A LGPD e o compartilhamento de dados pelo poder público; uma análise do julgamento da ADI 6649 e ADPF 695.

On Por gabrielvieiraem Jurisprudências Selecionadas e Comentadas

Por Arthur Zamurano Medeiros

O compartilhamento de dados por instituições públicas é tema presente na Lei nº 13.709, de 2018 – LGPD (Lei Geral de Proteção de Dados Pessoais) ainda em seu artigo 1º, quando estabelece que as pessoas jurídicas de direito público deverão regular o tratamento dos dados pessoais com base em seus preceitos. Entretanto, por se tratar de uma norma relativamente nova, é previsível que existam lacunas interpretativas e legislativas em sua redação. Nesse sentindo, o julgamento da ADI 6649 e a ADPF 695, realizado no dia 15 de outubro de 2022, representa um referencial importante ao se analisar como o Supremo Tribunal Federal (STF) se posicionam em relação entre os dados pessoais e o Estado a partir da criação do Cadastro Base do Cidadão e do Comitê Central de Governança de Dados, criados por meio do Decreto nº 10.046/20191.

Em primeiro lugar cabe observar o voto do Ministro relator Gilmar Mendes, o qual sustenta a possibilidade da criação Cadastro Base, bem como do Comitê, desde que observados os princípios da LGPD. Dentre esses princípios, destacam-se: finalidade legítima, compatibilidade com as finalidades, minimicidade e demais exigências, como a aplicação severa do artigo 23, inciso I, designando que deverá haver a devida publicidade nos casos em que os agentes públicos tratem os dados, desde que esses não se encontrem em restrições legais. Assim, discorre o citado dispositivo legal, “fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, referencialmente em seus sítios eletrônicos”2. Concomitante a isso, declara o mesmo ministro a inconstitucionalidade com efeito futuro do artigo 22 do decreto, que organizava a estrutura do Comitê Central de Governança de Dados, visto que este em seu texto original não garantia o livre desenvolvimento da atividade, atribuindo então o prazo de 60 dias para que o poder público ajuste a norma, formando um comitê independente e plural, além da criação de possíveis responsabilizações para agentes infratores.

Para fins de melhor apreciação crítica do julgado, analisam-se alguns pontos sensíveis presentes, a ser abordados de forma mais cautelosa e crítica.

  1. Ausência de especificação da utilização dos dados entre os órgãos e as entidades da administração pública federal direta, autarquias, fundações e demais Poderes da União. Uma vez que o decreto em tela estabelece como diretriz de autorização de tratamento de dados pessoais, verbos genéricos de interpretação ambígua em seu artigo primeiro, como simplificar, orientar, otimizar a oferta de serviços públicos entre outros, possibilitando assim que tais parâmetros permitam uma arbitrariedade quanto as premissas que autorizam o tratamento de dados pelo poder público. Deste modo, revelando-se como um ponto preocupante no contexto de proteção de dados, contrariando inclusive o princípio da precaução, o qual estabelece que diante de temas relacionados a proteção de dados, deve-se utilizar critérios conscientes a fim de garantir uma abordagem cautelosa.
  2. Concentração de dados pessoais sensíveis em uma única base de dados, sem a presença de um relatório de riscos. A construção de uma base de dados leva em conta diversos fatores para garantir sua segurança, dentre esses, a premissa de não manter um conjunto muito grande de dados sensíveis concentrados em um único banco, a fim de diminuir possíveis danos provenientes de uma futura invasão3. Somado a isso, a ausência de um relatório de risco da criação do referido Cadastro Base demonstra uma falta de comprometimento com os métodos estabelecidos pelo padrão ISSO 27007:20184, recepcionados e apresentados pelo Conselho Nacional de Justiça (CNJ) em seu Manual de Referência – Prevenção e mitigação de ameaças cibernéticas e confiança digital5.
  3. Inconformidade legal entre os conceitos utilizados no decreto e na LGPD, e não observância ao princípio da prevenção. A utilização de conceitos distintos entre o Decreto Presidencial e a Lei nº 13.709/18 demonstra a inobservância do poder público em seguir as determinações já estabelecidas, permitindo a interpretação extensiva e divergente daquela posta pela doutrina. Além disso, ao Incluir no Cadastro Base do Cidadão dados sensíveis biométricos, abre margem de utilização indevida desses dados associados ao aspecto genético dos indivíduos. Essa problemática situação é acentuada quando analisado o sistema em que tais dados estão inseridos, vez que citado cadastro associa como regra de identificação o CPF do titular, desconsiderando a anonimização prevista em lei.
  4. Criação do Comitê Central de Governança de Dados. Como visto no voto do Ministro Gilmar Mendes, as especificações acerca da estrutura do comitê proposto não são compatíveis com o regime democrático de direito, sendo necessário a reformulação das diretrizes de criação deste. Nesse sentido, se identifica a inconstitucionalidade do artigo 22 do decreto, o qual estabelecia como membros integrantes deste, dois representantes do Ministério da Economia, um da Casa Civil, um da Secretaria de Transparência e Prevenção da Corrupção da Controladoria Geral da União, um da Secretaria Especial de Modernização do Estado da Secretaria-Geral da Presidência da República, um da Advocacia-Geral da União e um do Instituto Nacional do Seguro Social6. Além disso, complementa Ana Frazão acerca da decisão do relator de se estipular a previsão de responsabilização para os membros em artigo publicado no site “JOTA”, “reforçou o ministro Gilmar Mendes a necessidade de responsabilização dos agentes públicos infratores.”7

