OS DESAFIOS DA ADMINISTRAÇÃO PÚBLICA NA ADEQUAÇÃO DA LGPD: UMA ANÁLISE ACERCA DE SUA COMPATIBILIDADE COM A LAI E O AMPLO COMPARTILHAMENTO DE DADOS.

FERNANDA ALVES CORRÊA[1]

Sumário: Introdução; 1. Tratamento de Dados Pessoais Pelo Setor Público: Conceitos e Fundamentos; 2. Um Diálogo Entre a Lei de Acesso à Informação e a LGPD; 3. O Risco do Irrestrito Compartilhamento de Dados Entre Órgãos e Entidades; Conclusão.

 Introdução

É sabido que vivenciamos a era da sociedade hiper conectada, com intenso fluxos de dados circulando em frações de segundos e para além das fronteiras, sem quaisquer controles por parte de seus titulares acerca de sua correlata finalidade e tratamento. Nesse contexto, os dados têm se tornado o grande ativo de muitas empresas e governos,[2] na medida que o lucro com suas vendas cresce em caráter exponencial, seja para influenciar padrões de comportamentos de potenciais consumidores, personalizar serviços, ou até mesmo, influenciar nas acirradas disputas eleitorais.

O escândalo da Cambridge Analytica[3] alertou o mundo para a necessidade da autodeterminação informativa dos titulares, a saber, o direito do próprio indivíduo de decidir acerca da divulgação e utilização de seus dados pessoais, a fim de proteger sua privacidade e não ficar refém da atual cultura do Surveillance Capitalism[4] acentuada pela era digital, muito pelo qual, “nenhum homem é considerado livre, se não dispuser de garantia de inviolabilidade da esfera de privacidade que o cerca”,[5] posto assim, como o núcleo central da dignidade humana.

Neste toar, nasce na Europa o Regulamento Geral Sobre a Proteção de Dados (General Data Protection Regulation- GDPR), que serviu de posterior inspiração para a promulgação em nosso ordenamento da Lei Geral de Proteção de Dados, disposta sob o nº 13.709/18 (LGPD)[6]. Ressalta-se que a Carta Magna de 88, já respalda como direito fundamental, em seu artigo 5ª, inciso X,[7] a inviolabilidade da vida privada, contudo, inexiste expressamente a proteção aos dados de maneira específica.[8]

No entanto, inicialmente, é somente com o julgado da medida cautelar em ação direta de inconstitucionalidade (ADIN) n° 6387[9] que a discussão ganhou corpo e relevância, ao cabo de elevar a proteção dos dados pessoais ao patamar de direito fundamental.

A jornada de adequação à LGPD será longa, especificamente no que tange ao tema do poder público, detentor da maior rede de dados existente. Notoriamente, desde a concepção do Welfare State, pós 2ª guerra mundial, o Estado passou a demandar de seus administrados, uma gama de dados para estudos e confecções de políticas públicas, seja na seara educacional, na área de seguridade social, saúde, tributação, dentre outros.

Destaca-se que o mesmo dispõe de dados das declarações anuais da Receita Federal dos contribuintes e seus dependentes, sigilos fiscais e bancários mantidos pelo Banco Central, bem como do gerenciamento de dados dos trabalhadores brasileiros pela Caixa Econômica Federal -CEF, através do Fundo de Garantia por Tempo de Serviço (FGTS); do amplo cadastro de dados sensíveis de serviços de saúde da base do Sistema Único de Saúde- SUS, cujo histórico de tratamento também é compartilhado com hospitais conveniados.

Não obstante, possui ampla disposição de informações armazenadas oriundas de sua tutela sobre os processos judiciais e administrativos, arquivos eletrônicos da Justiça Eleitoral com dados de eleitores, dados dos seus segurados do sistema de previdência social administrados pela entidade autárquica do Instituto Nacional do Seguro Social (INSS) e, sem pretensão de esgotar o tema, ainda há a questão do arquivamento de imagens oriundo do reconhecimento facial implementando pelos serviços sofisticados de segurança pública.

Na assertiva de DE OLIVEIRA, Regis Fernandes:[10]

Se sei quem é o outro, se conheço seu patrimônio, se percebo sua cultura, sua formação intelectual, os dados de sua vida anterior (eventualmente qualquer tipo de constrangimento por que passou) isso dá ao interessado uma situação privilegiada.

