Repercussões da LGPD nas empresas contratadas pelo Poder Público
Questão fundamental para o presente trabalho diz respeito às empresas que se relacionam com o Poder Público: Elas poderão receber dados pessoais da administração pública? Qual a forma de tratamento que darão a estas informações?
terça-feira, 28 de janeiro de 2020
Atualizado às 11:21
Os dados e informações das pessoas passam, a cada dia, a ter uma importância maior, em um mundo onde a tecnologia e os meios de comunicação virtual avançam de forma cada vez mais elevada.
Neste contexto, as informações pessoais ganharam um significativo valor econômico, na medida em que puderam ser trabalhadas e utilizadas das mais diversas formas imagináveis, com um grande potencial de incremento no faturamento de empresas, especialmente diante dos novos modelos de negócios atualmente experimentados pela economia.
Por outro lado, o uso indiscriminado de dados privados, sem autorização da pessoa interessada, há de ser, de alguma forma, controlado de modo a evitar a invasão indevida da privacidade das pessoas, notadamente em tempos onde há uma clara existência de grande volume de informações pessoais armazenadas em meio virtual (Big Data), através dos diversos servidores existentes.
Na União Europeia, desde 1995 já havia uma legislação esparsa tratando desta preocupação, que ganhou força com a edição do GDPR (General Data Protection Regulation), o qual serviu de inspiração para a criação da lei 13.709/18, mais conhecida como Lei Geral de Proteção de Dados.
Portanto, conforme o próprio art. 1º da lei 13.709/18 estabelece, seu objetivo visa à regulamentação do tratamento de dados pessoais, seja por pessoa de direito privado ou público, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, além do livre desenvolvimento da pessoa natural. Veja-se:
Art. 1º Esta lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Parágrafo único. As normas gerais contidas nesta lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
Antes de uma abordagem mais detalhada sobre a sua repercussão no Poder Público e, sobretudo, nas empresas que se relacionam com a administração pública, mister se faz destacar alguns conceitos básicos abordados pela LGPD (art. 5º), que repercutirão diretamente nesta análise que será feita adiante, senão vejamos:
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
- Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
- Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
- Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela lei 13.853, de 2019)
- Agentes de tratamento: o controlador e o operador;
- Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Cabe destacar, ainda, alguns dos princípios regedores da LGDP (art. 6º), uma vez que servem de balizamento para a atuação de todos aqueles que derem tratamento a dados pessoais, seja do setor privado ou público. Veja-se:
- Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
- Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
- Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
- Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
- Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
- Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
- Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
O legislador se preocupou em colocar na lei, a criação da Autoridade Nacional de Proteção de Dados - ANPD que, segundo o art. 5º, XIX, será o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta lei em todo o território nacional.
Além disso, a ANPD terá também como função precípua a regulamentação de matérias ligadas à LGPD, esclarecimento sobre dúvidas na interpretação ou lacunas, emissão de opiniões técnicas ou recomendações quando se tratar de utilização de dados para fins de segurança pública, defesa de estado, persecuções penais; além da aplicação de punição a todos aqueles que derem tratamento incorreto a dados pessoais.
Traçadas as considerações acima, tem-se, conforme já explicitado, que a submissão do Poder Público aos ditames da lei 13.709/18 fora incluída logo no art. 1º, que em seu parágrafo único determinou a sua aplicabilidade a União, Estados, Distrito Federal e Municípios.
Diante deste cenário, diversas situações passaram a ser objeto de uma análise mais cautelosa sobre a forma de aplicação, tendo o Poder Público ganhado um capítulo específico (o IV) para tratar da sua condição.
Mas, antes da análise do capítulo acima citado, cabe destacar algumas implicações incidentes sobre o tema em análise, como, por exemplo, o tratamento de dados pessoais públicos.
O art. 7º da LGDP estabelece um rol para as hipóteses de tratamento de dados, sendo destacada, contudo, a situação dos dados pessoais de acesso público, cujo tratamento deverá observar o princípio da finalidade, além do interesse público capaz de justificar a sua disponibilização. Veja-se o que dispõe o parágrafo terceiro, do citado art. 7º:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
[...]
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
De igual modo, quanto aos dados sensíveis públicos, a LGPD previu a possibilidade de tratamento compartilhado pela administração pública, desde que necessários à execução de políticas públicas previstas em lei ou regulamentos. Veja-se:
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
[...]
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
Adentrando ao capítulo IV, da lei 13.709/18, verifica-se que os arts. 23 a 30 abordam o tratamento de dados pela administração direta, empresas públicas, sociedade de economia mista, possibilidade de compartilhamento destes dados entre órgãos públicos, dentre outros temas.
Questão primordial para a análise da relação da LGDP com o Poder Público é a sua compatibilização com a Lei de Acesso à Informação (lei 12.527/11), fato mencionado logo no art. 23, que abre o capítulo suso referido. Veja-se:
Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da lei 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
II - (VETADO); e
III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta lei; e (Redação dada pela lei 13.853, de 2019) Vigência
IV - (VETADO). (Incluído pela lei 13.853, de 2019) Vigência
§ 1º A autoridade nacional poderá dispor sobre as formas de publicidade das operações de tratamento.
§ 2º O disposto nesta lei não dispensa as pessoas jurídicas mencionadas no caput deste artigo de instituir as autoridades de que trata a lei 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) .
