O regime de responsabilidade do Estado na Lei Geral de Proteção de Dados
22 de novembro de 2020, 16h59
A Administração Pública precisa se organizar em torno de sistemas eficientes de gestão de dados. A informatização dos dados configura providência verdadeiramente essencial à própria viabilização estratégica da função executiva.
De acordo com o artigo 23 da LGPD, o tratamento de dados pessoais pelo poder público "deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público". Estas, portanto, as diretrizes gerais que devem nortear a atuação da Administração Pública no manuseio de dados pessoais — sem, é claro, descurar dos princípios gerais a ela aplicáveis, por força do que dispõe o artigo 37, caput, da Constituição Federal [1].
No preciso exame de Bruno Feigelson e Antonio Henrique Albani Siqueira, o dispositivo da LGPD ora em análise "estabelece em seu caput, como norte para o tratamento de dados pelo Poder Público, o interesse público. Em homenagem aos (…) princípios da Finalidade e da Adequação, a regra dita que tais operações devem visar à finalidade pública, com o objetivo de satisfazer ao interesse público" [2].
Pois bem. A diretriz geral estabelecida pelo artigo 23 da LGPD, com efeito, demonstra atenção do legislador para o atual (e real) contexto sociopolítico, em que a Administração Pública precisa, de ordinário, se organizar em torno de sistemas eficientes de gestão de dados. Com efeito, a informatização dos dados, mais do que um imperativo da eficiência administrativa e da governança pública, configura providência verdadeiramente essencial à própria viabilização estratégica da função executiva, haja vista o gigantesco volume de dados e informações que precisam ser diariamente processados pelo poder público, pelos mais diversos motivos: desde cruzamento de informações constantes de declarações do imposto de renda até a manutenção de prontuários de pacientes em uma unidade básica de saúde.
Sem dúvidas, portanto, esses "sistemas governamentais são alimentados por dados pessoais e sensíveis, relacionados à saúde, a educação, a previdência, ao imposto de renda, a assistência social, a informação bancária, dentre tantas outras informações pessoais que estão em poder da Administração Pública" [3].
Ocorre que, como acertadamente reconhece Danilo Doneda, o tratamento de dados pessoais — sobretudo por meio de processos automatizados — é uma atividade de risco, que "se concretiza na possibilidade de exposição e utilização indevida ou abusiva de dados pessoais, na eventualidade desses dados não serem corretos e representarem erroneamente seu titular, em sua utilização por terceiros sem o conhecimento deste, somente para citar algumas hipóteses reais" [4].
Daí a se cogitar, também no contexto do tratamento de dados pessoais pelo poder público — e talvez com ainda maior razão —, a observância do já mencionado princípio da responsabilização (artigo 6º, X): como observam Bruno Feigelson et al., o artigo 31 da LGPD evidencia a aplicação deste princípio à órbita pública, prevendo "a aplicação de medidas cabíveis pela ANPD na hipótese de ser verificada qualquer infração ao disposto na LGPD durante o tratamento de dados por órgãos públicos" [5].
Nada obstante, embora os artigos 31 e 32 componham a Seção II ("Da Responsabilidade") do Capítulo IV ("Do tratamento de dados pessoais pelo Poder Público") da LGPD, os referidos dispositivos não trazem, propriamente, um regime especial de responsabilização dos órgãos e entidades do poder público no contexto do tratamento de dados pessoais. Na percepção de Bruno Feigelson e Antonio Henrique Albani Siqueira, "(…) não há definição sobre a imputação de responsabilidade administrativa, civil ou penal aos entes públicos responsáveis, mas apenas o estabelecimento de diretrizes genéricas para a Autoridade Nacional. De todo modo, interessante observar que, mais à frente, o art. 55-J, VIII, confere à ANPD a competência de ‘comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei praticado por órgãos e entidades da administração pública federal’, o que indica, ao menos, que o órgão deverá reportar eventuais infrações aos respectivos responsáveis para a tomada das providências cabíveis" [6].
Com efeito, ainda que se possa extrair da disciplina jurídica da LGPD fundamentos seguros para a atribuição de responsabilidade pessoal a agentes públicos por eventuais danos causados pelo tratamento de dados pessoais, no campo da improbidade administrativa e da responsabilização criminal o escopo da presente investigação cuida não da responsabilização pessoal do agente público que dê causa ao dano, mas, sim, da responsabilidade civil das pessoas jurídicas de direito público por danos decorrentes do tratamento de dados pessoais, no regime estabelecido pela LGPD.
E, nesse sentido, não se podendo extrair dos artigos 31 e 32 — nada obstante a sua topografia na norma — qualquer regime especial de responsabilidade do poder público pelo tratamento de dados pessoais, necessário direcionar o exame aos artigos 42 a 45 da Lei Geral de Proteção de Dados.
Cabe ressaltar, em primeiro lugar, que em que pese estarem os dispositivos inseridos no Capítulo VI da LGPD (Dos agentes de tratamento de dados pessoais), não se cogita da responsabilização da pessoa física responsável pelo tratamento, seja porque: 1) decorre da própria dicção constitucional que "as pessoas jurídicas de direito público e as de direito privado prestadoras de serviços públicos responderão pelos danos que seus agentes causarem"; 2) a teor do artigo 5º, VI e VII, da LGPD, tanto o controlador quanto o operador (mencionados no caput do artigo 42) podem ser pessoas jurídicas de direito público.
