Migalhas de Peso

LGPD no Setor Público: bases legais para o tratamento de dados pessoais

O uso do legítimo interesse como uma base legal para o tratamento de dados pessoais acaba por gerar um ônus argumentativo maior quanto ao princípio da finalidade, uma vez que, provavelmente para evitar seu uso indiscriminado, o legislador optou por frisar que sua aplicação só é possível em uma situação concreta.

7/3/2022

(Imagem: Arte Migalhas)

É sabido que lei geral de proteção de dados – lei 13.709/18, doravante LGPD – se aplica tanto ao setor privado, quanto ao setor público. Há muito tempo, a Administração Pública vem coletando dados pessoais de maneira indiscriminada e sem se preocupar com princípios elencados no art. 6º na LGPD – especialmente finalidade, adequação, necessidade ou mesmo segurança -, e nem com o caput do art. 23, que define que o tratamento de dados pessoais pelas pessoas jurídicas de direito público, “deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”. Nesse contexto, robustecendo seu papel orientativo, a Autoridade Nacional de Proteção de Dados (ANPD) lançou no dia 28 de janeiro de 2022, um novo guia orientativo – “Tratamento de Dados Pessoais pelo Poder Público”1. Trata-se de um documento com o objetivo de auxiliar órgãos e entidades públicas nas atividades de adequação e implementação da LGPD. O guia aborda quatro aspectos principais: (i) as bases legais mais comuns para embasar o tratamento de dados pelo poder público; (ii) os princípios mais aderentes às peculiaridades do setor público; (iii) orientações acerca do compartilhamento de dados pessoais pelo Poder Público; e (iv) cuidados na divulgação de dados pessoais. Neste texto, abordarei as bases legais tratadas no guia.

Bases Legais

A LGPD delibera que os dados pessoais só podem ser tratados em consonância com pelo menos uma das hipóteses legais previstas no art. 7º. As hipóteses – ou bases – legais, portanto, são presunções autorizativas para que um agente de tratamento, público ou privado, possa realizar operações com dados pessoais, como a coleta, classificação, utilização, acesso, transmissão, processamento, armazenamento, eliminação, transferência, dentre outras.

Em função das peculiaridades do setor público e com base nos questionamentos recebidos, a ANPD focou o capítulo III do já citado guia orientativo em quatro das dez bases legais previstas no art. 7º: consentimento (inciso I), cumprimento de obrigação legal e regulatória (inciso II), execução de políticas públicas (inciso IV) e legítimo interesse (inciso IX).

Consentimento

Previsto no art. 7º, I da LGPD como uma hipótese de tratamento de dados pessoais, o consentimento é definido no art. 5º, XII como “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Em outras palavras, o titular dos dados pessoais deve dar seu consentimento para o controlador tratar seus dados pessoais de forma clara, livre, sem coação, inequívoca, com base na transparência da informação da finalidade do tratamento – uma vez que o art. 8º, § 4º torna nulo o consentimento para autorizações de tratamento genéricas - e por escrito ou outro meio que demonstre indubitavelmente a vontade real do titular. Antes da LGPD, o consentimento também é tratado na lei 12.965/14, o Marco Civil da Internet (MCI). No MCI, em seu art. 7º que trata dos direitos do usuário de Internet, o inciso VII define que o compartilhamento de dados pessoais, incluindo registros de conexão e acesso a aplicações, só pode ser feito mediante consentimento “livre, expresso e informado”. O titular deve ter pleno conhecimento do que está sendo consentido, de forma transparente, objetiva, sem tecnicismo jurídico e/ou técnico, adequada e ostensiva. O termo de consentimento deve informar a finalidade específica para o tratamento, a forma e duração, a identificação do controlador e informações de contato, se os dados serão compartilhados (finalidade e identificação dos outros controladores e operadores), responsabilidades dos agentes de tratamento e direitos do titular, conforme art. 18, especialmente quanto ao seu direito de revogar o consentimento a qualquer momento, sem necessidade de justificativa.