A sociedade da pós-modernidade, reestruturou o processamento das informações, os papéis deram lugares ao armazenamento “nas nuvens” lincados a provedores e processados por softwares cada vez mais potentes. Na mesma linha, evidentemente, seguiu a administração[11] pública, a fim de facilitar seus canais de transparência e desburocratizar o sistema. Hoje, órgãos e entidades de todas as esferas já viabilizam o acesso aos seus cidadãos até mesmo por aplicativos.[12][13]

A problemática do presente estudo, está na constatação da incapacidade do Governo de prover a segurança dos dados de seus cidadãos.[14] Ao instalar tais ‘apps’, logo se depara com uma ficha de informações para preencher e, assim, se ter o acesso liberado, como CPF, e-mail, nome completo, RG, e etc.

Indaga-se: Como o Estado trata tais dados? O mesmo os utiliza apenas à finalidade destinada? Esta finalidade é transparente? Assim sendo, a transparência é realizada de modo adequado? Os dados requisitados são todos necessários à finalidade? Como os armazena e até quanto tempo? Quais as normas e técnicas de padrão de segurança faz uso para evitar vazamentos? Esses são alguns dos questionamentos que se pretende abordar nesta temática.

No mais, muito além do comportamento dos indivíduos de não ler as políticas de privacidade e termos de uso corroborar com a conjuntura atual, existe os perigos da adoção do compartilhamento de dados sem a devida governança corporativa entre as esferas de poder. Por fim, e não menos importante, o modus operandi pelo qual a administração pública realiza a transparência exigida de um Estado democrático de Direito[15], será profundamente afetado com a entrada da LGPD em vigor.

1. Tratamento de Dados Pessoais Pelo Setor Público: Conceitos e Fundamentos

Seguindo a linha da tendência mundial, a LGPD, acertadamente, abarcou um capítulo exclusivo ao poder público, muito embora tenha havido fortes coalisões contra a sua implementação na Lei.

Preliminarmente, para que seja possível a análise acerca da proteção de dados pelo poder público, é necessário compreender os objetivos principiológicos trazidos pela Lei. A fim de proteger os direitos fundamentais de liberdade, intimidade e privacidade constitucionalmente previstos, além de definir dados pessoais e sensíveis[16], a lei tratará de forma clara em seu artigo 6º, os requisitos primordiais para que exista o tratamento.[17] Assim dispõe:

 Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – finalidade:[18] realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Nessa perspectiva, tem-se como evidente, a tentativa de equilibrar a relação cidadão- Estado, colocando o indivíduo como elemento central da norma, oferecendo ao mesmo, maiores mecanismos de proteção e controle sobre suas informações.[19]

Para cada tratamento, seja no âmbito digital ou físico, haverá de ter uma base legal para fundamentar a atividade do operador e/ou controlador.[20] Ao setor público, a base legal a que se lhe destina, será a hipótese prevista nos artigos 7, inciso III e artigo 11, II, “b”.   Ambas aduzem expressamente que:  A administração pública poderá tratar e fazer uso compartilhado de dados quando necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da Lei.

Todavia, Miriam Wimmer[21] entende que a leitura de tais artigos devem ser feitas conjuntamente ao Caput do artigo 23 da Lei- interpretando-se de acordo com a alínea “a” do artigo 11[22]– uma vez que não somente de políticas públicas trata o Estado, mas também de dados dos seus próprios servidores e gestores públicos, bem como de dados no exercício de suas atribuições cotidianas legais. Portanto, o tratamento de dados pelo setor público deverá observar as suas competências legais e à execução de políticas públicas.

No entanto, a Lei é rodeada de subjetividade e normativas em branco, a saber, é necessário consultas em outros diplomas jurídicos, como, por exemplo, a doutrinas de direito administrativo, para que haja a correta incidência da norma. É imprescindível conhecimento técnico acerca do conceito de políticas públicas,[23] administração pública e pessoas de direito público.[24]

Antes fosse apenas este o obstáculo. Uma leitura no aludido artigo 23 faz urgir uma demanda de se delimitar o termo “interesse público”. Veja-se:

Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público (…)

Historicamente, a alegação da supremacia do interesse público tem vencido sobre interesses privados. Sendo o interesse público[25] e a finalidade pública os norteadores do tratamento de dados pelo Estado, poderá haver inúmeras justificativas arbitrárias sob o pretexto daquele, a ponto de se ferir o princípio da minimização dos dados com o intenso volume de dados cruzados, armazenados e expostos a público sem critério ou utilidade. O que se verá a seguir.

2. Um Diálogo Entre a Lei de Acesso à Informação e a LGPD.

A LAI e a LGPD, ressalvadas pequenas semelhanças, possuem objetivos eminentemente opostos. Enquanto a primeira visa a divulgação e o acesso aos dados abertos[26] aos cidadãos, como forma de cumprir com a transparência exigida de um Estado republicano[27] – seja de maneira ativa ou passiva- a segunda, tem por primordial, a tentativa de minimização da exposição dos dados pelo poder público, fazendo jus à defesa dos direitos da privacidade.[28]

Ocorre que, na LAI[29]– assim vista como o grande marco regulatório do artigo 5º, inciso XXXIII, da CF/88, que estabeleceu a necessidade de transparência no país, ainda sendo uma cultura muito recente- dados pessoais e sensíveis podem ser considerados abertos e não incidirem no âmbito da LGPD, mediante exceção prevista no artigo 31, § 3º. Em uma dessas exceções, encontra-se o referido interesse público e geral preponderante, vide inciso V.

