Cruzamento de dados pessoais por órgãos públicos será limitado para impedir abusos, decide STF
Corte deu prazo de 60 dias ao governo federal para que ajuste de regras do decreto do Cadastrão seja feitaBy - Liliane Nakagawa, 17 setembro 2022 às 17:08
O Supremo Tribunal Federal (STF) concluiu nesta quinta-feira (15) o julgamento de duas ações (ADI 6649 e ADPF 695), ambas sobre o cruzamento de dados pessoais dos brasileiros por órgãos públicos pelo Cadastro Base do Cidadão (‘Cadastrão’), previsto no decreto 10.046/19.
A decisão da Corte, fundamentada na Lei Geral de Proteção de Dados (LGPD), incluiu uma série de parâmetros que devem ser incorporados às regras administrativas para o compartilhamento de dados. Para cumprí-las, os ministros do Supremo deram 60 dias para que o governo federal faça ajustes nas regras do decreto.
Entre as exigências, o STF determinou que o comitê gestor da troca de dados crie mecanismos limitadores de acesso, instrua medidas de segurança compatíveis com a Lei Geral de Proteção de Dados para responsabilização em caso de abuso e justifique previamente necessidades de inclusão de novos dados pessoais à base integradora. Em caso de abusos e ingerências no tratamento de dados, o Estado é responsável civil e atos de improbidade administrativa caberão ao agente estatal.
No início de setembro, a Advocacia Geral da União defendeu a legalidade do decreto responsável pelo cruzamento de dados e disse que o compartilhamento das bases sob custódia do Estado é essencial para a prestação de serviços públicos digitais. Ao esperar uma eventual declaração de inconstitucionalidade pelo próprio governo, um novo decreto já estava a caminho, segundo o advogado-geral da União, Bruno Bianco. “Na ótica do governo federal, esse decreto não é estanque e está em pleno aprimoramento”, afirmou a AGU na ocasião.
Para evitar interrupção dos serviços públicos digitais que já usam a base do ‘Cadastrão’, sob eventual inconstitucionalidade total da norma, o governo pediu prazo. Em resposta, o Supremo deu até 60 dias para que as regras de compartilhamento de dados previstas no decreto 10.046/19 sejam ajustadas.
Ações questionam cruzamento de dados de cidadãos
No início do mês, o blog KaBuM! noticiou as duas ações movidas pelo Conselho Federal da OAB e pelo PSB, a ADI 6649 e a ADPF 695, respectivamente. À época, a entidade dos advogados questionou a licitude do Cadastro Base do Cidadão, mencionado no decreto, em especial sobre a interoperabilidade de sistemas para viabilizar o compartilhamento de informações armazenadas em bases de dados de diferentes órgãos públicos; enquanto os parlamentares do PSB levantaram questões sobre o acordo entre Serpro e Abin, também baseadas no decreto, para que agentes de inteligência tivessem acesso às carteiras de habilitação.
Ao decidir sobre as duas ações, o Supremo entendeu que ao estabelecer uma sistemática de amplo compartilhamento de dados na administração pública, a partir de ferramentas de interoperabilidade, o governo pecou ao não estabelecer as devidas salvaguardas à proteção de dados.
O voto do relator dos casos Gilmar Mendes prevaleceu, no qual sustentou a “necessidade de promover uma leitura do regulamento administrativo alinhada com o regime constitucional de tutela da privacidade”. Em outras palavras, o magistrado destacou que a previsão de compartilhamento amplo dos dados pessoais dos cidadãos entre os órgãos públicos conflita com o direito constitucional à proteção de dados e à privacidade. Embora tenha reconhecido a legitimidade das ferramentas tecnológicas para maior eficiência do Estado, frisou que há limites quando se trata de dados pessoais.
“É certo que a Constituição Federal impõe ao Estado o dever de desenvolver a atividade administrativa do modo mais eficiente, mais econômico e mais adequado ao interesse público. Naturalmente, o cumprimento da determinação constitucional pressupõe emprego das mais modernas tecnologias e soluções computacionais, sobretudo em um contexto de amplo desenvolvimento de ferramentas digitais, de modernas aplicações de informática e de computação em nuvem (cloud computing). É impensável que, na sociedade moderna, as repartições públicas operem com instrumentos defasados, renunciando à tecnologia, às ferramentas digitais, e desprezando as melhores práticas gerenciais. Ou seja, não é dado ao Estado virar as costas para o progresso tecnológico, tampouco permanecer amarrado ao passado. Cuida-se de mais cristalina aplicação do princípio da eficiência administrativa.”, defendeu.
