LGPD e setor público: aspectos gerais e desafios
A dependência absoluta em utilizar esses dados como insumo da economia, o potencial lucrativo, o surgimento de novos mecanismos de tratamento e de novos modelos de negócios até então sequer imaginados, o assustador volume produzido em cada segundo - que denominamos big data - as conclusões que podemos chegar a partir da sua análise para as mais diversas áreas fez com que a União Europeia.
quinta-feira, 18 de abril de 2019
Atualizado em 17 de abril de 2019 16:02
1 - INTRODUÇÃO
Dados pessoais são o combustível para o modelo econômico que hora se põe, uma economia que é alicerçada no compartilhamento de conhecimento, de informações e de dados pessoais. Com a imprescindibilidade de utilizá-los e sem uma regulamentação adequada, sem freios, portanto, uma série de abusos, tais como a utilização não autorizada de dados para disparo de campanhas publicitárias, a comercialização dos dados pessoais para outros fins que não aqueles para os quais foram coletados, começou a ocorrer. A evolução do conceito de privacidade levou-nos a perceber que o mau uso desses dados tem a capacidade de violar de forma profunda e por vezes definitiva a dignidade humana deixando na sociedade um caminho de discriminação e de falência dos mais fundamentais direitos humanos. Esta realidade provocou no mundo todo a necessidade de discutir o tema que foi levado ao legislador culminando com a aprovação de leis que em suma tem o dever de tutelar o direito à proteção de dados.
A dependência absoluta em utilizar esses dados como insumo da economia, o potencial lucrativo, o surgimento de novos mecanismos de tratamento e de novos modelos de negócios até então sequer imaginados, o assustador volume produzido em cada segundo - que denominamos big data - as conclusões que podemos chegar a partir da sua análise para as mais diversas áreas fez com que a União Europeia, que desde 1995 já tinha a sua política de proteção de dados, edita-se um novo regulamento - o GDPR1 - muito mais completo e abrangente, com modalidades de penalizações severas No Brasil não foi diferente, embora com um tanto mais de morosidade legislativa, em 20, após quase uma década de discussões, por fim foi criada a Lei Geral de Proteção de Dados - LGPD2.
Em vários aspectos a LGPD assemelha-se ao regulamento europeu sendo uma dessas semelhanças a sua aplicação multisetorial e transversal, ou seja, a lei aplica-se às pessoas naturais e as pessoas de direito público e privado, respeitadas algumas peculiaridades de cada setor para qualquer operação de tratamento de dados pessoais.
Discutir o efeito exercido pela LGPD no setor público se reveste de essencialidade visto que estamos diante de um regulamento que trata da proteção de um novo direito fundamental e que ao Estado, nas figuras da administração direta ou indireta, reserva tratamento diferenciado, permitindo-lhe alguns tratamentos não permitidos ao ente privado. Outro fator que merece atenção a existência da lei de acesso à informação (LAI) com a qual a LGPD deve necessariamente conversar para que sejam aplicadas de forma integrada. Além disso a pouca participação do setor público nas discussões que cercaram a aprovação da lei e por fim as tentativas de manobra para afastar o setor público de seu alcance é que o tema ganha relevância e merece ser discutido.
Assim, destacam-se como pontos merecedores de discussão o alcance sancionatório da lei, o modo como se aplica e a interação necessária com a LAI. Neste texto através de uma análise do contexto atual de utilização de dados pessoais pela Administração Pública buscamos demonstrar porque é vital que ela se adeque à LGPD apontando em quais pontos a adequação deverá acontecer, também apresentaremos os limites a que se submete o Estado enquanto controlador de dados pessoais. Chamamos a atenção para o fato de que devido à complexidade do tema e ao pouco amadurecimento das discussões não temos qualquer pretensão exaurir a matéria, pelo contrário, pretendemos somente ventilar algumas perspectivas diante desse novo e importante regramento.
2 - QUEM É O SETOR PÚBLICO
Para compreender qual o impacto que a Lei Geral de Proteção de Dados terá em cada ente que compõe o Setor Público é mister recorrer às definições fornecidas pelo Direito Administrativo no tocante a sua constituição: "o ordenamento jurídico brasileiro submete as variadas hipóteses de atuação da administração pública, nos três poderes e em todos os níveis da Federação, ora a um regime jurídico tipicamente de direito público, ora a normas oriundas predominantemente do direito privado" (ALEXANDRINO; PAULO, 2017, p. 11). Determinar qual a natureza jurídica do ente e em qual interesse age - se no interesse público e em sua finalidade ou em regime concorrencial - no caso concreto é o primeiro passo para identificar como a LGPD a ele se aplicará.
