EMBARGO DE DECLARAÇÃO NO HABEAS CORPUS Nº 959759 – DF (2024/0426403-9)
Embargante: Joaquim Pedro de Morais Filho
Embargado: Presidente do Banco Central do Brasil
Relator: Ministro Afrânio Vilela
Ementa:
Embargos de Declaração. Habeas Corpus. Projeto Drex. Proteção de Dados. Crime de Dados Financeiros. API Estrangeira. Inconstitucionalidade. A decisão impugnada ignora a gravidade da utilização de APIs estrangeiras para o gerenciamento de dados financeiros, o que colide diretamente com o artigo 5º, incisos X e XII, da Constituição Federal, que asseguram a inviolabilidade da intimidade e a proteção à vida privada dos cidadãos, além de garantir a proteção contra tratamento discriminatório ou invasivo de dados pessoais. A transferência de dados financeiros para servidores internacionais, sem garantia de conformidade com a legislação brasileira, pode configurar crime de acordo com o artigo 154-A do Código Penal, que trata de invasão de dispositivo informático, e artigo 313-A, que aborda a divulgação de segredo. A inobservância da Súmula Vinculante 10 do STF, que exige reserva de plenário para declaração de inconstitucionalidade, é evidente, pois o acórdão recorrido efetivamente afastou a aplicação de normas constitucionais sem o devido processo. Ademais, o projeto Drex, ao potencialmente submeter dados sensíveis às leis de outros países, fere o princípio da soberania nacional (art. 1º, I, CF) e a garantia de segurança jurídica, conforme reiterado em julgados do STF sobre a necessidade de proteção de dados no território nacional (RE 601.384). A interpretação conforme a Constituição, como proposta por autores como José Afonso da Silva em “Curso de Direito Constitucional Positivo”, indica que a segurança da informação e a privacidade são pilares do Estado Democrático de Direito, não podendo ser relativizados por políticas que não observam a legalidade e a proteção constitucional dos dados. A utilização de APIs estrangeiras sem o devido amparo legal e a falta de transparência na gestão desses dados violam, ainda, o princípio da publicidade (art. 37, caput, CF), tornando o projeto Drex inconstitucional por sua essência e aplicação, exigindo a revisão da decisão para a proteção dos direitos fundamentais dos cidadãos. Decisão:
Vem à presença de Vossa Excelência o embargante, por seu advogado, interpor Embargos de Declaração com fundamento no artigo 1.022 do Código de Processo Civil e no artigo 619 do Código de Processo Penal, pelos seguintes motivos: a decisão monocrática atacada apresenta flagrante omissão ao não abordar a relevância constitucional do direito à proteção de dados pessoais, ignorando que o projeto Drex, ao utilizar APIs estrangeiras para gestão de dados financeiros, colide diretamente com os princípios da soberania nacional (art. 1º, I, CF), da inviolabilidade da intimidade e da vida privada (art. 5º, X, CF), e da necessidade de tratamento de dados conforme a legislação brasileira (art. 5º, XII, CF). A decisão, ao indeferir liminarmente o habeas corpus sem considerar a potencial violação à segurança jurídica dos cidadãos e a possibilidade de configuração de crimes de invasão de dispositivo informático e divulgação de segredo (arts. 154-A e 313-A, CP), desrespeita as garantias fundamentais previstas na Constituição Federal, especialmente ao não aplicar a interpretação conforme a Constituição, exigida pela doutrina e jurisprudência do STF, que entende a proteção de dados como extensão do direito à privacidade. Além disso, a decisão contraria a Súmula Vinculante 10 do STF, que exige reserva de plenário para declaração de inconstitucionalidade, já que implicitamente afasta a aplicação de normas constitucionais sem o devido processo, violando a legalidade e a segurança jurídica. Portanto, pede-se a reforma da decisão para que se reconheça a ilegalidade e inconstitucionalidade do projeto Drex no tocante ao uso de APIs estrangeiras, garantindo-se a proteção dos direitos fundamentais dos cidadãos brasileiros:
- Omissão:
A decisão monocrática de fls. 09/10 apresenta uma omissão notória ao não se manifestar adequadamente sobre a gravidade e a inconstitucionalidade do ato imputado ao Presidente do Banco Central, referente ao projeto de moeda digital “Drex”. O projeto, conforme amplamente documentado e discutido em várias plataformas e publicações especializadas, planeja utilizar APIs (Application Programming Interfaces) estrangeiras para o gerenciamento e processamento de dados financeiros, o que levanta sérias questões sobre a soberania nacional e a segurança dos dados dos cidadãos brasileiros.
