A Lei Geral de Proteção de Dados Pessoais (LGPD), com redação dada pela Lei nº 13.853/19, reformulou a Lei nº 13.709/18, que dispunha sobre a proteção geral de dados e alterou a lei que tratava do Marco Civil da Internet (2014).
O novo diploma legal aplica-se tanto a pessoas naturais e jurídicas, de Direito Público e Privado, razão pela qual é de observância obrigatória da Administração Pública, salvo nas exceções previstas em seu artigo 4º, desde que esteja presente o legítimo interesse do controlador para o tratamento dos dados, o que deve ser demonstrado de forma motivada.
O diploma legal em comento traz ainda normas específicas para o tratamento de dados sensíveis, dados de crianças e adolescentes, os direitos dos seus titulares e ainda o tratamento de dados pela Administração Pública.
O tratamento de dados pela Administração está previsto nos artigos 23 a 32 da Lei nº 13.853/19 e as sanções administrativas aplicáveis tanto às pessoas físicas como às pessoas jurídicas foram descritas nos seus artigos 52 a 54.
Nessa direção, quando se refere ao tratamento de dados pela Administração, a Lei nº 13.853/19 dispõe em seu artigo 31 que "quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação" [1].
Dessa forma, quando ocorrer o tratamento de dados de forma inadequada pela Administração Pública, ocorrerá a sanção do responsável, sem prejuízo das medidas (sanções) administrativas previstas nos artigos 52 a 54 do diploma legal em comento.
No entanto, a aplicação de tais sanções não impede a configuração de ato de improbidade administrativa em razão da violação a princípios administrativos, nos termos do artigo 11 da Lei nº 8.429/92, especialmente ao princípio da legalidade, desde que de forma descritiva.
Nessa direção, nos casos em que o agente público realiza o tratamento de dados pessoais de terceiros (pessoas físicas ou jurídicas), quando permitido, é passível também da prática de ato de improbidade administrativa caso não observe as determinações do referido diploma legal, uma vez que o referido agente público deve realizar suas funções de modo a observar a probidade administrativa.
Porém, é necessário ressaltar que a violação legal no tratamento dos dados por parte do agente público, conforme acima mencionado, deve vir acompanhada do elemento volitivo do referido agente, isso porque o ato de improbidade administrativa stricto sensu — quando não ocorre dano ao erário ou enriquecimento sem causa — exige a intencionalidade do responsável pela prática do ato de improbidade administrativa, sob pena de configurar caso de responsabilidade objetiva, somente admitido em nosso ordenamento jurídico nos caso expressos em lei, o que não ocorre no caso em comento.
Dessa forma, é possível concluir acerca da possibilidade de enquadramento de uma conduta do agente público que viola as disposições sobre a lei geral de proteção dados como ato de improbidade administrativa, sendo necessário, no entanto, que seja descrito de modo objetivo como se deu a referida violação, trazendo a configuração do elemento volitivo, a fim de garantir ao réu a observância dos princípios constitucionais do contraditório e ampla defesa, uma vez que, sob o fundamento de punir o agente que violou a Lei Geral de Proteção de Dados, sem a demonstração da sua vontade direcionada, esse fim impede o exercício do devido processo legal substancial por parte do réu.