O protocolo de execução no acordo de cooperação em matéria de corrupção
Autor
11 de janeiro de 2021, 21h57
PF, CGU e AGU, signatárias do Acordo de Cooperação Técnica e do respectivo protocolo de execução, devem observar as disposições da LGPD para cumprir a exigência de transparência e conferir legalidade ao compartilhamento de dados e informações.
O Protocolo de Execução nº 1, assinado no último dia 20 de novembro por Polícia Federal (PF), Controladoria-Geral da União (CGU) e Advocacia-Geral da União (AGU), define os procedimentos de operacionalização da troca de informações relacionadas aos acordos de leniência e de colaboração premiada prevista no Acordo de Cooperação Técnica celebrado em 6 de agosto de 2020 por aqueles órgãos.
O documento é relevante na medida em que busca delinear como se dará o compartilhamento de informações no âmbito do acordo, apontando, ainda que de forma superficial, diretrizes de tratamento sigiloso e acesso restrito à informações — o que se mostra fundamental, sobretudo após deflagrados dois grandes vazamentos de dados das plataformas do governo federal nos últimos meses, que expuseram informações pessoais de cerca de 200 milhões de pessoas [1].
Apesar de sua pertinência, os signatários do protocolo de execução falharam em não observar as disposições da Lei Geral de Proteção de Dados, deixando de elevar o acordo de cooperação a um patamar de maior transparência e segurança jurídica, bem como minimizar a ocorrência de (novos) abusos a direitos e garantias fundamentais no campo de investigações e negociações envolvendo atos de corrupção no Brasil.
A LGPD, que entrou em vigor no último dia 18 de setembro, é a norma brasileira que regulamenta o tratamento de dados pessoais, aplicando-se a todas as pessoas físicas que tratam dados para fins econômicos e a todas as pessoas jurídicas de Direito público e privado. Não se aplicam as suas disposições ao tratamento de dados pessoais para fins exclusivamente jornalísticos, artísticos, acadêmicos, de segurança pública, defesa nacional, segurança do Estado, atividades de investigações e repressão à infrações penais e ao tratamento de dados pessoais provenientes de fora do território nacional e que não sejam compartilhados com agentes brasileiros e que não sejam transferidos para outro país que não o de proveniência [2].
O Capítulo IV da LGPD regulamenta o tratamento de dados pessoais pelo poder público, determinando que os dados somente poderão ser tratados para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público (artigo 23, caput).
Em tais hipóteses, os órgãos que realizam tratamento de dados pessoais devem fornecer informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução das atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos, com a indicação do encarregado (incisos I e III do artigo 23) [3].
Preconiza a lei ainda que os dados tratados pelo poder público sejam mantidos em formato interoperável e estruturado para o uso compartilhado, visando à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso às informações pela sociedade (artigo 25).
Sabendo-se que todos os órgãos signatários do Acordo de Cooperação Técnica realizam o tratamento de dados pessoais no âmbito das investigações e negociações de acordos de leniência e colaboração premiada, e que o compartilhamento de dados entre os órgãos é uma atividade regida pela LGPD [4], tem-se que o protocolo de execução deveria ter esclarecido e conferido ampla publicidade à qual das bases dispostas nos artigo 7º e 11 da LGPD os órgãos pretendem se valer para o compartilhamento de dados pessoais, condição fundamental para se aferir a legalidade do ato [5].
Da mesma forma, deveriam ter sido publicizados os procedimentos e as práticas que serão adotados para o tratamento dos dados pessoais no contexto do Acordo de Cooperação Técnica, detalhando como se dará o processo de compartilhamento de dados e informações, a estrutura interoperável que viabilizará a operação, a tecnologia que será empregada para a segurança dos dados e as salvaguardas dos titulares, pormenorizando, inclusive, como irão confluir os protocolos internos de segurança que os órgãos buscarão implementar no âmbito de suas respectivas estruturas, conforme previsto no artigo 5º do protocolo de execução [6].
Será importante, até mesmo para se conferir efetividade ao tratamento sigiloso e ao acesso restrito às informações de que tratam os §§1º e 2º do artigo 5º do protocolo de execução, esclarecer sobre a inclusão de cláusulas de responsabilidade em contratos mantidos com empresas de tecnologia da informação ou terceiros que figurem ou venham a figurar como operadores das informações, ou seja, que tratem dados pessoais no âmbito do Acordo de Cooperação Técnica em nome dos controladores (PF, CGU e AGU).