A nova lei dedica um capítulo com nove artigos (Capítulo IV) exclusivamente para abordar o tema "Tratamento de Dados Pessoais pelo Setor Público" e indica que a integração com a LAI é necessária ao fazer referência expressa em seu artigo 23 o qual transcrevemos:
"O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da lei 12.527, de de novembro de 2011 [...]", a LAI, por sua vez, prescreve o seguinte:
"I - os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público;
II - as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios." 3
Fazemos aqui uma importante ressalva ao enquadramento de algumas entidades referidas no inciso II, Parágrafo Único da LAI, pois, estas, devido a sua natureza jurídica deverão transitar entre os capítulos II e IV da LGPD a depender da atividade que desempenham ao tratar os dados. Em outras palavras, a finalidade a que está vinculado determinado tratamento dos dados pessoais - se em regime de mercado, concorrencial, ou se para a consecução de políticas públicas - é que determinará se o ente deve atender aos requisitos exigidos para o setor privado ou para o setor público previstos na LGPD. Esta é a prescrição do art. 24 da LGPD ao determinar que empresas públicas e sociedades de economia mista por estarem sob a égide de um regime especial (ou misto) deverão se adequar a depender do caso concreto: se atuarem de acordo com os requisitos do art. 173, CF4 - explorando atividade econômica - devem atuar em conformidade com Capítulo II da LGPD; já nos casos em que a finalidade do tratamento for a persecução do interesse público deverão atender o Capítulo IV.
Por isso, verificada a necessidade de tratar dados pessoais, primordialmente deve o ente público identificar sob qual condição atua, uma vez que as consequências de atuar em regime concorrencial ou regime de finalidade pública são diferentes, desde os requisitos a serem atendidos até às sanções previstas em eventual desrespeito à lei.
Entendemos que é nesse ponto que reside uma das grandes complexidades no tratamento dispensado aos entes públicos pela LGPD, uma vez que pode acontecer de o mesmo dado ao ser utilizado para finalidades diversas requerer o atendimento de requisitos diversos.
Necessário chamar a atenção para a equiparação realizada pelo art. 23, §4º que atribui aos serviços notariais e de registro exercidos por delegação o mesmo tratamento dispensado aos entes públicos quando necessitarem realizar o tratamento de dados pessoais.
3 - O MOVIMENTO PARA RETIRAR O SETOR PÚBLICO DO ALCANCE DA LEI
Poucas semanas antes da aprovação da Lei de Proteção de Dados no Congresso Brasileiro, enquanto ainda estava em discussão nas comissões das casas, noticiou-se que o governo realizava manobras para modificar o texto que seguiria para apreciação em plenário na tentativa de retirar várias obrigações da Administração Pública no tocante ao tratamento de dados pessoais. Branco (20) destaca que os requisitos que almejava-se retirar eram os de transparência, da minimização do tratamento, de necessidade da exposição da finalidade específica do tratamento, da possibilidade de correção dos dados e de oposição ao tratamento por parte do sujeito dos dados, esvaziando assim a lei em relação ao setor público. Felizmente, tais modificações não foram sequer apresentadas para votação e o texto aprovado contemplou completamente o setor público no tocante a princípios e requisitos para tratamento dos dados pessoais.
Especialistas no tema afirmaram que caso essa manobra tivesse obtido êxito a legislação nacional seria incompatível com os marcos regulatórios de outros países e representaria "uma quebra na harmonia do sistema, proporcionando menor clareza aos cidadãos quanto aos seus direitos, diminuindo a confiança e a segurança jurídica" (LUCCA, 20).
Mesmo com a aprovação do texto contemplando também o setor público alguns itens a ele atinentes foram vetados pelo chefe do executivo. O inciso II do artigo 23 que no texto originalmente aprovado assim constava5: II - sejam protegidos e preservados dados pessoais de requerentes de acesso à informação, nos termos da lei 12.527, de de novembro de 2011 (Lei de Acesso à Informação), vedado seu compartilhamento no âmbito do Poder Público e com pessoas jurídicas de direito privado.
Foi vetado com o argumento de inconstitucionalidade e por não atenderem ao interesse público sob a seguinte justificativa:
"O dispositivo veda o compartilhamento de dados pessoas no âmbito do Poder Público e com pessoas jurídicas de direito privado. Ocorre que o compartilhamento de informações relacionadas à pessoa natural identificada ou identificável é medida recorrente e essencial para o regular exercício de diversas atividades e políticas públicas. É o caso, por exemplo, do banco de dados da Previdência Social e do Cadastro Nacional de Informações Sociais, cujas informações são utilizadas para o reconhecimento do direito de seus beneficiários e alimentados a partir do compartilhamento de diversas bases de dados administrados por outros órgãos públicos. Ademais, algumas atividades afetas ao poder de polícia administrativa poderiam ser inviabilizadas, a exemplo de investigações no âmbito do Sistema Financeiro Nacional, dentre outras." (BRASIL, 20)
Também foi vetado o inciso II do §1º do artiigo 26 que trazia a possibilidade de transferir os dados pessoais "quando houver previsão legal e a transferência for respaldada em contratos, convênios ou instrumentos congêneres" sob os argumentos de que:
"A redação do dispositivo exige que haja, cumulativamente, previsão legal e respaldo em contratos, convênios ou instrumentos congêneres para o compartilhamento de dados pessoais entre o Poder Público e entidades privadas. A cumulatividade da exigência estabelecida no dispositivo inviabiliza o funcionamento da Administração Pública, já que diversos procedimentos relativos à transferência de dados pessoais encontram-se detalhados em atos normativos infralegais, a exemplo do processamento da folha de pagamento dos servidores públicos em instituições financeiras privadas, a arrecadação de taxas e tributos e o pagamento de benefícios previdenciários e sociais, dentre outros." (BRASIL, 20)
Outro veto atingiu o artigo 28 cuja redação original era: "a comunicação ou o uso compartilhado de dados pessoais entre órgãos e entidades de direito público será objeto de publicidade, nos termos do inciso I do caput do art. 23 desta Lei." Neste caso, a alegação foi de que: "A publicidade irrestrita da comunicação ou do uso compartilhado de dados pessoais entre órgãos e entidades de direito público, imposta pelo dispositivo, pode tornar inviável o exercício regular de algumas ações públicas como as de fiscalização, controle e polícia administrativa." (BRASIL, 20)6
4 - POR QUE A LEI ABRANGE O SETOR PÚBLICO
Dentre todos os concentradores de dados pessoais o Estado se sobressai, afinal de contas é ele que controla ainda que indiretamente a vida financeira, o acesso à saúde, eventuais processos judiciais colecionados durante a vida, dados educacionais, dados trabalhistas do cidadão entre outros. Além disso, o Estado é também um empregador gigante, são milhares de pessoas que vendem sua força de trabalho para os entes municipais, estaduais e federais da Administração Direta e Indireta. Mais do que isso, o governo é também o maior acionista de grandes empresas de tecnologia que a pedido dele operam com esses dados: os coletam, armazenam, utilizam, etc. Ou seja, deixar o setor público fora do alcance da LGPD seria um verdadeiro atentado aos direitos fundamentais.
