancorada numa leitura material da dignidade humana, uma formulação própria da filosofia moral, cuja máxima é "o homem não pode ser reduzido a um objeto, um meio para o atingimento de um fim" (fórmula da objetificação).23 Trata-se de uma abordagem que serve como um guarda-chuva para uma série de mandamentos orientados para o reconhecimento de direitos individuais oponíveis erga omnes. Nesse caso, a vontade (autonomia) do indivíduo tem pouco ou nenhum peso, porque a preocupação é resguardar a sua condição humana in re ipsa. Extrai-se dessa concepção de dignidade humana, por exemplo, a proibição de venda dos próprios órgãos pelo indivíduo ou a proteção daqueles que, por qualquer motivo, não podem fazer uso das suas faculdades de autodeterminação. Concepções perfeitamente extensíveis aos dados pessoais e já amparadas por proteção tanto jurídica, como, mais recentemente, moral (até recentemente, não era repreensível socialmente o "comércio de dados pessoais", o que mudou a partir da evolução sobre o direito à proteção de dados pessoais). Desse modo, uma proteção satisfatória da dimensão digital da pessoa humana não deve ser limitada à sua autodeterminação informacional. O reconhecimento da integridade digital como um novo direito fundamental também deve ser orientado pela "dignidade como constrangimento", com o intuito de coibir o processo de mercantilização dos dados pessoais dos indivíduos, evitar os indivíduos "abram mão" de aspectos substanciais relativos à sua personalidade e ajudar que a tecnologia funcione no interesse da dignidade humana.24 Uma pessoa não deve apenas poder controlar informações sobre si mesma usando direitos digitais, mas também ter certeza de que, se tal controle não for completamente possível, ninguém extrairá, transferirá ou usará suas informações para prejudicá-la, mesmo no caso de seu consentimento.25 Talvez seja importante reconhecer um novo quadro regulatório, centrado no direito à integridade digital (e não na simples proteção dos dados pessoais), que contenha aspectos da dignidade humana como constrangimento ao lado da já tradicional dignidade humana como empoderamento, tradicional no direito à proteção de dados. O reconhecimento da integridade digital como um novo direito fundamental, de status constitucional,26 pode contribuir com a proteção efetiva do indivíduo na esfera digital e enfraquecer a tendência de comoditização dos dados pessoais, não propriamente impedindo sua utilização, mas redefindo-a em um novo contexto social e individual. _____ 1 A 1ª revolução industrial ocorreu entre 1760 e 1840, com o surgimento da máquina a vapor, que mecanizou a produção, e das estradas de ferro. A 2ª revolução industrial ocorreu na virada do século XIX para o século XX, com o advento da eletricidade e com o início da produção em massa, e com ela vieram o automóvel, o telefone, o rádio e o avião. Já a 3ª revolução industrial aconteceu na década de 1960, com a junção da eletrônica com a tecnologia da informação, responsável pelo movimento de automação. Sobre o tema: Schwab (2016), p. 11.  2 Schwab (2016), p. 12.  3 Apenas para citar alguns: Morozov e Marcondes (2018); Da Empoli e Bloch (2019); O'Neil (2020); Zuboff (2020). 4 Véliz (2021), p. 82.  5 Carrière-Swallow e Haksar (2019). 6 Bundesverfassungsgericht (Tribunal Federal Constitucional da Alemanha) 7 BVerfG 1 BvR 209, 269, 362, 420, 440, 484/83 (). 8 Maldonado e Opice Blum (2019), p. 27.  9 Apenas para dar um exemplo, o EDPS Ethics Advisory Group, num relatório de 2018, apontou que o direito à proteção de dados não parece suficiente para resolver todos os problemas éticos causados pelos recentes desenvolvimentos tecnológicos digitais, e que "as legislações de proteção de dados pessoais, como o GDPR, [...] parecem inadequados para enfrentar os desafios sem precedentes levantados pela virada digital.", EDPS Ethics Advisory Group (2008), p. 7. 