O art. 8º determina, ainda, que caso o consentimento seja dado por escrito, o texto deverá ser uma cláusula destacada das demais (art. 8º, § 1º), dando ênfase e clareza, para que o titular não tenha dúvidas de que está dando seu consentimento espontâneo.  O MCI, em seu art. 7º, IX, vai na mesma toada, indicando que o consentimento deverá ocorrer de forma “destacada das demais cláusulas contratuais”. Isso é importante, pois cabe ao controlador o ônus da prova de que o consentimento foi obtido de acordo com as regras da LGPD (art. 8º, § 2º).

Pois bem, com base nessas características que devem ser observadas quando do uso do consentimento, o guia da ANPD considera que esta não é a base legal “mais apropriada para o tratamento de dados pessoais pelo Poder Público, notadamente quando o tratamento for necessário para o cumprimento de obrigações e atribuições legais”. Nesses casos, há um “desbalanceamento de forças”, onde as prerrogativas do poder público acabam sendo impostas ao titular dos dados, impedindo-o de manifestar sua livre vontade, sem prejuízo ao exercício de direitos fundamentais ou aplicação de restrições para usufruir dos serviços públicos.

Contudo, o consentimento pode ser utilizado como base legal desde que o tratamento de dados pessoais não seja obrigatório, por obrigações ou atribuições legais da instituição. Dessa forma, o titular dos dados pessoais poderá manifestar livremente sua vontade real, dando ou não o consentimento.

Cumprimento de obrigação legal e regulatória

A LGPD permite que o tratamento de dados pelo Poder Público seja realizado para o cumprimento de obrigação legal ou regulatória, conforme art. 7º, II e art. 11, II, a.  O conceito de obrigação legal é reforçado no art. 23, quando destaca que o tratamento de dados pessoais no setor público deverá ser realizado com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”, observando, ainda, o interesse público e o atendimento da finalidade pública do controlador.

O guia aborda essa base legal segundo dois contextos normativos: normas de conduta e normas de organização.

Segundo Barroso (2009), as normas de conduta seriam aquelas “destinadas a reger, diretamente, as relações sociais e o comportamento das pessoas. Normas de conduta [...] preveem um fato e a ele atribuem um efeito jurídico”. Ou seja, as normas preveem um fato e uma implicação jurídica para esse fato. Por exemplo, se houver um fato gerador, haverá um tributo.

Já as normas de organização são aquelas criadas para estruturação de órgãos e entidades, estabelecendo suas competências e atribuições. Tais normas “em lugar de disciplinarem condutas, as normas de organização, também chamadas de normas de estrutura, instituem órgãos, atribuem competências, definem procedimentos” (BARROSO, 2019).

Assim, o cumprimento de obrigações legais e regulatórios pode ser uma necessidade gerada por normas de conduta ou de organização. No primeiro caso, o agente de tratamento do setor público deve obrigatoriamente cumprir uma determinação legal expressa, sob pena de sofrer uma consequência prevista no ordenamento jurídico. Na segunda hipótese, o tratamento se dará para atendimento à finalidade da existência daquele órgão ou instituição pública, para cumprimento de suas atribuições legais, razão de sua existência.

Execução de políticas públicas

Outra base legal prevista na LGPD para o tratamento de dados pela Administração Pública é para a “execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres”, conforme art. 7º, III e art. 11, II, b. 

O guia busca definir os termos Administração Pública e Políticas Públicas, de forma a esclarecer a aplicação dessa base legal.

Administração Pública abrangeria, segundo o guia, “tanto órgãos e entidades do Poder Executivo quanto dos Poderes Legislativo e Judiciário, inclusive das Cortes de Contas e do Ministério Público, desde que estejam atuando no exercício de funções administrativas. Portanto, todos os órgãos e entidades dos três poderes e das três esferas federativas podem usar essa base legal para a consecução de políticas públicas. Mas o que seriam políticas públicas?