A inclusão do setor público no escopo da LGPD obriga-o a adequar-se investindo em questões de segurança que são muitas vezes negligenciadas (vide os casos divulgados de ataques ransomware7 à grandes hospitais públicos e à órgãos do judiciário)8, e a atuar de forma a evitar a comercialização de dados pessoais para fins diferentes daqueles aos quais foram coletados, conforme o recente caso vivenciado por uma empresa pública de tecnologia9. O governo tem se tornado cada vez mais digital, basta uma rápida pesquisa nos repositórios (APP Store) para encontrarmos os mais variados aplicativos voltados ao acesso a sistemas gerenciados pelo governo. Desde aplicativos que nos possibilitam verificar faturas de consumo de energia elétrica, ou seja, dados sobre nosso consumo, aplicativos de recuperação de créditos de notas fiscais, de acesso a bancos públicos, à agências reguladoras e outros serviços como INSS e FGTS, entre tantos outros, de acordo com pesquisa conduzida pelo Internetlab (20) "a Administração Pública também passa a adotar gradativamente o uso de aplicações de internet como estratégia para se aproximar de cidadãos e facilitar o acesso à informação e a prestação de determinados serviços". No estudo conduzido pelos pesquisadores do InternetLab foi verificado que vários desses aplicativos pedem permissões de acesso à dados de geolocalização que quando vinculados a uma pessoa identificada ou identificável são considerados dados pessoais. Além disso, muitos deles também solicitam permissão de acesso a todas as contas do usuário - de redes sociais ou não - cadastradas no dispositivo em que são instalados. Esse tipo de acesso é considerado de alto risco e muitas vezes desnecessário para o correto funcionamento do sistema, visto que o serviço permanece funcionando ainda que desabilitando várias das permissões exigidas. Diante desses fatos os pesquisadores concluíram que o poder público não vem adotando boas práticas de segurança e proteção de dados pessoais no desenvolvimento desses aplicativos, uma vez que adotam um tipo de permissão abrangente e não esclarecem para qual finalidade específica deve ser concedida determinada permissão ou ainda qual a política pública que está vinculada à coleta daquele dado ou ainda a base legal que permite tal procedimento. Esse modo de operação contraria as melhores práticas de segurança da informação que orientam que seja utilizado o modelo de obtenção de permissão específica, além disso, contrariando também os princípios expressos no artigo 6º da LGPD especialmente no que diz respeito à finalidade, inciso I e minimização da coleta, inciso III.
No atendimento de seus serviços essenciais de arrecadação, previdência e assistência visando facilitar todo o processo de gestão dessas áreas o Estado têm implantado sistemas como, por exemplo, o E-social que é um sistema que concentra toda a vida previdenciária e profissional do cidadão10 cujo principal objetivo é:
"simplificar a prestação das informações referentes às obrigações fiscais, previdenciárias e trabalhistas, de forma a reduzir a burocracia para as empresas [...] viabilizará garantia aos diretos previdenciários e trabalhistas, racionalizará e simplificará o cumprimento de obrigações, eliminará a redundância nas informações prestadas pelas pessoas físicas e jurídicas, e aprimorará a qualidade das informações das relações de trabalho, previdenciárias e tributárias"
resultando em uma enorme concentração de dados pessoais, muitos deles dados sensíveis. Outros exemplos de sistemas em que a administração pública trata dados pessoais é o sistema do IRPF que apresenta todas as informações financeiras do indivíduo, dos Sistemas de Saúde gerenciados pelo Datasus, e por fim devemos citar o DNI - Documento Nacional de Identidade criado pela lei 13.444/17 que reunirá em um único documento digital os dados de identificação da pessoa natural inclusive o número do CPF, sendo que o art. 11 da referida lei assim preceitua:
"O poder público deverá oferecer mecanismos que possibilitem o cruzamento de informações constantes de bases de dados oficiais, a partir do número de inscrição no CPF do solicitante, de modo que a verificação do cumprimento de requisitos de elegibilidade para a concessão e a manutenção de benefícios sociais possa ser feita pelo órgão concedente" (BRASIL, 2017)
explicitando, assim, uma hipótese de compartilhamento de dados entre os órgãos públicos.
