No universo da atividade policial, a informação é um verdadeiro minério. Seja no policiamento ostensivo ou na atividade de polícia judiciária, a manipulação de dados pelos agentes de segurança pública é o motor propulsor da persecução penal. Os registros de ocorrências, a coleta de elementos informativos durante o inquérito policial ou mesmo a atividade de inteligência dos órgãos de segurança requerem, de modo geral, o tratamento de dados pessoais.
A grande questão, portanto, é entender em quais situações se verifica a aplicação da lei Geral de Proteção de Dados (lei 13.709/18) nesse cenário. Uma análise extremamente seca deste diploma normativo tem levado muitas pessoas à equivocada conclusão de inaplicabilidade, em razão do exposto no art. 4º, inciso III:
Art. 4º Esta lei não se aplica ao tratamento de dados pessoais:
III - realizado para fins exclusivos de:
- segurança pública;
- defesa nacional;
- segurança do Estado; ou
- atividades de investigação e repressão de infrações penais;
A aplicabilidade da lei Geral de Proteção de Dados ao Setor Público é inequívoca, pela inteligência cristalina dos arts. 1º e 3º desta lei. A grande dúvida que se observa é justamente o fato de o art. 3º trazer as hipóteses de aplicabilidade e o art. 4º as hipóteses de inaplicabilidade. Por esta singela análise, poderia ser realizada a afirmação de que as instituições de segurança pública estariam excetuadas do império da lei Geral de Proteção de Dados.
O §1º do art. 4º estabelece que o tratamento de dados previsto no inciso III será subordinado à legislação específica, a qual ainda não foi criada. Acrescenta que tal legislação deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, bem como os princípios de proteção e os direitos do titular previstos na LGPD.
O professor Basan (2022, p. 33) muito bem aponta sobre a norma acima elencada:
Dessa maneira, em que pese constar na LGPD a não aplicação da norma para os casos envolvendo tratamento de dados relacionados à segurança pública, a própria legislação defende o respeito aos princípios gerais de proteção de dados, como a finalidade, a adequação e a necessidade, por exemplo, nos termos do artigo 6º, analisado adiante. É sempre oportuno lembrar que os princípios básicos de proteção de dados são, em última análise, um escudo protetor frente ao temido Estado “Big Brother”, em constante vigilância dos cidadãos.
O critério adotado pelo art. 4º, inciso III, não é subjetivo, ou seja, voltado ao indivíduo (agente) que realiza o tratamento. O critério é objetivo, portanto, relacionado à atividade de tratamento de dados pessoais. Se não bastasse, o dispositivo que excetua a aplicação da LGPD é claro ao dispor “para fins exclusivos de” em seu enunciado, acrescentando-se ao critério objetivo uma finalidade específica. Nesse diapasão, por uma análise sistemática e teleológica da LGPD, é possível afirmar que este diploma se aplica sim às instituições de segurança pública, desde que o tratamento de dados não seja para fins exclusivos dispostos no inciso III do art. 4º, acima mencionados.
Os dados pessoais de agentes de segurança pública tratados por essas entidades a título de recursos humanos, gestão de pessoas, não possuem a finalidade específica explicitada no art. 4º, inciso III, e, portanto, são plenamente submetidos aos ditames da lei Geral de Proteção de Dados, de igual modo a qualquer outra entidade do Setor Público.
Tal aplicação residual não implica na inexistência de proteção de dados pessoais tratados pela segurança pública. Além da evidente necessidade de respeito aos princípios de proteção (art. 6º) e aos direitos dos titulares (art. 18), há diversos diplomas que regem o modelo de tratamento no campo das atividades policiais, tais como a própria lei de Acesso à Informação (lei 12.527/11), lei da Interceptação Telefônica (lei 9.296/96), lei das Organizações Criminosas (lei 12.850/13), lei de Abuso de Autoridade (lei 13.869/19).
Esses diplomas carregam em seu conteúdo inúmeras regras e princípios relacionados ao tratamento de informações de caráter sigiloso, exceções que permitem a divulgação com finalidades próprias, bem como sanções administrativas e penais nos casos de violação. Isso porque na atividade policial, como regra, rege-se o sigilo das informações. A própria lei de Acesso à Informação, ao definir informação sigilosa em seu art. 4º, inciso III, o faz afirmando que é “aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado”. Essa é a regra pela qual os elementos informativos do inquérito policial, tal como Boletim de Ocorrência, Relatórios de Inteligência e de Investigação, gozam do sigilo estatal.
Assim, ao que parece, a intenção da lei Geral de Proteção de Dados, ao estabelecer que será criada uma regulação legislativa específica para casos relacionados ao art. 4º, inciso III, é a de que tal assunto não fosse regido por um microssistema no próprio corpo da LGPD, mas sim levado ao debate e análise específica, haja vista a complexidade normativa inerente às atividades de segurança pública, convergência com demais atos normativos e busca pela não burocratização da persecução penal.