10 Urgessa (2016) p. 106.  11 Vardanyan, Stehlík, Kocharyan (2022), p. 9. 12 Floridi (2005), p. 195. 13 Vardanyan, Stehlík, Kocharyan (2022), p. 169.  14 Vardanyan, Stehlík, Kocharyan (2022); p. 161.  15 Vardanyan, Stehlík, Kocharyan (2022), p. 170.  16 Vardanyan, Stehlík, Kocharyan (2022), p. 171.  17 Barbey (2019). 18 Em síntese, entendeu o BVerfG que que, com ajuda do processamento eletrônico, informações detalhadas de uma pessoa podem ser ilimitadamente armazenadas, consultadas e combinadas, formando um quadro da personalidade relativamente completo, sem que a pessoa atingida possa controlar suficientemente sua exatidão e seu uso. Isso ampliaria, de maneira até então desconhecida, as possibilidades de influência sobre o comportamento do indivíduo em função da pressão psíquica causada. 19 Sobre as distinções entre as concepções material e formal do princípio da dignidade da pessoa humana confira-se: Christoph Möllers (2009), p. 435. 20 Christoph Möllers (2009), p. 427; Pfordten (2006), p. 511. 21 Do grego auto (próprio/própria) e nomos (norma). 22 BVerfG 1 BvR 209, 269, 362, 420, 440, 484/83 (). 23 Christoph Möllers (2009), p. 434. 24 Vardanyan, Stehlík, Kocharyan (2022), p. 175, 176 e 178. 25 Vardanyan, Stehlík, Kocharyan (2022), p. 179. 26 Essa ideia de constitucionalização do direito à integridade digital vem sendo travada atualmente na Suíça, em 2 (dois) níveis distintos: a) no âmbito regional, por uma proposta de alteração da constituição do cantão de Valais, e b) no âmbito nacional, por um projeto de emenda constitucional de iniciativa popular. No segundo caso, a ideia adicionar um segundo parágrafo ao artigo 10 da Constituição da Suíça, nos seguintes termos: "Toda pessoa tem o direito à liberdade pessoal e em particular à integridade física, mental e digital, bem como à liberdade de locomoção".  BIBLIOGRAFIA 1 Barbey, Grégoire. Il est temps de reconnaître l'intégrité numérique des individus. Disponível aqui.  2 BVerfG 1 BvR 209, 269, 362, 420, 440, 484/83. (Völkszählungsgesetz). 3 Carrière-Swallow, Yan; Haksar, Vikram. A economia dos dados. Disponível aqui. 4 Christoph Möllers. Democracy and Human Dignity: Limits of a Moralized Conception of Rights in German Constitutional Law. Israel Law Review, v. 42, 2009. 5 Da Empoli, Giuliano; Bloch, Arnaldo. Os engenheiros do caos. São Paulo: Vestígio, 2019. 190 p. ISBN 9788554126605. 6 EDPS Ethics Advisory Group. Towards a digital ethics, 2008. Disponível aqui. 7 Floridi, Luciano. The Ontological Interpretation of Informational Privacy. Ethics and Information Technology, v. 7, n. 4, p. 185-200, 2005. doi:10.1007/s10676-006-0001-7. 8 Maldonado, Viviane Nóbrega; Opice Blum, Renato (Ed.). LGPD: Lei Geral de Proteção de Dados comentada. 2. ed. São Paulo: Thompson Reuters, 2019. ISBN 978-85-5321-393-1. 9 Morozov, Evgeny; Marcondes, Claudio. Big tech: A ascensão dos dados e a morte da política. São Paulo: Ubu, 2018. 189 p. (Coleção exit). ISBN 9788571260122. 10 O'Neil, Cathy. Algoritmos de Destruição em Massa: Como o big data aumenta a desigualdade e ameaça a democracia. Santo André: Editora Rua do Sabão, 2020. 11 Pfordten, Dietmar von der. Zur Würde des Menschen bei Kant. Jahrbuch für Recht und Ethik / Annual Review of Law and Ethics, v. 14, p. 501-517, 2006. 12 Richterich, Rachel. L'intégrité numérique: le vrai combat pour nos données. Disponível aqui.  13 Schwab, Klaus. The Fourth Industrial Revolution. Geneva: World Economic Forum, 2016. ISBN 978-1-944835-01-9. 14 Urgessa, Worku Gedefa. The Feasibility of Applying EU Data Protection Law to Biological Materials: Challenging 'Data' as Exclusively Informational. Information Technology and Electronic Commerce LawJournal of Intellectual Property,, v. 7, n. 2, 2016. 