Para além dos sistemas, o país tem buscado avançar também em setores relacionados à inteligência artificial e internet das coisas (IOT) tendo inclusive lançado planos de ações, nesse sentido Magrani (20, p. 81) destaca que:
"O poder público demonstra já estar atento aos benefícios da IoT, entendendo que esta surge como importante ferramenta voltada para os desafios da gestão pública, prometendo, a partir do uso de tecnologias integradas e do processamento massivo de dados, soluções mais eficazes para problemas como poluição, congestionamentos, criminalidade, eficiência produtiva, entre outros. Já existem exemplos de aplicações de IoT pelo país, e essas experiências tendem a aumentar".
Um dos principais pontos de atenção do poder público em se tratando de IoT está na melhoria da segurança pública e algumas dessas iniciativas já começam a se concretizar, por exemplo, algumas cidades têm implantado sistemas de monitoramento por câmeras que transmitem imagens em tempo real 24 horas por dia, 7 dias por semana. Longe ainda de equiparar o Brasil à China11, onde a vigilância está integrada ao dia a dia de forma quase indissociável o uso de câmeras de vigilância pelo setor público tem se ampliado e não podemos esquecer que estes dados são pessoais e que, embora já protegidos pelo direito de imagem previsto no Código Civil, também recebem guarida na LGPD devendo o seu controlador, no caso o setor público, responsabilizar-se pelo seu uso dentro da finalidade, bem como por garantir sua segurança assegurando assim sua proteção. A evidência de que essa cultura deve ser difundida e adotada dentro do setor público são os primeiros sinais de uso indevido de imagens obtidas, como no caso em que agentes públicos se utilizando do acesso ao sistema de câmeras que tinham observavam e divulgavam imagens de banhistas do sexo feminino em uma praia brasileira12.
Diante do cenário apresentado, impossível se pensar uma lei de proteção de dados efetiva sem que o setor público estivesse incluído. A Administração Pública direta e indireta em todas as esferas - federal, estadual e municipal - é um grande controlador de dados pessoais e em um Estado democrático de direito deve se submeter às leis também no que tange a proteção de dados.
5 - QUANDO A LGPD NÃO SE APLICA
O artigo 4º é de suma importância no que toca ao tratamento de dados realizado pela Administração Pública, especialmente no que diz respeito ao seu inciso III, visto que afasta a incidência da LGPD quando o tratamento de dados pessoais for
Realizado para fins exclusivos de:
a) Segurança pública;
b) Defesa nacional;
c) Segurança do Estado; ou
d) Atividades de investigação e repressão de infrações penais;
A importância da não-incidência se dá na medida em que é a Administração Pública que detém a posse e controla todos os dados do sistema prisional, por exemplo, bem como é sua atribuição investigar qualquer ação que coloque em risco a segurança pública ou do próprio Estado. São casos em que as atividades se revestem de caráter puramente estatal e protegem a Administração Pública de qualquer responsabilidade quanto aos tratamentos realizados. Entretanto, considerando que esse leque de situações é amplo e que a alegação de que é preciso garantir a segurança tem sido utilizada como justificativa para inúmeras violações da privacidade - historicamente tem se entendido que é necessário privilegiar uma em detrimento de outra - a lei traz algumas exigências para que sua aplicação seja afastada, assim, o tratamento dos dados nos casos enumerados no art. 4º, III exige legislação específica e deve respeitar todos os princípios constitucionais atinentes. Por exemplo, a lei 12.654/1213 é a base legal que afasta a aplicação da LGPD ao regulamentar a coleta de material genético de pessoas presas.
A redação original do §2º, vedava que o tratamento nas circunstâncias enumeradas no artigo 4º, III fosse realizado em por pessoa de direito privado e quando tal tratamento ocorresse sob a tutela de pessoa jurídica de direito público havia a necessidade de comunicar a autoridade nacional de proteção de dados. Entretanto, a edição da Medida Provisória nº 869 de 201814 alterou a prescrição do §2º retirando a obrigatoriedade da comunicação a autoridade. O §3º também passou por uma grande alteração fazendo com que pessoas jurídicas de direito privado desde que controladas pelo Poder Público possam realizar o tratamento dos dados de segurança pública ou do Estado, defesa nacional ou atividades de investigação e repressão de infrações penais. A MP15 ainda revogou o §4º que no texto original da LGPD proibia que bancos de dados com esse tipo de informação fossem tratados em sua totalidade por pessoa jurídica de direito privado, flexibilizando assim a norma.
6 - QUANDO O SETOR PÚBLICO PODE TRATAR OS DADOS
O principal requisito permissivo para o tratamento de dados pessoais pela Administração Pública é o que está presente no artigo 7º, III
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta lei;
Execução de políticas públicas é, portanto, a principal e indubitavelmente a melhor justificativa para que o setor público realize qualquer tipo de tratamento de dados. Sendo este um conceito muito amplo, dando larga margem para a manipulação dos dados pessoais pelo setor público, uma vez que é inerente à própria existência do Estado a consecução de políticas públicas.
