Ao longo do “Capítulo IV – Do tratamento de dados pessoais pelo Poder Público”, a LGPD prevê várias regras e previsões sobre o tratamento de dados pelo setor público, que, embora meritórias, não são inteiramente suficientes para uma efetiva regulação do tema, como a inexistência de especificação quanto ao regime de responsabilização em descumprimento ou cometimento de infrações no tratamento de dados pelo setor público [1]. Ressaltamos, ainda, as previsões sobre o uso compartilhado de dados, notadamente quanto à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral (artigos 25 e 26).
Com efeito, a administração necessita e depende do tratamento de dados pessoais para dar azo a suas diversas atividades administrativas, executar serviços e políticas públicas dotadas de maior enforcement. É dizer: dados e informações pessoais são essenciais para administrar a coisa pública [2]. Entretanto, uma série de balizas vem sendo fixadas no controle concentrado de constitucionalidade, a exemplo do paradigmático posicionamento do STF nas ADIns 6.387, 6.388, 6.389, 6.390 e 6.393 e do recente julgamento conjunto da ADI 6.649 e da ADPF 695.
A regulação imposta pela LGPD, consideravelmente incisiva, faz com que a administração tenha de cumprir uma série de requisitos e etapas ao longo do tratamento de dados, dentro de uma estrutura adequada de governança. Assim, o tratamento de dados deve estar subordinado à base legal e principiológica competente, à garantia dos direitos do titular e à adoção de boas práticas e adequada estrutura de governança.
Nesse ínterim, convém relembrar que a própria Autoridade Nacional de Proteção de Dados (ANPD) lançou o Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público, com a finalidade de auxiliar entidades e órgãos públicos nas atividades de adequação e de implementação da LGPD. Frise-se que a centralidade conferida à ANPD encontra eco em instrumentos internacionais de proteção de dados, como as guidelines da Organização para a Cooperação e Desenvolvimento Econômico (OCDE), a Convenção 108 na Europa e a própria Carta de Direitos Fundamentais da União Europeia [3].
Ainda que a coleta e o tratamento sejam realizados em prol da concreção de políticas públicas no cenário da emergência sanitária como foi o caso da pandemia de Covid-19, a administração deve observar uma série de critérios para que não reste caracterizado a indevida utilização de dados pessoais. Foi nesse sentido que o Supremo Tribunal Federal decidiu, quando do julgamento das ADIns 6.387, 6.388, 6.389, 6.390 e 6.393, que, mesmo que em um contexto emergencial, o compartilhamento de dados não pode ser feito às custas dos direitos e garantias fundamentais. Em verdade, devem ser respeitados parâmetros como necessidade, adequação, proporcionalidade e segurança.
Sem dúvidas, o tratamento de dados pessoais deve observar uma devida e delimitada finalidade, cuja imperiosidade deve “ser assegurada também pelas pessoas jurídicas de direito público mediante o tratamento de dados pessoais de acordo com sua finalidade pública, na persecução do interesse público e com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público” [4]. É nesse sentido que o artigo 23 da LGPD prevê um conjunto de requisitos ao dispor que o tratamento de dados pelo Poder Público deverá ser realizado em atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
Conforme ressaltado por Miriam Wimmer [5], o princípio da finalidade permite o entendimento segundo o qual o Estado não poderia restar configurado como unidade informacional. Com efeito, alguns critérios devem ser observados quando do compartilhamento dos dados pessoais e daquilo que Wimmer define como uso secundário, que seria “a utilização de dados pessoais para finalidades distintas daquelas que justificaram originalmente a sua coleta” mediante o compartilhamento entre órgãos e entidades da administração. É necessário, nessas hipóteses, que haja compatibilidade de finalidades e consideração às expectativas do titular; no caso de incompatibilidade, a fundamentação pelo compartilhamento pode advir de base legal específica ou de nova autorização expressa do titular.
Nesse sentido, a adequação criteriosa é o cerne do que foi decidido pelo STF, em 15 de setembro, sobre o compartilhamento de dados pessoais entre órgãos e entidades da administração. Na análise conjunta da ADI 6.649 e da ADPF 695, que pautavam uma alegada “vigilância massiva” e “controle institucional do Estado” promovidos pelo Decreto 10.046/2019 — o qual dispõe sobre a governança no compartilhamento de dados no âmbito da administração federal —, a corte reconheceu a possibilidade de compartilhamento, mas a partir de um controle rigoroso que se restrinja ao mínimo necessário e que cumpra todos os requisitos, garantias e procedimentos impostos pela LGPD ao Poder Público.
No voto-vogal do julgamento conjunto, o relator ministro Gilmar Mendes optou por conferir interpretação conforme a Constituição ao sobredito decreto, ressaltando o caráter de direito fundamental da proteção de dados pessoais — o que limita per se o poder informacional do Estado, conforme lecionam os doutrinadores Laura Schertel Mendes e Gustavo Gil Gasiola [6] — e os influxos da inovação tecnológica sobre os direitos e garantias fundamentais. Destarte, a tutela desse direito passa necessariamente pelo compromisso com os parâmetros, requisitos e restrições legais; no que se refere à proteção de dados na administração, o relator aponta que “a LGPD parece ter limitado o tratamento de dados pelo Poder Público às atividades principais e acessórias de provisão de serviços públicos” [7] e que, a partir da vinculação da norma ao princípio da legalidade, “essas finalidades conexas à prestação de serviços públicos estejam, ao máximo possível, amparadas em previsões legais específicas” [8].
Um importantíssimo marco extraído do julgamento conjunto da ADI 6.649 e ADPF 695 diz respeito aos perigos inerentes à vagueza do conceito de interesse público insuflado pela administração quando do tratamento de dados pessoais: “a discussão sobre a privacidade nas relações com a Administração Estatal não deve partir de uma visão dicotômica que coloque o interesse público como bem jurídico a ser tutelado de forma totalmente distinta e em confronto com o valor constitucional da privacidade e proteção de dados pessoais” [9]. Esse, inclusive, é mais um indicativo da hermenêutica de caráter pragmático e consequencialista ressaltada pela Nova LINDB [10].
Sem dúvidas, e retomando o entendimento pelo qual os dados pessoais constituem um dos mais importantes recursos nesta sociedade da informação, é imperioso que o aparato jurídico-institucional de um país estabeleça critérios rígidos à tutela desse direito para a vinculação das boas práticas em nível internacional — a exemplo dos parâmetros indicados pela OCDE [11], materializados a partir de iniciativas institucionais como a criação de entidade independente e de apoio à administração no gerenciamento e compartilhamento de dados pessoais.
Assim sendo, a solidificação de boas práticas quanto ao tratamento de dados será essencial na nova sociedade informatizada. Nesse contexto, revela-se de extrema importância o papel que o STF vem desempenhando no reconhecimento dos requisitos legais de tratamento e dos limites ao compartilhamento de dados pessoais pela administração pública, considerando-se sempre os propósitos legítimos, específicos e explícitos, a compatibilidade com a finalidade informada e a limitação ao mínimo necessário.
Fonte: Conjur