15 Vardanyan, Lusine; Stehlík, Václav; Kocharyan, Hovsep. Digital Integrity: A Foundation for Digital Rights and the New Manifestation of Human Dignity. TalTech Journal of European Studies, v. 12, n. 1, p. 159-185, 2022. doi:10.2478/bjes-2022-0008. 16 Véliz, Carissa. Privacidade é poder: Por que e como você deveria retomar o controle de seus dados. 1. ed. São Paulo: Contracorrente, 2021. 287 p. ISBN 9786588470725. 17 Zuboff, Shoshana. A Era do Capitalismo de Vigilância: A luta por um futuro humano na nova fronteira do poder. Rio de Janeiro: Intrínseca, 2020.

A Medida Provisória 1.124, editada em 13/6/2022, promoveu mudanças substanciais na natureza jurídica da Autoridade Nacional de Proteção de Dados (ANPD), órgão "responsável por zelar, implementar e fiscalizar o cumprimento" da Lei Geral de Proteção de Dados Pessoais (LGPD) "em todo o território nacional" (art. 5º, inc. XIX, LGPD). A proposição atende à expectativa declaradamente prevista no art. 55-A, § 1º, da lei de dados, que estabelecia ser a natureza jurídica do órgão transitória, abrindo-se espaço para uma possível transformação em "entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República". Mas não corresponde, historicamente, ao anseio original do Congresso Nacional. É bem verdade que a necessidade de um órgão regulador e de fiscalização sempre foi consenso entre os Poderes Executivo e Legislativo e a própria sociedade. Tanto assim que o Congresso, ao final do processo legislativo dos projetos de lei aprovados e sancionados na forma da LGPD, propôs, por emenda parlamentar, sua criação. Porém, em sua primeira proposta, vetada pelo Presidente da República, a ANPD teria sido órgão "integrante da administração pública federal indireta, submetida a regime autárquico especial e vinculada ao Ministério da Justiça", ao qual se aplicaria a lei 9.986, de 18 de julho de 2000, que "dispõe sobre a gestão de recursos humanos das Agências Reguladoras e dá outras providências". Tanto a medida provisória 869, de 2018, como a legislação dela convertida, a lei 13.853, de 2019, já propuseram ora um órgão integrante da administração pública federal, ora integrante da Presidência da República, ou seja, sem a natureza jurídica de autarquia especial, tal como era o desejo parlamentar. Nessa toada, o Parlamento negociou com o Governo federal um meio-termo, que é precisamente a declaração de transitoriedade, contida no art. 55-A, § 1º, fruto de emenda do relator da matéria, materializada na forma de um projeto de lei de conversão: dois anos após a entrada em vigor da estrutura regimental da ANPD, foi estabelecido que poderia haver sua transformação em autarquia especial. Obviamente, essa cláusula não possuía força normativa vinculante alguma, mas meramente sugestiva. Em primeiro lugar, porque o legislador presente não pode vincular a atuação do legislador futuro, de modo que eventual lei posterior que fosse incompatível com esse mandamento iria simplesmente revogá-lo. Em segundo lugar, porque é reservado constitucionalmente ao Presidente da República a iniciativa de projetos de lei que proponham a criação de órgãos da administração pública (art. 61, § 1º, inc. II, al. "e", CF). Entendimento diverso, no sentido de se tratar de uma obrigação imposta pelo Legislativo ao Executivo, seria entendida inconstitucional, por violar a reserva de iniciativa legislativa e a reserva de Administração do Presidente da República, afetando ainda o princípio da separação dos Poderes. Ademais, deve ser registrado que foram necessários estudos técnicos e administrativos que sustentassem a proposta, além, claro, do juízo de oportunidade, que compete exclusivamente a quem detém a competência privativa constitucional para assim agir. Eis que, não obstante inexistir obrigação legal que lhe