O Estado brasileiro é o responsável pelo maior volume de tratamento de dados pessoais no território brasileiro. União, Estados, Distrito Federal e Municípios tratam dados pessoais dos mais de 215 milhões de habitantes, além de estrangeiros que, de uma forma ou outra, mantêm relacionamentos com o Brasil. Esse volume implica, por óbvio gigantesca responsabilidade da Administração Pública porquanto inseparáveis das prestações de serviços dedicadas à população, com cadastros de contribuintes, alunos, pacientes da rede pública de saúde, e servidores, sendo que, por definição, todos os tratamentos de dados pessoais realizados devem ocorrer, não sendo facultativos à administração pública, por intermédio dos três Poderes, que, também pelo princípio da legalidade, são obrigados a realizá-los em conformidade com a LGPD no setor público.
Essa obrigação de tratar as informações que identificam ou tornam identificáveis pessoas naturais, permanece acompanhada do inafastável cumprimento das demais normas pertinentes, em especial a LGPD porquanto compreendida nos termos do artigo 37 da Constituição da República Federativa do Brasil de 1988 (CRFB/88), que consagra o princípio da legalidade, ao lado da impessoalidade, moralidade, publicidade e eficiência.
Tais princípios condicionam a atuação estatal em todas as suas dimensões e, em especial, na coleta, uso e compartilhamento de dados pessoais, impondo limites e deveres correlatos, nos termos da Emenda Constitucional nº 115, promulgada em 10 de fevereiro de 2022, que elevou a proteção de dados pessoais, inclusive nos meios digitais, à condição de direito fundamental, reforçando a obrigatoriedade de observância desses parâmetros, conforme inciso LXXIX do art. 5º da Constituição Federal.
Importante relembrar que o Supremo Tribunal Federal, ao julgar a ADI 6.387/DF, em decisão de 2020, reconheceu expressamente o direito fundamental à proteção de dados pessoais e à autodeterminação informativa como direitos fundamentais implícitos na Constituição de 1988, mesmo antes da promulgação da Emenda Constitucional nº 115/2022. No referido julgamento, que analisava a Medida Provisória nº 954/2020 (que previa o compartilhamento de dados de usuários de telefonia com o IBGE durante a pandemia da COVID-19), o Tribunal assentou que a autodeterminação informativa decorre da cláusula geral de proteção da dignidade da pessoa humana (art. 1º, III, CF/88) e do direito à privacidade (art. 5º, X, CF/88), garantindo ao titular o poder de decidir sobre o fluxo de suas informações pessoais. Assim, estabeleceu-se no Brasil, em sede de controle concentrado de constitucionalidade, a proteção de dados como direito fundamental autônomo, reforçando o caráter vinculante da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) no âmbito da Administração Pública e Privada.
Esse diálogo normativo é integrado, também, pelos termos do §6º do art. 37 da CRFB/88, que consagra a responsabilidade objetiva do Estado, segundo a teoria do risco administrativo, alcançando os danos causados por seus agentes, nessa qualidade, a terceiros. Assim, quando ocorrem incidentes como vazamentos, acessos não autorizados ou uso indevido de dados pessoais por órgão público ou em decorrência de conduta pública, o titular prejudicado deve apenas comprovar o dano e o nexo causal, dispensando-se a demonstração de dolo ou culpa do agente (DI PIETRO, 2023). A obrigação de reparar, portanto, é devida independentemente da verificação subjetiva da conduta da administração pública por intermédio de seus agentes.
Contudo, vale relembrar que essa regra não afasta a possibilidade de direito de regresso contra o servidor ou gestor responsável, nas hipóteses de dolo ou culpa grave, conforme também previsto no §6º do art. 37 da CRFB/88. Condutas como o compartilhamento ilícito de bases cadastrais, a falta de indicação do DPO, a não implementação de medidas de segurança recomendadas ou a resistência em atender determinações do encarregado pela proteção de dados pessoais (DPO) configuram, ao menos em tese, culpa grave e ensejam ação regressiva (MENDES; COELHO; BRANCO, 2022), pela administração em face do gestor e do servidor.
Nesses termos, violação à Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) por parte de entes públicos pode, ainda, configurar ato de improbidade administrativa, conforme Lei nº 8.429/1992, alterada pela Lei nº 14.230/2021, uma vez que o art. 11 tipifica como improbidade a ofensa aos princípios da Administração Pública, de modo que o uso abusivo ou desvirtuado de dados pessoais, seja para perseguição política, enriquecimento ilícito, discriminação, ou mesmo o compartilhamento indevido, podem resultar em sanções como o pagamento de multas, indenizações, e, até, a perda da função pública, suspensão de direitos políticos e multa civil.
