Caso Torres Abad e a importância do diálogo regional sobre governança de dados

Um caso recente da Corte Suprema da Argentina chama atenção por elevar a exigência de consentimento para tratamento de dados ao status de direito fundamental. Essa postura destoa da abordagem de outros países que reconhecem os limites do consentimento como mecanismo de tutela dos titulares de dados.

Nesta breve contribuição, contrastamos a posição argentina com a do STF brasileiro, que priorizou a existência de uma arquitetura institucional adequada de proteção de dados como precondição para o compartilhamento de dados no setor publico.

Conheça o JOTA PRO Poder, plataforma de monitoramento que oferece transparência e previsibilidade para empresas

Em 30 de abril de 2026, a Suprema Corte de Justiça da Argentina decidiu o caso Torres Abad, estabelecendo que o Estado não pode transferir dados pessoais coletados para fins de seguridade social a outro órgão público sem o consentimento do titular dos dados. Na mesma decisão, o tribunal declarou a inconstitucionalidade de dois dispositivos centrais da Lei de Proteção de Dados Pessoais (Lei 25.326) autorizavam determinadas hipóteses de transferência sem o consentimento do cidadão.

O governo argentino buscou transferir dados pessoais entre a ANSeS e a Secretaria de Comunicação Pública para fins de comunicação sobre benefícios, o que foi impugnado por habeas data por reutilizar dados sem consentimento para finalidade distinta.

Em primeira instância a demanda foi rejeitada, mas decidiu-se que a transferência de dados sem consentimento já configura violação e que as exceções devem ser restritas a casos como segurança pública ou defesa nacional.

Ao examinar o caso, a Suprema Corte confirmou esse entendimento e foi além. O tribunal qualificou o consentimento como uma exigência constitucional, indispensável para assegurar que os indivíduos mantenham controle efetivo sobre seus dados pessoais. Nessa linha, considerou que as exceções previstas na Lei 25.326 para o compartilhamento de dados no setor público eram excessivamente amplas, esvaziando a exigência de consentimento e comprometendo a proteção constitucional da privacidade e da autodeterminação informativa.

Consequentemente, e sem nem ter sido provocada nesse sentido, a Corte declarou a inconstitucionalidade dos artigos 5º, inciso 2º, alínea b), e 11, inciso 3º, alíneas b) e c), por considerar que o legislador excedeu sua margem de regulamentação.

Paralelos na jurisprudência brasileira

Dois julgamentos do Supremo Tribunal Federal no Brasil que foram de grande importância para a construção do marco constitucional de proteção de dados. O primeiro é o caso das Ações Diretas de Inconstitucionalidade (ADIs) 6.389, 6.390, 6.393, 6.388 e 6.387, decidido em 2020, que consagrou a proteção de dados como direito fundamental.

Esse caso dizia respeito a uma Medida Provisória (MP 954/2020) adotada pelo governo brasileiro no início da pandemia de Covid-19, que exigia das operadoras telefônicas o compartilhamento de dados de subscrição com o IBGE para fins de “produção de estatísticas oficiais”. Apesar de incluir algumas salvaguardas básicas sobre o tratamento desses dados, tais como a confidencialidade, a proibição de desvio de finalidade e a eliminação obrigatória em 30 dias, a MP foi atacada constitucionalmente por não permitir um discernimento das modalidades efetivas de utilização dos dados pessoais.

O julgamento, declarando a natureza fundamental do direito à proteção de dados e concluindo pela inconstitucionalidade da MP, destacou a importância de se estabelecer medidas técnicas e administrativas apropriadas para evitar tratamento indevido de dados- tais como transparência e anonimização.

O segundo é o caso da ADI 6649 e da Ação Direta de Preceito Fundamental (ADPF) 695, decidido em 2022, que determinou a necessidade de alterar as regras de composição do Comité de Governança de dados, o qual possui a prerrogativa de definir as regras e os parâmetros para o compartilhamento restrito de dados.

O caso dizia respeito à constitucionalidade do Decreto 10.046/2019, que institui o Cadastro Base do Cidadão e o Comitê de Governança de dados para estabelecer as normas e as diretrizes para o compartilhamento de dados entre os órgãos e as entidades da administração pública federal direta, autárquica e fundacional e os demais Poderes da União.

O julgamento concluiu que, para que as regras e os parâmetros definidos pelo Comité sejam elaboradas de forma adequada, seria necessário atribuir ao órgão um perfil independente e plural, aberto à participação efetiva de representantes de outras instituições democráticas; bem como conferir aos seus integrantes garantias mínimas contra influências indevidas.

Refletindo sobre pontos comuns e caminhos para o diálogo

Três conclusões centrais emergem desse precedente paradigmático.

Em primeiro lugar, a Suprema Corte Argentina passa a explicitar o direito à autodeterminação informativa como um direito constitucional autônomo, distinto do direito geral à privacidade. Embora esse conceito já seja consolidado no direito comparado, seu reconhecimento expresso pela mais alta corte argentina representa uma mudança doutrinária relevante, alinhando o sistema a uma concepção contemporânea da proteção de dados.

A mesma coisa ocorreu no Brasil no caso IBGE. Há, contudo diferenças relevantes do caso IBGE, o Brasil ainda não contava com a LGPD plenamente aplicável: a lei já havia sido aprovada, mas ainda não estava em vigor. Portanto, o reconhecimento da proteção de dados como direito fundamental veio como reação institucional na ausência de um marco legal efetivamente aplicável e abrangente.

Por outro, na Argentina, o foco no consentimento como parte integrante do direito fundamental à autodeterminação informativa deixa espaço significativamente reduzido para exceções, praticamente limitadas a hipóteses de segurança nacional ou ordem pública. Nos parece que isso poderá gerar entraves para a implementação de programas de transformação digital, que permitem o reaproveitamento de dados  valiosos para o fornecimento de serviços de governo eletrônico de forma mais particularizada, e, inclusive, para o fluxo transfronteiriço de dados entre os dois países.

Em terceiro lugar, surpreende que a decisão não faça referência à Convenção 108 do Conselho da Europa nem à sua versão modernizada (Convenção 108+), ambas ratificadas pela Argentina. Embora apenas a versão original esteja formalmente em vigor no direito interno, a versão modernizada é juridicamente vinculante à luz do direito internacional, especialmente considerando a Convenção de Viena sobre o Direito dos Tratados.

Assine gratuitamente a newsletter Últimas Notícias do JOTA e receba as principais notícias jurídicas e políticas do dia no seu email

Essa omissão possui relevância doutrinária, pois tais instrumentos poderiam ter oferecido um referencial internacional explícito para sustentar o raciocínio da Corte. Mais especificamente, vale esclarecer que o artigo 5º da Convenção, sobre a legitimação de tratamento de dados pessoais, reconhece no seu parágrafo 2º que ela pode ser fundamentada no consentimento ou em outra base legal legitima estabelecida na lei, e menciona explicitamente no seu parágrafo 4º a necessidade do respeito de princípios da proteção de dados, tais como: tratamento justo e transparente, especificação e limitação da finalidade; adequação, relevância e proporcionalidade em relação às finalidades; acurácia e atualização onde necessário; e limitações à retenção dos dados em formato identificável.

A decisão impõe agora ao Congresso Nacional o ônus de reagir, não apenas por meio da adequação pontual da lei à interpretação constitucional fixada pela Corte, mas também mediante uma reforma mais ampla do regime de proteção de dados pessoais na Argentina.

Generated by Feedzy