A utilização de APIs estrangeiras para uma função tão sensível quanto a gestão de uma moeda digital emitida pelo Banco Central do Brasil significa, na prática, a transferência de dados financeiros, que são informações sensíveis e protegidas pela Constituição Federal, para servidores localizados fora do território nacional. Este procedimento direciona-se contra o princípio da soberania nacional, explicitado no art. 1º, inciso I, da Constituição, que estabelece que “A República Federativa do Brasil, formada pela união indissolúvel dos Estados e Municípios e do Distrito Federal, constitui-se em Estado Democrático de Direito”.
Além disso, tal prática infringe diretamente o direito constitucional à privacidade, especialmente o art. 5º, incisos X e XII, que garantem a inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas, bem como a proteção contra a invasão de sua privacidade por meio de tratamentos de dados pessoais. A jurisprudência do Supremo Tribunal Federal (STF), em decisões como o RE 601.384, reforça a necessidade de que os dados financeiros dos cidadãos sejam tratados e armazenados em conformidade com a legislação brasileira, sob pena de violação aos direitos fundamentais.
A omissão da decisão em não abordar a inconstitucionalidade deste ato também contraria a proteção de dados prevista na Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, que proíbe a transferência internacional de dados sem garantias de proteção equivalente àquela oferecida no Brasil (art. 33, LGPD). Este ponto é amplamente discutido em artigos e análises jurídicas, como o artigo “A Lei Geral de Proteção de Dados e a transferência internacional de dados” do Jota.info, indicando que a implementação de sistemas de pagamento digital que dependam de APIs estrangeiras deve respeitar rigorosamente as disposições da LGPD para evitar a vulnerabilidade de dados pessoais à legislação estrangeira menos protetiva.
A Constituição Federal, em seu artigo 5º, incisos X e XII, protege a intimidade e a privacidade, incluindo o direito à proteção dos dados pessoais. A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, reforça essa proteção ao regular a transferência internacional de dados, exigindo que haja garantias de que o nível de proteção de dados no país receptor seja equivalente ao do Brasil (Art. 33, LGPD). A omissão na gestão interna dos dados no projeto Drex pode, portanto, ser interpretada como uma violação não só da LGPD mas também dos princípios constitucionais de inviolabilidade da intimidade e da privacidade.
A Súmula Vinculante 10 do STF estipula que é necessária a reserva de plenário para declaração de inconstitucionalidade de lei ou ato normativo do Poder Público. Desta forma, a implementação de um sistema financeiro digital que potencialmente transfere a gestão de dados para fora do país, sem uma avaliação clara de sua constitucionalidade pela instância máxima do Judiciário, pode ser vista como uma falha grave no processo democrático de revisão legal e constitucionalidade de políticas públicas.
Além disso, a jurisprudência do STF, como exemplificada no RE 601.384, reconhece a necessidade de proteção dos dados financeiros como parte do direito à privacidade, reforçando que o Estado deve proteger esses dados contra abusos, sejam eles vindos de entidades nacionais ou estrangeiras. A ausência de controle interno sobre os dados no projeto Drex pode, assim, ser vista como uma continuidade de intervenções estatais não justificadas no controle financeiro dos cidadãos, similar ao Plano Collor, mas agora com o risco adicional de exposição internacional dos dados.
Portanto, a gestão de dados financeiros através de APIs estrangeiras no projeto Drex não só representa uma perda de controle sobre a informação financeira dos cidadãos, como potencialmente viola o princípio constitucional da soberania nacional e os direitos fundamentais à privacidade e proteção de dados, fundamentos esses reiterados tanto na legislação quanto na jurisprudência brasileira.
