Uma das principais preocupações sobre o tratamento de dados pessoais pelo Poder Público é com relação ao compartilhamento de dados pessoais entre os órgãos públicos e entre estes e entes privados. O maior receio é favorecer um estado supervigilante (Estado Leviatã) o que pode colocar em xeque as liberdades individuais. Por isso, a LGPD traz regras sobre o tema no Capítulo IV – Tratamento de Dados Pessoais pelo Poder Público (arts. 23 a 30).
Assim, Stefano Rodotà1 aponta três paradoxos em torno do conceito de privacidade, a saber: o primeiro paradoxo consiste no fato de que as novas tecnologias favorecem um enriquecimento da esfera privada, mas, ao mesmo tempo, a fragiliza, e, consequentemente, tem-se um reforço da proteção à privacidade, simultaneamente ao alargamento da fronteira da privacidade; o segundo paradoxo está no fato de que a democracia impõe o respeito a crenças religiosas, opção sexual, opiniões políticas, no entanto, a legislação de proteção de dados tutela com maior rigor estes dados denominados “dados sensíveis”; e, por fim, o terceiro paradoxo em torno da privacidade é que o reforço da proteção deste direito é contemporâneo às leis de acesso à informação. Em suma, não são poucos os desafios para a efetiva tutela da privacidade, da vida privada e da intimidade.
Justamente este último paradoxo impõe um diálogo intenso entre a Lei de Acesso à Informação (lei 12.527/2011) e a LGPD. Além disso, o governo digital incentivou uma intensa coleta de dados pessoais e o seu compartilhamento com diversos órgãos públicos. Por exemplo, a dinâmica do Governo Eletrônico, por meio do GovData, viabiliza uma série de benefícios tais como a possibilidade de identificação de desvios, fraudes e outras irregularidades; o aprimoramento de políticas públicas, potencializando sua aplicação com base em evidências; e a transparência de informações. Todavia para a consecução destes objetivos, busca-se democratizar o acesso à informação, ampliando a zona de interação entre os governos e os cidadãos, o que envolve um intenso tratamento de dados pessoais, desde a coleta até o compartilhamento de dados pessoais.
Estas ferramentas do eGov também retratam o primeiro paradoxo mencionado acima, pois o desenvolvimento tecnológico viabilizou o uso de aplicações que compõe a dinâmica do Governo Eletrônico.
Observe-se que originariamente, o revogado Decreto nº 8.789/2016 trouxe regras sobre o compartilhamento de bases de dados na Administração Pública federal. O referido decreto determinava a possibilidade/dever dos órgãos da Administração Pública federal, direta e indireta, e das entidades controladas direta e indiretamente pela União, a disponibilização de dados pessoais quando requisitadas (artigo 1º), privilegiando o compartilhamento destes dados preferencialmente de forma automática (artigo 3º). O que estaria flagrantemente na contramão de qualquer sistema de proteção de dados minimamente sólido.
Como o Sistema Nacional para a Transformação Digital instituído pelo Decreto nº 9.319 de março de 2018, foi idealizado o sistema de big data analytics, na medida em que permite a acumulação de dados pessoais por tempo indeterminado.
Todavia, alguns meses depois, a partir de agosto de 2018, com a promulgação da LGPD (lei 13.709), novos e importantes elementos foram trazidos ao tratamento de dados pelo Poder Público. Uma das balizas importantes é o próprio artigo 1º da Lei nº 13.709/18, isto é, o tratamento de dados pessoais consoante o sistema do GovData somente pode ocorrer com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Esse dispositivo acaba por alterar a perspectiva com a qual os dados devem ser tratados por qualquer agente, inclusive pelos órgãos governamentais.
Além deste limite, qualquer atividade de tratamento de dados deve observar as bases legais estabelecidas no art. 7º e art. 11 da LGPD. No âmbito da Administração Pública, destaca-se a base para o uso compartilhado de dados pessoais necessários à execução de políticas públicas previstas em leis e regulamentos ou contratos, convênios ou instrumentos congêneres (artigo 7º, inc. III, da LGPD e artigo 11, inc. II, “b”, da LGPD). Neste contexto, o tratamento de dados pessoais não depende do consentimento do titular, que é outra base legal para o tratamento de dados pessoais (artigo 7º, inc. I, da LGPD).
Após a LGPD, em outubro de 2019, o decreto 10.046, que revogou o Decreto nº 8.789/16, previu a governança no compartilhamento de dados no âmbito da Administração federal. Além disso, o atual Decreto instituiu o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados, com o objetivo de facilitar o acesso dos brasileiros aos serviços governamentais. Nota-se que o Decreto nº 10.046 também autoriza o compartilhamento automático de dados pessoais entre órgãos e entidades e amplia ainda mais a variedade de dados pessoais que seriam tratados pelo Estado, no exercício de políticas públicas.
Em março de 2021, a lei 14.129, que dispõe sobre princípios, regras e instrumentos do governo digital para o aumento da eficiência pública, permite o compartilhamento de dados como um fundamento do governo digital e da eficiência pública (artigo 3º, inc. IX).
A maior dificuldade para a eficiência na Administração Pública neste contexto tecnológico é a interoperabilidade de sistemas (artigo 3º, inc. XIV, da lei 14.129/21), isto porque um dado compartilhado será mais útil quanto maior a interoperabilidade que permita o órgão público utilizar tais informações. Neste sentido, o art. 25 da LGPD determina:
“Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.”
A LGPD não proíbe o compartilhamento de dados de maneira absoluta e nem aniquila a possibilidade de a Administração Pública utilizar dados pessoais de cidadãos. Entretanto, estabelece direitos e garantias para que tais informações sejam utilizadas para a finalidade estabelecida em lei ou com base em políticas públicas, respeitando os direitos assegurados aos titulares de dados.