É bem verdade que a transparência aumenta o controle social[30] por parte dos administrados e fomenta a participação democrática nos atos administrativos. Contudo, há exposições que são questionáveis, sobretudo nos meios eletrônicos.

A resolução n° 269 de 2018 dispõe acerca da divulgação de dados pessoais dos candidatos a concursos públicos. O artigo 2º prescreve que “Em todos os concursos públicos do Poder Judiciário, os tribunais divulgarão apenas o nome completo e o número de inscrição dos concorrentes à(s) vaga(s) pública(s).” No entanto, parece que a divulgação nominal se torna inadequada por conta do princípio da minimização, podendo apenas ser divulgado o número de inscrição.

Em uma ponderação entre o interesse público e a privacidade, conclui-se que o receio de sofrer discriminações e represálias em empregos privados pela exposição, se sobressai frente aos anseios sociais.

Embora o § 2º discorra que os tribunais deverão utilizar a tecnologia no follow ou ferramenta similar para inibir a atuação de buscadores de informação nas páginas eletrônicas em que constarem dados pessoais dos candidatos, uma simples busca pelo nome completo, ainda assim, recorrentemente, expõe nome e tipos de inscrição dos mesmos. Se há um interesse público nessa questão, esta giraria em torno de candidatos com condenação criminal transitada em julgado inscritos em concursos. Contudo, seria papel inviável do Ministério Público averiguar cada uma delas, ao passo que, mesmo por denúncias, restaria mais bem resolvido na própria fase de investigação social dos certames.

Constatação relevante também se dá na questão da ausência de regulamentação da publicidade dos processos judiciais eletrônicos para que se incida a LGPD. Há a disponibilidade de dados básicos em consulta pública livre na internet [31] e aquela dos processos na íntegra, mas com acesso restrito. Existe uma gama infinita de dados de titulares dispostas nos processos públicos, como extratos bancários, CPF, endereço, que até mesmos advogados não habilitados nos autos podem acessar facilmente[32], o que já amplia consideravelmente o número de pessoas visualizando dados alheios pelo país.

De fato, por mais que a forte cultura de publicidade existente auxilie tais advogados e à comunidade jurídica como um todo, como por exemplo, no caso de uma nova propositura de ação em face do titular do dado a qual não se conseguia achar sua atual residência, conseguida através de dado de processos recentes, ou até mesmo no envio de mandados e precatórias ao correto endereço, ademais da listagem de processos nos buscadores contribuir e ser determinante aos consumidores e empregadores para fechamento de negócios e empregos, há de se existir um método empregado para redução de exposição de dados.

Sabe-se que a ampla regra difundida é a publicidade, a não ser que exista segredo de justiça decretado nos autos. Contudo, a LGPD, como visto, já é direito constitucionalmente reconhecido e assume posição no ordenamento jurídico brasileiro. É de todo interesse que publicidade e privacidade andem lado a lado na medida do possível, visto que a divulgação de dados pessoais e sensíveis podem representar riscos dos mais variados níveis aos cidadãos, o que não se coadunaria com o fundamento do artigo 1º, III, da constituição[33].

Acredita-se que o posicionamento de 2015 do STF no julgamento do ARE n° 652.777, acerca da divulgação nominal junto ao vencimento de servidores possa sofrer alteração. Neste impasse, a corte entendeu que a divulgação dos nomes e cargos junto ao salário nos portais de transparência é um ônus a qual o servidor se submeteu previamente e anuiu quando de sua escolha. Para alguns, a exposição do nome serve para satisfazer a mera curiosidade alheia, para outros, o dado pessoal é imprescindível para sua finalidade, a transparência.

Diferentemente do que ocorre no caso dos inscritos em concursos públicos, parece que faz jus o voto do ministro relator Teori Zavascki, que assim explicita “(…)a negativa de prevalência do princípio da publicidade administrativa implicaria, no caso, inadmissível situação de grave lesão à ordem pública”[34]. A possível futura troca de nome por apenas matrícula junto aos vencimentos, impacta o controle social de forma direta, na medida que pode ensejar casos de pagamentos de servidores fantasmas ao não conseguir se identificar o beneficiário das verbas públicas.