Portanto, a omissão da decisão judicial em não reconhecer a inconstitucionalidade do uso de APIs estrangeiras no projeto Drex constitui uma negação não apenas dos direitos fundamentais inscritos na Constituição Federal, mas também de uma jurisprudência rica e consolidada que defende a privacidade e a integridade dos dados pessoais. Este ato judicial desconsidera a legislação específica sobre proteção de dados, notadamente a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018), que estabelece claras limitações à transferência internacional de dados sem garantias de proteção equivalente (Art. 33). Ademais, ignora os riscos inerentes à soberania digital do Brasil, um conceito que vai além da mera administração territorial e se estende à autonomia sobre os dados e informações que constituem o patrimônio informativo de uma nação.
A questão da soberania digital, como discute José Afonso da Silva em seu “Curso de Direito Constitucional Positivo”, deve ser interpretada à luz dos princípios constitucionais que protegem a soberania nacional (Art. 1º, I, CF) e a dignidade da pessoa humana (Art. 1º, III, CF), onde a proteção dos dados pessoais é vista como uma extensão direta do direito à privacidade e à autonomia individual. A soberania, no contexto digital, não é apenas sobre a capacidade de um Estado de exercer poder dentro de suas fronteiras físicas, mas também sobre a capacidade de proteger e controlar a informação que circula dentro e fora delas.
A omissão desta decisão também colide com a filosofia de Norberto Bobbio, que em “A Era dos Direitos”, enfatiza que a democracia e os direitos humanos dependem fundamentalmente da proteção contra a invasão da esfera privada pelo Estado ou por entidades externas. A utilização de APIs estrangeiras no gerenciamento de uma moeda digital nacional sem garantias robustas de proteção e soberania dos dados representa uma potencial invasão dessa esfera privada, colocando em risco a autonomia financeira e a privacidade dos cidadãos.
A interposição dos Embargos de Declaração é, portanto, não apenas justificada mas necessária para sanar este vício jurisdicional. A declaração requerida visa assegurar a conformidade com o artigo 5º da Constituição Federal, que garante a inviolabilidade da intimidade e da vida privada, e com a Súmula Vinculante 10 do STF, que reforça a necessidade de reserva de plenário para declaração de inconstitucionalidade. Esta ação judicial não é apenas um pedido de correção de um erro técnico, mas um apelo para que se reconheça e proteja a soberania digital do Brasil, conforme os princípios constitucionais e as leis federais que estabelecem a proteção dos dados como um direito fundamental, assegurando que os dados dos cidadãos brasileiros permaneçam protegidos e sob controle nacional, em consonância com a lei e a Constituição Brasileira.
- Contraditório com os Princípios Constitucionais:
A decisão proferida demonstra um claro descompasso com os princípios constitucionais que regem a República Federativa do Brasil, especialmente no contexto do uso de APIs estrangeiras para o processamento e armazenamento de dados financeiros. Este ato contrapõe-se frontalmente ao artigo 5º, inciso X, da Constituição Federal, que estabelece a inviolabilidade da intimidade, da vida privada, da honra e da imagem das pessoas, assegurando a proteção contra a divulgação de informações sem o devido consentimento ou de forma contrária às leis vigentes. A transferência de dados financeiros para servidores localizados fora do território nacional, sem a garantia de que esses dados estarão protegidos sob legislações equivalentes à brasileira, não apenas fere a soberania nacional mas também configura uma potencial violação à segurança e privacidade dos dados dos cidadãos.
A Constituição Brasileira de 1988, no seu artigo 1º, inciso I, consagra a soberania como um dos fundamentos da República Federativa do Brasil. Este princípio, como discute Celso Antônio Bandeira de Mello em “Curso de Direito Administrativo”, envolve a capacidade do Estado de exercer, sem interferências externas, o controle sobre seus territórios, recursos e, por extensão, sobre os dados que constituem a vida financeira de seus cidadãos. Assim, a decisão judicial que não reconhece a inconstitucionalidade de tal prática ignora o fato de que o uso de APIs estrangeiras para dados financeiros pode resultar em uma perda de controle soberano sobre informações críticas, potencialmente sujeitando-as a leis de outros países que podem não oferecer a mesma proteção que a Constituição e a legislação brasileiras garantem.
