Artigo, Proteção de Dados por MB Advogados

A legitimidade do compartilhamento de dados pessoais entre órgãos e entidades da administração pública

O Supremo Tribunal Federal (STF), no dia 15 de setembro, ao julgar conjuntamente a Ação Direta de Inconstitucionalidade 6.649 (ADI 6.649) e a Arguição de Descumprimento de Preceito Fundamental 695 (ADPF 695), ajuizadas em razão do decreto 10.046/2019, firmou o entendimento de que é legítimo o compartilhamento de dados pessoais entre os órgãos públicos desde que estritamente observados os ‘preceitos sensíveis que compõem a espinha dorsal da Constituição da República e da Lei Geral de Proteção de Dados Pessoais (LGPD), como os direitos à privacidade e à autodeterminação informativa’.

A ADPF 695 sustentou, em síntese, que a ‘transferência massiva e indiscriminada dos dados pessoais de todos os portadores de CNH no país para a Agência Brasileira de Inteligência (ABIN) viola os direitos fundamentais à privacidade, à proteção de dados pessoais e à autodeterminação informativa’. Em que pese a revogação do termo de autorização que concedia à ABIN o acesso à base de dados da CNH, o STF entendeu por bem apreciar mesmo assim a ADPF, pois o tema fazia correspondência direta com o decreto 10.046/2019, visando evitar qualquer tipo de interpretação extensiva do decreto 10.046/2019 que pudesse resultar no compartilhamento indiscriminado e irrestrito de dados pessoais.

Já na ADI 6.649, alegou-se que o decreto 10.046/2019: ‘a) invadiu competência privativa do Congresso Nacional e exorbitou o poder regulamentar conferido ao Presidente da República; b) dispôs sobre a matéria de forma contrária aos preceitos constitucionais e infraconstitucionais relacionados à proteção de dados e da privacidade; e, c) instituiu um cadastro unificado que poderá ser utilizado abusivamente pelos órgãos do poder público federal, além de acarretar riscos de vazamentos e incidentes de segurança’.

Ao analisar os pleitos acima, o STF entendeu que o decreto não afronta, por si só, o direito fundamental à proteção de dados pessoais dos cidadãos. Pelo contrário, destaca que em todas as suas passagens há referência expressa à Lei Geral de Proteção de Dados, reforçando, ainda, que não será admitido, segundo o voto do Ministro Relator Gilmar Mendes, ‘qualquer tentativa de abertura ampla dos elementos nele (sic. Decreto) contidos, mesmo que restrita ao conjunto de órgãos públicos federais, conflitaria frontalmente com as normas que orientam o tratamento de dados pessoais’.

Neste sentido, importante relembrar que os arts. 6º, 7º e 23 da LGPD dispõe especificamente sobre o tratamento de dados pessoais realizados pelos órgãos públicos. Ou seja, não há espaço para qualquer indagação acerca da aplicação da LGPD na esfera pública.

O art. 23, acima mencionado, prevê que o tratamento de dados pessoais por órgãos do Estado deve ser realizado ‘para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público’, desde que ‘sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos’.

Assim, diante do robusto regime de proteção de dados pessoais, o Ministro Relator enfatizou a responsabilização de agentes públicos pela violação ao direito de proteção de dados pessoais, previsto no art. 5º, inciso LXXIX, da Constituição Federal, bem como o indubitável dever de repará-lo, reconhecendo-se a aplicação do art. 42 da LGPD também no âmbito do Poder Público, que dispõe que ‘o controlador ou operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo’.

Portanto, conclui-se que como consequência da hipótese de violação dos parâmetros legais e constitucionais, restará facultado ao cidadão, titular dos dados pessoais, exigir reparação civil contra o Estado.

Ato contínuo, competirá ao Estado, por sua vez, exercer eventual direito de regresso contra o servidor público responsável pelo ato ilícito, se identificada conduta culposa ou dolosa.

Além da responsabilização do Estado e do servidor público na esfera civil, este poderá, ainda, ser responsabilizado por ato de improbidade administrativa por violação ao princípio da publicidade, nos termos do art. 11, inciso IV, da Lei 8.429/92 (Lei de Improbidade Administrativa) combinado com o já mencionado art. 23 da LGPD, sem prejuízo da incidência de outras tipificações legais e demais responsabilização disciplinar previstas no respectivo estatuto funcional.

A decisão da Corte Suprema se faz relevante para que não haja futuras interpretações extensivas do quanto disposto no Decreto 10.046/2019 – como no caso de a ABIN solicitar indiscriminadamente dados de CNH de 76 milhões de brasileiros-, reforçando que o Poder Público deverá, mesmo que ao compartilhar dados pessoais internamente, observar estritamente o disposto na LGDP.

Acesso à decisão: https://images.jota.info/wp-content/uploads/2022/09/voto-adi-6649-e-adpf-695-1.pdf

#LGPD #cadastrobasedocidadão #STF #servidorpublico #proteçãodedados

Matérias Relacionadas