impusesse promover a transformação da ANPD, o Presidente da República assim o fez, editando a MP 1.124, de 2022. Porém, a natureza jurídica proposta pela medida excepcional não foi a de agência reguladora, tal como era o desejo original do Parlamento, mas a de autarquia federal de natureza especial. A bem da verdade, o Poder Executivo jamais manifestou oficialmente qualquer interesse em criar uma agência reguladora de proteção de dados: desde as primeiras propostas, mais especificamente aquela constante da MP 869, de 2018, o intuito sempre foi o que hoje se constata na MP 1.124. Note-se que a MP 869, de 2018, tramitou concomitantemente com os projetos de lei do novo marco regulatório das agências reguladoras (Lei nº 13.848, de 25.06.2019): vale dizer, houvesse algum interesse em alinhar as proposições e organizar a administração pública federal, poderia tê-lo feito quando da sanção do projeto de lei de conversão na lei 13.853, de 08.07.2019 - menos de duas semanas os separam. Ainda que os atributos administrativos da ANPD, na proposta da MP 1.124, de 2022, sejam, em grande medida, equivalentes àqueles previstos no art. 3º, da Lei das Agências Reguladoras (LAR) (ausência de tutela ou de subordinação hierárquica, autonomia funcional, decisória, administrativa e financeira, investidura a termo de seus dirigentes e estabilidade durante os mandatos), o que poderia suscitar a discussão se, de fato, a ANPD tornou-se ou não uma agência reguladora (art. 2º, par. único, LAR), a intenção da Presidência da República não foi submeter a ANPD ao regime jurídico da LAR em sua integralidade. Tanto assim que, alterada a natureza jurídica da ANPD, a MP preservou todos os demais artigos da LGPD, entre os quais alguns que, claramente, confrontariam com os atributos e a estruturação administrativa de uma agência reguladora, como, por exemplo, o prazo do mandato dos diretores: pela LGPD, permanece sendo de 4 anos (art. 6º, decreto 10.474/2020), permitida uma recondução, mas, pela LAR, fosse agência reguladora, seria de 5 anos, vedada a recondução. Ou mesmo os critérios para sua nomeação aos cargos: a LAR possui muitos mais requisitos para indicação de nomes que a LGPD. Ainda, a estrutura e o funcionamento de sua ouvidoria, que difere entre as legislações. Entre outras diferenças relevantes. É claro que, como norma posterior, a MP 1.124 não estava adstrita aos termos da LAR, mas a adoção de critérios distintos, combinados com a ausência de denominação da ANPD como uma "agência reguladora" (um verdadeiro silêncio eloquente), revelam ao intérprete a sua inequívoca intenção: criar uma Autarquia Especial, e não uma Agência Reguladora. Por fim, não se extrai da Exposição de Motivos que acompanha o envio da medida provisória ao Congresso Nacional nenhuma intenção declarada de a tornar Agência Reguladora. Pelo contrário, o documento expressa a necessidade de se criar uma "autoridade reguladora independente". Daí que a mens legislatoris revela tão somente esse intuito, nada mais. Fosse de outra forma, inclusive, alterações deveriam ser propostas tanto na LGPD, como na LAR, a fim de buscar harmonizar o ordenamento jurídico vigente. Mas não foi o que ocorreu, em mais um indício do desinteresse governamental em se criar uma agência reguladora de proteção de dados. Para muito além de um debate meramente teórico, a questão possui repercussões administrativas relevantes e que impactariam inclusive o processo de nomeação dos próximos diretores. Mas, à toda evidência, quis o Governo federal o que se vê: a ANPD é, afinal, uma autoridade reguladora independente. Ainda que possua atributos e funcionamento similares, ela não pode ser considerada, a partir do texto originário da MP 1.124/2022, como uma agência reguladora, não se aplicando, por isso, o regime jurídico da LAR.