Além disso, este procedimento pode configurar crimes segundo o Código Penal Brasileiro, especificamente nos artigos 154-A, que trata da invasão de dispositivo informático, e 313-A, que aborda a divulgação de segredo, ambos relevantes no contexto de proteção de dados financeiros contra usos indevidos ou acessos não autorizados. A jurisprudência do Supremo Tribunal Federal, como no RE 601.384, tem reiterado a necessidade de que os dados sejam tratados em conformidade com a legislação nacional, enfatizando que a proteção de dados é um direito fundamental que não deve ser comprometido por políticas ou práticas que transfiram esse controle para fora do país.
A Súmula Vinculante 10 do STF, que exige a reserva de plenário para declaração de inconstitucionalidade, é igualmente ignorada pela decisão, uma vez que o ato de permitir a gestão de dados financeiros via APIs estrangeiras sem garantias de proteção na prática declara inconstitucional, de maneira implícita, o direito à privacidade e à soberania nacional sem o devido processo legal. Esta omissão judicial desconsidera também a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018), que estabelece rigorosos critérios para a transferência internacional de dados pessoais, exigindo que tais transferências sejam feitas de maneira a assegurar um nível de proteção equivalente ao do Brasil (Art. 33).
A interpretação restritiva da decisão, que não reconhece a contradição com estes princípios constitucionais, é, portanto, um desrespeito à filosofia de proteção de direitos fundamentais proposta por autores como Luís Roberto Barroso em “O Direito Constitucional e a Efetividade de suas Normas”, onde se argumenta que a Constituição deve ser interpretada de maneira a garantir a máxima efetividade dos direitos e garantias fundamentais.
Em suma, a decisão em questão se contrapõe aos princípios constitucionais, à jurisprudência e à legislação brasileira que defendem a soberania, a privacidade e a segurança dos dados pessoais, configurando uma grave contradição que requer a revisão através dos Embargos de Declaração para assegurar que a proteção dos dados dos cidadãos brasileiros seja realizada conforme a lei e a Constituição Brasileira.
- Inconstitucionalidade:
O projeto Drex, ao permitir que dados sensíveis e financeiros dos cidadãos brasileiros sejam manejados por entidades estrangeiras, fomenta uma situação de inconstitucionalidade flagrante. Este procedimento expõe os dados a legislações internacionais que podem não oferecer a mesma proteção que a Constituição Brasileira e as leis nacionais de proteção de dados, como a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018). A LGPD, em seu Art. 33, exige que a transferência internacional de dados seja feita de modo a garantir um nível de proteção equivalente ao do Brasil, critério que não pode ser assegurado quando dados são geridos por sistemas estrangeiros sem a devida fiscalização ou garantia legal.
Esta prática constitui um desrespeito direto ao princípio da legalidade (Art. 5º, II, CF), que estipula que ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei. A soberania nacional, um dos fundamentos da República Federativa do Brasil conforme o Art. 1º, I, da Constituição, é desafiada quando a gestão de dados financeiros deixa de ser controlada pelo Estado brasileiro, potencialmente sujeitando esses dados a jurisdições que não respeitam os mesmos direitos fundamentais garantidos pela Constituição Brasileira.
A segurança jurídica, outro pilar do Estado Democrático de Direito (Art. 5º, XXXVI, CF), é subvertida quando os cidadãos não têm a garantia de que seus dados estarão protegidos contra tratamentos discriminatórios ou invasivos. A decisão judicial que não reconhece a inconstitucionalidade do projeto Drex ignora a interpretação de que a proteção de dados é um direito inerente à privacidade, conforme argumentado por Luís Roberto Barroso em “O Direito Constitucional e a Efetividade de suas Normas”. Barroso defende que a Constituição deve ser interpretada de forma a assegurar a máxima efetividade dos direitos fundamentais, incluindo a privacidade e a proteção de dados pessoais.