Esse requisito está intimamente ligado a outros dois previstos no artigo 23 "atendimento de sua finalidade pública, na persecução do interesse público" e "com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público". Tal previsão encontra guarida no princípio da supremacia do interesse público que é princípio constitucionalmente previsto, conforme Pietro (2018, p.132). "Esse princípio está presente tanto no momento da elaboração da lei quanto no momento da sua execução em concreto pela Administração Pública. Ele inspira o legislador e vincula a autoridade administrativa em toda a sua atuação". Assim podemos compreender que "se a lei tem em vista atender ao interesse geral, que não pode ceder diante do interesse individual" é neste sentido que deve ser também realizado o tratamento de dados e nesse caso resta claro que há dispensa do atendimento de qualquer outro dos requisitos previstos no artigo 7º e nos parece ser este o fundamento do qual a administração pública deve se valer para realizar o tratamento de dados.
7 - OBRIGAÇÕES QUE O ESTADO ASSUME AO REALIZAR O TRATAMENTO DE DADOS PESSOAIS
Ainda que atendendo requisito de execução da finalidade pública o ente recebe da LGPD algumas atribuições que devem ser cumpridas quando do tratamento de dados pessoais, estes requisitos, estabelecidos especificamente para o setor público estão previstos nos incisos do artigo 23:
I - Sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades [...]
Assim, o Estado não se exime de informar quando está realizando tratamento16 dos dados por meio de informações claras e atualizadas - atendendo ao princípio da transparência: art. 6º, VI - garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento; sobre a previsão legal que embasa/justifica tal tratamento;
O rol de bases legais autorizadoras do tratamento de dados pessoais pela Administração Pública encontra previsão no inciso III do artigo 7 e inclui leis, regulamentos, contratos, convênios ou instrumentos congêneres. Alguns questionamentos surgem neste ponto em relação aos instrumentos autorizadores do tratamento, seria uma portaria, por exemplo, um instrumento apto a autorizar o tratamento de dados pessoais pelo setor público?17 ; Finalidade - atendendo assim ao princípio previsto no artigo 6º, I "realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades"
O inciso III do artigo 23, por sua vez, exige que seja indicado um encarregado que nos termos da própria lei deverá conhecer do tratamento de dados realizados, bem como comunicar-se com titulares de dados e com a Autoridade Nacional de Proteção de Dados entre outras atribuições.
Embora, com presença menos intensa no setor público há casos em que o consentimento do titular dos dados precisa ser colhido e considerado, é o que ocorre com os sistemas que permitem a restituição de parcela do ICMS obtido pela emissão de notas fiscais, como, por exemplo, nos sistemas Nota Fiscal Paulista e Nota Fiscal Paraná.
Além de atender os requisitos supracitados a Administração Pública não se exime do dever de garantir o cumprimento de todos os demais princípios enumerados no artigo 6º: adequação, necessidade, livre acesso, qualidade dos dados, segurança, prevenção, não discriminação e responsabilização e prestação de contas. Há que se ressaltar que estes princípios se aplicam independentemente da base legal utilizada para justificar o tratamento de dados e por isso deve a Administração Pública preocupar-se em garantir que eles sejam atendidos em relação a todos os dados pessoais em seu poder.
8 - O COMPARTILHAMENTO DOS DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA
Os artigos 25, 26 e 27 da LGPD encarregam-se de descrever como e quando pode/deve ocorrer o compartilhamento dos dados pessoais geridos pelo setor público. Primeiramente, a lei exige que tais dados sejam mantidos em formato interoperável quando forem utilizados para a consecução de políticas públicas, prestação de serviços públicos, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; descentralização e disseminação do acesso à informação, evitando assim que o mesmo dado necessite ser coletado várias vezes para diversos órgãos diferentes. Entretanto, a justificante finalidade específica é imprescindível sempre que houver necessidade de compartilhamento dos dados pessoais para a consecução de alguma política pública.
A regra expressa no artigo 26 é de vedação ao compartilhamento dos dados em posse da Administração Pública com entidades privadas, exceto nos casos em que a transferência se faça necessária com o fim específico e determinado de execução descentralizada da atividade pública. De acordo com Pietro (2018, p. 573), a descentralização administrativa ocorre quando há "distribuição de competências de uma para outra pessoa, física ou jurídica" que é o que ocorre nos casos em que o Estado atribui para uma empresa pública, uma autarquia, uma sociedade de economia mista, uma fundação pública ou um consórcio público a execução de um serviço público ou ainda como ocorre no caso das concessões, autorizações e permissões, onde um ente privado executa um serviço público em nome do Estado. Originalmente a LGPD permitia o compartilhamento dos dados estão publicamente acessíveis, que são aqueles dados cuja exposição foi autorizada pelo titular dos dados, contudo essa disposição foi reescrita pela MP nº 869 de modo que para o compartilhamento de dados nos termos do caput do art. 26 basta que seja indicado um encarregado18, ou seja, ampliou-se enormemente o espectro de situações em que é legal a transferência de dados pelo Poder Público a entidades privadas. A MP também incluiu os incisos IV, V, VI que apresentam outras exceções à vedação da transferência dos dados pessoais em posse da Administração Pública para entes do setor privado.
O artigo 27, por sua vez, determina que em regra deve existir consentimento do proprietário dos dados para que eles possam ser compartilhados entre a Administração Pública e algum ente privado, exceção feita aos casos de dispensa do consentimento19 quando necessários para execução da atividade pública e nas exceções previstas no artigo 26 acima descritas. A MP 869 também alterou a redação do artigo 27 retirando a necessidade de informar o compartilhamento à Autoridade Nacional de Proteção de Dados como originalmente previsto.
