A Administração Pública precisa se organizar em torno de
sistemas eficientes de gestão de dados. A informatização dos dados configura
providência verdadeiramente essencial à própria viabilização estratégica da
função executiva.
De acordo com o artigo 23 da LGPD, o tratamento de
dados pessoais pelo poder público "deverá ser realizado para o
atendimento de sua finalidade pública, na persecução do interesse público, com
o objetivo de executar as competências legais ou cumprir as atribuições legais
do serviço público". Estas, portanto, as diretrizes gerais que devem
nortear a atuação da Administração Pública no manuseio de dados pessoais — sem,
é claro, descurar dos princípios gerais a ela aplicáveis, por força do que
dispõe o artigo 37, caput, da Constituição Federal [1].
No preciso exame de Bruno Feigelson e Antonio Henrique
Albani Siqueira, o dispositivo da LGPD ora em análise "estabelece em
seu caput, como norte para o tratamento de dados pelo Poder Público, o
interesse público. Em homenagem aos (...) princípios da Finalidade e da
Adequação, a regra dita que tais operações devem visar à finalidade pública,
com o objetivo de satisfazer ao interesse público"[2].
Pois bem. A diretriz geral estabelecida pelo artigo 23
da LGPD, com efeito, demonstra atenção do legislador para o atual (e real)
contexto sociopolítico, em que a Administração Pública precisa, de ordinário,
se organizar em torno de sistemas eficientes de gestão de dados. Com efeito, a
informatização dos dados, mais do que um imperativo da eficiência
administrativa e da governança pública, configura providência verdadeiramente
essencial à própria viabilização estratégica da função executiva, haja vista o
gigantesco volume de dados e informações que precisam ser diariamente
processados pelo poder público, pelos mais diversos motivos: desde cruzamento
de informações constantes de declarações do imposto de renda até a manutenção
de prontuários de pacientes em uma unidade básica de saúde.
Sem dúvidas, portanto, esses "sistemas
governamentais são alimentados por dados pessoais e sensíveis, relacionados à
saúde, a educação, a previdência, ao imposto de renda, a assistência social, a
informação bancária, dentre tantas outras informações pessoais que estão em
poder da Administração Pública"[3].
Ocorre que, como acertadamente reconhece Danilo Doneda, o
tratamento de dados pessoais — sobretudo por meio de processos automatizados —
é uma atividade de risco, que "se concretiza na possibilidade de
exposição e utilização indevida ou abusiva de dados pessoais, na eventualidade
desses dados não serem corretos e representarem erroneamente seu titular, em
sua utilização por terceiros sem o conhecimento deste, somente para citar
algumas hipóteses reais"[4].
Daí a se cogitar, também no contexto do tratamento de dados
pessoais pelo poder público — e talvez com ainda maior razão —, a observância
do já mencionado princípio da responsabilização (artigo 6º, X): como
observam Bruno Feigelson et al., o artigo 31 da LGPD evidencia a aplicação
deste princípio à órbita pública, prevendo "a aplicação de medidas
cabíveis pela ANPD na hipótese de ser verificada qualquer infração ao disposto
na LGPD durante o tratamento de dados por órgãos públicos"[5].
Nada obstante, embora os artigos 31 e 32 componham a Seção
II ("Da Responsabilidade") do Capítulo IV ("Do tratamento de
dados pessoais pelo Poder Público") da LGPD, os referidos dispositivos não
trazem, propriamente, um regime especial de responsabilização dos órgãos e
entidades do poder público no contexto do tratamento de dados pessoais. Na
percepção de Bruno Feigelson e Antonio Henrique Albani
Siqueira, "(...) não há definição sobre a imputação de
responsabilidade administrativa, civil ou penal aos entes públicos
responsáveis, mas apenas o estabelecimento de diretrizes genéricas para a
Autoridade Nacional. De todo modo, interessante observar que, mais à frente, o
art. 55-J, VIII, confere à ANPD a competência de ‘comunicar aos órgãos de
controle interno o descumprimento do disposto nesta Lei praticado por órgãos e
entidades da administração pública federal’, o que indica, ao menos, que o
órgão deverá reportar eventuais infrações aos respectivos responsáveis para a
tomada das providências cabíveis"[6].
