A relação jurídica estabelecida entre o Poder Público e o indivíduo titular de dados pessoais é marcada pela assimetria de poder, seja em decorrência da natureza jurídica do ente estatal que atua com o poder de império, dotado de poderes para a consecução de seus deveres, como pela circunstância objetiva de que o ente estatal detém grande quantidade de dados pessoais em seus bancos de dados, como insumo ou subproduto do desempenho de sua atividade.
É inerente à atividade administrativa a gestão de uma série de bancos de dados potencialmente sensíveis, sendo que a coleta e tratamento desses dados é um ponto nevrálgico em termos de políticas públicas que tenham escala.
Tem-se como exemplos: a proteção de dados pessoais nos programas de Nota Fiscal, no sistema de Bilhete Único de transporte Público, a oferta de Wi-Fi público nos grandes centros e o banco de dados de prontuários médicos do sistema público de saúde.
O tratamento de dados pessoais é um aspecto da execução das políticas públicas que mereceu da LGPD regulamentação especifica decorrente do reconhecimento de que a massificação das relações travadas entre o Estado e os cidadãos, marcada pela voracidade na coleta de dados, tratados de forma não padronizada e, tampouco, transparente, redunda no risco de o Estado violar direitos e garantias fundamentais do titular.
Nessa hipótese, a defesa do titular dos dados de forma individualizada se ressente da inegável disparidade de meios e recursos entre os contendores. O reconhecimento dessa realidade resultou na previsão pela LGPD de normas de dirigismo que, submetendo o Poder Público aos seus ditames, potencializa o caráter de transparência no tratamento de dados, tornando suas hipóteses excepcionais.
ATENDIMENTO DE UMA FINALIDADE PÚBLICA
O princípio da impessoalidade expresso no artigo 37 da Constituição Federal consiste no clássico princípio da finalidade, na medida em que obriga o administrador a praticar o ato administrativo somente para o seu fim legal, sendo esse unicamente aquele que a norma de Direito indicia, expressa ou virtualmente, como objetivo do ato, de forma impessoal.
Uma vez que o princípio da finalidade exige que o ato seja praticado sempre com uma finalidade pública, o administrador fica impedido de buscar outro objetivo ou de praticá-lo no interesse próprio ou de terceiros.
No âmbito da LGPD, a finalidade pública é atendida quando o Poder Público executar o tratamento de dados pessoais dos administrados, pessoas naturais, nos estritos termos da lei para execução de políticas públicas previstas na norma, zelando pela proteção de dados pessoais da pessoa natural e pela garantia de deus direitos personalíssimos.
EXECUÇÃO DE COMPETÊNCIAS LEGAIS OU ATRIBUIÇÕES
O Poder Público existe para administrar a vida em sociedade e o faz somente em observância e na medida em que a lei lhe dá investidura. Significa dizer que o poder público existe para cumprir uma função legal e, para tanto, a lei o investe de poder para fazê-lo.
Enquanto grande parte da doutrina administrativa define a função administrativa como um poder-dever para enfatizar o aspecto da inafastabilidade de atuação diante da investidura legal para cumprimento de um dever, preconizo a existência de um dever-poder, sublinhando que o poder não tem existência autônoma, mas existe por graça e na medida da atribuição à Administração de um dever legal, que o procede.
I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
TRANSPARÊNCIA NO TRATAMENTO DE DADOS PESSOAIS
O inciso I consagra a necessária transparência no tratamento de dados pessoais pelo Poder Público, ecoando o princípio da transparência que permeia, juntamente dos outros nove, todas as operações de tratamento de dados pessoais e dados sensíveis.
No contexto de uma relação assimétrica de poder, como a que caracteriza a estabelecida entre o poder público e o indivíduo, a transparência visa a inspirar no titular de dados a credibilidade no ente público controlador dos dados e necessária responsabilidade a que está submetido, numa clara relação com um princípio peculiar da lei protetiva nacional, o da responsabilização e prestação de contas.
