Após 6 anos de promulgação da Lei Geral de Proteção de Dados Pessoais (LGPD), ainda pairam incertezas e leituras inconclusivas sobre alguns de seus conceitos, embora haja consenso de que o marco regulatório surgiu em um contexto global de crescente valorização da privacidade e da proteção de dados pessoais, acompanhando a tendência estabelecida pelo Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia.
Dentre os principais conceitos da LGPD, destaca-se o tratamento de dados pessoais, que engloba toda e qualquer operação que envolva o uso de dados pessoais, conforme estabelecido no inciso X do artigo 5º da lei. Ao lado desse conceito, encontramos o uso compartilhado de dados, previsto no inciso XVI do mesmo artigo, que, por sua vez, apresenta uma definição mais complexa e sujeita a interpretações diversas, especialmente quando se trata do regime aplicável ao Poder Público e à transferência internacional de dados.
Com efeito, o conceito de tratamento de dados pessoais abrange qualquer operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, modificação, comunicação, transferência, difusão ou extração. Essa definição é ampla e exemplificativa – o que se infere pela própria opção do legislador pela utilização do advérbio “como” após apresentar o conceito no mencionado inciso X – pois contempla todas as atividades que podem envolver dados pessoais, seja no âmbito privado ou público.
A abrangência do conceito de tratamento de dados é proposital, visando garantir que qualquer tipo de operação com dados pessoais seja devidamente regulada pela LGPD. Nesse sentido, a definição reflete a necessidade de proteger os direitos dos titulares de dados em todas as etapas do ciclo de vida dos dados pessoais.
O inciso XVI do artigo 5º da LGPD define, por sua vez, o uso compartilhado de dados como a "comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre estes e entes privados, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados".
Embora o conceito seja claro em termos de abrangência das operações que podem ser consideradas de uso compartilhado, levanta dúvidas quanto à sua distinção em relação ao tratamento de dados, especialmente quando envolve os participantes do compartilhamento, em três situações: (i) apenas entre entes públicos; (ii) entre ente público e ente privado; (iii) entre entes privados. Além disso, a inclusão de termos como "comunicação" e "difusão", que também aparecem no rol exemplificativo do inciso V, e "interconexão", que é um termo totalmente novo e não conceituado, cria uma zona cinzenta, dificultando a compreensão de quando o uso compartilhado se distingue do tratamento de dados como um todo.
A confusão torna-se ainda mais evidente no âmbito das relações entre o Poder Público e entidades privadas, já que o uso compartilhado é tratado como uma modalidade qualificada de tratamento de dados, mas uma possível explicação para a fragmentação do conceito de uso compartilhado em relação ao tratamento de dados reside na estruturação de um duplo regime para o Poder Público, conforme previsto no Capítulo IV da LGPD.
O artigo 23 regula o tratamento de dados pessoais por parte de entes públicos, impondo condições específicas para que dados pessoais sejam manejados no exercício de suas competências, quais sejam: o cumprimento de finalidade pública e o atendimento do interesse público. Já o artigo 26 busca assegurar que o compartilhamento de dados ocorra de maneira responsável, respeitando os princípios de proteção de dados previstos no artigo 6º da lei, como a finalidade, necessidade e segurança. A previsão é de que o uso compartilhado atenda diretamente a interesses públicos legítimos, evitando abusos ou utilizações indevidas de informações pessoais.
Pertinente a reflexão de Luiza Leite Cabral Loureiro Coutinho: “Diferentemente das relações privadas, em que o titular de dados faz escolhas em se relacionar ou não com determinada pessoa jurídica cadastrando, ou não, seus dados na base de dados de um site de compras, por exemplo, para que possa exercer a qualidade de consumidor de produtos e serviços daquele fornecedor, tal condição de optante na relação jurídica com o Poder Público não existe, uma vez que todos, como cidadãos, em função do pacto social, são compelidos a se relacionarem com o Estado, que coleta massivamente dados de toda a população desde o nascimento de cada cidadão até a sua morte”1.
A existência de dois regimes distintos para o Poder Público é um reflexo da necessidade de definir diretrizes específicas para as operações realizadas por entes públicos, tanto no que tange ao tratamento interno de dados quanto ao compartilhamento com outras entidades. O uso compartilhado de dados, nesse contexto, surge como uma categoria especial de tratamento de dados, que exige a observância de regras adicionais.
