LGPD no Setor Público: bases legais para o tratamento de dados pessoais

É sabido que lei geral de proteção de dados - lei 13.709/18, doravante LGPD - se aplica tanto ao setor privado, quanto ao setor público. Há muito tempo, a Administração Pública vem coletando dados pessoais de maneira indiscriminada e sem se preocupar com princípios elencados no art. 6º na LGPD - especialmente finalidade, adequação, necessidade ou mesmo segurança -, e nem com o caput do art. 23, que define que o tratamento de dados pessoais pelas pessoas jurídicas de direito público, "deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público". Nesse contexto, robustecendo seu papel orientativo, a Autoridade Nacional de Proteção de Dados (ANPD) lançou no dia 28 de janeiro de 2022, um novo guia orientativo - "Tratamento de Dados Pessoais pelo Poder Público"¹. Trata-se de um documento com o objetivo de auxiliar órgãos e entidades públicas nas atividades de adequação e implementação da LGPD. O guia aborda quatro aspectos principais: (i) as bases legais mais comuns para embasar o tratamento de dados pelo poder público; (ii) os princípios mais aderentes às peculiaridades do setor público; (iii) orientações acerca do compartilhamento de dados pessoais pelo Poder Público; e (iv) cuidados na divulgação de dados pessoais. Neste texto, abordarei as bases legais tratadas no guia.

Bases Legais

A LGPD delibera que os dados pessoais só podem ser tratados em consonância com pelo menos uma das hipóteses legais previstas no art. 7º. As hipóteses - ou bases - legais, portanto, são presunções autorizativas para que um agente de tratamento, público ou privado, possa realizar operações com dados pessoais, como a coleta, classificação, utilização, acesso, transmissão, processamento, armazenamento, eliminação, transferência, dentre outras.

Em função das peculiaridades do setor público e com base nos questionamentos recebidos, a ANPD focou o capítulo III do já citado guia orientativo em quatro das dez bases legais previstas no art. 7º: consentimento (inciso I), cumprimento de obrigação legal e regulatória (inciso II), execução de políticas públicas (inciso IV) e legítimo interesse (inciso IX).

Consentimento

Previsto no art. 7º, I da LGPD como uma hipótese de tratamento de dados pessoais, o consentimento é definido no art. 5º, XII como "manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada". Em outras palavras, o titular dos dados pessoais deve dar seu consentimento para o controlador tratar seus dados pessoais de forma clara, livre, sem coação, inequívoca, com base na transparência da informação da finalidade do tratamento - uma vez que o art. 8º, § 4º torna nulo o consentimento para autorizações de tratamento genéricas - e por escrito ou outro meio que demonstre indubitavelmente a vontade real do titular. Antes da LGPD, o consentimento também é tratado na lei 12.965/14, o Marco Civil da Internet (MCI). No MCI, em seu art. 7º que trata dos direitos do usuário de Internet, o inciso VII define que o compartilhamento de dados pessoais, incluindo registros de conexão e acesso a aplicações, só pode ser feito mediante consentimento "livre, expresso e informado". O titular deve ter pleno conhecimento do que está sendo consentido, de forma transparente, objetiva, sem tecnicismo jurídico e/ou técnico, adequada e ostensiva. O termo de consentimento deve informar a finalidade específica para o tratamento, a forma e duração, a identificação do controlador e informações de contato, se os dados serão compartilhados (finalidade e identificação dos outros controladores e operadores), responsabilidades dos agentes de tratamento e direitos do titular, conforme art. 18, especialmente quanto ao seu direito de revogar o consentimento a qualquer momento, sem necessidade de justificativa.

O art. 8º determina, ainda, que caso o consentimento seja dado por escrito, o texto deverá ser uma cláusula destacada das demais (art. 8º, § 1º), dando ênfase e clareza, para que o titular não tenha dúvidas de que está dando seu consentimento espontâneo.  O MCI, em seu art. 7º, IX, vai na mesma toada, indicando que o consentimento deverá ocorrer de forma "destacada das demais cláusulas contratuais". Isso é importante, pois cabe ao controlador o ônus da prova de que o consentimento foi obtido de acordo com as regras da LGPD (art. 8º, § 2º).

Pois bem, com base nessas características que devem ser observadas quando do uso do consentimento, o guia da ANPD considera que esta não é a base legal "mais apropriada para o tratamento de dados pessoais pelo Poder Público, notadamente quando o tratamento for necessário para o cumprimento de obrigações e atribuições legais". Nesses casos, há um "desbalanceamento de forças", onde as prerrogativas do poder público acabam sendo impostas ao titular dos dados, impedindo-o de manifestar sua livre vontade, sem prejuízo ao exercício de direitos fundamentais ou aplicação de restrições para usufruir dos serviços públicos.