Como o termo políticas públicas não foi definido no art. 5º da LGPD, o guia recomenda que sejam consideradas as definições usuais do termo. Assim, segundo Peters (1986), política pública é a soma das atividades dos governos, que agem diretamente ou através de delegação, e que influenciam a vida dos cidadãos. Dye (1984) sintetiza a definição de política pública como "o que o governo escolhe fazer ou não fazer". O guia ressalta que para a aplicação dessa base legal, a política pública deve ser instituída por um ato formal – lei, regulamento, contratos, convênios e instrumentos congêneres. Além disso, quanto ao aspecto material, a política dever determinar, de forma específica, um programa ou ação governamental, com objetivos definidos, priorizados e reserva de meios necessários para sua execução, além da definição do prazo para se chegar aos resultados pretendidos.

Uma última recomendação acerca dessa base legal é que os agentes de tratamento da Administração Pública devem observar o previsto no art. 23, sendo que o tratamento “deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”.

Legítimo interesse

Uma das dez hipóteses previstas é o legítimo interesse (art. 7º, IX) do controlador ou de terceiros, podendo ser utilizada para o tratamento de dados pessoais não sensíveis, desde que não viole os direitos e as liberdades fundamentais do titular, nem a sua privacidade (art. 2º, I) e autodeterminação informativa (art. 2º, II), liberdade para o desenvolvimento da própria personalidade do titular – especialmente os direitos à privacidade e intimidade. (artigo 5º da CF).

Ao contrário das outras bases legais previstas no art. 7º, o legislador escolheu por incluir um artigo específico (art. 10), que dita alguns parâmetros para a aplicação do legítimo interesse: o controlador deve ter finalidades legítimas e situações concretas que terão que ser analisadas sempre e individualmente, para confirmar a sua aplicação. O art. 10 elenca situações concretas, a título exemplificativo: no inciso I, “o apoio e promoção de atividades do controlador”, coadunando com os fundamentos previstos no art. 2º, V – “desenvolvimento econômico e tecnológico e a inovação” – e VI – “a livre iniciativa, a livre concorrência e a defesa do consumidor”, inclusive a busca do lucro, conforme previsto no art. 170 da CF/88. Nesse sentido, o legítimo interesse pode ser visto como uma alternativa de uso de dados responsável com potencial de desenvolvimento econômico e a inovação, garantindo o direito à privacidade dos titulares. Ainda no art. 10, inciso II, temos outro exemplo de situação concreta: “a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais”. Além disso, o art. 37 destaca que o controlador e o operador devem manter registro das operações de tratamento de dados que realiza, “especialmente quando baseado no legítimo interesse”. Ressalta-se, novamente, que o legítimo interesse não se estende ao operador, sendo uma base legal exclusiva do controlador.

Destaca-se que no caput do art. 10 há ênfase ao uso dessa base legal com finalidade legítima. Podemos entender por finalidade legítima o uso revestido de boa-fé, especialmente no atendimento à legítima expectativa do titular dos dados. Nesse sentido, destaco que a boa-fé seria o ‘’princípio dos princípios’’, interpretação ratificada pela sua posição no caput do artigo 6º, revelando sua centralidade frente aos demais princípios listados nos incisos subsequentes. O uso dessa base legal deve, ainda, não contrariar a lei, estar em consonância com as regras de conduta da sociedade e que, quando baseado no legítimo interesse do controlador, que o tratamento se restrinja exclusivamente aos dados pessoais necessários para a finalidade pretendida. Seria, portanto, uma categoria capaz de contemplar qualquer interesse protegido pela ordem jurídica que deve ser sopesado – ou balanceado – com os direitos do titular dos dados, se tornando uma base legal mais ampla. Se, na técnica de sopesamento ou balanceamento, os interesses do titular superarem o interesse do controlador, o uso dessa base legal para o tratamento de dados não será possível.

O uso do legítimo interesse como base legal deve ainda observar os princípios da necessidade e da transparência, sendo o controlador responsável por adotar medidas para garantir esses princípios. O uso do legítimo interesse como uma base legal para o tratamento de dados pessoais acaba por gerar um ônus argumentativo maior quanto ao princípio da finalidade, uma vez que, provavelmente para evitar seu uso indiscriminado, o legislador optou por frisar que sua aplicação só é possível em uma situação concreta. Contudo, apresenta-se como uma base legal mais flexível, dinâmica e exatamente por isso requer o uso constante da técnica de balanceamento entre os interesses do titular, de terceiros e do controlador, além de considerar as já citadas liberdades individuais. Para isso, seu uso dever ser precedido de uma detalhada análise de riscos, documentada, para atendimento ao previsto no § 3 do art. 10.