Sabe-se, pois, que a LGPD foi fortemente inspirada no RGPD, norma supranacional válida para todos os países-membros da União Europeia. O RGPD estabelece uma base sólida para a proteção de dados pessoais, permitindo que cada país membro internalize suas diretrizes com adaptações às suas realidades locais. No entanto, não aborda explicitamente o conceito de uso compartilhado de dados, deixando margem para interpretações variadas.
Essa lacuna no regulamento europeu reflete a diversidade de regimes jurídicos existentes entre os países que integram a União Europeia, especialmente no que diz respeito ao tratamento de dados pelo Poder Público2. Por isso, a decisão do legislador brasileiro de criar um conceito específico para o uso compartilhado de dados busca evitar possíveis ambiguidades e garantir que o regime de tratamento pelo Poder Público seja devidamente tutelado.
O §1º do artigo 26 da LGPD é claro ao estabelece restrições e exceções para o compartilhamento de dados pelo Poder Público a entidades privadas. Em regra, tal atividade é proibida, exceto em situações específicas como a descentralização de atividades públicas, nos casos em que os dados sejam acessíveis publicamente, ou quando houver previsão legal ou respaldo em contratos administrativos, convênios ou outros instrumentos congêneres. Além disso, a transferência também é permitida em situações que visem à prevenção de fraudes, irregularidades, ou à proteção da segurança e integridade do titular dos dados, desde que as finalidades sejam claras e delimitadas. Já o §2º define que quaisquer contratos e convênios que envolvam a transferência de dados pessoais entre o Poder Público e entidades privadas devem ser comunicados à Autoridade Nacional de Proteção de Dados (ANPD). Essa exigência reforça a transparência e o controle sobre o uso de dados pessoais, garantindo que a ANPD possa fiscalizar e monitorar as operações de tratamento de dados, assegurando a conformidade com a legislação e os direitos dos titulares de dados.
A ANPD, no Guia Orientativo sobre o Tratamento de Dados Pessoais pelo Poder Público, cuja segunda versão foi publicada em junho de 20233, explica que o compartilhamento de dados pessoais ocorre quando órgãos e entidades públicas concedem acesso ou transferem bases de dados para outros entes públicos ou privados com o objetivo de atender finalidades públicas. Na visão da autoridade nacional, o conceito de "uso compartilhado de dados", definido pela LGPD, inclui várias formas de transferência e comunicação de dados para o cumprimento de competências legais. Esse uso é essencial para atividades rotineiras do Poder Público, como pagamento de servidores e prestação de serviços públicos. No entanto, o uso compartilhado deve seguir os princípios e bases legais da LGPD, garantindo transparência, segurança jurídica e a proteção dos direitos dos titulares, evitando abusos e desvios de finalidade.
Para orientar o Poder Público, a ANPD destaca os principais requisitos a serem observados nesses processos, ajustáveis conforme o contexto de cada caso. A tabela do Anexo I do Guia Orientativo da ANPD detalha os requisitos e recomendações para o uso compartilhado de dados pessoais pelo Poder Público, a saber:
(a) Formalização e registro: Recomenda-se a instauração de um processo administrativo formal, incluindo análise técnica e jurídica, decisão administrativa por meio de contrato ou convênio, além da edição de ato normativo interno;
(b) Objeto e finalidade: O uso compartilhado deve especificar de forma objetiva e detalhada os dados pessoais envolvidos, a finalidade específica desse uso, e deve ser feita uma avaliação da compatibilidade entre a finalidade original e a nova finalidade do compartilhamento;
(c) Base legal: É necessário indicar a base legal que justifica o uso compartilhado, conforme previsto na LGPD, reforçando a importância de seguir as normas adequadas para o tratamento de dados;
(d) Duração do tratamento: Deve-se definir claramente o período durante o qual os dados serão compartilhados, com justificativa fundamentada e também é necessário esclarecer se os dados serão conservados após o término do tratamento ou se serão eliminados;
(e) Transparência e direitos dos titulares: Informações sobre o compartilhamento devem ser divulgadas de forma clara, tanto nas páginas eletrônicas das entidades envolvidas quanto diretamente para os titulares de dados, isto é, a entidade deve se certificar de que essas informações sejam facilmente compreensíveis e deve definir as responsabilidades e os procedimentos para atender solicitações dos titulares;
(f) Prevenção e segurança: Recomenda-se a adoção de medidas técnicas e administrativas adequadas para proteger os dados pessoais e evitar incidentes de segurança;
(g) Outros requisitos: A depender do caso concreto, outros requisitos podem ser necessários, como a autorização para novos compartilhamentos, a responsabilidade financeira, e a elaboração de relatórios de impacto à proteção de dados. Esses requisitos visam garantir uma gestão cuidadosa e segura dos dados durante todo o processo.
