ADI 6.649 e o compartilhamento de dados pessoais pela administração pública

O Pleno do Supremo Tribunal Federal, em decisão unânime, conheceu e julgou parcialmente procedentes os pedidos da ação direta de inconstitucionalidade e da arguição de descumprimento de preceito fundamental, conferindo interpretação conforme ao Decreto nº 10.046/2019, no que tange ao compartilhamento de dados pela administração pública e a criação do Cadastro Base do Cidadão e do Comitê Central de Governança de Dados.

A controvérsia inicialmente foi levada ao STF após a tentativa de edição da MP 954/2020, que determinava que as operadoras de telefonia disponibilizassem ao IBGE, em meio eletrônico, os nomes, números de telefone e endereços de milhões de usuários de serviços de telecomunicação. No julgamento da ADI nº 6387, de relatoria da ministra Rosa Weber, o tribunal referendou a medida cautelar que suspendeu a eficácia da Medida Provisória nº 954/2020, a fim de prevenir danos irreparáveis à intimidade e ao sigilo da vida privada de mais de uma centena de milhão de usuários dos serviços de telefonia fixa e móvel.

Foi considerada, ainda, por ocasião do julgamento, a recomendação do Laboratório de Políticas Públicas e Internet de que o Comitê Central de Governança de Dados, no exercício de suas atribuições regulamentares, no sentido de que os dados pessoais fossem submetidos ao nível de compartilhamento restrito.

Segundo o ministro relator Gilmar Mendes "O evento preocupa, na medida em que, por definição, o nível de compartilhamento restrito engloba dados que, apesar de sigilosos, podem ser livremente acessados por todos os órgãos e entidades da Administração Pública Federal", o que, em suas palavras oferece, "proteção inadequada para a tutela dos valores estruturantes da LGPD".

Com a publicação da Emenda Constitucional nº 115/2022, a proteção de dados pessoais foi erigida à categoria de direito e garantia fundamental. A teor do artigo 5º, inciso LXXIX, da Constituição, "é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais".

A emeda constitucional acrescentou novas competências à União, determinando que:

"Art. 21. Compete à União:
XXVI – organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei.
Art. 22. Compete privativamente à União legislar sobre:
XXX – proteção e tratamento de dados pessoais."

A inovação constitucional, sem dúvidas, conferiu poderes ainda maiores de gerência do Estado sobre a proteção à privacidade dos titulares de dados pessoais. Mas, quais são os limites de atuação do Estado? Foi essa a questão enfrentada pelo Supremo Tribunal Federal na ADI 6.649/DF.

A Lei nº 13.709/2018 (Lei Geral de Proteção de Dados), em seu artigo 7º, inciso III, determina que o tratamento de dados pessoais poderá ser realizado pela administração pública "para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres". Em complemento, dispõe no artigo 23 que o tratamento de dados pessoais pelas pessoas jurídicas de direito público "deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público". No inciso I do artigo 23, a lei condiciona o tratamento ao "fornecimento de informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos".

Em complemento, dispõe os artigos 25 e 26 da Lei Geral de Proteção de Dados:

"Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público geral.
Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei."

A par disso, a lei, pautada no princípio da autodeterminação informacional, segundo o qual o titular tem o direito de conhecer o fluxo de seus dados pessoais, determina que o tratamento de dados pessoais deverá observar, entre outros princípios, a boa-fé, a finalidade, a adequação, a necessidade e transparência, todos aplicáveis aos agentes de tratamento, sejam eles de direito público ou privado.

O tratamento de dados pessoais pela administração pública exige, assim, a compatibilização dos princípios e mecanismos de proteção trazidos pela nova legislação com os interesses públicos do Estado, em homenagem ao direito fundamental à privacidade, à proteção de dados e autodeterminação informacional, o que não autoriza, por certo, o tratamento indiscriminado de dados pessoais, ainda que para atividades de inteligência, sob pena de evidente retrocesso social diante do abuso que um cadastro unificado pode ocasionar, além dos riscos de incidentes de segurança com dados pessoais.

