Aplicação da LGPD no setor público

Migalhas de IA e Proteção de Dados

Uma das principais preocupações sobre o tratamento de dados pessoais pelo Poder Público é com relação ao compartilhamento de dados pessoais entre os órgãos públicos e entre estes e entes privados. O maior receio é favorecer um estado supervigilante (Estado Leviatã) o que pode colocar em xeque as liberdades individuais. Por isso, a LGPD traz regras sobre o tema no Capítulo IV - Tratamento de Dados Pessoais pelo Poder Público (arts. 23 a 30).

Assim, Stefano Rodotà¹ aponta três paradoxos em torno do conceito de privacidade, a saber: o primeiro paradoxo consiste no fato de que as novas tecnologias favorecem um enriquecimento da esfera privada, mas, ao mesmo tempo, a fragiliza, e, consequentemente, tem-se um reforço da proteção à privacidade, simultaneamente ao alargamento da fronteira da privacidade; o segundo paradoxo está no fato de que a democracia impõe o respeito a crenças religiosas, opção sexual, opiniões políticas, no entanto, a legislação de proteção de dados tutela com maior rigor estes dados denominados "dados sensíveis"; e, por fim, o terceiro paradoxo em torno da privacidade é que o reforço da proteção deste direito é contemporâneo às leis de acesso à informação. Em suma, não são poucos os desafios para a efetiva tutela da privacidade, da vida privada e da intimidade.

Justamente este último paradoxo impõe um diálogo intenso entre a Lei de Acesso à Informação (lei 12.527/2011) e a LGPD. Além disso, o governo digital incentivou uma intensa coleta de dados pessoais e o seu compartilhamento com diversos órgãos públicos. Por exemplo, a dinâmica do Governo Eletrônico, por meio do GovData, viabiliza uma série de benefícios tais como a possibilidade de identificação de desvios, fraudes e outras irregularidades; o aprimoramento de políticas públicas, potencializando sua aplicação com base em evidências; e a transparência de informações. Todavia para a consecução destes objetivos, busca-se democratizar o acesso à informação, ampliando a zona de interação entre os governos e os cidadãos, o que envolve um intenso tratamento de dados pessoais, desde a coleta até o compartilhamento de dados pessoais.

Estas ferramentas do eGov também retratam o primeiro paradoxo mencionado acima, pois o desenvolvimento tecnológico viabilizou o uso de aplicações que compõe a dinâmica do Governo Eletrônico.

Observe-se que originariamente, o revogado Decreto nº 8.789/2016 trouxe regras sobre o compartilhamento de bases de dados na Administração Pública federal. O referido decreto determinava a possibilidade/dever dos órgãos da Administração Pública federal, direta e indireta, e das entidades controladas direta e indiretamente pela União, a disponibilização de dados pessoais quando requisitadas (artigo 1º), privilegiando o compartilhamento destes dados preferencialmente de forma automática (artigo 3º). O que estaria flagrantemente na contramão de qualquer sistema de proteção de dados minimamente sólido.

Como o Sistema Nacional para a Transformação Digital instituído pelo Decreto nº 9.319 de março de 2018, foi idealizado o sistema de big data analytics, na medida em que permite a acumulação de dados pessoais por tempo indeterminado.

Todavia, alguns meses depois, a partir de agosto de 2018, com a promulgação da LGPD (lei 13.709), novos e importantes elementos foram trazidos ao tratamento de dados pelo Poder Público. Uma das balizas importantes é o próprio artigo 1º da Lei nº 13.709/18, isto é, o tratamento de dados pessoais consoante o sistema do GovData somente pode ocorrer com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Esse dispositivo acaba por alterar a perspectiva com a qual os dados devem ser tratados por qualquer agente, inclusive pelos órgãos governamentais.

Além deste limite, qualquer atividade de tratamento de dados deve observar as bases legais estabelecidas no art. 7º e art. 11 da LGPD. No âmbito da Administração Pública, destaca-se a base para o uso compartilhado de dados pessoais necessários à execução de políticas públicas previstas em leis e regulamentos ou contratos, convênios ou instrumentos congêneres (artigo 7º, inc. III, da LGPD e artigo 11, inc. II, "b", da LGPD). Neste contexto, o tratamento de dados pessoais não depende do consentimento do titular, que é outra base legal para o tratamento de dados pessoais (artigo 7º, inc. I, da LGPD).