Um diálogo entre as duas leis será aferido caso a caso pelo poder judiciário, mediante forte análise técnica, pelo método comumente utilizado de ponderação dos princípios.[35]

3. O Risco do Irrestrito Compartilhamento de Dados Entre Órgãos e Entidades

Primordialmente, é preciso ter em mente que o termo “finalidade” disposto no artigo 23 é diferente do disposto no artigo 6º, I. A primeira se refere a elemento vinculado do ato administrativo e a adequação pelo poder público aos princípios basilares da administração pública, – como legalidade e impessoalidade, – já a segunda, se refere exclusivamente ao objetivo da coleta dos dados.

Até 2016, antes da edição do decreto n° 8.789/16, o compartilhamento de dados entre órgãos e entidades se valia da necessidade prévia de acordos ou convênios. O posterior decreto n° 10.046/19[36], a qual substitui o de 2016, e institui o Cadastro Base do Cidadão, tem como alguns dos principais objetivos : (I) Simplificar a oferta de serviços públicos; (II) Orientar e otimizar a formulação, a implementação, a avaliação e o monitoramento de políticas públicas;(III) Possibilitar a análise das condições de acesso e manutenção de benefícios sociais e fiscais;(IV) Promover a melhoria da qualidade e da fidedignidade dos dados custodiados pela administração pública federal; e (V) Aumentar a qualidade e a eficiência das operações internas da administração pública federal.

Inicialmente, esse Cadastro contará com dados cadastrais, atributos biográficos e atributos biométricos provenientes da base de dados do CPF, mas será acrescido, posteriormente, de informações provenientes de outras bases temáticas (…) Com o CBC, não apenas os antigos dados cadastrais podem ser compartilhados livremente e de forma automática entre órgãos e entidades, mas uma ampla variedade de dados pessoais produzidos e coletados pelo Estado no curso da execução e implementação     de políticas públicas, inclusive dados sensíveis.[37]

O grande questionamento se dá quando há a percepção de que tal política fere o próprio princípio de finalidade da LGPD. Os administrados concedem seus dados para atuação em cada repartição específica e para propósitos informados, de modo que o intercâmbio deles sem distinções prévias, a fim de facilitar a gestão estatal[38], pode fugir do escopo inicial a qual os dados foram coletados.

Apesar da própria LGPD garantir em seu artigo 25 que os dados sejam tratados em formato estruturado e interoperável, é preciso que o Estado, além de garantir a segurança da informação e os devidos cuidados para evitar acessos não autorizados[39], atenda integralmente ao disposto no artigo 6° da Lei, em específico à finalidade, sempre se atentando à boa fé e a transparência do tratamento[40], não bastando apenas o pretexto de se valer de dados compartilhados para reduzir a imagem de uma administração engessada, sob pena de esvaziar o objetivo da Lei.

 Conclusão

Para que a inserção da LGPD seja uma realidade no cotidiano da administração pública, é necessária uma ampla atuação dos encarregados juntamente ao escalão de gestão de cada órgão.

Sendo o encarregado aquele que fará a intermediação entre os titulares dos dados, a Autoridade Nacional de Proteção de Dados (ANPD) e o controlador, é imprescindível que o mesmo tenha autonomia para tanto, e o mais importante, não acumule cargos, ora que, nitidamente, já sendo o mesmo servidor público ou DPO, impactaria substancialmente em suas atribuições.

Infelizmente, a LGPD ainda é uma Lei bastante principiológica, que necessitará de maiores complementos e limitações dadas pela ANPD[41], onde inclusive, tem sua independência frente ao governo questionada por doutrinadores. Sua estruturação ainda está sendo composta, estando para discutir possíveis sanções aplicadas ao poder público, visto que, ao mesmo não caberá pagamento de multa por descumprimento da Lei.

Conclui-se que será necessário, além de investimentos em sistemas de informação[42], a incorporação da política do Privacy by Design, com a inserção de ações educativas para a conscientização de todo o corpo de servidores acerca da privacidade dos dados,[43] mediante treinamentos a estabelecer regras internas de supervisão e mitigação de riscos, além de medidas a serem tomadas no caso de incidente de segurança, padrões técnicos e normas de segurança,  seguidos de muito comprometimento e monitoramento contínuo.

[1]  Pós-graduanda em Direito Digital pela Universidade do Estado do Rio de Janeiro (UERJ). Advogada.

[2]  Nas palavras do matemático britânico Clive Humby: “Os dados são o novo petróleo”. No original: “Data is the new oil”; THE ECONOMIST. The world’s most valuable resource is no longer oil but data. May 6^th,2017. Disponível em: https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data . Acesso em 18.05.21.

[3] BBC NEWS. Entenda o escândalo de uso político de dados que derrubou valor do Facebook e o colocou na mira de autoridades. Disponível em: https://www.bbc.com/portuguese/internacional-43461751. Acesso em 18.05.21.