No mais, embora o uso compartilhado de dados entre entes privados seja permitido pela LGPD, sua aplicação é mais restrita e deve obedecer a critérios específicos4. Todavia, não há regime específico definido na lei para que tal atividade de tratamento seja realizada, o que cria incertezas sobre a própria necessidade da distinção conceitual.
Quiçá a única passagem na qual se observa a relevância dessa distinção para a iniciativa privada seja o §4º do artigo 11 da LGPD, que proíbe o uso compartilhado de dados pessoais sensíveis referentes à saúde entre controladores com o objetivo de obter vantagem econômica. No entanto, existem exceções a essa regra, como nos casos de prestação de serviços de saúde, assistência farmacêutica e assistência à saúde, desde que tais práticas beneficiem os interesses dos titulares de dados e sigam o § 5º do mesmo artigo. Essas exceções permitem o uso compartilhado de dados sensíveis para assegurar a portabilidade de dados, quando solicitada pelo titular, e para facilitar transações financeiras e administrativas decorrentes da prestação de serviços de saúde.
Essas exceções estão relacionadas a situações em que o compartilhamento é necessário para o cumprimento de uma obrigação legal ou regulatória, para a execução de contratos, ou para a proteção da vida e da integridade física do titular dos dados ou de terceiros. Além disso, o uso compartilhado entre entes privados deve ser avaliado à luz das demais disposições da LGPD, especialmente no que se refere à necessidade de garantir a segurança dos dados e o cumprimento dos princípios gerais da Lei.
O conceito de uso compartilhado de dados na LGPD, embora à primeira vista pareça confuso, é uma ferramenta importante para regular as operações de tratamento de dados no Brasil, especialmente quando envolve o Poder Público e a transferência internacional de dados. A distinção entre o uso compartilhado e o tratamento de dados é essencial para a aplicação correta das normas previstas na lei, garantindo que as atividades de tratamento sejam realizadas de acordo com o regime jurídico adequado.
A inspiração no RGPD é evidente, mas o legislador brasileiro foi além, criando um conceito próprio para o uso compartilhado de dados que leva em consideração as peculiaridades do sistema jurídico nacional e as necessidades do setor público.
Em conclusão, o uso compartilhado de dados deve ser visto como uma modalidade qualificada de tratamento de dados, aplicável em contextos específicos, e que exige a observância de regras claras e bem definidas para garantir a proteção dos direitos dos titulares de dados e a conformidade com a legislação vigente.
__________
1 COUTINHO, Luiza Leite Cabral Loureiro. Um sistema government-to-business de compartilhamento de dados: os riscos e limites de incidência do artigo 26 da Lei Geral de Proteção de Dados. In: CRAVO, Daniela Copetti; JOBIM, Eduardo; FALEIROS JÚNIOR, José Luiz de Moura (coord.). Direito público e tecnologia. Indaiatuba: Foco, 2022, p. 323-324.
2 LIMBERGER, Têmis. Artigo 23. In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura (coord.). Comentários à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018). 2. ed. Indaiatuba: Foco, 2022, p. 281-285.
3 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Guia orientativo sobre o tratamento de dados pessoais pelo Poder Público. Versão 2.0. Brasília, 2023. Disponível aqui. Acesso em: 03 out. 2024.
4 LIMBERGER, Têmis. Artigo 26. In: MARTINS, Guilherme Magalhães; LONGHI, João Victor Rozatti; FALEIROS JÚNIOR, José Luiz de Moura (coord.). Comentários à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018). 2. ed. Indaiatuba: Foco, 2022, p. 309.