Público & Pragmático

Limites ao compartilhamento de dados pessoais pelo poder público

Autores

  • Matheus Teixeira Moreira

    é advogado pós-graduado em Direito Público pós-graduando em Direito e ESG pela Fundação Getulio Vargas-SP (FGV Law) e coordenador do Núcleo de Consultoria e Assessoria em Direito Público no escritório Justino de Oliveira Advogados.

  • Otavio Venturini

    é consultor jurídico professor universitário doutorando e mestre em Direito pela Fundação Getulio Vargas-SP presidente da Associação Brasileira de Direito Administrativo e Econômico (Abradade) e advogado com destacada atuação em temas de direito público corporativo e compliance.

2 de outubro de 2022, 8h00

Ao longo do "Capítulo IV – Do tratamento de dados pessoais pelo Poder Público", a LGPD prevê várias regras e previsões sobre o tratamento de dados pelo setor público, que, embora meritórias, não são inteiramente suficientes para uma efetiva regulação do tema, como a inexistência de especificação quanto ao regime de responsabilização em descumprimento ou cometimento de infrações no tratamento de dados pelo setor público [1]. Ressaltamos, ainda, as previsões sobre o uso compartilhado de dados, notadamente quanto à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral (artigos 25 e 26).

Com efeito, a administração necessita e depende do tratamento de dados pessoais para dar azo a suas diversas atividades administrativas, executar serviços e políticas públicas dotadas de maior enforcement. É dizer: dados e informações pessoais são essenciais para administrar a coisa pública [2]. Entretanto, uma série de balizas vem sendo fixadas no controle concentrado de constitucionalidade, a exemplo do paradigmático posicionamento do STF nas ADIns 6.387, 6.388, 6.389, 6.390 e 6.393 e do recente julgamento conjunto da ADI 6.649 e da ADPF 695.

A regulação imposta pela LGPD, consideravelmente incisiva, faz com que a administração tenha de cumprir uma série de requisitos e etapas ao longo do tratamento de dados, dentro de uma estrutura adequada de governança. Assim, o tratamento de dados deve estar subordinado à base legal e principiológica competente, à garantia dos direitos do titular e à adoção de boas práticas e adequada estrutura de governança.

Nesse ínterim, convém relembrar que a própria Autoridade Nacional de Proteção de Dados (ANPD) lançou o Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público, com a finalidade de auxiliar entidades e órgãos públicos nas atividades de adequação e de implementação da LGPD. Frise-se que a centralidade conferida à ANPD encontra eco em instrumentos internacionais de proteção de dados, como as guidelines da Organização para a Cooperação e Desenvolvimento Econômico (OCDE), a Convenção 108 na Europa e a própria Carta de Direitos Fundamentais da União Europeia [3].

Ainda que a coleta e o tratamento sejam realizados em prol da concreção de políticas públicas no cenário da emergência sanitária como foi o caso da pandemia de Covid-19, a administração deve observar uma série de critérios para que não reste caracterizado a indevida utilização de dados pessoais. Foi nesse sentido que o Supremo Tribunal Federal decidiu, quando do julgamento das ADIns 6.387, 6.388, 6.389, 6.390 e 6.393, que, mesmo que em um contexto emergencial, o compartilhamento de dados não pode ser feito às custas dos direitos e garantias fundamentais. Em verdade, devem ser respeitados parâmetros como necessidade, adequação, proporcionalidade e segurança.

Sem dúvidas, o tratamento de dados pessoais deve observar uma devida e delimitada finalidade, cuja imperiosidade deve "ser assegurada também pelas pessoas jurídicas de direito público mediante o tratamento de dados pessoais de acordo com sua finalidade pública, na persecução do interesse público e com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público" [4]. É nesse sentido que o artigo 23 da LGPD prevê um conjunto de requisitos ao dispor que o tratamento de dados pelo Poder Público deverá ser realizado em atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Conforme ressaltado por Miriam Wimmer [5], o princípio da finalidade permite o entendimento segundo o qual o Estado não poderia restar configurado como unidade informacional. Com efeito, alguns critérios devem ser observados quando do compartilhamento dos dados pessoais e daquilo que Wimmer define como uso secundário, que seria "a utilização de dados pessoais para finalidades distintas daquelas que justificaram originalmente a sua coleta" mediante o compartilhamento entre órgãos e entidades da administração. É necessário, nessas hipóteses, que haja compatibilidade de finalidades e consideração às expectativas do titular; no caso de incompatibilidade, a fundamentação pelo compartilhamento pode advir de base legal específica ou de nova autorização expressa do titular.

Nesse sentido, a adequação criteriosa é o cerne do que foi decidido pelo STF, em 15 de setembro, sobre o compartilhamento de dados pessoais entre órgãos e entidades da administração. Na análise conjunta da ADI 6.649 e da ADPF 695, que pautavam uma alegada "vigilância massiva" e "controle institucional do Estado" promovidos pelo Decreto 10.046/2019 — o qual dispõe sobre a governança no compartilhamento de dados no âmbito da administração federal —, a corte reconheceu a possibilidade de compartilhamento, mas a partir de um controle rigoroso que se restrinja ao mínimo necessário e que cumpra todos os requisitos, garantias e procedimentos impostos pela LGPD ao Poder Público.