[4] Uma análise interessante pode ser encontrada em: https://www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-e-mercado/sorria-o-estado-brasileiro-esta-de-olho-em-voce-26052021 Acesso em 27.05.21.

[5] DI FRANCO, Carlos Alberto.  Jornalismo, Ética e Qualidade. São Paulo: Vozes,1996.

[6] BRASIL. Lei nº 13.709. Planalto, Brasília, 14 de ago. de 2020. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em 09.05.21.

[7] Art. 5º, inciso X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;

[8] Em que pese o inciso XII disponha sobre a inviolabilidade do sigilo da correspondência e das comunicações telegráficas, de dados e das comunicações telefônicas, salvo, no último caso, por ordem judicial, nas hipóteses e na forma que a lei estabelecer para fins de investigação criminal ou instrução processual penal, setores representantes da sociedade civil se uniram para propor a EC n° 19 (PEC) a fim de complementar o referido artigo. Recentemente, a referida PEC foi aprovada em 2 turnos, recebendo 64 votos no 1º e 76 no 2º, sendo o mínimo exigido de 49. O texto agora irá para promulgação (ainda sem data), contemplando a proteção de dados pessoais inclusive no meio digital. Disponível em: COMISSÃO DE CONSTITUIÇÃO, JUSTIÇA E CIDADANIA (camara.leg.br) Acesso em 05.11.21.

[9] O cerne do julgado gira em torno do questionamento do repasse de dados concedidos pelos titulares à empresas de telefonia, por conta da prestação de serviço contratada, à entidades da administração pública como o IBGE para traçar monitoramentos para a situação emergencial da COVID-19. Afirma a relatora Rosa Weber: “se pode extrair do texto constitucional, em particular das garantias expressas de proteção à dignidade da pessoa humana, à privacidade, à intimidade e ao sigilo dos dados pessoais, uma “tutela constitucional do direito à autodeterminação informativa”. Afirmando assegurada, na Constituição da República, “uma tutela autônoma aos dados pessoais e não apenas ao conteúdo das comunicações”, sustenta que “a medida provisória em análise viola o sigilo de dados dos brasileiros e invade a privacidade e a intimidade de todos, sem a devida proteção quanto à segurança de manuseio, sem justificativa adequada, sem finalidade suficientemente especificada e sem garantir a manutenção do sigilo”. Enfatizando a ampliação dos riscos à privacidade na sociedade de informação atual, observa que “o mau uso de dados compartilhados pode servir à campanha de fake news e até mesmo de manipulação da vontade do eleitorado, comprometendo a liberdade democrática”. Nesse contexto, assevera constituir dever de um Estado democrático de direito garantir, em face da realidade tecnológica, “adequada e efetiva proteção dos cidadãos, da sua privacidade e da autodeterminação em relação aos seus dados pessoais.” Disponível em: downloadPeca.asp (stf.jus.br) .Acesso em 18.05.21.

[10] DE OLIVEIRA, Regis Fernandes. Os Fundamentos da Lei de Proteção de Dados Pessoais. In:  LGPD & Administração pública: Uma análise ampla dos impactos-Rio de Janeiro: Revista dos Tribunais, 1ª ed., 2020, p.167.

[11] Imperioso mencionar o recente Decreto nº 10.332/20, instituído para estabelecer um governo digital até 2022 de maneira unificada em todo o país. Disponível em: D10332 (planalto.gov.br). Acesso em 20.05.21.

[12] ABREU, Jaqueline de Souza; LAGO, Lucas; MASSARO, Heloisa. Internet Lab. ESPECIAL| Por que se preocupar com o que o Estado faz com nossos dados pessoais? Disponível em: https://www.internetlab.org.br/pt/privacidade-e-vigilancia/especial-apps-do-governo/ . Acesso em 19.05.21.

[13] Entre os quais temos o e-Título, E-social, a CNH digital, Meu Imposto de Renda, Meu INSS, Bolsa Família, CAIXA, SNE Denatran, além dos próprios sistemas do IRPF, CNIS, Consumidor.Gov, DNI criado pela Lei Nacional de Identidade n° 13.444/17, e outros.

[14] Os tribunais, ministérios e demais órgãos têm sofridos recorrentes ataques cibernéticos em seus sistemas por parte de hackers. Disponível em: https://veja.abril.com.br/blog/radar-economico/brasil-sofre-seu-maior-ataque-hacker-da-historia/ Acesso em 20.05.21.