9 - RESPONSABILIZAÇÃO DO SETOR PÚBLICO PELO TRATAMENTO DE DADOS PESSOAIS
Neste quesito, demonstra-se clara a necessidade da Autoridade Nacional de Proteção de dados, visto que está entre suas funções indicar as medidas cabíveis para cessar a violação da proteção de dados causada ou facilitada por alguma entidade da Administração Pública.
Faz-se mister discutir acerca de qual a responsabilidade do ente sobre os dados que estão sob sua guarda, é preciso compreender que não é porque os dados estão publicamente disponíveis - como é caso por exemplo das remunerações dos servidores públicas que estão expostas no Portal da Transparência20 - que ele deixa de ser um dado pessoal, informação publicamente acessível não é necessariamente uma informação pública. Por isso, é importante notarmos que nesse caso específico existe uma base legal - Lei de Acesso à Informação - que determina que tais dados devem ser expostos. Com respaldo na finalidade específica de tornar transparente os gastos efetuados pela Administração Pública com seu pessoal, para que qualquer cidadão possa fiscalizar eventuais abusos cometidos, como, por exemplo, o descumprimento do teto salarial constitucionalmente previsto. Todavia, embora estejam públicos tais dados ainda devem ser protegidos, visto que não podem ser utilizados para qualquer outra finalidade que não aquela prevista na LAI, não podendo um terceiro captá-los para fazer listas de fornecimento de crédito, por exemplo, ou a Administração Pública cedê-los para que terceiros os utilizem para qualquer fim.
Em relação à responsabilidade posterior do Estado em caso de uso desses dados por terceiros que se aproveitaram de uma exposição calcada na legalidade é um ponto que deve ensejar discussões.
10 - DA TRANSFERÊNCIA INTERNACIONAL DE DADOS REALIZADA PELA ADMINISTRAÇÃO PÚBLICA
A LGPD prevê alguns casos em que a Administração Pública pode realizar operações de transferência internacional de dados, uma vez que um dos objetivos da regulamentação é favorecer o fluxo de dados pessoais desde que eles estejam adequadamente protegidos, estas situações estão previstas no artigo 3321, de forma mais direta nos incisos I, III, IV, VI, VII de forma primária e outros incisos que podem ser utilizados secundariamente. E envolvem o cumprimento a acordos de cooperação internacional, a execução de políticas públicas ou atribuições do serviço público, quando a transferência tiver a finalidade de proteger a vida ou a incolumidade física do titular ou de terceiro ou quando estiverem acordadas em instrumentos de direito de internacional com fins de cooperação jurídica e ela ocorrer entre órgãos públicos de inteligência, investigação e persecução, aqui podemos exemplificar o MLAT - Acordo de Assistência Judiciária em Matéria Penal22.
De toda a forma ao necessitar realizar tais transferências existindo dúvida acerca do grau de proteção fornecido pelo país destinatário dos dados as pessoas jurídicas referenciadas pelo artigo 1º da LAI23 podem requerer parecer da autoridade nacional.
11 - DAS SANÇÕES A QUE A ADMINISTRAÇÃO PÚBLICA SE SUBMETE
As sanções administrativas a que se submetem os entes públicos são de certa forma mais brandas daquelas a que se submetem os entes privados e estão estabelecidas no §3º do artigo 52, sendo elas:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
Embora não se tenha a punição de multa para entes públicos, sanções como o bloqueio dos dados pessoais podem causar grande impacto na atuação pública e mais uma vez é mister ressaltar que as empresas públicas e sociedades de economia mista que atuem em regime de concorrência conforme a determinação constitucional se submetem também a sanção pecuniária. Novamente o legislador optou por deixar explícito que além da LGPD o setor público se submete a outros ditames legais, quais sejam, a lei de Improbidade Administrativa24, o Estatuto do Servidor Público Federal25 e a Lei de Acesso à Informação.
12 - CONCLUSÃO
A Administração Pública vem ao longo do tempo aderindo às inovações tecnológicas a ponto de se autointitular como Brasil - país digital26. Valendo-se de aplicativos que buscam aproximar governo e cidadão INSS, FGTS, Bolsa Família, entre outros, ou que tem como objetivo facilitar a vida da sociedade, como o e-título, a CNH Digital, o Meu Imposto de Renda, está entre os maiores controladores de dados do país. Diante destes fatos, nos chamou atenção o pouco interesse que o setor público demonstrou ao não participar dos debates que antecederam a aprovação da Lei Geral de Proteção de Dados bem como a posterior tentativa de colocar-se fora de seu alcance demonstrado o quão despreparadas estão as entidades públicas diante da nova lei.
Devemos fazer menção ao fato de que existem muitos pontos obscuros e que deverão pautar as discussões durante e mesmo após a implementação das regras de conformidade no setor público, entretanto, parece-nos que tal como o que recentemente ocorreu nos países europeus na implantação do GDPR, a administração pública tem andado a passos lentos quando se trata de adequação à lei. Conforme apresentamos no texto, são vários os aplicativos que coletam dados desnecessários para o seu funcionamento, ou seja, não se adota a minimização da coleta, também não se verifica nos diversos sistemas existentes explicações sobre a finalidade específica para qual o dado é coletado.