Ademais, a Súmula Vinculante 10 do STF exige reserva de plenário para declaração de inconstitucionalidade, um procedimento que não foi observado na decisão em questão. A omissão nesse sentido desconsidera a necessidade de uma análise aprofundada sobre a compatibilidade de políticas públicas como o projeto Drex com os princípios constitucionais.
O uso de APIs estrangeiras para dados financeiros também pode ser visto como uma violação ao direito à igualdade (Art. 5º, caput, CF), já que todos os cidadãos devem ser iguais perante a lei, sem distinção de qualquer natureza. A gestão de dados por entidades estrangeiras pode resultar em tratamentos diferenciados ou menos protetivos em relação à privacidade financeira dos brasileiros, configurando uma discriminação indireta ou uma invasão à privacidade, elementos ambos proibidos pela Constituição.
José Afonso da Silva, em “Curso de Direito Constitucional Positivo”, argumenta que a soberania não é apenas territorial mas também informacional, envolvendo o controle sobre os dados que circulam dentro e fora do país. Assim, a inconstitucionalidade do projeto Drex reside não só na potencial violação de direitos individuais mas também na ameaça à soberania digital do Brasil, um aspecto cada vez mais relevante na era da informação.
Portanto, a permissão de manejo de dados sensíveis por entidades estrangeiras sem garantias legais adequadas é uma clara manifestação de inconstitucionalidade, exigindo uma revisão judicial para assegurar que a proteção dos dados dos cidadãos brasileiros seja mantida conforme a lei e a Constituição Brasileira, respeitando-se os princípios de legalidade, segurança jurídica e igualdade.
- Resposta à Manifestação do Ministério Público Federal:
O argumento apresentado pelo Ministério Público Federal, de que “o ato apontado não se direciona à garantia do direito de ir e vir do paciente”, é falacioso e restritivamente interpretado. A liberdade, conforme delineada pela Constituição Federal, não se restringe à dimensão física de ir e vir mas abrange uma esfera mais ampla que inclui a liberdade de não ser submetido a vigilância ou controle indevido sobre sua vida financeira. Este entendimento é apoiado pelo artigo 5º, inciso X, da Constituição, que garante a inviolabilidade da intimidade e da vida privada, diretamente relacionados à privacidade financeira e à autonomia sobre dados pessoais.
A interpretação restrita do direito de liberdade ignora que, no contexto contemporâneo, a privacidade e a autonomia sobre dados financeiros são componentes essenciais da liberdade individual. A proteção contra coações e violências de natureza digital e financeira é uma extensão direta dos direitos fundamentais previstos na Constituição Federal, em particular o direito à privacidade, que se manifesta no direito de não ter seus dados financeiros acessados, armazenados ou processados de forma a violar a legislação brasileira.
A decisão de indeferir liminarmente o habeas corpus sem uma análise aprofundada dos argumentos que questionam a inconstitucionalidade do uso de APIs estrangeiras para dados financeiros desconsidera a amplitude do direito à liberdade como concebido pela jurisprudência do Supremo Tribunal Federal (STF). Em decisões como o RE 601.384, o STF reconhece que a proteção de dados pessoais, inclusive financeiros, é uma extensão do direito à privacidade, parte integrante do direito fundamental à liberdade.
Além disso, a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) reforça este entendimento ao estabelecer, no Art. 2º, o princípio da finalidade, que exige que o tratamento de dados seja feito para propósitos legítimos, específicos, explícitos e informados ao titular, e no Art. 33, que a transferência internacional de dados deve garantir proteção equivalente àquela prevista no Brasil. A ausência de tal análise na decisão questionada viola não só os princípios constitucionais mas também a legislação específica sobre proteção de dados.
Ainda, a Súmula Vinculante 10 do STF exige reserva de plenário para declaração de inconstitucionalidade, o que não foi observado na decisão, demonstrando uma falha grave no processo de análise constitucional do ato impugnado.
