A LGPD e o tratamento de dados pela Administração Pública
Autores
18 de junho de 2023, 8h00
Não é novidade que a Administração Pública exerce, diariamente, ampla gama de atividades administrativas e implementa políticas públicas em cumprimento do interesse público, estando toda sua atuação subordinada às regras legais, e, acima disso, ao Direito. Não sem razão, as políticas públicas não podem ser consideradas como "meros programas de governo, mas ações e pautas administrativas que precisam guardar vinculação com as prioridades constitucionais, imprimindo, de modo consciente, eficácia aos direitos fundamentais de todas as dimensões."[1]
Dessa forma, para consecução dessa ampla gama de atividades administrativas, a Administração Pública torna-se uma das maiores interessadas na coleta de dados pessoais, exigindo dos titulares a exposição constante e crescente de suas informações pessoais para fins de execução de políticas públicas. Como exemplo, tem-se a biometria obrigatória de impressão digital dos eleitores para exercer o direito ao voto, o uso de tecnologias de reconhecimento facial para vigilância pública, o cruzamento de dados bancários para fiscalização da tributação e diversas outras informações que a Administração necessita para a persecução de seus objetivos.
Considerando esse fato, a Lei Geral de Proteção de Dados disciplina o tratamento de dados pessoais pelas pessoas jurídicas de direito público (Capítulo IV, LGPD), reconhecendo que o Poder Público não está alheio à realidade digital.[2] Nesse sentido, a partir do artigo 23 da Lei, determina-se que o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. É dizer deverão ser fornecidas informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução das atividades de tratamento de dados pessoais, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos, bem como deverá ser indicado um encarregado de dados.[3]
Ou seja, os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
Essa relação jurídica existente entre o Poder Público e o indivíduo, titular de dados pessoais, contudo, caracteriza-se por uma natural assimetria, vez que o Estado possui amplos poderes para consecução de suas funções, realizando grande coleta e armazenamento de dados pessoais adquiridos para o desempenho de suas atividades ou como subproduto delas.[4]
Assim, considerando esse desequilíbrio entre as partes, "uma das muitas formas de balancear esse desequilíbrio passa pela equalização do fluxo informacional (…), mediante regras mais protetivas que limitam ou balizam a atuação estatal, aumentando a transparência estatal para o cidadão".[5]
A integração da LGPD ao regime jurídico de direito público, portanto, demanda maior segurança e transparência à atuação da Administração Pública, metodizando o tratamento de dados pessoais coletados por ela, mitigando-se o risco de violação de direitos individuais fundamentais do titular, sem comprometer a execução de suas competências legais e as atribuições legais do serviço público.
Assim, a inclusão do setor público no escopo da lei é extremamente importante, especialmente considerando "as prerrogativas e os poderes conferidos ao Estado para a consecução dos fins públicos; a relação assimétrica existente em relação aos indivíduos; a concentração de bancos de dados de cidadãos; a essencialidade desses dados para o exercício de atividades e políticas públicas; e a compulsoriedade da entrega de dados ao Estado".[6]
Considerando a assimetria e compulsoriedade que, muitas vezes, envolve o tratamento de dados pelo Poder Público, essencial o reconhecimento do poder informacional, isso porque, referido poder pode ser utilizado de forma legítima pelo Estado, é dizer, "de forma supervisionada, transparente e procedimentalizada" [7], ou, pode ser "usado para subjugar indivíduos por meio da vigilância ininterrupta e sorrateira" [8] e para a tomada de decisões fora do alcance do devido processo legal e da luz — longe do controle social, subvertendo a lógica do Estado de Direito.[9] Daí se afirmar que, em um sistema democrático moderno, o nível de transparência governamental é elemento essencial para legitimação do Estado de Direito e, por conseguinte, da própria participação social.[10]
Dessa forma, mesmo o tratamento de dados pessoais pelo Poder Público deve garantir (i) a adequação do tratamento com as finalidades precípuas ou a garantia de "procedimentos de proteção que levem em conta o risco do tratamento de dados pessoais, especialmente a partir da mudança de finalidade intrínseca a todo compartilhamento"; (ii) a necessidade do tratamento, limitando-o ao mínimo necessário; (iii) a qualidade dos dados, garantindo autodeterminação informada aos titulares e mecanismos efetivos para o exercício dos demais direitos; (iv) a segurança e a prevenção, mediante sistema de governança robusto, que permita a utilização de técnicas aptas a inibir o acesso escuso, eximindo os titulares de danos; (v) a não permissão de utilização dos dados para fins discriminatórios; (vi) a adoção de instrumentos de transparência e de accountability, que possibilitem o controle do fluxo dos dados pessoais pelo cidadão e pelos órgãos competentes; e (vii) a necessidade de realização de relatórios de impacto prévios ao compartilhamento de dados de alto risco.[11]
Em resumo, quando couber à Administração Pública o tratamento de dados pessoais, além de se observar o regime jurídico que lhe é diretamente aplicável, deve ela também atentar aos fundamentos e princípios da proteção de dados consignados na LGPD, não podendo a proteção de dados ser pretexto para a redução da transparência e do controle social, especialmente quando se tratam de informações consideradas públicas, como, por exemplo, as trazidas no contexto das contratações públicas, conforme assegurado na Lei de Acesso à Informação e, igualmente, na Lei 14.133/2021 (Nova Lei de Licitações e Contratos Públicos).