Determina que, ao fazê-lo, o ente público enuncie as hipóteses de tratamento, em expressa correspondência ao respaldo de investidura legal (exercício de suas competências). A existência de hipótese de tratamento consiste em clara remissão ao princípio maior da legalidade administrativa prevista na Constituição Federal.
São requisitos legais que tais informações sejam disponibilizadas de forma clara, atualizada e de fácil acesso, preferencialmente nos sítios eletrônicos dos entes administrativos. Denota-se o comprometimento da lei com a chamada publicidade real ou material, em contraposição à mera publicidade ficta ou formal, de modo a dar concretude aos princípios constitucionais da moralidade e eficiência, positivados no artigo 37 da Constituição Federal.
BASE LEGAL: EXECUÇÃO DE POLITICAS PÚBLICAS
O tratamento de dados pessoais deve estar ancorado, necessariamente, a uma base legal que o legitima.
No espectro de atuação do Poder Público estão englobados, entre outras, atividades de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais
O tratamento de dados pessoais exclusivamente para esses fins, por possuírem regime jurídico próprio, é expressamente excluído da incidência da LGPD, por força de norma expressa do artigo 4º, inciso II, da lei.
As demais atividades realizadas pelo ente ou órgão público seguem a regra de necessário atrelamento a uma base legal.
O artigo 7º da LGPD prevê, entre as diversas bases legais para a realização do tratamento de dados pessoais, uma especifica para a Administração Pública em seu inciso III, sendo ela a execução de políticas públicas, previstas em leis, regulamentos ou respaldadas em contratos, convênios ou instrumento congêneres.
Merece justa crítica o emprego da norma de extensão consistente na expressão “instrumento congêneres” como base legal, por ser expressão de grande espectro. No entanto, melhor interpretação demanda restringi-la ao termo imediatamente anterior, entendendo-a como congênere de convênios e desde que tenha previsão legal.
Conforme consignado, a previsão do artigo 23, caput, complementa e confere completude às hipóteses de tratamento de dados pelo poder público aos entes que exercem competência ou atribuição constitucional.
É importante notar que, da análise do dispositivo legal, se verifica direta correspondência com base principiológica da lei.
USO COMPARTILHADO DA DADOS PELO ENTE PÚBLICO E O ENTE PRIVADO
Diversamente do tratamento dispensado aos entes públicos, quando o compartilhamento de dados pessoais constantes de bases controladas por entes públicos envolver o uso por entes provados, a LGPD trata de modo distinto as operações de uso compartilhado.
As normas que tratam desse contexto estão contempladas no artigo 26, §1º e no artigo 27, desenhando um sistema de regras, exceções e especificidades de complexidade invulgar.
Nesse contexto, optou o legislador por tratar com destaque da operação de transferência de dados.
Não existe uma definição legal de transferência, bastando para a análise proposta a utilização do núcleo comum ao conceito do dicionário Houaiss e aquele constante do glossário publicado pela SERPRO. Trata-se da mudança geográfica de um local a outro e da modificação do controle sobre os dados.
TRANSFERÊNCIA DE DADOS – REGRA E EXCEÇÃO
A regra consiste na vedação de transferência pelo Poder Público de dados pessoais constantes de suas bases a entidades privadas.
A redação original da Lei Protetiva sancionada previa apenas duas hipóteses autorizativas de transferências a entidades provadas de dados pessoais existentes em bases públicas, rol esse que foi ampliado para cinco hipóteses pela MP 869/2018 e reduzido para quatro hipóteses na redação final dada pela LEI 13.853/2019.
Por se tratar de dispositivo legal que excepciona a regra, em numerus clausus, deve ser interpretado restritivamente.
DADOS PÚBLICOS E ACESSÍVEIS PUBLICAMENTE
Públicos são os dados constantes de bases públicas, sob custódia de órgão ou ente público, e podem ser dados pessoais, dados sensíveis e dados informacionais (de acesso ao público).
A LAI define informação como dados, processados ou não, que podem ser utilizados para produção e transmissão do conhecimento, contidos em qualquer meio, suporte ou formato e, em seu artigo 7º, traz rol exemplificativo de informações passíveis de acesso sob os auspícios da LAI.
