O tratamento de dados pessoais pelo poder público é um tema relevante na Lei Geral de Proteção de Dados Pessoais (LGPD), que dedica o Capítulo IV inteiro para tratar de diretrizes que garantam a privacidade e a proteção das informações dos indivíduos perante a Administração Pública.
Os arts. 23 a 32 regulam como os órgãos públicos do Executivo, Legislativo e Judiciário devem tratar os dados pessoais, protegendo direitos fundamentais e ao mesmo tempo permitindo o uso desses dados para o exercício de suas funções legais.
As disposições também se aplicam aos serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, e às empresas públicas e sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas.
Neste post, exploraremos as disposições desses artigos, focando nas regras que regem o tratamento de dados pelo poder público, as justificativas legais para esse tratamento, e as possíveis consequências do descumprimento dessas normas.
Veremos os seguintes tópicos:
- A relação entre a LGPD e a Lei de Acesso à Informação
- As regras da LGPD sobre a Lei de Acesso à Informação
- O guia da ANPD sobre tratamento de dados pessoais pelo Poder Público
- Compartilhamento do tratamento de dados pessoais pelo Poder Público
Vamos começar vendo a relação entre as disposições da LGPD e da Lei de Acesso à Informação (LAI).
A relação entre a LGPD e a Lei de Acesso à Informação
Um dos principais desafios da LGPD no setor público é harmonizar suas disposições com a Lei de Acesso à Informação (LAI), que busca promover a transparência das informações detidas pelo Poder Público com a sociedade em geral. Apesar de parecerem conflitantes à primeira vista, as duas leis são complementares.
A Lei nº 12.527, de 18 de novembro de 2011, conhecida como Lei de Acesso à Informação (LAI), regula o acesso a informações previsto no inciso XXXIII do art. 5º , no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal.
Quando a LGPD foi promulgada, muito se discutiu como seria possível conciliar a proteção de informações nela prevista com a obrigação de divulgação de informações prevista na LAI.
Um exemplo comum é o acesso aos salários dos servidores públicos. Por um lado, a LAI obriga a divulgação nominal dos salários de todos os servidores públicos do país. Por outro lado, a LGPD busca proteger informações pessoais.
Logo se criou a narrativa de que as duas seriam leis antagônicas. Com o tempo e o aprofundamento dos estudos sobre privacidade e proteção de dados pessoais, viu-se que LGPD e LAI não são antagônicas, mas sim complementares.
As Regras da LGPD sobre a LAI
O art. 23 da LGPD dispõe que o tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas na LAI deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
- sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos; e
- seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais.
Essas disposições valem não apenas para órgãos e entidades públicos, mas também para os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, e para empresas públicas e sociedades de economia mista que estiverem operacionalizando políticas públicas e no âmbito da execução delas.
O guia da ANPD sobre tratamento de dados pessoais pelo Poder Público
O § 1º do art. 23 da LGPD dispõe que a Autoridade Nacional de Proteção de Dados (ANPD) poderá dispor sobre as formas de publicidade das operações de tratamento de dados pessoais pelo Poder Público.
A ANPD logo publicou um guia orientativo sobre tratamento de dados pessoais pelo Poder Público, que ganhou uma segunda versão em junho de 2023.
O guia aborda as peculiaridades e desafios da aplicação da LGPD em órgãos e entidades públicos, destacando a necessidade de equilibrar prerrogativas estatais com os direitos dos titulares.
A publicação busca fornecer orientações para assegurar conformidade com a LGPD, respondendo a dúvidas sobre bases legais para o tratamento de dados, compartilhamento de informações e segurança.
Eis alguns tópicos abordados no guia da ANPD:
- Bases legais: O guia discute as bases para o tratamento de dados pelo poder público, como consentimento, legítimo interesse, obrigação legal e execução de políticas públicas. Enfatiza que, em muitos casos, o consentimento pode não ser apropriado quando há uma relação de força desequilibrada entre o cidadão e o Estado.
- Princípios: São destacados os princípios da finalidade, adequação, necessidade, transparência e livre acesso. O tratamento deve sempre ter uma finalidade específica e ser limitado ao mínimo necessário.
- Compartilhamento e divulgação de dados: O guia orienta sobre a formalização e os requisitos para o compartilhamento de dados entre órgãos públicos e entre o setor público e privado, sempre respeitando a necessidade de base legal e segurança das informações.
- Segurança e prevenção: A publicação ressalta a importância de medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados e prevenir incidentes.
O documento também menciona a abertura para contribuições contínuas da sociedade, com o objetivo de atualizar as orientações conforme surgirem novos entendimentos e regulamentações da ANPD.
Compartilhamento do tratamento de dados pessoais pelo Poder Público
Embora a LGPD traga a previsão de que os dados pessoais devam ser mantidos pelo Poder Público em formato interoperável e estruturado para o uso compartilhado, tal uso deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios da LGPD.
Além disso, é vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto em quatro situações:
- Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado;
- Nos casos em que os dados forem acessíveis publicamente;
- Quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres (devidamente informados à ANPD);
- Quando a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
Já a comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado deve ser informado à ANPD e, em regra, necessita do consentimento do titular, exceto nas mesmas quatro situações acima listadas e também nos dois seguintes casos:
- Nas hipóteses de dispensa de consentimento previstas na própria LGPD;
- Nas hipóteses de uso compartilhado de dados, em que será dada publicidade ao compartilhamento.
A ANPD pode solicitar ao Poder Público, a qualquer momento, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e pode emitir parecer técnico complementar para garantir o cumprimento da LGPD.
Em casos de responsabilização, a ANPD pode enviar informe com medidas cabíveis para fazer cessar a violação e pode solicitar a agentes públicos a divulgação de relatórios de impacto à proteção de dados pessoais, além de sugerir a adoção de padrões e de boas práticas para os tratamentos.
Conclusão: o tratamento de dados pessoais pelo poder público
O tratamento de dados pessoais pelo Poder Público, conforme regulamentado pela LGPD e orientado pela ANPD, reflete a necessidade de equilibrar os direitos fundamentais à privacidade e à proteção de dados com o interesse público. A relação entre a LGPD e a LAI demonstra que ambas as legislações são complementares, promovendo a transparência e a proteção simultaneamente.
Ao adotar princípios como finalidade, necessidade e transparência, e estabelecer limites claros para o compartilhamento de informações, a LGPD busca assegurar que a atuação estatal seja guiada por responsabilidade e conformidade. O papel da ANPD é crucial nesse cenário, fornecendo diretrizes e fiscalizando a aplicação da lei, garantindo que o uso de dados pelo Poder Público respeite os direitos dos cidadãos.
Assim, a LGPD não apenas regula, mas também promove uma cultura de proteção de dados no setor público, contribuindo para a construção de uma relação mais ética e transparente entre o Estado e os cidadãos.