§ 3º Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica, em especial as disposições constantes da lei 9.507, de 12 de novembro de 1997 (Lei do Habeas Data), da lei 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo), e da lei 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) .
§ 4º Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas no caput deste artigo, nos termos desta lei.
§ 5º Os órgãos notariais e de registro devem fornecer acesso aos dados por meio eletrônico para a administração pública, tendo em vista as finalidades de que trata o caput deste artigo.
Ora, não à toa que a LAI fora citada logo no dispositivo que abre o capítulo IV da LGDP. Por óbvio, que um tratamento diferenciado, em certo modo, deveria ser dado à administração pública, diante das exigências para as quais ela está submetida.
Como se infere do dispositivo transcrito, o princípio da finalidade pública volta a ser reforçado, devendo, ainda, ser fundamentada a decisão do Poder Público sobre o tratamento dos dados, conforme exigido no inciso I. Não sendo só, ainda há a necessidade de indicação de um encarregado, sempre que houver tratamento dos dados pessoais.
As empresas públicas e as sociedades de economia mista, por sua vez, ficam sujeitas à sua forma de atuação para o correto enquadramento dentro da lei 13.709/18. Se atuarem em regime de concorrência, terão o mesmo tratamento dado às pessoas jurídicas de direito privado particulares. Contudo, quando estiverem atuando com o objetivo de realizarem políticas públicas passarão a ter o mesmo tratamento dos órgãos e entidades da administração pública direta. É o que dispõe o art. 24, da LGDP, in verbis:
Art. 24. As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, nos termos desta lei.
Parágrafo único. As empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, nos termos deste Capítulo.
Ressalte-se que todos os dados que estejam de posse do Poder Público deverão ser mantidos em formato que possa ser operado, estruturado para uso compartilhado, quando necessário e nas situações em que a legislação permitir.
Quanto a este tocante, importa destacar que somente poderá haver compartilhamento de dados pessoais pelo Poder Público, como regra, nas hipóteses em que se necessite executar políticas públicas1.
Questão fundamental para o presente trabalho diz respeito às empresas que se relacionam com o Poder Público: Elas poderão receber dados pessoais da administração pública? Qual a forma de tratamento que darão a estas informações?
O parágrafo primeiro do art. 26 é muito claro ao estabelecer a proibição da transferência de dados pessoais para entidades privadas, ressalvando, todavia, I - os casos de execução descentralizada de atividade pública, que exija a transferência, exclusivamente, para esse fim específico; II - casos em que os dados forem acessíveis publicamente, observadas as disposições desta lei; III - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; e IV - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades. Veja-se:
Art. 26. [...]
§ 1º É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na lei 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
II - (VETADO);
III - nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta lei.
IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou (Incluído pela lei 13.853, de 2019)
V - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades. (Incluído pela lei 13.853, de 2019) Vigência
Como se percebe do trecho acima transcrito, as empresas que possuem contrato com a administração pública poderão receber dados pessoais desta, até mesmo, em alguns casos, como forma de possibilitar a regular execução dos serviços contratados.
Frise-se que todos os contratos firmados que impliquem em transferência de dados pessoais deverão ser comunicados à autoridade nacional2, de modo que se tenha um acompanhamento mais eficaz do tratamento concedido.
Quanto ao tratamento a ser realizado com os dados pessoais, observa-se que, se por disposição contratual a empresa tiver que desenvolver atividades que a submetam ao cumprimento de normas públicas, ela deverá atender, apenas neste tocante, aos comandos da LGPD atinentes ao Poder Público, regendo-se em todas as demais situações pelas regras gerais destinadas as pessoas jurídicas que atuem no setor privado.
Neste sentido, uma empresa que atue com a operacionalização de sistemas para gestão de documentos, atendimento e recebimento de reclamações, conversão em processos e gestão eletrônica de sistema de controle de processos, devendo ofertar acesso público a certos dados desenvolverá, obrigatoriamente, uma plataforma (para o Poder Público) que atenda à Lei de Acesso à Informação, devendo apresentar os dados em formato adequado (que possa ser operado, estruturado para uso compartilhado, quando a lei permitir), além de ter necessariamente uma disposição que atenda estritamente à finalidade pública.
Por outro lado, dentro da gestão interna desta empresa contratada, esses dados pessoais deverão ser cuidados, de modo a seguir as regras para o setor privado, não podendo ser divulgado no seu site privado ou compartilhado sem o tratamento adequado.
_____________
1 Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta lei.
2 Art. 26. [...]
§ 2º Os contratos e convênios de que trata o § 1º deste artigo deverão ser comunicados à autoridade nacional.
Art. 27. A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado à autoridade nacional e dependerá de consentimento do titular, exceto:
I - nas hipóteses de dispensa de consentimento previstas nesta lei;
II - nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I do caput do art. 23 desta lei; ou
III - nas exceções constantes do § 1º do art. 26 desta lei.
Parágrafo único. A informação à autoridade nacional de que trata o caput deste artigo será objeto de regulamentação. (Incluído pela lei 13.853, de 2019). Vigência
_____________
*Andrei Aguiar é sócio do Aguiar Advogados, presidente da Escola Superior de Advocacia do Ceará e membro Comissão Nacional de Sociedades de Advogados no Conselho Federal da OAB.