Vazamento de Dados pelo Poder Público: sanções e o papel da ANPD
Por Luiza Rafaela Vasconcelos Chaffim e Eduarda Chacon
O Capítulo IV da Lei Geral de Proteção de Dados (LGPD) se dedica ao tratamento de dados pessoais pelo Poder Público. Ressalvadas as exceções previstas na própria lei, a administração pública se submete ao mesmo regime jurídico para tratamento de dados pessoais aplicado ao setor privado, inclusive no tocante à responsabilização pelo eventual incidente de segurança.
É pertinente destacar, neste panorama, que o artigo 23 da LGPD preceitua que o tratamento de dados pelas pessoas jurídicas de direito público atenderá a finalidade e observará o interesse público, o que não significa qualquer tipo de flexibilização, mas pelo contrário, até um rigor adicional de cautela quanto à finalidade do tratamento, considerado o enorme volume de dados pessoais à disposição da administração pública.
Neste sentido, o Supremo Tribunal Federal decidiu, na análise conjunta da ADI 6649 e da ADPF 695, sob relatoria do Ministro Gilmar Mendes, que o compartilhamento de dados pessoais entre entes da administração pública deve observar alguns parâmetros, dentre eles o cumprimento integral da LGPD, pois a permissão de acesso a dados, segundo o relator, deve se limitar ao que for indispensável ao interesse público, resguardando-se propósitos legítimos, específicos e explícitos para o tratamento.
Este também foi o objeto da ADI de nº 6387, apreciada igualmente pela Suprema Corte por ocasião da pandemia do COVID 19, em que se reconheceu a proteção de dados pessoais enquanto direito fundamental autônomo. Ali prevaleceu o entendimento da relatora, a Ministra Rosa Weber, no sentido de que em que pese a gravidade da crise sanitária, devem prevalecer as garantias fundamentais consagradas pela Constituição, de forma que se vedou o compartilhamento de dados de usuários entre as operadoras de telecomunicações e o IBGE.
É importante pontuar que compartilhamento de dados, como apreciado no STF, não se confunde com vazamento de dados, objeto da ação judicial distinta, apreciada na Justiça Federal, de nº 5028572-20.2022.4.03.6100. Na ocasião, discutia-se o suposto vazamento de informações referentes a titulares de dados beneficiados pelo programa assistencial do Governo Federal, implementando também no período de confinamento pandêmico.
Curiosamente, o magistrado responsável pelo caso condenou a União, a Caixa Econômica Federal, a Dataprev e a ANPD (Autoridade Nacional de Proteção de Dados) ao pagamento de indenização a mais de 4 milhões de beneficiários do programa Auxílio Brasil. Para além da estipulação de indenização no valor de R$15 mil para cada beneficiário a ser paga pela CEF, a justiça também condenou as instituições ao pagamento de dano moral coletivo no montante de R$40 milhões, a serem revertidos para o Fundo de Defesa de Direitos Difusos.
Com o acatamento devido, não faz sentido condenar a autoridade reguladora, que faz as vezes de agência reguladora, solidariamente aos fiscalizados.
Para além da questão formal, a decisão se consubstancia no entendimento de que os réus teriam alegadamente violado a Lei Geral de Proteção de Dados, o Código de Defesa do Consumidor e o Marco Civil da internet, ao se absterem de assegurar a proteção dos dados aos beneficiados pelo auxílio, que teriam sido supostamente ameaçados durante a campanha eleitoral de 2022.
A manutenção da sentença potencialmente inviabilizaria a continuidade da atuação do ANPD e ameaçaria todo o sistema de proteção aos dados pessoais no país, o seria uma circunstância de repercussões internacionais – e a comprovação da já conhecida ausência de letramento digital adequado no âmbito da atuação jurídica privada e institucional no Brasil.
Como se sabe, a regulação da tecnologia e da proteção de dados depende da interação plurissetorial e de uma imersão técnica dos aplicadores de direito. Por isso, ao contrário do tradicionalmente proposto, o sistema de proteção aos titulares de dados se pauta não na sanção como castigo pecuniário, mas na educação, prevenção e sanção reputacional, como incentivadores da adoção de uma nova cultura (da privacidade) e de uma nova forma de processas as informações das pessoas.
Para ilustrar, basta pensar na sanção imposta à Secretaria de Estado da Saúde de Santa Catarina (SES-SC) pela ANPD. Em outubro deste ano, 2023, a autoridade “puniu” o ente por violação aos artigos 48 e 49 da LGPD. De quatro infrações, três foram consideradas graves. Na forma que no despacho sancionador, a SES-SC foi negligente em relação a segurança dos sistemas de armazenamento e tratamento de dados, bem como falhou em não comunicar de modo assertivo e claro os mais de 300 mil titulares afetados pelo incidente.
O entendimento é no sentido de que houve violação direta ao artigo 48 da LGPD, o qual dispõe sobre a comunicação dos incidentes de segurança: “Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.”
Mesmo diante de um incidente considerado grave sob ângulos diversos, a ANPD optou muito mais por “puxar a orelha” do controlador do que aplicar multas, ainda que esteja dentro de suas prerrogativas sancionar pecuniariamente agentes de tratamento em milhões de reais.
Com efeito, privilegiando a boa-fé e a construção de um ambiente de colaboração mútua, a ANPD elaborou um Guia Orientativo voltado à administração pública (“Tratamento de Dados Pessoais pelo Poder Público”). Embora as orientações não sejam cogentes, o compliance com elas poderá, inclusive, servir de atenuante em situações como a enfrentada pela SES-SC, por exemplo.
Atualmente, o guia está em sua segunda versão e traz uma série de parâmetros e conceitos chave a serem adotados por entidades e órgãos públicos na adequação à legislação de dados.
Em conclusão, a ANPD possui um papel fundamental de equilibrar as prerrogativas da administração pública com a proteção do melhor interesse da legislação de dados, o que ainda é um desafio em face da celeridade com que as coisas se transformam na sociedade que agora já é algorítmica.
Para auxiliá-la, os aplicadores do direito devem se informar e se educar, em cultura digital, bem como os agentes de tratamento e toda a sociedade, como um todo. Implementar uma cultura de privacidade depende de um esforço coletivo que conduza à atuação regulatória e jurisdicional esclarecida e preocupada com o interesse público.