[15] Art.37: “A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência(…)”

[16] Art. 5º: Para os fins desta Lei, considera-se: I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

[17] Art.5º : (…)- X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

[18] Nota-se que a finalidade é o primeiro dentre os 10 princípios. Busca-se com que os dados sejam utilizados para as finalidades as quais foram coletadas, e não àquelas não relacionadas diretamente com à política pública ou competência legal com a qual se pretenda. Para tanto, a accountability neste processo é imprescindível. Já sob a égide da LGPD, o Tribunal de Justiça de São Paulo, em ação civil pública proposta pelo Instituto Brasileiro de Defesa do Consumidor (IDEC) em face da Concessionária Da Linha 4 Do Metrô De São Paulo S.A. (Via Quatro) – que embora seja empresa privada, incide no cap. de regime público da norma, vide art. 24 c/c 173 da CF- resolveu condenar a ré, acolhendo parcialmente o mérito. Com base na LGPD, arts. 2º e 6º, I, a magistrada reconheceu nos autos que houve captação de imagens de usuários, inclusive crianças, sem o conhecimento ou consentimento dos mesmos, para fins comerciais que beneficiavam a ré e a empresa por ela contratada, “o que viola patentemente o seu direito à informação clara e adequada sobre os produtos e serviços, bem como à proteção contra a publicidade enganosa e abusiva, métodos comerciais coercitivos ou desleais, ambos elencados no artigo 6º, III e IV do Código de Defesa do Consumidor” “Ainda, a finalidade do tratamento deve ter propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades (art. 6º, I)”. SÃO PAULO. Tribunal de Justiça de São Paulo- TJSP. 37ª Vara Cível da Comarca de São Paulo, Autos n. 1090663-42.2018.8.26.0100. Juíza de Direito Patrícia Martins Conceição. Julgado em 07.05.2021.

[19] Nesse mesmo sentido, merece atenção a disposição acerca da amplitude da LGPD em relação a Lei do Habeas Data. Disponível em: JUNIOR, Francisco Gabriel Pacheco. O tratamento de dados pessoais pelo setor público e o alcance da LGPD -. In:  LGPD & Administração pública: Uma análise ampla dos impactos-Rio de Janeiro: Revista dos Tribunais, 1ª ed., 2020, p. 317-319.

[20] Art.5º: (…)VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; IX – agentes de tratamento: o controlador e o operador;

[21] WIMMER, Miriam. Proteção de dados pessoais no Poder Público: incidência, bases legais e especificidades, p.131-2. Revista do advogado, Ano XXXIX, n..144, p.126-133, nov. 2019.

[22] Art. 11: O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: II- sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: A) cumprimento de obrigação legal ou regulatória pelo controlador. B) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos.

[23]  Entende-se por política pública, nas palavras de Bandeira de Mello: “um conjunto de atos unificados por ato condutor que os reuniria ao objetivo, meta ou alvo comum de realizar um projeto de governo para o país.” BANDEIRA DE MELLO, Celso Antônio. Curso de Direito Administrativo. São Paulo: Malheiros, 2013, PP. 830-831.

[24] Preceitua o artigo 1º da Lei: “Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.” Às pessoas de direito público, enquadram-se todas aquelas referidas no art. 1º da Lei de Acesso à informação -LAI. Veja-se: “(…)Parágrafo único. Subordinam-se ao regime desta Lei: I – os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público; II – as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios.” Ressalta-se que às atividades delegadas à serviços privados, como a de registro notariais, se incidirá o mesmo regime jurídico aplicável ao poder público, pois o que importa é a atividade exercida e não a espécie de entidade, assim ocorre com as estatais que operacionalizam políticas públicas.

[25] “Interesse resultante do conjunto dos interesses que os indivíduos pessoalmente têm quando considerados em sua qualidade de membros da Sociedade e pelo simples fato de o serem. Não se trata do interesse de um todo abstrato, mas sim da faceta coletiva dos interesses individuais.” BANDEIRA DE MELLO, Op. Cit., 25.ed.,2008, p.61. No entanto, ressalta-se que o interesse público não pode jamais se confundir com o da administração pública e tampouco com o do agente público. BUCAR, Daniel; OLIVEIRA, Rafael Carvalho Rezende. A Lei Geral de Proteção de Dados e a Administração Pública: por uma convergência da privacidade com o interesse público-. In:  LGPD & Administração pública: Uma análise ampla dos impactos-Rio de Janeiro: Revista dos Tribunais, 1ª ed., 2020, p. 898. “(…)A definição do que é o interesse público, e de sua propalada supremacia sobre os interesses particulares, deixa de estar ao inteiro arbítrio do administrador, passando a depender de juízos de ponderação proporcional entre direitos fundamentais e outros valores e interesses metaindividuais constitucionalmente consagrados(…).” BINENBOJM, Gustavo. Da supremacia do interesse público ao dever de proporcionalidade: um novo paradigma para o direito administrativo. In: SARMENTO, Daniel (org.) Interesses públicos x interesses privados: desconstruindo o princípio da supremacia do interesse público..2.tir.Rio de Janeiro: Editora Lumen Juris,2007,p.128.