Por fim, o guia destaca que “a aplicação do legítimo interesse é limitada no âmbito do setor público. Em particular, a sua utilização não é apropriada quando o tratamento de dados pessoais é realizado de forma compulsória ou quando for necessário para o cumprimento de obrigações e atribuições legais do Poder Público”.

Considerações Finais

A ANPD tem diversas atribuições, definidas no art. 55-J, incluindo a regulamentação de pontos indefinidos da LGPD, que podem dar margem a interpretações conflituosas, bem como a orientação e promoção de práticas nacionais e internacionais de proteção de dados e privacidade. Com o Guia Orientativo recém-publicado, a Autoridade brasileira avança nessa direção, agora focando no complexo e peculiar setor público. Os órgãos e entidades públicos devem se debruçar sobre a lei, fazendo uma autoavaliação do que precisa ser feito para adequação de suas práticas em relação ao tratamento de dados pessoais ao que a lei determina, aprimorando um olhar clínico para identificar os limites de sua atuação dentro de suas atribuições e de acordo com as diretrizes do controlador. Essa não é uma tarefa simples e requer envolvimento de todos os servidores e membros dos órgãos e entidades e, especialmente, da alta administração. Sem isso, será difícil criar uma cultura de proteção de dados, essencial para que os direitos do titular2 sejam respeitados.

_________

BARROSO, L. R. Curso de direito constitucional contemporâneo. São Paulo: Saraiva, 2009

BRASIL. Autoridade Nacional de Proteção de Dados. Guia Tratamento de Dados Pessoais pelo Poder Público. Brasília, jan. 2022. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf. Acesso em 16 fev. 2022.

BRASIL. Lei 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015- 2018/2018/Lei/L13709.htm. Acesso em: 25 dez. 2020.

DYE, Thomas D. Understanding Public Policy. Englewood Cliffs, N.J.: Prentice-Hall. 1984.

PETERS, B. G. American Public Policy. Chatham, N.J.: Chatham House. 1986.

XAVIER, Fabio Correa. LGPD: conheça seus direitos como titular de dados pessoais. Conheça seus direitos como titular de dados pessoais. 2021. Disponível em: https://mittechreview.com.br/lgpd-conheca-seus-direitos-como-titular-de-dados-pessoais/. Acesso em: 31 ago. 2021.

___________

1 https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf

2 XAVIER, Fabio Correa. LGPD: conheça seus direitos como titular de dados pessoais. Conheça seus direitos como titular de dados pessoais. 2021. Disponível em: https://mittechreview.com.br/lgpd-conheca-seus-direitos-como-titular-de-dados-pessoais/. Acesso em: 31 ago. 2021.

Fabio Correa Xavier
Diretor do Departamento de Tecnologia da Informação do Tribunal de Contas do Estado de São Paulo. Mestre em Ciência da Computação (USP). MBA em Gestão Estratégica de Negócios (IBMEC). Pós-graduado em Gestão Pública e Responsabilidade Fiscal e em Projetos de Redes.

Veja mais no portal
cadastre-se, comente, saiba mais

Leia mais

Migalhas Quentes

LGPD: Conheça as penalidades que entraram em vigor

23/8/2021

Artigos Mais Lidos

A insegurança jurídica provocada pelo julgamento do Tema 1.079 - STJ

22/11/2024

O fim da jornada 6x1 é uma questão de saúde

21/11/2024

ITBI - Divórcio - Não incidência em partilha não onerosa - TJ/SP e PLP 06/23

22/11/2024

Penhora de valores: O que está em jogo no julgamento do STJ sobre o Tema 1.285?

22/11/2024

A revisão da coisa julgada em questões da previdência complementar decididas em recursos repetitivos: Interpretação teleológica do art. 505, I, do CPC com o sistema de precedentes

21/11/2024