[1] FREITAS, Juarez. O controle dos atos administrativos e os princípios fundamentais. 5. ed. rev. e ampl. São Paulo: Malheiros Editores, 2013. p. 456.
[2] No caso de tratamento realizado pelo Poder Público – assunto a ser abordado na seção seguinte –, a LGPD cria uma hipótese específica para autorizar, independentemente do consentimento dos titulares, o tratamento e uso compartilhado de dados necessários à “execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei” (inciso III do art. 7º). GAROFANO, Rafael R. Limitação de finalidade no tratamento de dados pessoais pelo poder público: controle de legalidade da reutilização para fins de interesse público. Tese de Doutorado. São Paulo: Faculdade de Direito, Universidade de São Paulo, 2022. p. 135.
[3] O encarregado é pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), nos termos do artigo 5º, inciso VIII, da LGPD. BRASIL. Lei Geral de Proteção de Dados Pessoais. Brasília, Lei Federal nº 13.709, de 14 de agosto de 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 10 out. 2022.
[4] TASSO, Fernando Antonio. Do tratamento de dados pessoais pelo Poder Público. In. LGPD: Lei Geral de Proteção de Dados comentada. MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (coords.). São Paulo: Thomson Reuters Brasil, 2019. p. 245.
[5] BIONI, Bruno Ricardo; SILVA, Paula Guedes F. da; MARTINS, Pedro Bastos L. Intersecções e relações entre a Lei Geral de Proteção de Dados (LGPD) e a Lei de Acesso à Informação (LAI): análise contextual pela lente do direito de acesso. Cadernos Técnicos da CGU/ Controladoria-Geral da União. Disponível em: <https://revista.cgu.gov.br/Cadernos_CGU/issue/view/39/46>. p. 11.
[6] GAROFANO, Rafael R. Limitação de finalidade no tratamento de dados pessoais pelo poder público: controle de legalidade da reutilização para fins de interesse público. Tese de Doutorado. São Paulo: Faculdade de Direito, Universidade de São Paulo, 2022, Cap. 3. p. 140.
[7] MENDES, Laura Schertel. Democracia, poder informacional e vigilância. O Globo, publicado em 13 ago. 2022. Disponível em: https://oglobo.globo.com/blogs/fumus-boni-iuris/post/2022/08/laura-schertel-democracia-poder-informacional-e-vigilancia.ghtml. Acesso em: 23 ago. 2022.
[8] MENDES, Laura Schertel. Democracia, poder informacional e vigilância. O Globo, publicado em 13 ago. 2022. Disponível em: https://oglobo.globo.com/blogs/fumus-boni-iuris/post/2022/08/laura-schertel-democracia-poder-informacional-e-vigilancia.ghtml. Acesso em: 23 ago. 2022.
[9] MENDES, Laura Schertel. Democracia, poder informacional e vigilância. O Globo, publicado em 13 ago. 2022. Disponível em: https://oglobo.globo.com/blogs/fumus-boni-iuris/post/2022/08/laura-schertel-democracia-poder-informacional-e-vigilancia.ghtml. Acesso em: 23 ago. 2022.
[10] WEAVER, Russell L. Transparency, Privacy & The Snowden Affair. In: BOUHADANA, Irène; GILLES, William; WEAVER, Russell (orgs.). Transparency in the Open Government Era. Paris: IMODEV, 2015. p. 241.
[11] MENDES, Laura Schertel. Democracia, poder informacional e vigilância. O Globo, publicado em 13 ago. 2022. Disponível em: https://oglobo.globo.com/blogs/fumus-boni-iuris/post/2022/08/laura-schertel-democracia-poder-informacional-e-vigilancia.ghtml. Acesso em: 23 ago. 2022.
Encontrou um erro? Avise nossa equipe!