Em segundo lugar, a previsão de responsabilidade civil objetiva para os danos decorrentes do tratamento de dados pessoais não configura qualquer novidade, tendo em vista o regime geral da responsabilidade civil do Estado. Contudo, caberia indagar: é possível cogitar de responsabilidade subjetiva da Administração Pública em se tratando de eventual violação decorrente de omissão?
A resposta que se impõe é, efetivamente, negativa. Isso porque os princípios da segurança, da prevenção e da responsabilização e prestação de contas (artigo 6º, VII, VIII e X, da LGPD) impõem ao agente de tratamento de dados pessoais a utilização de "medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão", além da adoção de "medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais" — e, também, da demonstração da adoção dessas mesmas medidas.
Inequivocamente, o regime jurídico estabelecido pela LGPD investe o controlador e o operador da condição de garantidores da não ocorrência de danos em virtude do tratamento de dados pessoais. Deve-se lembrar, neste sentido, que eventual omissão da Administração Pública na adoção de cautelas e demais procedimentos de segurança (por imposição expressa dos princípios da segurança e da prevenção) no tratamento de dados pessoais, tendo em vista a sua posição de controladora ou operadora, jamais consistirá em omissão genérica, mas, sim, em omissão específica, a atrair o regime geral da responsabilidade civil objetiva previsto no artigo 37, §6º, da Constituição Federal — em consonância com a jurisprudência pacífica do Supremo Tribunal Federal (AI 852.237 AgR, relator min. Celso de Mello, 2ª Turma, julgado em 25/6/2013).
Remanesce, entretanto, importante questão atinente ao nexo de causalidade. Como decorrência da aplicação da teoria objetiva, apenas se cogitará do afastamento da responsabilidade pela ocorrência do dano caso reste demonstrada a inexistência do próprio evento lesivo ou do liame de causalidade estabelecido entre a conduta (comissiva ou omissiva) da Administração Pública e o dano suportado pelo particular.
Assim, quanto às hipóteses dos incisos I e III do artigo 43 da LGPD (que tratam, respectivamente, da inexistência de conduta e da culpa exclusiva da vítima ou de terceiro), não subsistem maiores questionamentos. Uma vez verificadas no caso concreto, em tese, poderão afastar a responsabilização da pessoa jurídica de direito público controladora ou operadora de dados pessoais — incumbindo o ônus da prova ao próprio agente de tratamento.
Situação interessante, todavia, no artigo 43, II, da LGPD: recorde-se que, de acordo com tal dispositivo, o agente de tratamento de dados pessoais não será responsabilizado quando provar que, embora tenha realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados. Ou seja, aqui não há negativa de autoria (o agente admite que realizou o tratamento de dados pessoais), nem tampouco fato exclusivo do titular dos dados pessoais ou de terceiro.
Entretanto, buscará o agente de tratamento de dados pessoais — lembre-se de que nesse caso estamos falando de pessoa jurídica de direito público — demonstrar que não houve violação à legislação de proteção de dados. Ou seja, que não houve ilegalidade. Ocorre que, conforme visto, no regime de responsabilidade civil objetiva, a legalidade ou a ilegalidade da conduta administrativa são circunstâncias irrelevantes para fins de verificação do dever de indenizar.
Portanto, o afastamento desta responsabilidade quando o agente demonstrar, sem negar a autoria, que não houve violação à lei, embora seja aplicável aos particulares investidos da qualidade de agentes de tratamento de dados, é inservível às hipóteses em que os agentes sejam pessoas jurídicas de direito público [7], sob pena de inconstitucionalidade, por afronta a cláusula geral do artigo 37, §6º, da Constituição Federal. Desse modo, o artigo 43, II, da LGPD deve ser lido em conformidade com o mencionado dispositivo constitucional, para que em seu âmbito de incidência não estejam inseridas as pessoas jurídicas de direito público, que, no contexto da proteção de dados pessoais, sempre responderão (por ação ou omissão) objetivamente.
[1] "Vale destacar que a aplicação da LGPD não dispensa ou substitui a obediência pelo Poder Público ao disposto em duas outras legislações específicas, notadamente a Lei do Habeas Data, a Lei Geral do Processo Administrativo e a já mencionada Lei de Acesso à Informação. Logo, em espectro amplo, certo é que, ao realizar operações de tratamento de dados pessoais, a Administração Pública permanece vinculada aos axiomas gerais que regem a sua atuação, como os princípios da legalidade, impessoalidade, moralidade, publicidade e eficiência constantes da Constituição Federal e legislação correlata." (FEIGELSON, Bruno; SIQUEIRA, Antonio Henrique Albani. Ob. cit., p. 140).
[2] Idem, p. 138.
[3] PEREIRA, Ana Paula Martins Regiolli. O tratamento de dados pessoais pelo Poder Público a partir da perspectiva da LGPD. In TEIXEIRA, Tarcísio; MAGRO, Américo Ribeiro (coords.). Proteção de dados: fundamentos jurídicos. Salvador: JusPodivm, 2020, p. 133.
[4] Ob. cit.
[5] Ob. cit., p. 40.
[6] Ob. cit., p. 146.
[7] Como recorda Rodrigo Valgas, "[u]ma vez demonstrado o liame jurídico entre o fato lesivo e o dano, a Administração apenas não será responsabilizada se presentes as excludentes do nexo causal, ou seja: i) fato da vítima; ii) fato de terceiro; iii) força maior e caso fortuito" (Op. cit.).
Encontrou um erro? Avise nossa equipe!