A Autoridade Nacional de Proteção de Dados divulgou, neste último dia 23 de março de 2023, como demonstração de sua transparência ativa, a listagem de processos sancionatórios de empresas e órgãos públicos que aguardam conclusão pela agência.
Na lista dos processos instaurados pela Coordenação-Geral de Fiscalização da ANPD, há um recado claro aos Entes, Entidades e órgãos da Administração Pública que ainda não se adequaram ou que ainda não iniciaram seu processo de adequação à Lei: o de que os tratamentos realizados pelo Poder Público estão no centro da fiscalização pela Autoridade Nacional, já que dos 08 processos da lista, 07 estão vinculados a Administração Pública Direta ou Indireta.
Os processos objeto de análise pela ANPD nesta primeira divulgação, são:
- Ministério da Saúde. Setor Público. Instaurado em 07/03/2022. Com o intuito de investigar as condutas:não atendimento à requisição da ANPD; ausência de encarregado de dados pessoais; ausência de comunicação de incidente de segurança. Atualmente se encontra na fase de instrução processual. Processo nº 00261.000456/2022-12.
- Telekall.Setor Privado. Instaurado em 10/03/2022. Com o intuito de investigar as condutas: ausência de comprovação de hipótese legal; ausência de registro de operações; não envio de Relatório de Impacto de Proteção de Dados; ausência de encarregado de dados pessoais; não atendimento à requisição da ANPD. Atualmente se encontra na fase de instrução Processo nº 261.000489/2022-62.
- Instituto de Pesquisas Jardim Botânico do Rio de Janeiro. Setor Público. Instaurado em 22/03/2022. Com o intuito de investigar as condutas:não comunicação de incidente de segurança; não atendimento à requisição da ANPD. Atualmente se encontra na fase de instrução Processo nº 00261.000574/2022-21.
- Secretaria de Educação do Distrito Federal.Setor Público. Instaurado em 10/06/2022. Com o intuito de investigar as condutas: não atendimento à requisição da ANPD. Atualmente se encontra na fase de instrução Processo nº 00261.001192/2022-14.
- Ministério da Saúde.Setor Público. Instaurado em 12/09/2022. Com o intuito de investigar as condutas: ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança. Atualmente se encontra na fase de instrução Processo nº 00261.001882/2022-73.
- Secretaria de Estado da Saúde de Santa Catarina.Setor Público. Instaurado em 14/09/2022. Com o intuito de investigar as condutas: ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança; não atendimento a determinações da ANPD. Atualmente se encontra na fase de instrução Processo nº 00261.001886/2022-51.
- Instituto de Assistência ao Servidor Público Estadual de São Paulo – IAMSPE. Setor Público. Instaurado em 30/09/2022. Com o intuito de investigar as condutas: ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança. Atualmente se encontra na fase de instrução Processo nº 00261.001969/2022-41.
- Secretaria de Desenvolvimento Social, Criança e Juventude – PE.Setor Público. Instaurado em 07/10/2022. Com o intuito de investigar as condutas: ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança. Atualmente se encontra na fase de instrução processual. Processo nº 00261.001963/2022-73.
O motivo desse foco sancionatório não é novidade, já que a Administração Pública exerce, diariamente, ampla gama de atividades administrativas e implementa políticas públicas em cumprimento do interesse público, o que faz com que, para consecução de seus fins, a Administração seja uma das maiores interessadas na coleta de dados pessoais, exigindo dos titulares a exposição constante e crescente de suas informações pessoais para a execução de políticas públicas e prestação de serviços públicos. Como exemplo, tem-se a biometria obrigatória de impressão digital dos eleitores para exercer o direito ao voto, o uso de tecnologias de reconhecimento facial para vigilância pública, o cruzamento de dados bancários para fiscalização da tributação, os inúmeros cadastros vinculativos de programas de governo e concretização de políticas sociais, bem como, diversas outras informações que a Administração necessita para a persecução de seus objetivos.
Considerando esse fato, a Lei Geral de Proteção de Dados disciplina o tratamento de dados pessoais pelas pessoas jurídicas de direito público (Capítulo IV, LGPD), reconhecendo que o Poder Público não está alheio à realidade digital.[2] Em razão disso, o artigo 23 da Lei, determina que o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. Ainda, que deverão ser fornecidas informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução das atividades de tratamento de dados pessoais, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos, bem como deverá ser indicado um encarregado de dados.[3]
Para além disso, a própria Lei determina que os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
Essa relação jurídica existente entre o Poder Público e o cidadão, titular de dados pessoais, contudo, caracteriza-se por natural assimetria, já que o Estado possui amplos poderes para consecução de suas funções, realizando grande coleta e armazenamento de dados pessoais no desempenho de suas atividades ou como subproduto delas.[4]
A integração da Lei Geral de Proteção de Dados ao regime jurídico de direito público, portanto, demanda maior segurança e transparência à atuação da Administração Pública, metodizando o tratamento de dados pessoais coletados por ela, mitigando-se o risco de violação de direitos individuais fundamentais do titular, sem comprometer a execução de suas competências legais e as atribuições legais do serviço público.