Ademais, o protocolo de execução foi completamente omisso com relação à figura dos encarregados que devem ser nomeados por cada órgão para atuar como canal de comunicação entre os controladores (PF, CGU e AGU), os titulares dos dados e a Autoridade Nacional de Proteção de Dados, além de exercerem uma atividade importantíssima de orientação e treinamento constante de servidores e terceiros a respeito dos procedimentos e práticas adotadas para a segurança da informação e a proteção de dados pessoais no âmbito do acordo [7].
A Lei Geral de Proteção de Dados determina ainda que os órgãos da Administração Pública somente podem compartilhar dados entre si para o atendimento de finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, sempre respeitados os princípios de proteção de dados pessoais (artigo 26).
Aqui, diferentemente das informações anteriormente mencionadas, que já deveriam ter sido esclarecidas e amplamente publicizadas pelos órgãos signatários do Acordo de Cooperação Técnica, a finalidade de cada compartilhamento de dados pessoais deverá ser previamente consignada pelo órgão, conferindo-se uma finalidade específica para cada atividade de compartilhamento — o que pode ser feito, inclusive, nos termos de compromisso assinados com os colaboradores.
Desse modo, a previsão de que o pedido de informações apresentado pela comissão de negociação à PF poderá conter solicitações específicas a respeito dos ilícitos investigados (…),constante no artigo 2º, §4º, do protocolo de execução, não deve ser lida como uma mera faculdade da comissão de negociação, mas, sim, como um dever, em observância aos princípios da finalidade, adequação e necessidade (tríade da minimização — artigo 6º da LGPD), que norteiam o tratamento de dados pessoais pelo poder público, incidentes no presente caso.
Por fim, não se tem notícia ainda de que os órgãos signatários do Acordo de Cooperação Técnica elaboraram ou estão em vias de elaborar o Relatório de Impacto à Proteção de Dados Pessoais previsto nos artigos 5º, inciso XVII, 32 e 38 da LGPD, o que deve ser realizado e publicado previamente ao tratamento dos dados pessoais [8].
O "Guia de Boas Práticas para Implementação na Administração Pública Federal — LGPD", além de reiterar a necessidade de sua elaboração prévia, define o Relatório de Impacto à Proteção de Dados Pessoais como o "documento fundamental a fim de demonstrar que o controlador realizou uma avaliação dos riscos nas operações de tratamento de dados pessoais que são coletados, tratados, usados, compartilhados e quais medidas são adotadas para mitigação dos riscos que possam afetar as liberdades civis e direitos fundamentais dos titulares desses dados" [9].
É imprescindível que a PF, a CGU e a AGU detalhem de forma adequada, nos exatos termos da LGPD, o processo de compartilhamento de informações de que trata o protocolo de execução, fornecendo esclarecimentos precisos e dando ampla publicidade à finalidade, às práticas, aos procedimentos e às medidas de segurança da informação, o que, para além de demonstrar aderência à norma de proteção de dados pessoais, observará o sexto princípio geral de transparência e interação com a sociedade, inserto no Acordo de Cooperação Técnica, e conferirá validade e segurança jurídica às atividades de compartilhamento de dados e informações.
P.S.: O artigo é continuação do texto publicado na ConJur no dia 10/11/2020 intitulado "O impacto da Lei Geral de Proteção de Dados na investigação interna dos acordos de leniência", disponível aqui.
[1] Disponível em <https://saude.estadao.com.br/noticias/geral,vazamento-de-senha-do-ministerio-da-saude-expoe-dados-de-16-milhoes-de-pacientes-de-covid,70003528583> e <https://saude.estadao.com.br/noticias/geral,nova-falha-do-ministerio-da-saude-expoe-dados-pessoais-de-mais-de-200-milhoes,70003536340>, acesso em 20/12/2020.
[2] O artigo 4º, §1º da LGPD estabelece que o tratamento de dados pessoais com fins exclusivos de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos na lei. Não é caso do Acordo de Cooperação Técnica e do respectivo protocolo de execução, nos quais é prevista a troca de informações entre os órgãos para coordenar ações de responsabilização administrativa, cível e penal por atos contra a Administração Pública, transcendendo, assim, os fins exclusivos de investigação e repressão de infrações penais.
