Compartilhamento de dados no âmbito da Administração Pública federal.

Home / Informativos / Jurídico /

28 de setembro, 2022

É legítimo, desde que observados alguns parâmetros, o compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública federal, sem qualquer prejuízo da irrestrita observância dos princípios gerais e mecanismos de proteção elencados na Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) e dos direitos constitucionais à privacidade e proteção de dados.
Consoante recente entendimento desta Corte, a proteção de dados pessoais e a autodeterminação informacional são direitos fundamentais autônomos, dos quais decorrem tutela jurídica específica e dimensão normativa própria. Assim, é necessária a instituição de controle efetivo e transparente da coleta, armazenamento, aproveitamento, transferência e compartilhamento desses dados, bem como o controle de políticas públicas que possam afetar substancialmente o direito fundamental à proteção de dados (1).
Na espécie, o Decreto 10.046/2019, da Presidência da República, dispõe sobre a governança no compartilhamento de dados no âmbito da Administração Pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.
Para a sua plena validade, é necessário que seu conteúdo seja interpretado em conformidade com a Constituição Federal, subtraindo do campo semântico da norma, eventuais aplicações ou interpretações que conflitem com o direito fundamental à proteção de dados pessoais.
Com base nesse entendimento, o Tribunal, por maioria, julgou parcialmente procedentes as ações, para conferir interpretação conforme a Constituição Federal ao Decreto 10.046/2019, nos seguintes termos:
“1. O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública, pressupõe: a) eleição de propósitos legítimos, específicos e explícitos para o tratamento de dados (art. 6º, inciso I, da Lei 13.709/2018); b) compatibilidade do tratamento com as finalidades informadas (art. 6º, inciso II); c) limitação do compartilhamento ao mínimo necessário para o atendimento da finalidade informada (art. 6º, inciso III); bem como o cumprimento integral dos requisitos, garantias e procedimentos estabelecidos na Lei Geral de Proteção de Dados, no que for compatível com o setor público.
2. O compartilhamento de dados pessoais entre órgãos públicos pressupõe rigorosa observância do art. 23, inciso I, da Lei 13.709/2018, que determina seja dada a devida publicidade às hipóteses em que cada entidade governamental compartilha ou tem acesso a banco de dados pessoais, ‘fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos’.
3. O acesso de órgãos e entidades governamentais ao Cadastro Base do Cidadão fica condicionado ao atendimento integral das diretrizes acima arroladas, cabendo ao Comitê Central de Governança de Dados, no exercício das competências aludidas nos arts. 21, incisos VI, VII e VIII do Decreto 10.046/2019: 3.1. prever mecanismos rigorosos de controle de acesso ao Cadastro Base do Cidadão, o qual será limitado a órgãos e entidades que comprovarem real
necessidade de acesso aos dados pessoais nele reunidos. Nesse sentido, a permissão de acesso somente poderá ser concedida para o alcance de propósitos legítimos, específicos e explícitos, sendo limitada a informações que sejam indispensáveis ao atendimento do interesse público, nos termos do art. 7º, inciso III, e art. 23, caput e inciso I, da Lei 13.709/2018; 3.2. justificar formal, prévia e minudentemente, à luz dos postulados da proporcionalidade, da razoabilidade e dos princípios gerais de proteção da LGPD, tanto a necessidade de inclusão de novos dados pessoais na base integradora (art. 21, inciso VII) como a escolha das bases temáticas que comporão o Cadastro Base do Cidadão (art. 21, inciso VIII); 3.3. instituir medidas de segurança compatíveis com os princípios de proteção da LGPD, em especial a criação de sistema eletrônico de registro de acesso, para efeito de responsabilização em caso de abuso.
4. O compartilhamento de informações pessoais em atividades de inteligência observará o disposto em legislação específica e os parâmetros fixados no julgamento da ADI 6.529, Rel. Min. Cármen Lúcia, quais sejam: (i) adoção de medidas proporcionais e estritamente necessárias ao atendimento do interesse público; (ii) instauração de procedimento administrativo formal, acompanhado de prévia e exaustiva motivação, para permitir o controle de legalidade pelo Poder Judiciário; (iii) utilização de sistemas eletrônicos de segurança e de registro de acesso, inclusive para efeito de responsabilização em caso de abuso; e (iv) observância dos princípios gerais de proteção e dos direitos do titular previstos na LGPD, no que for compatível com o exercício dessa função estatal.
5. O tratamento de dados pessoais promovido por órgãos públicos ao arrepio dos parâmetros legais e constitucionais importará a responsabilidade civil do Estado pelos danos suportados pelos particulares, na forma dos arts. 42 e seguintes da Lei 13.709/2018, associada ao exercício do direito de regresso contra os servidores e agentes políticos responsáveis pelo ato ilícito, em caso de culpa ou dolo.
6. A transgressão dolosa ao dever de publicidade estabelecido no art. 23, inciso I, da LGPD, fora das hipóteses constitucionais de sigilo, importará a responsabilização do agente estatal por ato de improbidade administrativa, nos termos do art. 11, inciso IV, da Lei 8.429/1992, sem prejuízo da aplicação das sanções disciplinares previstas nos estatutos dos servidores públicos federais, municipais e estaduais.” Por fim, o Tribunal declarou, com efeito pro futuro, a inconstitucionalidade do art. 22 do Decreto 10.046/2019, preservando a atual estrutura do Comitê Central de Governança de Dados pelo prazo de 60 (sessenta) dias, a contar da data de publicação da ata de julgamento, a fim de garantir ao Chefe do Poder Executivo prazo hábil para (i) atribuir ao órgão um perfil independente e plural, aberto à participação efetiva de representantes de outras instituições democráticas; e (ii) conferir aos seus integrantes garantias mínimas contra influências indevidas. Vencidos, parcialmente e nos termos de seus respectivos votos, os Ministros André Mendonça, Nunes Marques e Edson Fachin.
(1) Precedente citado: ADI 6.387 Ref-MC.
STF, Plenáro, ADI 6649/DF, relator Min. Gilmar Mendes, julgamento finalizado em 15.9.2022 e ADPF 695/DF, relator Min. Gilmar Mendes, julgamento finalizado em 15.9.2022. STF Informativo nº 1068.