O Supremo Tribunal Federal (STF) decidiu nesta quinta-feira (15/9) determinar o uso de parâmetros da Lei Geral de Proteção de Dados Pessoais (LGPD) para a aplicação das normas do decreto do Poder Executivo que trata do compartilhamento de dados pessoais entre órgãos federais. Na prática, a decisão restringe e promove maior controle sobre as possibilidades de compartilhamento.
O Decreto 10.046/2019, do governo Jair Bolsonaro, criou o Cadastro Base do Cidadão, para reunir informações existentes em diferentes órgãos da administração pública, e também o Comitê Central de Governança de Dados, que tem entre suas atribuições definir quais bases de dados vão integrar o cadastro. Entre os dados que podem ser compartilhados estão, por exemplo, nome, CPF, estado civil, título de eleitor, vínculos empregatícios e dados de identificação biométrica, como as digitais, a retina ou o formato da face.
A decisão foi tomada no julgamento de duas ações, a ADI 6.649 e a ADPF 695. Por maioria de votos, o plenário seguiu o voto do relator, ministro Gilmar Mendes, e julgou parcialmente procedentes as ações para dar ao decreto interpretação conforme a Constituição de acordo com as diretrizes determinadas no voto do relator.
Os ministros também decidiram pela inconstitucionalidade da composição do Comitê Central de Governança de Dados, integrado apenas por representantes de órgãos ligados ao Poder Executivo, e deu prazo de 60 dias, após a publicação da ata do julgamento, para que o governo refaça a composição do órgão.
O ministro Edson Fachin divergiu de Gilmar e defendeu a declaração de inconstitucionalidade de todo o decreto, mas concordou com as diretrizes de interpretação fixadas pelo relator para a norma atual. Já os ministros André Mendonça e Nunes Marques divergiram do relator ao defender a manutenção do atual Comitê Central de Governança de Dados até 31 de dezembro, e não por 60 dias como ficou definido no julgamento.
Em seu voto, o relato, Gilmar Mendes, não acolheu o pedido de uma das ações para declarar a inconstitucionalidade do decreto presidencial. Em vez disso, Gilmar Mendes votou por dar ao decreto interpretação conforme à Constituição, fixando uma série de princípios para o compartilhamento de dados entre os órgãos públicos.
Veja os principais pontos do voto do relator:
– O compartilhamento de dados pessoais entre órgãos e entidades da administração pública pressupõe a realização de propósitos legítimos, específicos e explícitos para o tratamento de dados, assim com a compatibilidade do tratamento dos dados com as finalidades informadas.
– O compartilhamento deve ser limitado ao mínimo necessário para o atendimento da finalidade informada.
– Devem ser cumpridos integralmente os requisitos, garantias e procedimentos estabelecidos na Lei Geral de Proteção de Dados no que for compatível com o setor público.
– O compartilhamento de dados entre órgãos públicos pressupõe rigorosa observância da determinação da LGPD para que seja dada a devida publicidade às hipóteses em que cada entidade governamental compartilhe ou tenha acesso a bancos de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade e os procedimentos e as práticas utilizadas para a execução dessas atividades em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.
– Instituir medidas de segurança compatíveis com os princípios de proteção da LGPD, em especial a criação de sistema eletrônico de registro de acesso para efeito de responsabilização em caso de abuso.
– O compartilhamento de informações pessoais em atividades de inteligência [como por órgãos policiais ou pela Abin] observará o disposto em legislação específica e os parâmetros fixados na ADI 6.529, quais sejam: adoção de medidas proporcionais e estritamente necessárias ao atendimento do interesse público; instauração de procedimento administrativo formal acompanhado de prévia e exaustiva motivação, para permitir o controle de legalidade pelo Poder Judiciário; utilização de sistemas eletrônicos de segurança e de registro de acesso, inclusive para efeito de responsabilização em caso de abuso; a observância dos princípios gerais de proteção dos direitos do titular dos dados previstos na LGPD no que for compatível com o exercício da função estatal.
– O tratamento de dados pessoais promovido por órgãos públicos ao arrepio dos parâmetros legais e constitucionais importará responsabilidade civil do Estado pelos danos suportados pelos particulares, associado ao exercício do direito de regresso contra os servidores e agentes políticos responsáveis pelo ato ilícito em caso de culpa ou dolo.
– A transgressão dolosa ao dever de publicidade estabelecido pela LGPD, fora das hipóteses constitucionais de sigilo, importará em responsabilização do agente estatal por ato de improbidade administrativa, sem prejuízo da aplicação das sanções disciplinares previstas nos estatutos dos servidores públicos federais, municipais e estaduais.
Fonte: Jota