De toda forma, a finalidade execução de políticas públicas, autorizadora do tratamento de dados pessoais, fornece um escopo muito amplo e que consegue justificar grande parte das operações que envolvem dados pessoais realizadas pelo setor público e entendemos que este será o fator fundamental a ser considerado quando da realização dos mapeamentos e dos relatórios de impacto. Identificar qual finalidade pública será atendida também servirá para separar as situações em que os entes públicos que atuam em regime de concorrência no mercado deverão atender aos requisitos próprios do tratamento de dados definidos para o setor público ou quando se submeterão aos requisitos e sanções aplicados aos entes privados.
Neste momento existem muito mais questionamentos do que convicções acerca de como se dará a implementação da LGPD pela Administração Pública e aqui ressalta-se também a essencialidade da existência da Autoridade Nacional de Proteção de Dados, uma vez que cabe a ela orientar e determinar muitos requisitos acerca da aplicação da lei. Outros pontos controversos e que tem motivado discussões é se a Administração Pública poderia utilizar o legítimo interesse como requisito justificador do tratamento dos dados pessoais e a que tipo de responsabilidade se submete o ente em caso de inobservância dos ditames da lei. Além disso, faz-se necessário olhar com cautela para definir quais instrumentos podem ser utilizados como base legais justificadoras do tratamento de dados pessoais?
Outro tema que deverá ser profundamente discutido é a interseção necessária - determinada pela própria LGPD - entre a Lei de Acesso à Informação e a Lei Geral de Proteção de Dados, há pontos de aparente conflito entre os dois regramentos que devem ser interpretados de forma a harmonizar os dois regulamentos.
Os impactos da LGPD na sociedade serão gigantes, acreditamos que em um futuro próximo ela se eleve a um patamar de importância muito próximo daquele em que está o Código de Defesa do Consumidor, sendo que o setor público precisa sair da inércia em que está desde quando a regulamentação ainda era um projeto de lei em discussão. Capacitar pessoas para atuarem como encarregados, realizar mapeamentos e relatórios de impactos, aplicar novas metodologias como o framework Privacy by Design27 no desenvolvimento de seus sistemas e serviços, investir em segurança da informação. Salientamos que se o cenário reveste-se de complexidade no setor privado, no setor público há outras variantes complicadoras desde o fato de que o processo de aquisições de soluções é moroso na Administração Pública - porque ela deve seguir os ditames licitatórios - até o fato de que é necessário treinar pessoal em uma estrutura grandiosa como é o Estado, tudo isso exige tempo e estratégia. O primeiro passa rapidamente por isso, a segunda precisa ser emergencialmente definida.
___________
1 GDPR - General Data Protection Regulation
2 LGPD - Lei nº 13.709/2018
3 LAI - Lei nº 12.527/2012 Lei de Acesso à Informação - art. 1º, Parágrafo Único.
4 Art. 173. Ressalvados os casos previstos nesta Constituição, a exploração direta de atividade econômica pelo Estado só será permitida quando necessária aos imperativos da segurança nacional ou a relevante interesse coletivo, conforme definidos em lei.
§ 1º A lei estabelecerá o estatuto jurídico da empresa pública, da sociedade de economia mista e de suas subsidiárias que explorem atividade econômica de produção ou comercialização de bens ou de prestação de serviços, dispondo sobre:
I - sua função social e formas de fiscalização pelo Estado e pela sociedade;
II - a sujeição ao regime jurídico próprio das empresas privadas, inclusive quanto aos direitos e obrigações civis, comerciais, trabalhistas e tributários;
III - licitação e contratação de obras, serviços, compras e alienações, observados os princípios da administração pública;
IV - a constituição e o funcionamento dos conselhos de administração e fiscal, com a participação de acionistas minoritários;
V - os mandatos, a avaliação de desempenho e a responsabilidade dos administradores.
§ 2º As empresas públicas e as sociedades de economia mista não poderão gozar de privilégios fiscais não extensivos às do setor privado.
§ 3º A lei regulamentará as relações da empresa pública com o Estado e a sociedade.
§ 4º A lei reprimirá o abuso do poder econômico que vise à dominação dos mercados, à eliminação da concorrência e ao aumento arbitrário dos lucros.
§ 5º A lei, sem prejuízo da responsabilidade individual dos dirigentes da pessoa jurídica, estabelecerá a responsabilidade desta, sujeitando-a às punições compatíveis com sua natureza, nos atos praticados contra a ordem econômica e financeira e contra a economia popular.
5 Os artigos vetados da Lei nº 13.709/2018 e as razões do veto encontram-se disponíveis em:
6 No momento em que este texto é escrito tais vetos permanecem e ainda não foram apreciados pelo Congresso Nacional, entretanto, o veto que mais causa estranheza e que traz questionamentos é aquele aplicado ao artigo 26, uma vez que em nosso entendimento retirou do texto uma importante exceção à vedação ao compartilhamento dos dados e que influencia diretamente na transferência de dados entre o setor público e o setor privado.