No mesmo artigo em que define informação, traz definição de informação pessoal de idêntico teor à definição de dado pessoal existente na LGPD.
Ao prescrever que aos órgãos e entidades do Poder Público cabe, entre outros, deveres, o de assegurar a proteção da informação sigilosa e da informação pessoal, observando eventual restrição de acesso, a LAI permite uma segura distinção entre o que hoje define a lei como dados pessoais e as informações não referentes a pessoa natural identificada ou identificável, estes últimos entendidos como dado informacional ou dados acessíveis ao público.
Significa dizer que dados pessoais ou sensíveis não perdem a natureza ou proteção legal pelo fato de integrarem bases de dados públicos. Por esse motivo que ambas as leis tratam do atributo da confidencialidade dos dados de forma coerente para que essas categorias de dados não sejam acessíveis publicamente, assim como os dados sigilosos, definidos pela LAI.
O dispositivo legal sob análise ocupa-se, portanto, tão somente dos dados pessoais e dados sensíveis existentes em base pública de dados, relegando à LAI o tratamento dos dados de acesso ao público.
PODER NORMATIVO DA ANPD
No exercício se sua função pública de implementar a LGPD, a ANPD reúne, entre outros poderes, o normativo, previsto, previsto no artigo 55-J, inciso II, da Lei.
Conquanto o poder normativo que lhe fora atribuído seja amplo, o artigo 30 destacou as atividades de comunicação e uso compartilhado de dados pessoais, no âmbito do Poder Público para que a autoridade nacional emita normas complementares às já existentes.
O artigo 11, §3º, da LGPD prevê igual destaque à atividade regulatória da ANPD na comunicação e uso compartilhado de dados pessoais sensíveis entre controladores, cujo objetivo seja a vantagem econômica.
É digno de registro que, anteriormente à criação da ANPD e o estabelecimento de suas competências legais pela MP 869/2018, o poder de emitir regulamentos complementares se limitava às hipóteses de comunicação e uso compartilhado de dados, não alcançados outras operações de tratamento.
A Seção I do Capítulo IV da Lei de Proteção de Dados Pessoais traz normas de conduta para os entes da administração pública no tocante ao uso e manuseio de dados de caráter pessoal, cuja observância visa não somente permitir maior segurança dos indivíduos e suas respectivas informações em um Estado Democrático de Direito cuja existência, dentre outros objetivos e missões, vem a proteger o cidadão, hipossuficiente, de eventual autoritarismo estatal, bem como também garantir o cumprimento dos princípios norteadores da administração pública expressos no artigo 37, caput, da Constituição Federal.
A existência dessa lei conquanto bastante recente e sujeita a futuros entendimentos doutrinários e jurisprudenciais enseja a modernização do ordenamento jurídico pátrio em face das hodiernas circunstâncias que a evolução social, em âmbito mundial, traz consigo.
Conclui-se que se cuida de duas operações de tratamento especial sensibilidade e caberá à ANPD, sobretudo no âmbito do Poder Público, exercer sua missão institucional de zelar pela uniformidade da interpretação e implementação da lei diante das questões que surgirão no contexto de vigência da lei protetiva, catalisando o processo de estabelecimento de segurança jurídica.
por Amanda Di-Tano - Assessora Júridica do Vereador Caio Godoi
REFERÊNCIAS
BIONI. Proteção de Dados Pessoais no Setor Público. Aula do curso de extensão do Data Privacy. São Paulo. Dez. 2018.
Art. 5º, II, da Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD).
MEIRELLES, Hely Lopes. Op. Cit., p.112.
BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.
VIVIANE NÓBREGA MALDONADO. Lei Geral de Proteção de Dados Pessoais Comentada. 3º edição 2021.
Art. 1º, I, da Lei 12.527/2011 (Lei de Acesso à informação – LAI).
BANDEIRA DE MELLO, Celso Antônio. Curso de Direito Administrativo. 33. Ed. São Paulo; Malheiros, 2016. P. 156.