[26] O decreto n° 8777, institui o conceito e política de dados abertos. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2016/decreto/d8777.htm .

[27] Estado em que se exige um “governo do poder visível, em que nada pode permanecer confinado no mistério” BOBBIO, Norberto. O futuro da democracia: uma defesa das regras do jogo. Trad. Marco Aurélio Nogueira. Rio de Janeiro: Paz e Terra,1986, p.83 e 84. Adicionalmente, nas palavras de Bandeira de Mello: “Não pode haver em um Estado Democrático de direito, no qual o poder reside no povo, ocultamento aos administrados dos assuntos que a todos interessam, e muito menos em relação aos sujeitos individualmente afetados por alguma medida.” Op cit.2013, p.114, edição digitalizada.

[28] GLASSMAN, Guillermo. Interfaces Entre o Dever de Transparência e a Proteção dos Dados Pessoais no Âmbito da Administração Pública-. In:  LGPD & Administração pública: Uma análise ampla dos impactos-Rio de Janeiro: Revista dos Tribunais, 1ª ed., 2020, p. 863; RIBEIRO, Giovana Bellini. Compatibilidade Entre a Proteção de Dados Pessoais e o Dever De Transparência Pública -. In:  LGPD & Administração pública: Uma análise ampla dos impactos-Rio de Janeiro: Revista dos Tribunais, 1ª ed., 2020, p.293.

[29] BRASIL. Lei nº 12.527. Planalto, Brasília, 18 de novembro de 2011. Disponível em: < http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm> Acesso em 09.05.21.

[30] Todavia, permitindo-se fazer referência ao direito comparado, a transparência não deve ser interpretada como somente a disposição desenfreada de todas as informações nos sítios eletrônicos. A prefeitura de Aleksandrów Kujawski, na Polônia, que tinha o costume de divulgar suas informações em uma espécie de boletim, o BIP (Biuletyu Informacji Publicznej), além de transmitir ao vivo as sessões do Conselho Municipal pelo Youtube, que ficavam gravadas, foi condenada a uma multa de 50 mil reais por entender a Autoridade que o Município e o prefeito violaram a GDPR ao “não possuir um contrato com a empresa que gerenciava o BIP; ao não manter políticas relevantes quanto ao armazenamento, finalidade e exclusão de dados; ao não realizar uma análise de risco quanto à utilização do Youtube; ao manter os vídeos apenas no Youtube, sem uma cópia de segurança; Ao não possuir um registro com data planejada de exclusão do site das informações”. PEDROSO, Lucas Aluísio Scatimburgo. Tratamento de dados pessoais pelo Poder Público: o que esperar segundo a experiência europeia? -. In:  LGPD & Administração pública: Uma análise ampla dos impactos-Rio de Janeiro: Revista dos Tribunais, 1ª ed., 2020, p. 336.

[31] O presente artigo não pretende explorar o fenômeno da desindexação, o que é matéria que necessita de análise complexa, não cabível no momento. No entanto, é imprescindível mencionar o IRDR n° 70082616665 instaurado no TJRS, que circunda diretamente sob a temática da publicidade, quando discute acerca da responsabilidade civil de startups que atuam como buscadores de informações processuais dispostas publicamente nos diários oficiais. O processo originário discute acerca da “divulgação de informações nos sites de busca ESCAVADOR e GOOGLE de reclamatória trabalhista, cujo objeto era o pagamento de indenização por danos morais, bem como a retirada permanente dos dados das páginas.” Baseado na insegurança jurídica causada pelas decisões conflitantes pelo país acerca desse contexto, o STF está, no momento da divulgação deste artigo, para julgar a repercussão geral no ARE 1307386- Tema 1141.

[32] Vide art.3º, § 1º da Res. nº 121 de 05/10/2010 do CNJ c/c artigo 11, § 6º e 7º da Lei n° 11.419/06.

[33] “Se a dignidade da pessoa humana não for observada, poderá o Estado continuar na persecução do interesse público? Certamente que não.” NEVES, Edmo Colnaghi. Dados pessoais e interesse público. In:  LGPD & Administração pública: Uma análise ampla dos impactos-Rio de Janeiro: Revista dos Tribunais, 1ª ed., 2020, p. 202.

[34] Disponível eletronicamente em: paginador.jsp (stf.jus.br) , p.12.Acesso em 07.06.21.

