STF limita o compartilhamento de dados pelo governo federal
Ocorreu ontem 15/09/22 o julgamento da ADI 6.649 e a ADPF 695 no Supremo Tribunal Federal - STF. As ações foram movidas respectivamente pelo Conselho Federal da Ordem dos Advogados do Brasil e o Partido Socialista Brasileiro e questionavam o Decreto 10.046/2019 que dispõe sobre o compartilhamento de dados na administração pública federal e Comitê Central de Governança de Dados.
A maioria do plenário seguiu o voto do relator, ministro Gilmar Mendes, dando ao decreto interpretação conforme a Constituição e mandamentos apontados pelo relator.
Os ministros também consideraram inconstitucional a composição do Comitê Central de Governança de Dados, integrado apenas por representantes órgãos do Poder Executivo. Foi concedido o prazo de 60 dias, contados após a publicação da ata do julgamento, para recomposição do referido comitê.
O relator pontuou: “longe de um mero preciosismo acadêmico, a particular arquitetura institucional introduzida pelo regulamento produz efeitos transversais na ordem jurídico-constitucional, podendo acarretar um autêntico desmonte dos pilares estruturantes da LGPD e, no limite, comprometer a própria eficácia do direito fundamental à proteção de dados pessoais”.
A interpretação conforme a Constituição Federal seguiu os seguintes termos:
1. O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública, pressupõe:
a) eleição de propósitos legítimos, específicos e explícitos para o tratamento de dados (art. 6º, inciso I, da Lei 13.709/2018);
b) compatibilidade do tratamento com as finalidades informadas (art. 6º, inciso II);
c) limitação do compartilhamento ao mínimo necessário para o atendimento da finalidade informada (art. 6º, inciso III); bem como o cumprimento integral dos requisitos, garantias e procedimentos estabelecidos na Lei Geral de Proteção de Dados, no que for compatível com o setor público.
2. O compartilhamento de dados pessoais entre órgãos públicos pressupõe rigorosa observância do art. 23, inciso I, da Lei 13.709/2018, que determina seja dada a devida publicidade às hipóteses em que cada entidade governamental compartilha ou tem acesso a banco de dados pessoais, “fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos”.
3. O acesso de órgãos e entidades governamentais ao Cadastro Base do Cidadão fica condicionado ao atendimento integral das diretrizes acima arroladas, cabendo ao Comitê Central de Governança de Dados, no exercício das competências aludidas nos arts. 21, incisos VI, VII e VIII do Decreto 10.046/2019:
3.1. prever mecanismos rigorosos de controle de acesso ao Cadastro Base do Cidadão, o qual será limitado a órgãos e entidades que comprovarem real necessidade de acesso aos dados pessoais nele reunidos. Nesse sentido, a permissão de acesso somente poderá ser concedida para o alcance de propósitos legítimos, específicos e explícitos, sendo limitada a informações que sejam indispensáveis ao atendimento do interesse público, nos termos do art. 7º, inciso III, e art. 23, caput e inciso I, da Lei 13.709/2018;
3.2. justificar formal, prévia e minudentemente, à luz dos postulados da proporcionalidade, da razoabilidade e dos princípios gerais de proteção da LGPD, tanto a necessidade de inclusão de novos dados pessoais na base integradora (art. 21, inciso VII) como a escolha das bases temáticas que comporão o Cadastro Base do Cidadão (art. 21, inciso VIII);
3.3. instituir medidas de segurança compatíveis com os princípios de proteção da LGPD, em especial a criação de sistema eletrônico de registro de acesso, para efeito de responsabilização em caso de abuso.
4. O compartilhamento de informações pessoais em atividades de inteligência observará o disposto em legislação específica e os parâmetros fixados no julgamento da ADI 6.529, Rel. Min. Cármen Lúcia, quais sejam:
(i) adoção de medidas proporcionais e estritamente necessárias ao atendimento do interesse público;
(ii) instauração de procedimento administrativo formal, acompanhado de prévia e exaustiva motivação, para permitir o controle de legalidade pelo Poder Judiciário;
(iii) utilização de sistemas eletrônicos de segurança e de registro de acesso, inclusive para efeito de responsabilização em caso de abuso; e
(iv) observância dos princípios gerais de proteção e dos direitos do titular previstos na LGPD, no que for compatível com o exercício dessa função estatal.
5. O tratamento de dados pessoais promovido por órgãos públicos ao arrepio dos parâmetros legais e constitucionais importará a responsabilidade civil do Estado pelos danos suportados pelos particulares, na forma dos arts. 42 e seguintes da Lei 13.709/2018, associada ao exercício do direito de regresso contra os servidores e agentes políticos responsáveis pelo ato ilícito, em caso de culpa ou dolo.
6. A transgressão dolosa ao dever de publicidade estabelecido no art. 23, inciso I, da LGPD, fora das hipóteses constitucionais de sigilo, importará a responsabilização do agente estatal por ato de improbidade administrativa, nos termos do art. 11, inciso IV, da Lei 8.429/92, sem prejuízo da aplicação das sanções disciplinares previstas nos estatutos dos servidores públicos federais, municipais e estaduais. Por fim, o Tribunal declarou, com efeito pro futuro, a inconstitucionalidade do art. 22 do Decreto 10.046/19, preservando a atual estrutura do Comitê Central de Governança de Dados pelo prazo de 60 dias, a contar da data de publicação da ata de julgamento, a fim de garantir ao Chefe do Poder Executivo prazo hábil para (i) atribuir ao órgão um perfil independente e plural, aberto à participação efetiva de representantes de outras instituições democráticas; e (ii) conferir aos seus integrantes garantias mínimas contra influências indevidas.
Fonte: STF