O Supremo Tribunal Federal concluiu nesta quinta, 15/9, o julgamento de duas ações (ADI 6649 e ADPF 695), que abordam o cruzamento de dados pessoais dos cidadãos por órgãos públicos. O STF decidiu dar 60 dias ao governo federal para ajustar as regras de compartilhamento de informações, notadamente previstas no decreto 10.046/19.
Além de impor as balizas da Lei Geral de Proteção de Dados (Lei 13.709/18), o Supremo determinou que o comitê gestor da troca de dados deve ser independente e aberto à participação social. Outro ponto de destaque na decisão é o entendimento de que abusos e ingerências no tratamento de dados importará responsabilidade civil do Estado e improbidade administrativa ao agente estatal.
O próprio governo indicou ao Supremo que um novo decreto já está no forno e pediu prazo, no lugar de uma eventual inconstitucionalidade total da norma, para evitar inerrupção de serviços públicos digitais que já estão sendo prestados com base no Cadastrão. “Contamos com a decisão deste tribunal, para que possamos, se assim for o entendimento, incorporar ao novo decreto, que já esta em gestação, as novas ideias para que tragamos maior segurança jurídica no compartilhamento de dados”, disse o advogado-geral da União, Bruno Bianco.
A ADI 6649 foi movida pelo Conselho Federal da OAB e questiona a licitude do decreto que criou o Cadastro Base do Cidadão (o mencionado 10.046/19), essencialmente a interoperabilidade de sistemas para viabilizar o compartilhamento de informações armazenadas em bases de dados de diferentes órgãos públicos. A ADPF 695, movida pelo PSB, ataca um acordo entre o Serpro e a Abin, com base no decreto do Cadastrão, para acesso das carteiras de motorista aos agentes de inteligência.
No Supremo, com poucas divergências de forma, nenhuma de mérito, o entendimento predominante foi de que ao estabelecer uma sistemática de amplo compartilhamento de dados na administração pública, a partir de ferramentas de interoperabilidade, o governo pecou ao não estabelecer as devidas salvaguardas à proteção de dados.
Prevaleceu o voto do relator, Gilmar Mendes, que desde pronto sustentou a “necessidade de promover uma leitura do regulamento administrativo alinhada com o regime constitucional de tutela da privacidade”. Em essência, Mendes destacou que a previsão de compartilhamento amplo dos dados pessoais dos cidadãos entre os órgãos públicos conflita com o direito constitucional à proteção de dados e à privacidade. O relator reconheceu a legitimidade de ferramentas tecnológicas para maior eficiência do Estado, mas frisou que há limites quando se tratam de dados pessoais.
“É certo que a Constituição Federal impõe ao Estado o dever de desenvolver a atividade administrativa do modo mais eficiente, mais econômico e mais adequado ao interesse público. Naturalmente, o cumprimento da determinação constitucional pressupõe emprego das mais modernas tecnologias e soluções computacionais, sobretudo em um contexto de amplo desenvolvimento de ferramentas digitais, de modernas aplicações de informática e de computação em nuvem (cloud computing). É impensável que, na sociedade moderna, as repartições públicas operem com instrumentos defasados, renunciando à tecnologia, às ferramentas digitais, e desprezando as melhores práticas gerenciais. Ou seja, não é dado ao Estado virar as costas para o progresso tecnológico, tampouco permanecer amarrado ao passado. Cuida-se de mais cristalina aplicação do princípio da eficiência administrativa.”
Apesar disso, prossegue Mendes, “qualquer interpretação no sentido de possibilitar ampla, irrestrita e irresponsável difusão dos dados pessoais custodiados pelo Estado conflita não apenas com diversas previsões expressas do próprio decreto presidencial, mas principalmente com preceitos sensíveis que compõem a espinha dorsal da Constituição da República e da Lei Geral de Proteção de Dados Pessoais, como os direitos à privacidade e à autodeterminação informativa”. Nesse sentido, entende o relator, qualquer tentativa de abertura ampla dos elementos contidos Cadastro Base do Cidadão, mesmo que restrita ao conjunto de órgãos públicos federais, conflitaria frontalmente com as normas que orientam o tratamento de dados pessoais.
O advogado e professor Danilo Doneda, que sustentou a posição da OAB junto ao STF, ressaltou que a posição firme e repetida da Corte Suprema sobre esse assunto vai consolidando o direito à proteção de dados no Brasil. No caso do uso de dados pela administração pública, marca-se uma linha entre os ganhos tecnológicos e o direito constitucional à proteção de dados.
"O ponto mais importante é que o STF muda uma tradição que vinha desde o decreto 8789/18, depois virou o 10.046/19, que são normativos feitos sob a consideração de que a questão da administração de dados pessoais pelo Estado é só sobre eficiência. A eficiência existe de verdade. Mas, hoje em dia, não se pode trabalhar com isso sem também levar em conta riscos, exigências, problemas que podem ser criados se não se colocar nenhum tipo de controle ou transparência para os cidadãos", afirmou Doneda.
O advogado ressalta que "uma coisa muito forte é que se o gestor não cumprir a LGPD, pode responder pela lei de improbidade – ou seja, em caso de dolo, o gestor de dados no setor público está sujeito não apenas às penalidades da LGPD mas da Lei de Improbidade. Isso é muito relevante e vai elevar a outro patamar o nível de cuidado quando tratar de dados pessoais pelo setor público".