[35] Sobre a ponderação, recomenda-se fortemente a leitura integral do artigo: CANHADAS, Fernando Augusto Martins. A Lei de Acesso à informação e a Lei Geral de Proteção de Dados: a transparência proibida-. In:  LGPD & Administração pública: Uma análise ampla dos impactos-Rio de Janeiro: Revista dos Tribunais, 1ª ed., 2020, p.425-441.

[36] BRASIL. Lei nº 10.046. Planalto, Brasília, 09 de Outubro de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D10046.htm . Acesso em 08.06.21.

[37]  FRAGOSO, Nathalie; MASSARO, Heloisa. Cadastro Base e amplo compartilhamento de dados pessoais: a que se destina? Disponível em: https://www.internetlab.org.br/pt/privacidade-e-vigilancia/cadastro-base-e-amplo-compartilhamento-de-dados-pessoais-a-que-se-destina/ Acesso em 08.06.21.

[38] Uma norma que autoriza o compartilhamento de dados não protegidos por sigilo fiscal pela Secretaria da Receita Federal do Brasil, a órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional é a portaria n° 1384 da RFB de 09/09/16. Disponível em: Port. RFB  Nº 1384  –  2016 (fazenda.gov.br) . Acesso em 14.06.21.

[39] Interessante trazer um caso de desvio de finalidade ocorrido na Bélgica em 2018, onde, em época de eleições, um prefeito se utilizou de e-mailstrocados entre a repartição e 2 cidadãos, que tinha o objetivo finalístico de pleitear a mudança de um plano urbanístico, para no ano seguinte, enviar-lhes e-mails pedindo votos. O mesmo ocorreu com outro prefeito que aproveitou os dados coletados nas reuniões realizadas em seu mandato para pedir votos posteriormente. PEDROSO, Lucas Aluísio Scatimburgo. Tratamento de dados pessoais pelo Poder Público: o que esperar segundo a experiência europeia? Op. Cit. p. 340.

[40] KUJAWSKI, Fábio Ferreira; CASTELLANO, Ana Carolina Heringer. Compartilhamento de Dados Pessoais No Âmbito Da Administração Pública Sob a Égide da Lei Geral de Proteção de Dados-. In:  LGPD & Administração pública: Uma análise ampla dos impactos-Rio de Janeiro: Revista dos Tribunais, 1ª ed., 2020, p. 321; MOREIRA, Patrícia Prieto. Tratamento e Uso Compartilhado de Dados Pessoais Pela Administração Pública na Execução de Políticas Públicas-. In:  LGPD & Administração pública: Uma análise ampla dos impactos-Rio de Janeiro: Revista dos Tribunais, 1ª ed., 2020, p. 275.

[41]  Recentemente, foi publicada no Diário Oficial da União (DOU), a primeira regulamentação oficial da ANPD. Resolução/CD/ANPD n° 1, de 28 de outubro de 2021 que aprova o regulamento do processo de fiscalização e do processo Administrativo Sancionador no âmbito da ANPD. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-1-de-28-de-outubro-de-2021-355817513. Acesso em 05.11.21.

[42]  Em se falando de tecnologia, o poder judiciário de Santa Catarina se tornou o pioneiro no país na implementação da LGPD. Com um projeto- mais especificamente o aplicativo ‘LGPDJUS’- desenvolvido pelo Instituto de Tecnologia e Sociedade (ITS) em parceria com o Laboratório de Inovação e Inteligência da Associação dos Magistrados Brasileiros (AMBLab) e com apoio do Ministério de Relações Exteriores e Desenvolvimento do Reino Unido (Foreign Commonwealth and Development Office – FCDO). Disponível em LGPDJus: aplicativo para solicitações sobre proteção de dados pessoais é lançado neste 30/07 (itsrio.org) . Acesso em 10.11.21.

[43]O STF, em complementação a sua resolução de n° 363 de 12.01.21, instituiu por meio de resolução n° 724 de 02.03.21, o comitê Executivo de Proteção de Dados para identificar e implementar as medidas necessárias à adequação da LGPD no Tribunal.   Disponíveis em:  https://atos.cnj.jus.br/files/original18120420210119600720f42c02e.pdf e Res_724_2021_STF.pdf (stj.jus.br). Na mesma linha, o município do Rio de Janeiro, através do recente Decreto n° 49.558/2021, passou a estabelecer regras e procedimentos para a Administração pública Municipal na fase de adaptação a nova Lei. Caberá à Procuradoria do Município a criação de cláusulas padrão a serem adotadas por toda a administração pública direta e indireta, além da aplicação de questionários para avaliação da maturidade de todos os órgãos e entidades; realização de relatório de impacto à proteção de dados e ainda a designação do encarregado (DPO). Disponível em: Editora Roncarati – DECRETO MUNICIPAL (RJ) Nº 49.558, DE 06.10.2021 | Diário Oficial. Acesso em 10.11.21.