Supremo Tribunal Federal conclui julgamento sobre compartilhamento de dados pela Administração Pública

Ana Beatriz Sanchez Saad

No último dia 15 de setembro, o Supremo Tribunal Federal (STF) concluiu o julgamento quanto ao compartilhamento de dados no âmbito da Administração Pública Federal, bem como quanto aoCadastro Base do Cidadão e do Comitê Central de Governança de Dados, cuja criação foi determinada pelo Decreto Presidencial nº 10.046/2019. De acordo com o Decreto, o Cadastro Base do Cidadão é destinado a, entre outras finalidades dispostas em seu art. 16, “facilitar o compartilhamento de dados cadastrais do cidadão entre os órgãos da administração pública” e servirá, de acordo com o art. 17, como “base de referência de informações sobre cidadãos para os órgãos e entidades do Poder Executivo federal”. Ao Comitê Central de Governança de Dados compete, entre outras funções, deliberar quanto à “escolha e aprovação das bases temáticas que serão integradas ao Cadastro Base do Cidadão”, bem como quanto à “categorização de compartilhamento amplo, restrito e específico” (art. 21). Entre outros dados, o Decreto  estabelece que deverão compor a base integradora o nome, CPF, estado civil, título de eleitor, além de dados biométricos dos cidadãos (art. 18).

O julgamento, sob Relatoria do Ministro Gilmar Mendes, teve por objeto a ADI 6649 e a ADPF 695, ajuizadas, respectivamente, pelo Conselho Federal da Ordem dos Advogados do Brasil (OAB) e pelo Partido Socialista Brasileiro (PSB), que questionaram a validade do mencionado Decreto Presidencial. De acordo com matéria da Associação dos Advogados de São Paulo (AASP), publicada em 1º de setembro de 2022, as ações apontavam que o compartilhamento de dados, na forma como estabelecido, representaria violação aos princípios da privacidade e proteção de dados, bem como da autodeterminação informativa. Em análise conjunta da ADI 6649 e ADPF 695, o Plenário decidiu pela parcial procedência das ações.

Em seu voto, o Ministro Gilmar Mendes firmou o entendimento de que o compartilhamento de dados pessoais entre os órgãos da Administração Pública deverá seguir os princípios e as restrições estabelecidos pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Além disso, decidiu-se pela inconstitucionalidade do art. 22 do Decreto, que estabelece a composição do Comitê Central de Governança de Dados. Nesse sentido, o Relator concedeu ao Chefe do Poder Executivo o prazo de 60 dias para “(i) atribuir ao órgão um perfil independente e plural, aberto à participação efetiva de representantes de outras instituições democráticas; e (ii) conferir aos seus integrantes garantias mínimas contra influências indevidas”.

O Relator ainda estabeleceu uma série de princípios a serem observados para que seja possível o compartilhamento de dados entre os órgãos públicos. Entre eles, menciona-se, por exemplo, a existência de propósitos legítimos, específicos e explícitos para o tratamento de dados; a compatibilidade do tratamento com as finalidades informadas e a limitação do compartilhamento ao mínimo necessário para o atendimento destas; o cumprimento integral dos requisitos, garantias e procedimentos previstos pela LGPD; e devida publicidade aos casos em que os órgãos governamentais compartilharem ou tiverem acesso a banco de dados pessoais.

Por fim, o Ministro Gilmar Mendes ainda firmou o entendimento de que, caso o compartilhamento de dados não atenda aos parâmetros legais e constitucionais, o Estado terá responsabilidade civil pelos eventuais danos causados aos particulares. O Relator ressalvou, porém, que, em sendo constatados dolo ou culpa por parte do servidor ou agente político responsável pela violação, a Administração Pública poderá mover ação de regresso contra este. Além disso, o agente estatal que, dolosamente, transgredir ao dever de publicidade (art. 23, inciso I, da LGPD), exceto nas hipóteses constitucionais de sigilo, responderá por ato de improbidade administrativa (art. 11, inciso IV, da Lei nº 8.429/92), sem prejuízo da aplicação das sanções disciplinares previstas nos estatutos dos servidores públicos federais, municipais e estaduais.

O julgamento, sob Relatoria do Ministro Gilmar Mendes, teve por objeto a ADI 6649 e a ADPF 695, ajuizadas, respectivamente, pelo Conselho Federal da Ordem dos Advogados do Brasil (OAB) e pelo Partido Socialista Brasileiro (PSB), que questionaram a validade do mencionado Decreto Presidencial. De acordo com matéria da Associação dos Advogados de São Paulo (AASP), publicada em 1º de setembro de 2022, as ações apontavam que o compartilhamento de dados, na forma como estabelecido, representaria violação aos princípios da privacidade e proteção de dados, bem como da autodeterminação informativa. Em análise conjunta da ADI 6649 e ADPF 695, o Plenário decidiu pela parcial procedência das ações.

Em seu voto, o Ministro Gilmar Mendes firmou o entendimento de que o compartilhamento de dados pessoais entre os órgãos da Administração Pública deverá seguir os princípios e as restrições estabelecidos pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Além disso, decidiu-se pela inconstitucionalidade do art. 22 do Decreto, que estabelece a composição do Comitê Central de Governança de Dados. Nesse sentido, o Relator concedeu ao Chefe do Poder Executivo o prazo de 60 dias para “(i) atribuir ao órgão um perfil independente e plural, aberto à participação efetiva de representantes de outras instituições democráticas; e (ii) conferir aos seus integrantes garantias mínimas contra influências indevidas”.

O Relator ainda estabeleceu uma série de princípios a serem observados para que seja possível o compartilhamento de dados entre os órgãos públicos. Entre eles, menciona-se, por exemplo, a existência de propósitos legítimos, específicos e explícitos para o tratamento de dados; a compatibilidade do tratamento com as finalidades informadas e a limitação do compartilhamento ao mínimo necessário para o atendimento destas; o cumprimento integral dos requisitos, garantias e procedimentos previstos pela LGPD; e devida publicidade aos casos em que os órgãos governamentais compartilharem ou tiverem acesso a banco de dados pessoais.

Por fim, o Ministro Gilmar Mendes ainda firmou o entendimento de que, caso o compartilhamento de dados não atenda aos parâmetros legais e constitucionais, o Estado terá responsabilidade civil pelos eventuais danos causados aos particulares. O Relator ressalvou, porém, que, em sendo constatados dolo ou culpa por parte do servidor ou agente político responsável pela violação, a Administração Pública poderá mover ação de regresso contra este. Além disso, o agente estatal que, dolosamente, transgredir ao dever de publicidade (art. 23, inciso I, da LGPD), exceto nas hipóteses constitucionais de sigilo, responderá por ato de improbidade administrativa (art. 11, inciso IV, da Lei nº 8.429/92), sem prejuízo da aplicação das sanções disciplinares previstas nos estatutos dos servidores públicos federais, municipais e estaduais.

O presente conteúdo possui finalidade meramente informativa e sem caráter de aconselhamento jurídico. As informações aqui contidas não devem ser utilizadas ou aplicadas indistintamente a fatos ou circunstâncias concretas sem consulta prévia a um advogado. As opiniões aqui contidas são as expressadas pelo(s) respectivo(s) autor(es) e podem não necessariamente refletir a opinião do escritório ou dos clientes do escritório; e estão sujeitas a alteração sem ulterior notificação.