Após a LGPD, em outubro de 2019, o decreto 10.046, que revogou o Decreto nº 8.789/16, previu a governança no compartilhamento de dados no âmbito da Administração federal. Além disso, o atual Decreto instituiu o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados, com o objetivo de facilitar o acesso dos brasileiros aos serviços governamentais. Nota-se que o Decreto nº 10.046 também autoriza o compartilhamento automático de dados pessoais entre órgãos e entidades e amplia ainda mais a variedade de dados pessoais que seriam tratados pelo Estado, no exercício de políticas públicas.

Em março de 2021, a lei 14.129, que dispõe sobre princípios, regras e instrumentos do governo digital para o aumento da eficiência pública, permite o compartilhamento de dados como um fundamento do governo digital e da eficiência pública (artigo 3º, inc. IX).

A maior dificuldade para a eficiência na Administração Pública neste contexto tecnológico é a interoperabilidade de sistemas (artigo 3º, inc. XIV, da lei 14.129/21), isto porque um dado compartilhado será mais útil quanto maior a interoperabilidade que permita o órgão público utilizar tais informações. Neste sentido, o art. 25 da LGPD determina:

"Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral."

A LGPD não proíbe o compartilhamento de dados de maneira absoluta e nem aniquila a possibilidade de a Administração Pública utilizar dados pessoais de cidadãos. Entretanto, estabelece direitos e garantias para que tais informações sejam utilizadas para a finalidade estabelecida em lei ou com base em políticas públicas, respeitando os direitos assegurados aos titulares de dados.

Portanto é equivocado pensar que um dado pessoal inserido em cadastro mantido por órgão da Administração Pública passa a ser público e, consequentemente, alheio à sistemática de proteção de dados. Ao contrário, a própria LGPD estabelece a proteção de dados pessoais tanto na esfera pública quanto na esfera privada.

Preliminarmente, deve-se considerar que a LGPD traz o conceito de "uso compartilhado de dados" no inc. XVI do art. 5º: "comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;"

A partir dessa definição, conclui-se que são dois os pressupostos para o compartilhamento de dados pela Administração Pública, a saber: 1) cumprimento de suas competências legais; e 2) autorização específica para realizar tal compartilhamento.

A doutrina é uníssona ao afirmar que o tratamento de dados pessoais pelo Poder Público deve atender a uma finalidade pública, a persecução do interesse público e o desempenho de suas atribuições.²

Exemplo, no contexto da COVID-19, a Portaria de n. 1.046 do Ministério da Saúde, de 24/05/2021, determinou que os resultados referentes à COVID-19 devem ser notificados às autoridades responsáveis de forma compulsória, por meio de transmissão eletrônica de informações à Rede Nacional de Dados em Saúde (RNDS), de Responsabilidade do Departamento de Informática do Sistema Único de Saúde (DATASUS/SE/MS). Tal uso compartilhado de dados pessoais (dados sensíveis, pois se relaciona à saúde), justifica-se pela atribuição legal prevista na referida portaria. E, portanto, tem uma autorização legal para realizar tal compartilhamento de dados. Destaca-se, ainda, que no caso, tal comunicação, pretende atingir uma finalidade pública, qual seja, monitorar em nível nacional, as taxas de contágio da doença; além de persecução do interesse público.

Neste caso, tal medida independe de consentimento do titular de dados pessoais, porque tem outra base legal que justifique, que é a Portaria Ministerial n. 1.046, bem como a necessidade para o embasamento de políticas públicas (art. 7º, incisos II e III, respectivamente). Portanto, a própria LGPD reforça a dispensa do consentimento, o que não exclui o respeito ao direito à informação sobre o uso compartilhado do titular de dados pessoais (art. 18, inc. VII da LGPD).

Outra hipótese que deve ser vista com cautela é o compartilhamento de dados entre órgãos da Administração Pública e entes privados, pois somente pode ocorrer nas hipóteses previstas na lei, isto é, execução descentralizada de atividades públicas; informações acessíveis publicamente; quando houver previsão legal, contrato ou convênio que respalde o uso compartilhado; ou para salvaguardar a vida do titular de dados, não podendo o dado pessoal ser utilizado para outras finalidades. Neste sentido, o art. 26 da LGPD traz as regras específicas para o uso compartilhado de informações entre órgãos públicos e entes privados.