No voto-vogal do julgamento conjunto, o relator ministro Gilmar Mendes optou por conferir interpretação conforme a Constituição ao sobredito decreto, ressaltando o caráter de direito fundamental da proteção de dados pessoais — o que limita per se o poder informacional do Estado, conforme lecionam os doutrinadores Laura Schertel Mendes e Gustavo Gil Gasiola [6] — e os influxos da inovação tecnológica sobre os direitos e garantias fundamentais. Destarte, a tutela desse direito passa necessariamente pelo compromisso com os parâmetros, requisitos e restrições legais; no que se refere à proteção de dados na administração, o relator aponta que "a LGPD parece ter limitado o tratamento de dados pelo Poder Público às atividades principais e acessórias de provisão de serviços públicos" [7] e que, a partir da vinculação da norma ao princípio da legalidade, "essas finalidades conexas à prestação de serviços públicos estejam, ao máximo possível, amparadas em previsões legais específicas" [8].

Um importantíssimo marco extraído do julgamento conjunto da ADI 6.649 e ADPF 695 diz respeito aos perigos inerentes à vagueza do conceito de interesse público insuflado pela administração quando do tratamento de dados pessoais: "a discussão sobre a privacidade nas relações com a Administração Estatal não deve partir de uma visão dicotômica que coloque o interesse público como bem jurídico a ser tutelado de forma totalmente distinta e em confronto com o valor constitucional da privacidade e proteção de dados pessoais" [9]. Esse, inclusive, é mais um indicativo da hermenêutica de caráter pragmático e consequencialista ressaltada pela Nova LINDB [10].

Sem dúvidas, e retomando o entendimento pelo qual os dados pessoais constituem um dos mais importantes recursos nesta sociedade da informação, é imperioso que o aparato jurídico-institucional de um país estabeleça critérios rígidos à tutela desse direito para a vinculação das boas práticas em nível internacional — a exemplo dos parâmetros indicados pela OCDE [11], materializados a partir de iniciativas institucionais como a criação de entidade independente e de apoio à administração no gerenciamento e compartilhamento de dados pessoais.

Assim sendo, a solidificação de boas práticas quanto ao tratamento de dados será essencial na nova sociedade informatizada. Nesse contexto, revela-se de extrema importância o papel que o STF vem desempenhando no reconhecimento dos requisitos legais de tratamento e dos limites ao compartilhamento de dados pessoais pela administração pública, considerando-se sempre os propósitos legítimos, específicos e explícitos, a compatibilidade com a finalidade informada e a limitação ao mínimo necessário.

 


[1] BOSTELMANN, Danielle Santi; MAFRA, Marcos Guilherme Rodrigues. A responsabilização da Administração Pública na Lei Geral de Proteção de Dados. In: PIRONTI, Rodrigo (Coord.). Lei Geral de Proteção de Dados no Setor Público. Belo Horizonte: Fórum, 2021, p. 137-150

[2] DI SALVO, Sílvia Helena Johonsom; VENTURINI, Otavio. Sanções aos entes públicos na LGPD: eficácia na era do digital. In: Revista Consultor Jurídico. Disponível em: https://www.conjur.com.br/2021-ago-29/publico-pragmatico-sancoes-aos-entes-publicos-lgpd-eficacia-digital. Acesso em: 26 set. 2022.

[3] WIMMER, Míriam. Os desafios do enforcement na LGPD: fiscalização, aplicação de sanções administrativas e coordenação intragovernamental. In: DONEDA, D., SARLET, I., MENDES, L., RODRIGUES JÚNIOR, O. (coord.) Tratado de Proteção de Dados Pessoais. São Paulo: Forense, 2020, edição Kindle, p. 385.

[4] PIRONTI, Rodrigo; ZILIOTTO, Mirela Miró. O direito à autodeterminação informativa e a questão do consentimento no tratamento de dados pessoais pela Administração Pública. In: PIRONTI, Rodrigo (Coord.). Lei Geral de Proteção de Dados no Setor Público. Belo Horizonte: Fórum, 2021, p. 423.

[5] WIMMER, Miriam. Limites e possibilidades para o uso secundário de dados pessoais no poder público: lições da pandemia. In: Revista Brasileira de Políticas Públicas, Brasília, v. 11, nº 1, pp. 123-143, abr. 2021.

[6] MENDES, Laura Schertel Mendes; GASIOLA, Gustavo Gil. Inconstitucionalidade do Decreto 10.046: limites do compartilhamento de dados. 14 set. 2022. In: Revista Consultor Jurídico. Disponível em: https://www.conjur.com.br/2022-set-14/schertel-gasiola-compartilhamento-dados-setor-publico. Acesso em: 29 set. 2022.

[7] STF, ADI 6.649; ADPF 695 (julgamento conjunto), rel. min. Gilmar Mendes, j. em 15 set. 2022. p. 30.

[8] Ibid.

[9] Ibid, p. 33.

[10] Art. 20. Nas esferas administrativa, controladora e judicial, não se decidirá com base em valores jurídicos abstratos sem que sejam consideradas as consequências práticas da decisão.

[11] OCDE. The path to becoming a data-driven public sector. OECD Publishing: Paris, 2019.

Autores

  • Brave

    é advogado especialista em Direito Público e coordenador jurídico no escritório Justino de Oliveira Advogados.

  • Brave

    é consultor jurídico, professor universitário e advogado, com destacada atuação em temas de direito público, corporativo e compliance. Doutorando e mestre em Direito pela Fundação Getulio Vargas/SP. Presidente da Associação Brasileira de Direito Administrativo e Econômico (Abradade).

Tags:

Encontrou um erro? Avise nossa equipe!