Verificado que a norma de inaplicabilidade da LGPD não é absoluta quanto às instituições da segurança pública, vislumbra-se a necessidade do seguinte questionamento: em um cenário mundial de ataques cibernéticos maliciosos, bem como de constantes vazamentos de dados, as instituições de segurança pública ficam desobrigadas a estabelecerem regras e métodos de segurança a informação a fim de protegerem os dados pessoais? Sem maior necessidade de elocubrações jurídicas, a resposta é não.
Um dos princípios básicos de proteção é a segurança, entendido na LGPD (art. 6º, inciso VII) como a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”. Corrobora com esse entendimento o professor Luiz Fernando de Camargo Prudente de Amaral (2021, p. 88):
A segurança se revela como a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação e difusão. Para efetivar esse princípio, além de contar com o efetivo conhecimento e a real organização dos fluxos de dados, caberá ao Poder Público promover a instrução de seus agentes, aprimorar os sistemas de proteção de dados em matéria de tecnologia da informação e garantir meios para trilhar de onde possa ter partido o fato que constitua incidente contrário à LGPD. A par disso, caberá igualmente ao Poder Público garantir que os atos acidentais ou deliberados nessa matéria sejam devidamente apurados e punidos no âmbito correcional da administração pública.
Nesse sentido, não são raras as notícias veiculadas nos meios de comunicação acerca de vazamento de dados pessoais relacionadas às atividades de segurança pública, tais como dados de vítimas, suspeitos, testemunhas ou mesmo de agentes de segurança pública. Grande parte dessas situações se devem a uma vulnerabilidade em comum, o fator humano. A divulgação indevida de dados pessoais em grupos de aplicativos de mensagens instantânea (WhatsApp, Telegram, Messenger) ou mesmo em redes sociais possui um poder de proliferação sem medidas. De igual modo, o compartilhamento de senhas de sistemas policiais pelos agentes de segurança, utilização de equipamentos compartilhados e a não utilização de mecanismos de segurança a informação (antivírus, autenticação multifator de senhas-MFA, firewall) são vulnerabilidades que potencializam os riscos de vazamentos de dados.
Por consequência, a divulgação indevida desses dados pode gerar consequências jurídicas gravíssimas ao agente de segurança pública, tal como ser sujeito passivo de ações judiciais indenizatórias, ser criminalmente responsabilizado, ser submetido a punições disciplinares e, a depender do caso, até mesmo à improbidade administrativa.
Não é possível afastar a proteção de dados das entidades de segurança pública. Primeiro, porque a própria Constituição Federal, em seu art. 5º, inciso LXXIX, consagra o direito fundamental à proteção de dados, dada a necessidade evidente de respeito à privacidade e intimidade das pessoas. Segundo porque, independentemente do tratamento de dados pessoais, os princípios de proteção devem ser garantidos, especialmente o da finalidade, adequação, necessidade e segurança.
Portanto, tais entidades do Setor Público, em que pese possuírem tratamento diferenciado, devem se adequar ao sistema de privacidade e proteção de dados pessoais, o qual não se esgota no respeito à lei Geral de Proteção de Dados, compreendendo todo e qualquer diploma normativo que garanta o direito à proteção de dados. E, na atualidade, a maior preocupação se dá com a segurança desses dados nestas instituições, cujos percalços estão ligados à cultura organizacional dos agentes pouco capacitados quanto a Segurança da Informação, bem como a fragilidade das infraestruturas tecnológicas estatais.
-----------------------------------
AMARAL, Luiz Fernando de Camargo Prodente do Amaral. Desafios da LGPD em relação à implementação pelo Poder Público. In: BLUM, Renato Muller da Silva Ópice (org.). Proteção de Dados: desafios e soluções na adequação à lei. 2 ed. Rio de Janeiro: Forense, 2021, 79-94.
BASAN, Arthur Pinheiro. Art. 4º. In: FALEIROS JUNIOR, José Luiz de Moura; LONGHI, João Victor Rozatti; MARTINS, Guilherme Magalhães (coord.). Comentários à Lei Geral de Proteção de Dados Pessoais. Indaiatuba: Foco, 2022, 22-35.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). [S. l.], 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 2 maio 2023.
CARVALHO FILHO, José dos Santos. Manual de Direito Administrativo. 28ª ed. São Paulo: Atlas, 2015.
LIMBERGER, Têmis. Direito à intimidade na era da informática: a necessidade de proteção dos dados pessoais. Porto Alegre: Livraria do Advogado, 2007.