Além dos pressupostos para o uso compartilhado de dados pessoais, deve-se demonstrar o atendimento a determinados requisitos. O art. 25 da LGPD traz importantes requisitos que devem ser observados no uso compartilhado de dados pessoais, in verbis:

O primeiro diz respeito ao formato, ou seja, as informações devem estar em formato interoperável e estruturado para que possa ser efetivamente útil pelos demais órgãos públicos. Interoperabilidade requer o funcionamento de diferentes sistemas e ferramentas, que podem atuar conjuntamente. Portanto, a importância está no fato de que a interoperabilidade contribui para o desenvolvimento de projetos, bem como na troca de informações entre diferentes sistemas e ferramentas.

Cabe à ANPD dispor sobre os padrões de interoperabilidade para fins de exercício dos direitos previstos na LGPD, como o direito à portabilidade, ao livre acesso e segurança dos dados pessoais.

Há quatro tipos de interoperabilidade, a saber: - técnica ou tecnológica, que se aplica à conexão dos sistemas e serviços de informática, ou seja, as especificações de interface, serviços de interconexão, de integração de dados, apresentação com troca de dados e protocolos de comunicação seguros (COMISSÃO EUROPEIA, 2004); - semântica, ou seja, que a informação compartilhada seja compreensível para que sejam preservados e compreendidos ao longo das trocas entre as partes; - organizacional, isto é, relacionada ao modelo de negócios, para que a Administração Pública alinhe seus processos de negócios, responsabilidades e expectativas para alcançar objetivos; - legal, sendo este o elemento agregador para a promoção e regulação destes artefatos utilizados pela Administração Pública.

Por fim, outro requisito tão importante quanto a interoperabilidade é a comunicação sobre o uso compartilhado de dados pessoais à ANPD e ao titular de dados pessoais. A comunicação ao titular de dados pessoais é um direito assegurado no inc. VII do art. 18 da LGPD. Já a comunicação à ANPD deve-se ao fato de que compete a este órgão a fiscalização sobre o cumprimento da LGPD nos termos do art. 29 da LGPD:

"Art. 29. A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades do poder público a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta lei."

Portanto, a ANPD pode solicitar a qualquer momento informações sobre o uso compartilhado de dados pessoais, em especial sobre o âmbito e a natureza dos dados pessoais, além de detalhes relevantes para embasar o parecer técnico da ANPD. A ANPD pode, ainda, regulamentar o uso compartilhado de dados pessoais pela Administração Pública nos termos do art. 30 da LGPD:

"Art. 30. A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais."

Diante de tudo cabe a pertinente reflexão sobre a atuação independente da ANPD diante deste contexto, pois cabe a ela regular e fiscalizar o tratamento de dados pessoais pelo Poder Público, por isso os principais diplomas internacionais sobre proteção de dados pessoais destacam a atuação independente do órgão.³

__________

1 RODOTÀ, Stefano. Privacy e costruzione della sfera privata. Ipotesi e prospettive. In: Politica del Diritto, ano XXII, número 1, pp. 521 - 546. Bologna: Il Mulino, março de 1991. pp. 524 - 526.

2 TEIVE, Marcello Muller. O compartilhamento de dados pessoais oriundos de bases de dados públicas: a compatibilidade entre a LAI e a LGPD. In: FRANCOSKI, Denise de Souza Luiz; TASSO, Fernando Antonio. (coord.) A Lei Geral de Proteção de Dados Pessoais: aspectos práticos e teóricos relevantes no setor público e privado. São Paulo: Revista dos Tribunais, 2021. pp. 427 - 440. p. 433.

3 LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados e a Efetividade da Lei Geral de Proteção de Dados. São Paulo: Almedina, 2020.

COORDENAÇÃO

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.

outras edições

APOIADORES

FOMENTADORES

COLUNAS

Migalhas de IA e Proteção de Dados

Aplicação da LGPD no setor público: os perigos em torno do compartilhamento de dados