LGPD e Poder Público: Vai pegar? Breve análise normativa.
A proteção dos dados pessoais e a tutela da privacidade têm merecido, com razão, análises muito atentas por juristas, advogados, consultores de TI e gestores, dentre outros, mas, de regra, com foco na iniciativa privada. A profusão de fóruns, debates, cursos e palestras, por todo o país começa a conferir certa maturidade, ao menos, quanto ao afastamento da dúvida “será que a LGPD vai pegar?”, respondendo afirmativamente essa indagação, porquanto o Brasil já dispõe de exemplos de aplicação, ainda que subsidiária, da LGPD em incidentes de segurança envolvendo dados pessoais por empresas que, judicial ou extrajudicialmente, assumiram ou tiveram impostas, obrigações relativas à “nova” proteção dos dados pessoais, ainda que a Lei Federal 13.709/2018 se encontre em período de vacatio legis.
Contudo, quanto ao poder público, a percepção é de que a LGPD, Lei Federal nr. 13.709/2018, com a redação dada pela Lei Federal nr. 13.853/2019 “ainda não pegou”, o que se entende inadequado, consoante a seguinte análise de alguns dos preceitos da própria LGPD, em conjunto com a Lei de Acesso à Informação, Lei Federal nr. 12.527/2011, e Lei da Improbidade Administrativa, Lei Federal nr. 8.429/1992, além, claro, da Constituição Federal de 1988.
Já no art. 1º da LGPD há expressa referência ao objeto da lei como sendo “o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado”, o que é confirmado parágrafo único, no sentido de que “s normas gerais contidas nesta Lei são de interesse nacional e devem (!) ser observadas pela União, Estados, Distrito Federal e Municípios.
Logo adiante, o art. 3º da “Lei de Dados”, ao indicar o âmbito territorial de incidência da LGPD reforça a obrigatoriedade de sua observância em “qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados (…)”.
Com efeito, há surgido referências ao disposto no inciso III do art. 4º da LGPD como excludente de responsabilidade pela aplicação da LGPD no tratamento de dados pessoais por órgãos do poder público, quando atinente à segurança pública, com expressa menção ao fato de se tratar de rol exclusivo, ou seja, segundo a regra, não se aplica a LGPD ao tratamento de dados realizado “para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais”.
Ocorre que o mesmo artigo 4º, em seu § 1º contempla que esse tratamento de dados pessoais, ainda de modo exclusivo, quando adequado ao previsto no inciso III, além de ser regido por “legislação específica”, a qual “deverá (!)” prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, mantém a necessária obrigação ao devido processo legal, aos princípios gerais de proteção e aos “direitos do titular” previstos na LGPD.
Como se percebe, já dos primeiros verbetes da LGPD, mesmo nas hipóteses de tratamento de dados com o objetivo de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, devem ser obedecidos os preceitos da “Lei de Dados”, notadamente quanto aos “direitos do titular”, dentre os quais merecem destaque o de “requisição” de acesso aos dados, correção de dados incompletos, inexatos ou desatualizados, e anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD, bem como informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados, informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, conforme disposto no art. 18, incisos II, III, VII e VIII, da Lei Federal 13.709/2018.
É o que se ratifica porquanto a LGPD dedica o Capítulo IV ao tratamento dos dados pessoais, exatamente pelo poder público, sendo que o art. 23 da LGPD, inaugurando o capítulo, aduz que “o tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá (!) ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais (…)”.
Por seu turno, essa Lei de Acesso à Informação, no parágrafo único do artigo 1º contempla como subordinados ao seu cumprimento, os “órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público”, bem como “as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios”.
Cumpre dar relevo aos termos legais referidos de forma imperiosa como “devem”, do parágrafo único do art. 1º da LGPD, “aplica-se”, no caput do art. 3º, a limitação de “exclusivos”, do inciso III do art. 4º, e, novamente “deverá”, no caput do art. 23 e “subordinados”, do parágrafo único do art. 1º da Lei 12.527/2011.
Entende-se, pois, que o desatendimento da LGPD pelo poder público e, por óbvio, por seus agentes, pode implicar, inclusive, a configuração de improbidade administrativa, conforme tipificado na Lei Federal 8.429/1992, porquanto a legalidade é de atendimento cogente pelos agentes públicos, expressamente referida no caput do art. 37 da Constituição Federal, ao lado da moralidade, da impessoalidade, publicidade e da eficiência, sendo que a violação a esses preceitos é tipificada como conduta administrativamente ímproba pelo art. 11 da Lei Federal 8.429/92, porquanto revelam-se atentatórios aos princípios da administração pública quaisquer ações ou omissões que violem os deveres de legalidade, ao lado da honestidade, imparcialidade e lealdade às instituições.
Como se vê, o mero exame literal das regras referidas já confere observância cogente pelo poder público, integrado pelos órgãos da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público, e as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios (parágrafo único do art. 1º, da Lei 12.527/2011 combinado com o art. 23, da LGPD), sob pena, inclusive de configuração de improbidade administrativa, nos termos do art. 11 da Lei 8.429/1992, sendo que, mesmo as hipóteses pretensamente de exclusão do art. 4º, inciso III, da LGPD, encontram, no § 1º, como parâmetro à lei específica, os princípios gerais de proteção e os direitos do titular previstos na LGPD.
Por óbvio que não se sustenta ser a proteção de dados e a privacidade, em breve inscrita no seleto rol dos direitos fundamentais, do art. 5º, da Constituição Federal, por intermédio da PEC 17/2019, e os direitos do titular (arts. 17 e 18 da LGPD), como direitos absolutos, que inviabilizem a atuação, especialmente do poder público, quando na realização de direito, igualmente fundamental, à segurança, porquanto nem mesmo a vida ou a liberdade o são.
Contudo, para que se possa superar normas positivadas, em especial as que consagrem direitos fundamentais, é necessária, ou a existência de norma expressa, de igual hierarquia que a preterida ou, como no caso de princípios, a ponderação, nos casos concretos, para que se evidencie o mais relevante em específica hipótese, como ocorre no singelo exemplo da prisão, até em caráter cautelar, que exige, além do embasamento legal, a indicação precisa dos motivos fáticos concretos que confirmem o acerto da decisão.
Nessa esteira, sem a pretensão de esgotar o tema, defende-se a obrigação normativa de observância, pelo poder público (reitera-se o disposto na Lei nr. 12.527/2011) dos preceitos da Lei Geral de Proteção de Dados – LGPD, sob pena, inclusive, da configuração de improbidade administrativa pelos agentes.
Publicado por Newton Moraes – Attorney, Mestre em Direito FMP/RS. Especialista em Direito Público FMP/RS, Proteção de Dados/ Privacidade Insper 2019
voltar