O advogado e professor Danilo Doneda, que representou a OAB e concordou com a posição do relator, destacou a posição firme e repetida da Suprema Corte sobre o assunto, comportamento que consolida o direito à proteção de dados no Brasil. “O ponto mais importante é que o STF muda uma tradição que vinha desde o decreto 8789/18, depois virou o 10.046/19, que são normativos feitos sob a consideração de que a questão da administração de dados pessoais pelo Estado é só sobre eficiência. A eficiência existe de verdade. Mas, hoje em dia, não se pode trabalhar com isso sem também levar em conta riscos, exigências, problemas que podem ser criados se não se colocar nenhum tipo de controle ou transparência para os cidadãos”, afirmou.
Ele ainda ressaltou que “uma coisa muito forte é que se o gestor não cumprir a LGPD, pode responder pela lei de improbidade – ou seja, o gestor de dados no setor público está sujeito não apenas às penalidades da LGPD mas da Lei de Improbidade. Isso é muito relevante e vai elevar a outro patamar o nível de cuidado quando tratar de dados pessoais pelo setor público”.
Regras para o compartilhamento de dados por entidades públicas
Abaixo, as medidas que devem ser incorporadas às regras administrativas para o compartilhamento de dados por entidades públicas por ordem do STF.
1. O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública, pressupõe: a) eleição de propósitos legítimos, específicos e explícitos para o tratamento de dados (art. 6º, inciso I, da Lei 13.709/2018); b) compatibilidade do tratamento com as finalidades informadas (art. 6º, inciso II); c) limitação do compartilhamento ao mínimo necessário para o atendimento da finalidade informada (art. 6º, inciso III); bem como o cumprimento integral dos requisitos, garantias e procedimentos estabelecidos na Lei Geral de Proteção de Dados, no que for compatível com o setor público.
2. O compartilhamento de dados pessoais entre órgãos públicos pressupõe rigorosa observância do art. 23, inciso I, da Lei 13.709/2018, que determina seja dada a devida publicidade às hipóteses em que cada entidade governamental compartilha ou tem acesso a banco de dados pessoais, “fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos”.
3. O acesso de órgãos e entidades governamentais ao Cadastro Base do Cidadão fica condicionado ao atendimento integral das diretrizes acima arroladas, cabendo ao Comitê Central de Governança de Dados, no exercício das competências aludidas nos arts. 21, incisos VI, VII e VIII do Decreto 10.046/2019:
3.1. prever mecanismos rigorosos de controle de acesso ao Cadastro Base do Cidadão, o qual será limitado a órgãos e entidades que comprovarem real necessidade de acesso aos dados pessoais nele reunidos. Nesse sentido, a permissão de acesso somente poderá ser concedida para o alcance de propósitos legítimos, específicos e explícitos, sendo limitada a informações que sejam indispensáveis ao atendimento do interesse público, nos termos do art. 7º, 70 ADI 6649 / DF inciso III, e art. 23, caput e inciso I, da Lei 13.709/2018;
3.2. justificar prévia e minudentemente, à luz dos postulados da proporcionalidade, da razoabilidade e dos princípios gerais de proteção da LGPD, tanto a necessidade de inclusão de novos dados pessoais na base integradora (art. 21, inciso VII) como a escolha das bases temáticas que comporão o Cadastro Base do Cidadão (art. 21, inciso VIII).
3.3. instituir medidas de segurança compatíveis com os princípios de proteção da LGPD, em especial a criação de sistema eletrônico de registro de acesso, para efeito de responsabilização em caso de abuso.
4. O compartilhamento de informações pessoais em atividades de inteligência observará o disposto em legislação específica e os parâmetros fixados no julgamento da ADI 6.529, quais sejam: (i) adoção de medidas proporcionais e estritamente necessárias ao atendimento do interesse público; (ii) instauração de procedimento administrativo formal, acompanhado de prévia e exaustiva motivação, para permitir o controle de legalidade pelo Poder Judiciário; (iii) utilização de sistemas eletrônicos de segurança e de registro de acesso, inclusive para efeito de responsabilização em caso de abuso; e (iv) observância dos princípios gerais de proteção e dos direitos do titular previstos na LGPD, no que for compatível com o exercício dessa função estatal.
5. O tratamento de dados pessoais promovido por órgãos públicos ao arrepio dos parâmetros legais e constitucionais (ingerência) importará a responsabilidade civil do Estado pelos danos suportados pelos particulares, na forma dos arts. 42 e seguintes da Lei 13.709/2018, associada ao exercício do direito de regresso contra os servidores e agentes políticos responsáveis pelo ato ilícito, em caso de dolo ou culpa.
6. A transgressão dolosa ao dever de publicidade estabelecido no art. 23, inciso I, da LGPD, fora das hipóteses constitucionais de sigilo, importará a responsabilização do agente estatal por ato de improbidade administrativa, nos termos do art. 11, inciso IV, da Lei 8.429/92, sem prejuízo da aplicação das sanções disciplinares previstas nos estatutos dos servidores públicos federais, municipais e estaduais.
Comentários