Conforme bem consignado pelo ministro relator:

"(…) Em homenagem ao direito à autodeterminação informativa, apenas as informações gerais do Estado são alcançadas pelo disposto no art. 3, inciso I, do Decreto 10.046/2019, e não aquelas relacionadas aos atributos da personalidade ou qualidades próprias do cidadão.
Devem ser amplamente compartilhadas, nos termos do dispositivo, somente as informações relativas ao funcionamento do aparato estatal, como gestão de pessoal e do patrimônio público, utilização de recursos orçamentários, formalização de atos e contratos administrativos, apenas para citar alguns exemplos. Lado outro, em relação às informações pessoais, devem incidir os vetores protetivos da LGPD, estruturados para a salvaguarda da privacidade dos cidadãos, que exigem o preenchimento de requisitos mais rígidos para o fluxo de informações no âmbito dos órgãos públicos federais." (grifo do autor)

Com base nessas premissas, entendeu a Corte Constitucional que, "desde que interpretados de maneira sistemática e em conformidade com as regras da LGPD, os dispositivos do Decreto 10.046/2019 não abrem espaço para a instituição de uma base integradora descomunal". Concluiu o relator que, ao contrário, "as inúmeras alusões feitas pelo decreto ao regime protetivo instituído pela LGPD impõem a necessidade de estabelecimento de ferramentas rigorosas de controle de acesso ao Cadastro Base do Cidadão".

No que tange à criação do Comitê Central de Governança de Dados, no entanto, entendeu o STF que o Decreto 10.046/2019, na forma como estruturado, não apenas oferece proteção deficiente para valores centrais da ordem constitucional, como também constitui fator de desestabilização das garantias previstas na Lei 13.709/2018.

Nas palavras do relator ministro Gilmar Mendes:

"Cuida-se, a rigor, de instituição com perfil insular, hostil a qualquer proposta de abertura democrática e de pluralização do debate e, nessa medida, fechada à participação de representantes oriundos de outras instituições republicanas e de entidades da sociedade civil.
(…)
As distorções identificadas na composição do Comitê Central de Governança de Dados oferecem, ainda, grave risco de comprometimento da imagem do país no plano externo, podendo, em certa medida, ameaçar pretensões deduzidas pelo Estado brasileiro de ingresso em entidades internacionais relevantes, como a Organização para a Cooperação e Desenvolvimento Econômico – OCDE.
(…)
Dada a relevância e a sensibilidade da sua missão institucional, é inequívoco que o Comitê Central de Governança de Dados ocupa posição de centralidade no regime constitucional de proteção da privacidade. Cuida-se de entidade que atua em articulação direta com a Autoridade Nacional de Proteção de Dados, desempenhando atribuições que dialogam intimamente com as regras e princípios instituídos pela LGPD, sobretudo no que diz respeito à preservação da privacidade dos usuários de serviços públicos federais."

É objeto de crítica pelo ministro Gilmar Mendes, ainda, a composição do comitê, porquanto é composto única e exclusivamente por representantes do Poder Executivo, inexistindo quaisquer garantias contra influência indevidas, pelo que restaria caracterizada evidente afronta ao regime de proteção de dados instituído pela atual ordem constitucional.

Entendeu o STF, deste modo, ante do risco de desestabilização do sistema, pela declaração de inconstitucionalidade do dispositivo que instituiu o Comitê Central de Governança de Dados — modulando os efeitos da decisão, preservando a sua estrutura orgânica pelo prazo de 60 dias, a contar da data da publicação do julgamento. Dentro deste prazo, o presidente da República deverá reestruturar o comitê, "de modo a resgatar a trajetória de fortalecimento dos mecanismos de proteção de dados pessoais". Segundo destacado na conclusão do voto, cabe ao chefe do Poder Executivo (1) atribuir ao órgão um perfil independente e plural, aberto à participação efetiva de representantes de outras instituições democráticas; e (2) conferir às suas integrantes garantias mínimas contra influências indevidas.

O julgamento da ADI nº 6.649/DF acabou por estabelecer, portanto, premissas importantes no que tange ao compartilhamento de dados pessoais entre os órgãos e entidades da administração pública, definindo, entre outras medidas, que o tratamento deverá se dar com propósitos legítimos, específicos e explícitos, atendendo-se à transparência, finalidade e necessidade (artigo 6º da LGPD), em estrita observância às disposições da Lei Geral de Proteção de Dados, garantindo-se aos cidadãos, titulares de dados pessoais, além da pluralidade, participação e autodeterminação informacional, o direito constitucional fundamental à privacidade e proteção de dados pessoais.

Referências:
BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em: http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 16 set. 22.

_______. Lei nº 13.709/2018. Lei Geral de Proteção de Dados (LGPD). Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 16 set. 22.

_______. Emenda Constitucional nº 115/2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Acesso em: http://www.planalto.gov.br/ccivil_03/constituicao/emendas/emc/emc115.htm. Acesso em: 16 set. 22

_______. ADI 6.649/DF. Ação Direita de Inconstitucionalidade. Disponível em: https://portal.stf.jus.br/processos/detalhe.asp?incidente=6079238.> Acesso em: 16 set. 22.