[3] A LGPD prevê quatro personagens principais que se relacionam ao tratamento de dados pessoais: o controlador, que é a pessoa natural ou jurídica, de Direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; o operador, que é a pessoa natural ou jurídica, de Direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; o titular, que é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; e o encarregado, que é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) (artigo 5º, V ao VIII).
[4] O artigo 5º, inciso X da LGPD conceitua tratamento de dados pessoais como "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração". Adiante, no inciso XVI, define o compartilhamento de dados como a "comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados".
[5] "Além disso, como alinhavado, a incidência do princípio da transparência impõem que a norma garanta ao titular dos dados um nível de controle suficiente para a verificação prospectiva da licitude do tratamento de dados. Isso se desdobra em um dever — aqui não cumprido pelo legislador — de dar ao titular condições de proceder a um controle próprio da forma como o Estado controlador lida com os dados". (Voto do ministro Gilmar Mendes no julgamento da ADI 6.387, Pleno, STF, DJ: 07/5/2020).
[6] Nesse sentido consignou a ministra Rosa Weber no julgamento da ADI 6.387, que decidiu por suspender a eficácia da MP nº 954/2020, que determinava o compartilhamento de dados entre as operadoras de telefonia fixa e móvel e o IBGE visando à produção estatística oficial durante a crise da pandemia do coronavírus:
"De outra parte, o artigo 3º, I e II, da MP nº 954/2020 dispõe que os dados compartilhados 'terão caráter sigiloso' e 'serão utilizados exclusivamente para a finalidade prevista no § 1º do artigo 2º', e o artigo 3º, § 1º, veda ao IBGE compartilhar os dados disponibilizados com outros entes, públicos ou privados. Nada obstante, a MP nº 954/2020 não apresenta mecanismo técnico ou administrativo apto a proteger os dados pessoais de acessos não autorizados, vazamentos acidentais ou utilização indevida, seja na sua transmissão, seja no seu tratamento. Limita-se a delegar a ato do presidente da Fundação IBGE o procedimento para compartilhamento dos dados, sem oferecer proteção suficiente aos relevantes direitos fundamentais em jogo. Enfatizo: ao não prever exigência alguma quanto a mecanismos e procedimentos para assegurar o sigilo, a higidez e, quando o caso, o anonimato dos dados compartilhados, a MP nº 954/2020 não satisfaz as exigências que exsurgem do texto constitucional no tocante à efetiva proteção de direitos fundamentais dos brasileiros. Essas considerações são corroboradas pela manifestação trazida aos autos pela Agência Nacional de Telecomunicações (Anatel), que destacou necessária 'a observância de extrema cautela no tratamento dos dados de usuários de serviços de telecomunicações'. E recomendou a adoção de medidas visando a adequar a medida à garantia dos princípios estabelecidos na Constituição Federal, na Lei Geral das Telecomunicações e na Lei Geral de Proteção de Dados". (Pleno, STF, DJ: 7/5/2020)
[7] A Instrução Normativa SGD/ME nº 117, de 19/11/2020, determina que a autoridade máxima do órgão ou da entidade da administração pública federal direta, autárquica e fundacional indique um encarregado pelo tratamento dos dados pessoais, estabelecendo no seu artigo 2º que "a identidade e as informações de contato do encarregado pelo tratamento dos dados pessoais deverão ser divulgadas publicamente, de forma clara e objetiva, no sítio eletrônico institucional do órgão ou da entidade, nos termos do § 1º do artigo 41 da Lei nº 13.709, de 2018".
[8] Assim constou no voto do ministro Ricardo Lewandowiski no julgamento da ADI 6.387:
"Ora, a confecção de relatório de impacto à proteção das informações pessoais dos consumidores não pode ser feito a destempo, depois de já compartilhados e ocorridos eventuais abusos, pois assim, ao menos em um juízo de cognição sumária, será tarde demais para que seja apurado se houve ou não adequação à legislação e como foi impactado o regime de proteção de dados" (Pleno, STF, 7/5/2020).
[9] Disponível em <https://www.gov.br/governodigital/pt-br/governanca-de-dados/GuiaLGPD.pdf>, acesso em 20/12/2020.
Autores
Encontrou um erro? Avise nossa equipe!