Por fim, não é possível afirmar que a decisão do STF em relação a ADI 6649 e a ADPF 695 seguiu a tradição mais protecionista que o tribunal vinha adotando em jurisprudências anteriores, como a proferida na ADI 63878 que estabeleceu inconstitucional o compartilhamento de dados entre companhias telefônicas e o IBGE. Desta forma, a autorização da implementação do Cadastro Base do Cidadão representa alguns riscos inerentes a atividade de tratamento de dados, potencializados pela grande concentração de conteúdo sensível e cruzamentos possíveis, abrindo margem para uma problemática utilização indevida desta base pelo poder público frente as genéricas e numerosas diretrizes de tratamento. Infere-se, portanto, que o desenvolvimento de mecanismos de alta vigilância estatal nunca encontram por si só a justificativa única do bem comum, mas trazem consigo a possibilidade do controle e a manutenção das massas.

1 BRASIL. Decreto nº 10.046, de 09 de outubro de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D10046.htm. Acesso em: 18 de outubro de 2022.

2 BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 18 de outubro de 2022.

3 BELLI, L; RAMOS, B. Políticas digitais no Brasil: acesso à internet, proteção de dados e regulação. Rio de Janeiro: FGV Repositório Digital, 2021. Disponível em: https://bibliotecadigital.fgv.br/dspace/handle/10438/30688. Acesso em: 22 de outubro de 2022.

4 Método internacional de certificação para prevenção de ameaças cibernéticas.

5 Disponível em: https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwjo_9bijPz6AhVbrJUCHfhzBxkQFnoECB0QAQ&url=https%3A%2F%2Fwww.cnj.jus.br%2Fwp-content%2Fuploads%2F2021%2F03%2FAnexoVIIManualReferenciaPoliticaDeEducacaoCulturaSegurancaInformacaoRevisado-REV.docx.pdf&usg=AOvVaw1rwMoKHXppZCGK_Vg_LLKO

6 Incisos, I, II, III, IV e V do artigo 22 do decreto nº 10.046/ 2019

7 FRAZÃO, Ana. Compartilhamento de dados pelo poder público. JOTA, 2022. Disponível em: https://www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-e-mercado/compartilhamento-de-dados-pelo-poder-publico-12102022. Acesso em: 20 de outubro de 2022.

8 Disponível em: https://jurisprudencia.stf.jus.br/pages/search/sjur436273/false

REFERÊNICAS:

BELLI, L; RAMOS, B. Políticas digitais no Brasil: acesso à internet, proteção de dados e regulação. Rio de Janeiro: FGV Repositório Digital, 2021. Disponível em: https://bibliotecadigital.fgv.br/dspace/handle/10438/30688. Acesso em: 22 de outubro de 2022.

BRASIL. Decreto nº 10.046, de 09 de outubro de 2019. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D10046.htm. Acesso em: 18 de outubro de 2022.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 18 de outubro de 2022.

BRASIL. Manual de Referência – Política de Educação e Cultura em Segurança Cibernética do Poder Judiciário. Conselho Nacional de Justiça, 2021. Disponível em: https://www.cnj.jus.br/wp-content/uploads/2021/03/AnexoVIIManualReferenciaPoliticaDeEducacaoCulturaSegurancaInformacaoRevisado-REV.docx.pdf. Acesso em: 21 de outubro de 2022.

BRASIL. STF valida compartilhamento de dados mediante requisitos. STF Notícias, Distrito Federal, 15, de outubro de 2022. Disponível em: https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=494227&ori=1. Acesso em: 17 de outubro de 2022.

FRAZÃO, Ana. Compartilhamento de dados pelo poder público. JOTA, 2022. Disponível em: https://www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-e-mercado/compartilhamento-de-dados-pelo-poder-publico-12102022. Acesso em: 20 de outubro de 2022.

Deixe um comentário