Como resultado, a decisão do STF lista uma série de parâmetros que devem ser incorporados nas regras administrativas para o compartilhamento de dados na administração pública:
1. O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública, pressupõe: a) eleição de propósitos legítimos, específicos e explícitos para o tratamento de dados (art. 6º, inciso I, da Lei 13.709/2018); b) compatibilidade do tratamento com as finalidades informadas (art. 6º, inciso II); c) limitação do compartilhamento ao mínimo necessário para o atendimento da finalidade informada (art. 6º, inciso III); bem como o cumprimento integral dos requisitos, garantias e procedimentos estabelecidos na Lei Geral de Proteção de Dados, no que for compatível com o setor público.
2. O compartilhamento de dados pessoais entre órgãos públicos pressupõe rigorosa observância do art. 23, inciso I, da Lei 13.709/2018, que determina seja dada a devida publicidade às hipóteses em que cada entidade governamental compartilha ou tem acesso a banco de dados pessoais, “fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos”.
3. O acesso de órgãos e entidades governamentais ao Cadastro Base do Cidadão fica condicionado ao atendimento integral das diretrizes acima arroladas, cabendo ao Comitê Central de Governança de Dados, no exercício das competências aludidas nos arts. 21, incisos VI, VII e VIII do Decreto 10.046/2019:
3.1. prever mecanismos rigorosos de controle de acesso ao Cadastro Base do Cidadão, o qual será limitado a órgãos e entidades que comprovarem real necessidade de acesso aos dados pessoais nele reunidos. Nesse sentido, a permissão de acesso somente poderá ser concedida para o alcance de propósitos legítimos, específicos e explícitos, sendo limitada a informações que sejam indispensáveis ao atendimento do interesse público, nos termos do art. 7º, 70 ADI 6649 / DF inciso III, e art. 23, caput e inciso I, da Lei 13.709/2018;
3.2. justificar prévia e minudentemente, à luz dos postulados da proporcionalidade, da razoabilidade e dos princípios gerais de proteção da LGPD, tanto a necessidade de inclusão de novos dados pessoais na base integradora (art. 21, inciso VII) como a escolha das bases temáticas que comporão o Cadastro Base do Cidadão (art. 21, inciso VIII).
3.3. instituir medidas de segurança compatíveis com os princípios de proteção da LGPD, em especial a criação de sistema eletrônico de registro de acesso, para efeito de responsabilização em caso de abuso.
4. O compartilhamento de informações pessoais em atividades de inteligência observará o disposto em legislação específica e os parâmetros fixados no julgamento da ADI 6.529, quais sejam: (i) adoção de medidas proporcionais e estritamente necessárias ao atendimento do interesse público; (ii) instauração de procedimento administrativo formal, acompanhado de prévia e exaustiva motivação, para permitir o controle de legalidade pelo Poder Judiciário; (iii) utilização de sistemas eletrônicos de segurança e de registro de acesso, inclusive para efeito de responsabilização em caso de abuso; e (iv) observância dos princípios gerais de proteção e dos direitos do titular previstos na LGPD, no que for compatível com o exercício dessa função estatal.
5. O tratamento de dados pessoais promovido por órgãos públicos ao arrepio dos parâmetros legais e constitucionais (ingerência) importará a responsabilidade civil do Estado pelos danos suportados pelos particulares, na forma dos arts. 42 e seguintes da Lei 13.709/2018, associada ao exercício do direito de regresso contra os servidores e agentes políticos responsáveis pelo ato ilícito, em caso de dolo ou culpa.
6. A transgressão dolosa ao dever de publicidade estabelecido no art. 23, inciso I, da LGPD, fora das hipóteses constitucionais de sigilo, importará a responsabilização do agente estatal por ato de improbidade administrativa, nos termos do art. 11, inciso IV, da Lei 8.429/92, sem prejuízo da aplicação das sanções disciplinares previstas nos estatutos dos servidores públicos federais, municipais e estaduais.
Finalmente, a decisão determina que a nova norma deve atribuir ao Comitê Central de Governança de Dados um perfil independente e plural, aberto à participação efetiva de representantes de outras instituições democráticas; e (ii) conferir aos seus integrantes garantias mínimas contra influências indevidas.
Por nota oficial, as entidades dizem que os 17 setores contemplados pela desoneração da folha empregam 9,3 milhões de profissionais, e apenas nos dois primeiros meses de 2024 foram criados 151 mil novos empregos.
Novo regulamento sobre comunicação de incidentes de segurança já está valendo na Autoridade de Dados. Medidas sairam no Diário Oficial da União.
Secretaria de Educação estadual diz que ideia é aprimorar material de aulas do terceiro bimestre dos anos finais do fundamental e médio.
"A ideia é usar para antecipar para 2026 a cobertura em localidades que seriam atendidas em 2029 ou 2030", explicou o secretário de Telecomunicações, Hermano Tercius.
Login único pelo Acesso Gov.br é o serviço mais procurado, usado por 752 prefeituras. Prova de Vida é usada por 248.