Portanto é equivocado pensar que um dado pessoal inserido em cadastro mantido por órgão da Administração Pública passa a ser público e, consequentemente, alheio à sistemática de proteção de dados. Ao contrário, a própria LGPD estabelece a proteção de dados pessoais tanto na esfera pública quanto na esfera privada.
Preliminarmente, deve-se considerar que a LGPD traz o conceito de “uso compartilhado de dados” no inc. XVI do art. 5º: “comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;”
A partir dessa definição, conclui-se que são dois os pressupostos para o compartilhamento de dados pela Administração Pública, a saber: 1) cumprimento de suas competências legais; e 2) autorização específica para realizar tal compartilhamento.
A doutrina é uníssona ao afirmar que o tratamento de dados pessoais pelo Poder Público deve atender a uma finalidade pública, a persecução do interesse público e o desempenho de suas atribuições.2
Exemplo, no contexto da COVID-19, a Portaria de n. 1.046 do Ministério da Saúde, de 24/05/2021, determinou que os resultados referentes à COVID-19 devem ser notificados às autoridades responsáveis de forma compulsória, por meio de transmissão eletrônica de informações à Rede Nacional de Dados em Saúde (RNDS), de Responsabilidade do Departamento de Informática do Sistema Único de Saúde (DATASUS/SE/MS). Tal uso compartilhado de dados pessoais (dados sensíveis, pois se relaciona à saúde), justifica-se pela atribuição legal prevista na referida portaria. E, portanto, tem uma autorização legal para realizar tal compartilhamento de dados. Destaca-se, ainda, que no caso, tal comunicação, pretende atingir uma finalidade pública, qual seja, monitorar em nível nacional, as taxas de contágio da doença; além de persecução do interesse público.
Neste caso, tal medida independe de consentimento do titular de dados pessoais, porque tem outra base legal que justifique, que é a Portaria Ministerial n. 1.046, bem como a necessidade para o embasamento de políticas públicas (art. 7º, incisos II e III, respectivamente). Portanto, a própria LGPD reforça a dispensa do consentimento, o que não exclui o respeito ao direito à informação sobre o uso compartilhado do titular de dados pessoais (art. 18, inc. VII da LGPD).
Outra hipótese que deve ser vista com cautela é o compartilhamento de dados entre órgãos da Administração Pública e entes privados, pois somente pode ocorrer nas hipóteses previstas na lei, isto é, execução descentralizada de atividades públicas; informações acessíveis publicamente; quando houver previsão legal, contrato ou convênio que respalde o uso compartilhado; ou para salvaguardar a vida do titular de dados, não podendo o dado pessoal ser utilizado para outras finalidades. Neste sentido, o art. 26 da LGPD traz as regras específicas para o uso compartilhado de informações entre órgãos públicos e entes privados.
Além dos pressupostos para o uso compartilhado de dados pessoais, deve-se demonstrar o atendimento a determinados requisitos. O art. 25 da LGPD traz importantes requisitos que devem ser observados no uso compartilhado de dados pessoais, in verbis:
“Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.”
O primeiro diz respeito ao formato, ou seja, as informações devem estar em formato interoperável e estruturado para que possa ser efetivamente útil pelos demais órgãos públicos. Interoperabilidade requer o funcionamento de diferentes sistemas e ferramentas, que podem atuar conjuntamente. Portanto, a importância está no fato de que a interoperabilidade contribui para o desenvolvimento de projetos, bem como na troca de informações entre diferentes sistemas e ferramentas.
Cabe à ANPD dispor sobre os padrões de interoperabilidade para fins de exercício dos direitos previstos na LGPD, como o direito à portabilidade, ao livre acesso e segurança dos dados pessoais.
Há quatro tipos de interoperabilidade, a saber: – técnica ou tecnológica, que se aplica à conexão dos sistemas e serviços de informática, ou seja, as especificações de interface, serviços de interconexão, de integração de dados, apresentação com troca de dados e protocolos de comunicação seguros (COMISSÃO EUROPEIA, 2004); – semântica, ou seja, que a informação compartilhada seja compreensível para que sejam preservados e compreendidos ao longo das trocas entre as partes; – organizacional, isto é, relacionada ao modelo de negócios, para que a Administração Pública alinhe seus processos de negócios, responsabilidades e expectativas para alcançar objetivos; – legal, sendo este o elemento agregador para a promoção e regulação destes artefatos utilizados pela Administração Pública.
Por fim, outro requisito tão importante quanto a interoperabilidade é a comunicação sobre o uso compartilhado de dados pessoais à ANPD e ao titular de dados pessoais. A comunicação ao titular de dados pessoais é um direito assegurado no inc. VII do art. 18 da LGPD. Já a comunicação à ANPD deve-se ao fato de que compete a este órgão a fiscalização sobre o cumprimento da LGPD nos termos do art. 29 da LGPD:
“Art. 29. A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades do poder público a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta lei.”
Portanto, a ANPD pode solicitar a qualquer momento informações sobre o uso compartilhado de dados pessoais, em especial sobre o âmbito e a natureza dos dados pessoais, além de detalhes relevantes para embasar o parecer técnico da ANPD. A ANPD pode, ainda, regulamentar o uso compartilhado de dados pessoais pela Administração Pública nos termos do art. 30 da LGPD:
“Art. 30. A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais.”
Diante de tudo cabe a pertinente reflexão sobre a atuação independente da ANPD diante deste contexto, pois cabe a ela regular e fiscalizar o tratamento de dados pessoais pelo Poder Público, por isso os principais diplomas internacionais sobre proteção de dados pessoais destacam a atuação independente do órgão.3
Por Cintia Rosa Pereira de Lima, Heverton Gustavo Machado de Lima e Soraia Cochoni Achicar