Violação à LGPD configura ato de improbidade administrativa

Violação à LGPD configura ato de improbidade administrativa

Átila Melo Silva*

29 de novembro de 2020 | 08h00

Átila Melo Silva. FOTO: DIVULGAÇÃO

O art. 1º da Lei nº 13.709/2018, da Lei Geral de Proteção de Dados Pessoais (LGPD), não deixa dúvidas de que as regras, deveres e cuidados no tratamento de dados pessoais também se aplicam aos órgãos e entidades públicas. A referida norma deixa claro que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação e responsabilização e prestação de contas.

A LGPD prevê dentre outros pontos que a coleta e armazenamento de dados pessoais só pode ser feita com o consentimento do titular. Ademais, é necessário esclarecer o que será tratado, quais são os propósitos e se haverá compartilhamento, vedado em todo caso o uso dos dados para fins ilícitos ou discriminatórios.

Em se tratando de crianças, a lei exige que haja o consentimento dos pais ou responsáveis legais. Em caso de compartilhamento ou alteração na finalidade de uso dos dados pessoais, um novo consentimento deve ser solicitado. Vale ressaltar que o usuário ou cliente pode revogar a autorização a qualquer momento.

No caso do setor público, a principal finalidade do tratamento de dados está relacionada à execução de políticas públicas, relacionadas a saúde, segurança, previdência social, dentre outras, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. O tratamento para cumprimento de obrigação legal ou regulatória pelo controlador também é uma hipótese comum no serviço público. Nessas duas situações, o consentimento do titular de dados é dispensado.

Convém destacar ainda que a administração pública em geral deve observar princípios específicos no âmbito de sua atuação, especialmente aqueles contidos no art. 37, da Constituição Federal, quais sejam: princípio da legalidade, impõe que as ações públicas só podem ser realizadas se tiverem fundamento legal; princípio da impessoalidade estabelece que a ação do Poder Público e, consequentemente dos agentes públicos, deve ser orientada para o interesse público primário, entendido como o interesse da coletividade; princípio da moralidade impõe a observância de princípios éticos, sendo o mais importante o comportamento final do agente público, não tendo importância a sua intenção subjetiva; princípio da eficiência, por sua vez, estabelece a necessidade de adequado emprego dos recursos públicos para cumprimento do interesse público primário.

Importante deixar claro que o fato da administração pública ter autorização legal para tratamento de dados em determinadas hipóteses, sem o consentimento do titular, não lhe exime do cumprimento de todos os princípios e deveres impostos pela LGPD, visando preservar os dados pessoais coletados e tratados.

Dentro desde contexto, a LGPD estabelece série de sanções à violação de suas normas jurídicas (princípios e regras), conforme previsão do artigo 52 , que incluem: advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total a R$ 50 milhões por infração; multa diária, observado o limite total a que se refere o inciso II; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais a que se refere a infração; suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período; proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Importante notar que a penalidade de multa não se aplica à administração pública. Todavia, isso não quer dizer que as punições aos agentes públicos sejam mais brandas, pelo contrário. Isso porque analisando as sanções previstas na LGPD em conjunto com os princípios administrativos e demais leis aplicáveis, como a Lei de Improbidade Administrativa, é possível concluir o seguinte:

  1. a) A operação de tratamento de dados pessoais pelo Poder Público é ato administrativo, aplicando-se, além das previsões sobre tratamento de dados aplicáveis às organizações privadas as obrigações típicas do Poder Público;
  1. b) A violação de um (ou mais) princípio referente à proteção de dados pelo administrador público resulta em violação de princípio constitucional da administração pública; e
  1. g) A violação de norma referente a proteção de dados, pelo agente público, configura ato de improbidade administrativa, ensejando além da invalidade do ato em si, a possibilidade de afetação do patrimônio pessoal do servidor público, nos termos do artigo 12 da Lei de Improbidade Administrativa e Estatuto do Servidor Público Federal, sem prejuízo das demais medidas punitivas previstas na LGPD.

Dentro deste contexto, episódios ocorridos entre 2018 e 2019, como o vazamento de dados de segurados do INSS, de motoristas do Detran do RN ou do Programa de Incentivo à Cultura (ProAC)  e vendas de dados relacionados ao RG, ambos do Estado de São Paulo, e vazamento de informações de notas fiscais eletrônicas de serviços de mais de 60 municípios, fatos amplamente divulgados pela mídia, poderiam fundamentar tranquilamente ações de improbidade administrativa contra os responsáveis da administração pública por tais órgãos, caso já estivesse em vigor a LGPD a época dos fatos, sujeitando o patrimônio pessoal destas pessoas a eventuais condenações impostas em processo judicial.

Desta forma, os agentes públicos que tratam dados pessoais devem adotar todas as medidas cabíveis no sentido de assegurar que os princípios e regas previstos na LGPD, quanto à preservação e coleta de dados, sejam efetivamente cumpridos, sob pena de responder por ato de improbidade administrativa, respondendo seu patrimônio pessoal por eventuais irregularidades comprovadas.

*Átila Melo Silva, advogado especialista em direito digital

Comentários

Os comentários são exclusivos para assinantes do Estadão.