Portanto, a manifestação do Ministério Público Federal, ao adotar uma visão estreita sobre o conceito de liberdade, desconsidera a proteção integral que o direito constitucional brasileiro oferece aos cidadãos contra qualquer forma de coação ou invasão, seja ela física ou digital. A decisão judicial que indeferiu o habeas corpus sem considerar a inconstitucionalidade do projeto Drex sob a perspectiva da proteção de dados e da liberdade individual é, assim, uma interpretação legalmente deficiente e merece ser revisitada para assegurar a proteção dos direitos fundamentais dos cidadãos brasileiros conforme a Constituição Federal, a LGPD e a jurisprudência do STF.
Pede-se:
A reforma da decisão para que seja reconhecida a ilegalidade e inconstitucionalidade do projeto Drex no que tange ao uso de APIs estrangeiras para dados financeiros: A reforma é imperativa para que se reconheça que o uso de APIs estrangeiras para o processamento e armazenamento de dados financeiros dos cidadãos brasileiros constitui uma violação frontal aos princípios constitucionais de soberania nacional (Art. 1º, I, CF), inviolabilidade da intimidade e da vida privada (Art. 5º, X, CF), e proteção de dados pessoais (Art. 5º, XII, CF). Tal prática não apenas subverte a garantia constitucional de proteção contra tratamentos discriminatórios ou invasivos de dados pessoais mas também contraria a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018), especificamente no Art. 33, que exige que a transferência internacional de dados seja feita de modo a assegurar um nível de proteção equivalente ao do Brasil. A decisão deve ser reformada para assegurar a conformidade com a legislação nacional e a proteção dos direitos fundamentais dos cidadãos. A concessão do habeas corpus para impedir a implementação do projeto até que sejam asseguradas a proteção e a soberania sobre os dados financeiros dos cidadãos brasileiros dentro do território nacional: A concessão do habeas corpus é necessária para prevenir a implementação do projeto Drex até que sejam implementadas medidas que garantam a proteção e a soberania sobre os dados financeiros dos cidadãos brasileiros. Este pedido se fundamenta na compreensão de que a liberdade não se restringe ao direito de ir e vir mas se estende à proteção contra invasões da privacidade e da autonomia financeira, conforme jurisprudência do Supremo Tribunal Federal (STF), como no Recurso Extraordinário 601.384, que reconhece a privacidade de dados como parte do direito à liberdade individual. A concessão do habeas corpus neste contexto é um mecanismo legal para salvaguardar direitos fundamentais contra atos que, embora não físicos, podem impor coações digitais e financeiras, violando a liberdade individual. A declaração do acórdão para sanar as omissões e contradições apontadas, explicitando a posição do tribunal sobre a proteção de dados no contexto do projeto Drex e sua relação com os direitos fundamentais do embargante: Requer-se a declaração do acórdão para sanar as omissões e contradições identificadas, garantindo que o tribunal explicite sua posição sobre a proteção de dados em relação ao projeto Drex. A decisão deve abordar explicitamente como a utilização de APIs estrangeiras para dados financeiros se relaciona com os princípios constitucionais e a legislação de proteção de dados, notadamente a LGPD. A declaração deve também esclarecer como tais práticas impactam os direitos fundamentais do embargante, incluindo, mas não limitado à, a privacidade, a soberania dos dados, e a segurança jurídica, em conformidade com a Constituição Federal, a jurisprudência do STF e a Súmula Vinculante 10, que exige a reserva de plenário para declaração de inconstitucionalidade. A omissão em reconhecer a inconstitucionalidade do projeto Drex no que concerne à gestão de dados financeiros por entidades estrangeiras sem garantias legais adequadas é uma falha que requer correção para assegurar a proteção dos direitos fundamentais dos cidadãos brasileiros.
Em suma, pede-se que esta egrégia corte reforme a decisão, conceda o habeas corpus de maneira a proteger os direitos fundamentais dos cidadãos contra a implementação de sistemas que comprometam a soberania e a privacidade dos dados financeiros, e declare o acórdão de maneira a corrigir as omissões e contradições presentes, assegurando uma interpretação que respeite e proteja os direitos constitucionais no contexto da era digital.
Termos em que, Pede deferimento.
São Paulo, 24 de novembro de 2024.
Joaquim Pedro de Morais Filho