No plano internacional, o Regulamento Geral de Proteção de Dados da União Europeia (Regulation (EU) 2016/679 – GDPR) contempla as mesmas imposições que a LGPD a organismos públicos como a observância da legalidade, e o dever de adotar medidas técnicas e organizacionais adequadas (art. 24), cujo descumprimento implica a responsabilidade do controlador e do operador pelo tratamento ilícito (art. 82), responsabilidade essa que poderá voltar-se aos servidores públicos.
Embora o GDPR não utilize expressamente o regime de responsabilidade objetiva para o setor público, impõe aos Estados-Membros a obrigação de assegurar a reparação integral dos danos, aproximando-se, na prática, da tutela oferecida pelo modelo brasileiro, que expressamente constitucionaliza essa responsabilidade (KUNER et al., 2020), como ocorre no Brasil.
Por seu turno, a Autoridade Nacional de Proteção de Dados (ANPD), no exercício de seu poder sancionador (art. 55-J, XVIII, da LGPD), já aplicou penalidades a órgãos públicos. Casos recentes incluem advertências formais, determinação de elaboração de Relatórios de Impacto à Proteção de Dados (RIPD), exigência de correção de bases legais utilizadas em programas governamentais e imposição de publicização da infração.
Vale observar que, embora nos termos do art. 52, §3º, da LGPD, entes públicos não estejam sujeitos à multa pecuniária aplicada pela ANPD, as sanções aplicáveis – como a suspensão do tratamento irregular e a obrigação de adoção de medidas corretivas – geram impactos reputacionais e operacionais significativos, aos quais podem se somar sanções pecuniárias fixadas em processos judiciais ou termos de ajustes de condutas as quais, suportadas pelo Estado, conferem a este o direito de regresso contra os servidores, o que também ocorre em relação aos apontamentos pelas cortes de contas.
A relevância do tema conduziu a própria Autoridade Nacional de Proteção de Dados Pessoais – ANPD a elaborar o Guia Orientativo para o Tratamento de Dados Pessoais pelo Poder Público, em 2023, reforçando, por exemplo, que a base legal mais comum para a atuação estatal é o cumprimento de obrigações legais e regulatórias ao lado da a execução de políticas públicas (art. 7º, II e III, e art. 23 da LGPD), dispensando, em regra, o consentimento do titular, mas sem afastar a observância dos princípios da finalidade, necessidade, transparência e segurança, além de alertar para a necessidade de inserção de cláusulas de proteção de dados em contratos administrativos e convênios, prevenindo responsabilizações solidárias.
Portanto, a responsabilidade da Administração Pública pelo tratamento de dados pessoais é ampla e multifacetada: objetiva em relação ao titular lesado; regressiva contra servidores e gestores que ajam com dolo ou culpa grave; e potencialmente sancionatória no campo da improbidade administrativa. A comparação com o GDPR demonstra convergência quanto à proteção do titular e à responsabilização de agentes, mas evidencia que o modelo constitucional brasileiro oferece maior amplitude protetiva ao adotar a responsabilidade objetiva do Estado. Observar os parâmetros constitucionais, da LGPD e das orientações da ANPD é condição indispensável para a preservação da confiança social e da legitimidade do exercício do poder público na era digital.
Quer ler mais textos desse autor? Clique aqui e entenda porque os PROCONs são protagonistas na proteção de dados pessoais.
Referências
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil. Brasília, DF: Senado Federal, 1988.
BRASIL. Emenda Constitucional nº 115, de 10 de fevereiro de 2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais. Diário Oficial da União: seção 1, Brasília, DF, 11 fev. 2022.
BRASIL. Lei nº 8.429, de 2 de junho de 1992. Dispõe sobre improbidade administrativa. Diário Oficial da União: seção 1, Brasília, DF, 3 jun. 1992.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União: seção 1, Brasília, DF, 15 ago. 2018.
BRASIL. Autoridade Nacional de Proteção de Dados. Guia Orientativo para o Tratamento de Dados Pessoais pelo Poder Público. Brasília, DF: ANPD, 2023.
DI PIETRO, Maria Sylvia Zanella. Direito Administrativo. 36. ed. Rio de Janeiro: Forense, 2023.
KUNER, Christopher; BYGRAVE, Lee A.; DOCKSEY, Christopher (org.). The EU General Data Protection Regulation (GDPR): A Commentary. Oxford: Oxford University Press, 2020.
MENDES, Gilmar Ferreira; COELHO, Inocêncio Mártires; BRANCO, Paulo Gustavo Gonet. Curso de Direito Constitucional. 15. ed. São Paulo: Saraiva, 2022.