Contudo, o consentimento pode ser utilizado como base legal desde que o tratamento de dados pessoais não seja obrigatório, por obrigações ou atribuições legais da instituição. Dessa forma, o titular dos dados pessoais poderá manifestar livremente sua vontade real, dando ou não o consentimento.

Cumprimento de obrigação legal e regulatória

A LGPD permite que o tratamento de dados pelo Poder Público seja realizado para o cumprimento de obrigação legal ou regulatória, conforme art. 7º, II e art. 11, II, a.  O conceito de obrigação legal é reforçado no art. 23, quando destaca que o tratamento de dados pessoais no setor público deverá ser realizado com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público", observando, ainda, o interesse público e o atendimento da finalidade pública do controlador.

O guia aborda essa base legal segundo dois contextos normativos: normas de conduta e normas de organização.

Segundo Barroso (2009), as normas de conduta seriam aquelas "destinadas a reger, diretamente, as relações sociais e o comportamento das pessoas. Normas de conduta [...] preveem um fato e a ele atribuem um efeito jurídico". Ou seja, as normas preveem um fato e uma implicação jurídica para esse fato. Por exemplo, se houver um fato gerador, haverá um tributo.

Já as normas de organização são aquelas criadas para estruturação de órgãos e entidades, estabelecendo suas competências e atribuições. Tais normas "em lugar de disciplinarem condutas, as normas de organização, também chamadas de normas de estrutura, instituem órgãos, atribuem competências, definem procedimentos" (BARROSO, 2019).

Assim, o cumprimento de obrigações legais e regulatórios pode ser uma necessidade gerada por normas de conduta ou de organização. No primeiro caso, o agente de tratamento do setor público deve obrigatoriamente cumprir uma determinação legal expressa, sob pena de sofrer uma consequência prevista no ordenamento jurídico. Na segunda hipótese, o tratamento se dará para atendimento à finalidade da existência daquele órgão ou instituição pública, para cumprimento de suas atribuições legais, razão de sua existência.

Execução de políticas públicas

Outra base legal prevista na LGPD para o tratamento de dados pela Administração Pública é para a "execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres", conforme art. 7º, III e art. 11, II, b. 

O guia busca definir os termos Administração Pública e Políticas Públicas, de forma a esclarecer a aplicação dessa base legal.

Administração Pública abrangeria, segundo o guia, "tanto órgãos e entidades do Poder Executivo quanto dos Poderes Legislativo e Judiciário, inclusive das Cortes de Contas e do Ministério Público, desde que estejam atuando no exercício de funções administrativas. Portanto, todos os órgãos e entidades dos três poderes e das três esferas federativas podem usar essa base legal para a consecução de políticas públicas. Mas o que seriam políticas públicas?

Como o termo políticas públicas não foi definido no art. 5º da LGPD, o guia recomenda que sejam consideradas as definições usuais do termo. Assim, segundo Peters (1986), política pública é a soma das atividades dos governos, que agem diretamente ou através de delegação, e que influenciam a vida dos cidadãos. Dye (1984) sintetiza a definição de política pública como "o que o governo escolhe fazer ou não fazer". O guia ressalta que para a aplicação dessa base legal, a política pública deve ser instituída por um ato formal - lei, regulamento, contratos, convênios e instrumentos congêneres. Além disso, quanto ao aspecto material, a política dever determinar, de forma específica, um programa ou ação governamental, com objetivos definidos, priorizados e reserva de meios necessários para sua execução, além da definição do prazo para se chegar aos resultados pretendidos.

Uma última recomendação acerca dessa base legal é que os agentes de tratamento da Administração Pública devem observar o previsto no art. 23, sendo que o tratamento "deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público".

Legítimo interesse

Uma das dez hipóteses previstas é o legítimo interesse (art. 7º, IX) do controlador ou de terceiros, podendo ser utilizada para o tratamento de dados pessoais não sensíveis, desde que não viole os direitos e as liberdades fundamentais do titular, nem a sua privacidade (art. 2º, I) e autodeterminação informativa (art. 2º, II), liberdade para o desenvolvimento da própria personalidade do titular - especialmente os direitos à privacidade e intimidade. (artigo 5º da CF).

Ao contrário das outras bases legais previstas no art. 7º, o legislador escolheu por incluir um artigo específico (art. 10), que dita alguns parâmetros para a aplicação do legítimo interesse: o controlador deve ter finalidades legítimas e situações concretas que terão que ser analisadas sempre e individualmente, para confirmar a sua aplicação. O art. 10 elenca situações concretas, a título exemplificativo: no inciso I, "o apoio e promoção de atividades do controlador", coadunando com os fundamentos previstos no art. 2º, V - "desenvolvimento econômico e tecnológico e a inovação" - e VI - "a livre iniciativa, a livre concorrência e a defesa do consumidor", inclusive a busca do lucro, conforme previsto no art. 170 da CF/88. Nesse sentido, o legítimo interesse pode ser visto como uma alternativa de uso de dados responsável com potencial de desenvolvimento econômico e a inovação, garantindo o direito à privacidade dos titulares. Ainda no art. 10, inciso II, temos outro exemplo de situação concreta: "a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais". Além disso, o art. 37 destaca que o controlador e o operador devem manter registro das operações de tratamento de dados que realiza, "especialmente quando baseado no legítimo interesse". Ressalta-se, novamente, que o legítimo interesse não se estende ao operador, sendo uma base legal exclusiva do controlador.

