Lei Geral de Proteção de Dados

A Lei Geral de Proteção de Dados (LGPD) determina regras para o tratamento de dados pessoais pelas empresas públicas e privadas, estabelecendo limites ao uso e compartilhamento dos dados fornecidos pelo consumidor ou usuário de serviço público. O intuito dessa lei foi proteger o indivíduo do uso indevido das suas informações pessoais para fins escusos.

Obs.: quando a lei fala em "tratamento", ela se refere a "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração". 

Vejamos o que diz a LGPD sobre as hipóteses de tratamento de dados:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; 

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Importante lembrar que recentemente a proteção aos dados pessoais foi elevada a garantia fundamental em decorrência da Emenda Constitucional mº 115 de 2022. 

O Caso

O julgado analisado por nós analisa a constitucionalidade do Decreto 10.046/2019, editado pelo Presidente da República. Esse decreto tem como objeto a regulamentação do compartilhamento de dados no âmbito da Administração Pública Federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.

O Conselho Federal da Ordem dos Advogados do Brasil pleiteou a inconstitucionalidade dessa norma alegando que essas disposições possibilitariam controle inconstitucional do Estado e uma vigilância massiva sobre os dados pessoais dos indivíduos. 

O STF concordou com isso? Não. O Tribunal afirmou que é plenamente possível prever o compartilhamento dos dados entre as entidade de Administração Pública federal, desde que respeitados os parâmetros da LGPD, quais seriam:

• Propósitos legítimos, específicos e explícitos
• Compartilhamento limitado estritamente ao necessário para atingir a finalidade e os propósitos
• Fornecimento de informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas pela Administração para a execução dessa atividade de compartilhamento, em veículos de comunicação de fácil acesso
• Utilização de sistemas eletrônicos de segurança para evitar qualquer tipo de vazamento dos dados.

Consoante recente entendimento desta Corte, a proteção de dados pessoais e a autodeterminação informacional são direitos fundamentais autônomos, dos quais decorrem tutela jurídica específica e dimensão normativa própria. Assim, é necessária a instituição de controle efetivo e transparente da coleta, armazenamento, aproveitamento, transferência e compartilhamento desses dados, bem como o controle de políticas públicas que possam afetar substancialmente o direito fundamental à proteção de dados.

Na espécie, o Decreto 10.046/2019, da Presidência da República, dispõe sobre a governança no compartilhamento de dados no âmbito da Administração Pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.

Para a sua plena validade, é necessário que seu conteúdo seja interpretado em conformidade com a Constituição Federal, subtraindo do campo semântico da norma, eventuais aplicações ou interpretações que conflitem com o direito fundamental à proteção de dados pessoais.

Com base nesse entendimento, o Tribunal, por maioria, julgou parcialmente procedentes as ações, para conferir interpretação conforme a Constituição Federal ao Decreto 10.046/2019, nos seguintes termos:

1. O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública, pressupõe: a) eleição de propósitos legítimos, específicos e explícitos para o tratamento de dados (art. 6º, inciso I, da Lei 13.709/2018); b) compatibilidade do tratamento com as finalidades informadas (art. 6º, inciso II); c) limitação do compartilhamento ao mínimo necessário para o atendimento da finalidade informada (art. 6º, inciso III); bem como o cumprimento integral dos requisitos, garantias e procedimentos estabelecidos na Lei Geral de Proteção de Dados, no que for compatível com o setor público.

2. O compartilhamento de dados pessoais entre órgãos públicos pressupõe rigorosa observância do art. 23, inciso I, da Lei 13.709/2018, que determina seja dada a devida publicidade às hipóteses em que cada entidade governamental compartilha ou tem acesso a banco de dados pessoais, ‘fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos’.

3. O acesso de órgãos e entidades governamentais ao Cadastro Base do Cidadão fica condicionado ao atendimento integral das diretrizes acima arroladas, cabendo ao Comitê Central de Governança de Dados, no exercício das competências aludidas nos arts. 21, incisos VI, VII e VIII do Decreto 10.046/2019: 3.1. prever mecanismos rigorosos de controle de acesso ao Cadastro Base do Cidadão, o qual será limitado a órgãos e entidades que comprovarem real necessidade de acesso aos dados pessoais nele reunidos. Nesse sentido, a permissão de acesso somente poderá ser concedida para o alcance de propósitos legítimos, específicos e explícitos, sendo limitada a informações que sejam indispensáveis ao atendimento do interesse público, nos termos do art. 7º, inciso III, e art. 23, caput e inciso I, da Lei 13.709/2018; 3.2. justificar formal, prévia e minudentemente, à luz dos postulados da proporcionalidade, da razoabilidade e dos princípios gerais de proteção da LGPD, tanto a necessidade de inclusão de novos dados pessoais na base integradora (art. 21, inciso VII) como a escolha das bases temáticas que comporão o Cadastro Base do Cidadão (art. 21, inciso VIII); 3.3. instituir medidas de segurança compatíveis com os princípios de proteção da LGPD, em especial a criação de sistema eletrônico de registro de acesso, para efeito de responsabilização em caso de abuso.

4. O compartilhamento de informações pessoais em atividades de inteligência observará o disposto em legislação específica e os parâmetros fixados no julgamento da ADI 6.529, Rel. Min. Cármen Lúcia, quais sejam:

(i) adoção de medidas proporcionais e estritamente necessárias ao atendimento do interesse público;

(ii) instauração de procedimento administrativo formal, acompanhado de prévia e exaustiva motivação, para permitir o controle de legalidade pelo Poder Judiciário;

(iii) utilização de sistemas eletrônicos de segurança e de registro de acesso, inclusive para efeito de responsabilização em caso de abuso; e

(iv) observância dos princípios gerais de proteção e dos direitos do titular previstos na LGPD, no que for compatível com o exercício dessa função estatal.

5. O tratamento de dados pessoais promovido por órgãos públicos ao arrepio dos parâmetros legais e constitucionais importará a responsabilidade civil do Estado pelos danos suportados pelos particulares, na forma dos arts. 42 e seguintes da Lei 13.709/2018, associada ao exercício do direito de regresso contra os servidores e agentes políticos responsáveis pelo ato ilícito, em caso de culpa ou dolo.

6. A transgressão dolosa ao dever de publicidade estabelecido no art. 23, inciso I, da LGPD, fora das hipóteses constitucionais de sigilo, importará a responsabilização do agente estatal por ato de improbidade administrativa, nos termos do art. 11, inciso IV, da Lei 8.429/1992, sem prejuízo da aplicação das sanções disciplinares previstas nos estatutos dos servidores públicos federais, municipais e estaduais.

Por fim, o Tribunal declarou, com efeito pro futuro, a inconstitucionalidade do art. 22 do Decreto 10.046/2019, preservando a atual estrutura do Comitê Central de Governança de Dados pelo prazo de 60 (sessenta) dias, a contar da data de publicação da ata de julgamento, a fim de garantir ao Chefe do Poder Executivo prazo hábil para

(i) atribuir ao órgão um perfil independente e plural, aberto à participação efetiva de representantes de outras instituições democráticas; e

(ii) conferir aos seus integrantes garantias mínimas contra influências indevidas.

Vencidos, parcialmente e nos termos de seus respectivos votos, os Ministros André Mendonça, Nunes Marques e Edson Fachin.