Em decisão colegiada recente, o Supremo Tribunal Federal (STF) impôs limites ao compartilhamento de dados pessoais entre órgãos da administração pública federal, que agora devem se restringir ao “mínimo necessário”, sob pena de responsabilização do agente público que cometer eventuais abusos.
Os ministros analisaram a constitucionalidade do decreto, e em sua maioria entenderam que os dados podem ser compartilhados, desde que sejam observadas uma série de diretrizes que até agora não eram expressamente necessárias.
Entre elas, destacam-se a eleição de propósitos legítimos, específicos e explícitos para o tratamento de dados; a compatibilidade do tratamento com as finalidades informadas; e a limitação do compartilhamento ao mínimo necessário para o atendimento da finalidade informada.
O STF determinou que cada entidade governamental que compartilhar ou obter acesso a bancos de dados pessoais deverá fornecer, em veículos de fácil acesso, informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.
Todas as determinações dos ministros estão alinhadas aos princípios estabelecidos pela LGPD em seu art. 6º, que devem ser observados por todas as organizações que realizam o tratamento de dados pessoais, tais como finalidade, adequação, necessidade, livre acesso, responsabilização e prestação de contas, segurança, prevenção e transparência.
A decisão do plenário demonstra como a LGPD já tem sido exigida pelos tribunais e agentes fiscalizadores, tanto para as instituições públicas, quanto para as privadas e para o Terceiro Setor, em suas atuações diárias e interação com entidades governamentais; e conforme destacado pelo ministro Ricardo Lewandowski em seu voto, a falta de conformidade adequada no compartilhamento e no tratamento de dados pode se traduzir em um risco para as nações democráticas.
Dessa forma, o que antes eram consideradas boas práticas agora passam a ser obrigação para todas as instituições. Desde a entrada em vigor da LGPD, o Programa de Privacidade e Proteção de Dados passou a ser uma exigência para todas as organizações, que devem o quanto antes ficar em conformidade com a LGPD.
Sem um Programa de Privacidade e Proteção de Dados efetivo e adequado, a organização poderá sofrer penalidades administrativas, judiciais e reputacionais, incluindo diversas sanções, tais como advertências, multas que podem chegar a 2% do faturamento anual, suspensão do tratamento dos dados pessoais e até do exercício das atividades.
Para tanto, é necessário que todo ente jurídico esteja totalmente preparado para o processo de adequação à LGPD, a fim de evitar possíveis problemas de ordem legal, e pelo que temos visto no Brasil, ainda há um longo caminho para a se percorrer em direção à adaptação de empresas, do poder público e das organizações sociais.
Por: Renata Lima e Carlos Salgado, advogados e sócios do Lima & Reis Sociedade de Advogados, escritório especializado em Terceiro Setor.