Destaca-se que no caput do art. 10 há ênfase ao uso dessa base legal com finalidade legítima. Podemos entender por finalidade legítima o uso revestido de boa-fé, especialmente no atendimento à legítima expectativa do titular dos dados. Nesse sentido, destaco que a boa-fé seria o ''princípio dos princípios'', interpretação ratificada pela sua posição no caput do artigo 6º, revelando sua centralidade frente aos demais princípios listados nos incisos subsequentes. O uso dessa base legal deve, ainda, não contrariar a lei, estar em consonância com as regras de conduta da sociedade e que, quando baseado no legítimo interesse do controlador, que o tratamento se restrinja exclusivamente aos dados pessoais necessários para a finalidade pretendida. Seria, portanto, uma categoria capaz de contemplar qualquer interesse protegido pela ordem jurídica que deve ser sopesado - ou balanceado - com os direitos do titular dos dados, se tornando uma base legal mais ampla. Se, na técnica de sopesamento ou balanceamento, os interesses do titular superarem o interesse do controlador, o uso dessa base legal para o tratamento de dados não será possível.

O uso do legítimo interesse como base legal deve ainda observar os princípios da necessidade e da transparência, sendo o controlador responsável por adotar medidas para garantir esses princípios. O uso do legítimo interesse como uma base legal para o tratamento de dados pessoais acaba por gerar um ônus argumentativo maior quanto ao princípio da finalidade, uma vez que, provavelmente para evitar seu uso indiscriminado, o legislador optou por frisar que sua aplicação só é possível em uma situação concreta. Contudo, apresenta-se como uma base legal mais flexível, dinâmica e exatamente por isso requer o uso constante da técnica de balanceamento entre os interesses do titular, de terceiros e do controlador, além de considerar as já citadas liberdades individuais. Para isso, seu uso dever ser precedido de uma detalhada análise de riscos, documentada, para atendimento ao previsto no § 3 do art. 10.

Por fim, o guia destaca que "a aplicação do legítimo interesse é limitada no âmbito do setor público. Em particular, a sua utilização não é apropriada quando o tratamento de dados pessoais é realizado de forma compulsória ou quando for necessário para o cumprimento de obrigações e atribuições legais do Poder Público".

Considerações Finais

A ANPD tem diversas atribuições, definidas no art. 55-J, incluindo a regulamentação de pontos indefinidos da LGPD, que podem dar margem a interpretações conflituosas, bem como a orientação e promoção de práticas nacionais e internacionais de proteção de dados e privacidade. Com o Guia Orientativo recém-publicado, a Autoridade brasileira avança nessa direção, agora focando no complexo e peculiar setor público. Os órgãos e entidades públicos devem se debruçar sobre a lei, fazendo uma autoavaliação do que precisa ser feito para adequação de suas práticas em relação ao tratamento de dados pessoais ao que a lei determina, aprimorando um olhar clínico para identificar os limites de sua atuação dentro de suas atribuições e de acordo com as diretrizes do controlador. Essa não é uma tarefa simples e requer envolvimento de todos os servidores e membros dos órgãos e entidades e, especialmente, da alta administração. Sem isso, será difícil criar uma cultura de proteção de dados, essencial para que os direitos do titular² sejam respeitados.

_________

BARROSO, L. R. Curso de direito constitucional contemporâneo. São Paulo: Saraiva, 2009

BRASIL. Autoridade Nacional de Proteção de Dados. Guia Tratamento de Dados Pessoais pelo Poder Público. Brasília, jan. 2022. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf. Acesso em 16 fev. 2022.

BRASIL. Lei 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2015- 2018/2018/Lei/L13709.htm. Acesso em: 25 dez. 2020.

DYE, Thomas D. Understanding Public Policy. Englewood Cliffs, N.J.: Prentice-Hall. 1984.

PETERS, B. G. American Public Policy. Chatham, N.J.: Chatham House. 1986.

XAVIER, Fabio Correa. LGPD: conheça seus direitos como titular de dados pessoais. Conheça seus direitos como titular de dados pessoais. 2021. Disponível em: https://mittechreview.com.br/lgpd-conheca-seus-direitos-como-titular-de-dados-pessoais/. Acesso em: 31 ago. 2021.