7 Ransomware - código malicioso que utilizando criptografia torna inacessíveis os dados armazenados em um equipamento e para que seja feito o desbloqueio e restabelecido o acesso do usuário aos dados é exigido um resgate. Disponível para consulta em:
8 No ano de 2017 vários ataques de ransomwares (sequestro de dados) aconteceram no mundo inteiro e o Brasil foi um dos países mais atingidos. Os ataques que em regra exploram falhas já conhecidas em sistemas operacionais desatualizados demonstraram a fragilidade do setor público em relação à implementação de políticas de segurança. Vários hospitais tiveram suas atividades prejudicadas em virtude dos ataques. Disponível para consulta em:
9 O Ministério Público tem investigado a existência de venda de dados pessoais pelo Serpro - empresa pública do governo federal - a empresa por sua vez alega que a utilização dos dados era autorizada pela Portaria nº 457 de 2016 do Ministério da Fazenda que trata do compartilhamento de bases de dados da administração pública federal. O caso segue em investigação. Mais informações disponíveis em
10 Conforme explicação disponibilizada no site do sistema E-social "os empregadores passarão a comunicar ao Governo, de forma unificada, as informações relativas aos trabalhadores, como vínculos, contribuições previdenciárias, folha de pagamento, comunicações de acidente de trabalho, aviso prévio, escriturações fiscais e informações sobre o FGTS". Disponível em:
11 A China tem dominado o cenário das inovações quando se trata de vigilância e de reconhecimento facial. Disponível em:
12 Caso amplamente noticiado e disponível em:
13 Lei nº 12.654/2012.
14 MP nº 869 de 27 de Dezembro de 2018 altera a Lei nº 13.709/2018 para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados, e dá outras providências.
15 A MP nº 869 alterou vários dispositivos da LGPD e no momento em que escrevemos este texto ela está pendente de votação no Congresso Nacional, de forma que ainda pode ser revogada, emendada ou ainda aprovada modificando assim o texto da LGPD.
16 Artigo 5º, X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
17 Vide nota de rodapé 9.
18 Art. 26, §1º III, Lei nº 13.709/2018 - se for indicado um encarregado para as operações de tratamento de dados pessoais, nos termos do art. 39 - redação dada pela MP nº 869/2018.
19 Art. 7º, §4, Lei nº 13.709/2018 É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei cc art. 11, II - II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
20 Portal da Transparência - criado a partir de determinação legal da LAI o portal da transparência tem como objetivo oferecer informações acerca da Administração Pública, inclusive gastos e pode ser consultado em: https://www.portaltransparencia.gov.br/ acesso em 18 dez. 2018.
21 Art. 33 Lei nº 13.709/2018 - Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
V - quando a autoridade nacional autorizar a transferência;
VI - quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
IX - quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.
Parágrafo único. Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional a avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional.
22 MLAT - Mutual Legal Assistance Treaty - o Acordo de Assistência Judiciária em Matéria Penal entre o Governo da República Federativa do Brasil e o Governo dos Estados Unidos da América - é um acordo internacional que pretende facilitar a troca de informações envolvendo questões penais entre os dois países e que no momento está tendo a sua constitucionalidade questionada através da ADC 51.
23 LAI - Lei de Acesso a informação - vide título 2 do artigo
24 Lei de Improbidade Administrativa - Lei nº 8.429 de 2 jun. 1992.
25 Estatuto do servidor público - Lei nº 8.112 de 11 dez. 1990;
26 Disponível em:< https://brasilpaisdigital.com.br/> Acesso em 20/12/2018
27 Privacy by design - metodologia para desenvolvimento de produtos e serviços prevista como obrigatória na LGPD. Tem como objetivo garantir a privacidade do usuário por padrão desde a concepção do projeto do produto ou serviço.
___________
ALEXANDRINO M.; PAULO V. Direito Administrativo Descomplicado. Rio de Janeiro: Forense; São Paulo: Método, 2017, 27 ed.
BRANCO S. O Estado quer seus dados pessoais mas sem transparências nem direitos. Acesso em: 20 nov. 2018.
BRASIL. Constituição, 1988. Diário Oficial da União, Brasília, DF, 5 out. 1988. Acesso em: 20 dez. 2018.
eSocial. Escrituração digital das obrigações fiscais, previdenciárias e trabalhistas. Acesso em 15 de dez. 2018.
Lei 12.527 de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição Federal; altera a Lei no 8.112, de 11 de dezembro de 1990; revoga a Lei no 11.111, de 5 de maio de 2005, e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras providências. Diário Oficial da União, Brasília, DF, 18 nov. 2011. Acesso em: 20 dez. 2018.
Lei 13.709 de 15 de agosto de 2018 - Veto. Acesso em: 20 dez. 2018.
Lei 13.709 de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Diário Oficial da União, Brasília, DF, 14 ago. 2018. Acesso em 20 dez. 2018.
Lei nº 13.444 de 11 de maio de 2017. Dispõe sobre a Identificação Civil Nacional (ICN). Diário Oficial da União, Brasília, DF, 12 mai. 2017. Acesso em 16 dez. 2018.
PIETRO, M. S. Direito Administrativo. Rio de Janeiro: Forense, 2018.
INTERNETLAB. Por que se preocupar com o que o Estado faz com nossos dados pessoais?. Acesso em: 05 dez. 2018.
LUCCA, C. Manobra no Senado tenta retirar o setor público da Lei de Proteção de Dados. Acesso em: 20 nov. 2018.
MAGRANI, E. A Internet das coisas. Rio de Janeiro: FGV Editora, 2018.
___________
*Angela Maria Rosso é especialista em Direito Eletrônico.