Em conclusão, o foco do setor público, como vetor central da fiscalização sancionatória da ANPD, sinaliza um aspecto extremamente importante, especialmente considerando que o desequilíbrio relacional entre o titular de dados e o Poder Público decorre das prerrogativas e dos poderes conferidos ao Estado para “a consecução dos fins públicos; a relação assimétrica existente em relacão aos indivíduos; a concentração de bancos de dados de cidadãos; a essencialidade desses dados para o exercício de atividades e políticas públicas; e a compulsoriedade da entrega de dados ao Estado”.[5]
Dessa forma, mesmo o tratamento de dados pessoais pelo poder Público deve garantir (i) a adequação do tratamento com as finalidades precípuas ou a garantia de “procedimentos de proteção que levem em conta o risco do tratamento de dados pessoais, especialmente a partir da mudança de finalidade intrínseca a todo compartilhamento”; (ii) a necessidade do tratamento, limitando-o ao mínimo necessário; (iii) a qualidade dos dados, garantindo autodeterminação informada aos titulares e mecanismos efetivos para o exercício dos demais direitos; (iv) a segurança e a prevenção, mediante sistema de governança robusto, que permita a utilização de técnicas aptas a inibir o acesso escuso, eximindo os titulares de danos; (v) a não permissão a utilização dos dados para fins discriminatórios; (vi) a adoção de instrumentos de transparência e de accountability, que possibilitem o controle do fluxo dos dados pessoais pelo cidadão e pelos órgãos competentes; e (vii) a necessidade de realização de relatórios de impacto prévios ao compartilhamento de dados de alto risco.[6]
Em resumo, a listagem publicada pela ANPD deixa evidente que quando couber à Administração Pública o tratamento de dados pessoais, além de se observar o regime jurídico que lhe é diretamente aplicável, deve ela também atentar aos fundamentos, princípios e exigências de proteção de dados consignados na Lei Geral de Proteção de Dados, não podendo a complexidade do tema neste setor, ser pretexto para a omissão e inadequação entes, entidades e órgãos da Administração Pública.
_______________________________
[1] Pós-Doutor em Direito Público – Complutense Madrid. Doutor e Mestre em Direito Econômico – PUCPR. Diretor Executivo do Instituto Brasileiro de Direito Administrativo – IBDA. Sócio do escritório Pironti Advogados.
[2] No caso de tratamento realizado pelo Poder Público – assunto a ser abordado na seção seguinte –, a LGPD cria uma hipótese específica para autorizar, independentemente do consentimento dos titulares, o tratamento e uso compartilhado de dados necessários à “execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei” (inciso III do art. 7º). GAROFANO, Rafael R. Limitação de finalidade no tratamento de dados pessoais pelo poder público: controle de legalidade da reutilização para fins de interesse público. Tese de Doutorado. São Paulo: Faculdade de Direito, Universidade de São Paulo, 2022. p. 135.
[3] O encarregado é pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), nos termos do artigo 5º, inciso VIII, da LGPD. BRASIL. Lei Geral de Proteção de Dados Pessoais. Brasília, Lei Federal nº 13.709, de 14 de agosto de 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 10 out. 2022.
[4] TASSO, Fernando Antonio. Do tratamento de dados pessoais pelo Poder Público. In. LGPD: Lei Geral de Proteção de Dados comentada. MALDONADO, Viviane Nóbrega; BLUM, Renato Opice (coords.). São Paulo: Thomson Reuters Brasil, 2019. p. 245.
[5] GAROFANO, Rafael R. Limitação de finalidade no tratamento de dados pessoais pelo poder público: controle de legalidade da reutilização para fins de interesse público. Tese de Doutorado. São Paulo: Faculdade de Direito, Universidade de São Paulo, 2022, Cap. 3. p. 140.
[6] MENDES, Laura Schertel. Democracia, poder informacional e vigilância. O Globo, publicado em 13 ago. 2022. Disponível em: https://oglobo.globo.com/blogs/fumus-boni-iuris/post/2022/08/laura-schertel-democracia-poder-informacional-e-vigilancia.ghtml. Acesso em: 23 ago. 2022.