Com efeito, ainda que se possa extrair da disciplina
jurídica da LGPD fundamentos seguros para a atribuição de responsabilidade
pessoal a agentes públicos por eventuais danos causados pelo tratamento de
dados pessoais, no campo da improbidade administrativa e da responsabilização
criminal o escopo da presente investigação cuida não da responsabilização
pessoal do agente público que dê causa ao dano, mas, sim, da responsabilidade
civil das pessoas jurídicas de direito público por danos decorrentes do
tratamento de dados pessoais, no regime estabelecido pela LGPD.
E, nesse sentido, não se podendo extrair dos artigos 31
e 32 — nada obstante a sua topografia na norma — qualquer regime especial de
responsabilidade do poder público pelo tratamento de dados pessoais, necessário
direcionar o exame aos artigos 42 a 45 da Lei Geral de Proteção de Dados.
Cabe ressaltar, em primeiro lugar, que em que pese estarem
os dispositivos inseridos no Capítulo VI da LGPD (Dos agentes de tratamento de
dados pessoais), não se cogita da responsabilização da pessoa física
responsável pelo tratamento, seja porque: 1) decorre da própria dicção
constitucional que "as pessoas jurídicas de direito público e as
de direito privado prestadoras de serviços públicos responderão pelos danos que
seus agentes causarem"; 2) a teor do artigo 5º, VI e VII, da
LGPD, tanto o controlador quanto o operador (mencionados no caput do
artigo 42) podem ser pessoas jurídicas de direito público.
Em segundo lugar, a previsão de responsabilidade civil
objetiva para os danos decorrentes do tratamento de dados pessoais não
configura qualquer novidade, tendo em vista o regime geral da responsabilidade
civil do Estado. Contudo, caberia indagar: é possível cogitar de
responsabilidade subjetiva da Administração Pública em se tratando de eventual
violação decorrente de omissão?
A resposta que se impõe é, efetivamente, negativa. Isso
porque os princípios da segurança, da prevenção e da responsabilização e
prestação de contas (artigo 6º, VII, VIII e X, da LGPD) impõem ao
agente de tratamento de dados pessoais a utilização de "medidas
técnicas e administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou difusão", além da adoção de "medidas
para prevenir a ocorrência de danos em virtude do tratamento de dados
pessoais" — e, também, da demonstração da adoção dessas mesmas
medidas.
Inequivocamente, o regime jurídico estabelecido pela LGPD
investe o controlador e o operador da condição de garantidores da não
ocorrência de danos em virtude do tratamento de dados pessoais. Deve-se
lembrar, neste sentido, que eventual omissão da Administração Pública na adoção
de cautelas e demais procedimentos de segurança (por imposição expressa dos
princípios da segurança e da prevenção) no tratamento de dados pessoais, tendo
em vista a sua posição de controladora ou operadora, jamais consistirá em
omissão genérica, mas, sim, em omissão específica, a atrair o regime geral da
responsabilidade civil objetiva previsto no artigo 37, §6º, da
Constituição Federal — em consonância com a jurisprudência pacífica do
Supremo Tribunal Federal (AI 852.237 AgR, relator min. Celso de Mello,
2ª Turma, julgado em 25/6/2013).
Remanesce, entretanto, importante questão atinente ao nexo
de causalidade. Como decorrência da aplicação da teoria objetiva, apenas se
cogitará do afastamento da responsabilidade pela ocorrência do dano caso reste
demonstrada a inexistência do próprio evento lesivo ou do liame de causalidade
estabelecido entre a conduta (comissiva ou omissiva) da Administração Pública e
o dano suportado pelo particular.
Assim, quanto às hipóteses dos incisos I e III do
artigo 43 da LGPD (que tratam, respectivamente, da inexistência de conduta
e da culpa exclusiva da vítima ou de terceiro), não subsistem maiores
questionamentos. Uma vez verificadas no caso concreto, em tese, poderão afastar
a responsabilização da pessoa jurídica de direito público controladora ou
operadora de dados pessoais — incumbindo o ônus da prova ao próprio agente
de tratamento.
Situação interessante, todavia, no artigo 43, II, da
LGPD: recorde-se que, de acordo com tal dispositivo, o agente de tratamento de
dados pessoais não será responsabilizado quando provar que, embora tenha
realizado o tratamento de dados pessoais que lhes é atribuído, não houve
violação à legislação de proteção de dados. Ou seja, aqui não há negativa de
autoria (o agente admite que realizou o tratamento de dados pessoais), nem
tampouco fato exclusivo do titular dos dados pessoais ou de terceiro.
Entretanto, buscará o agente de tratamento de dados pessoais
— lembre-se de que nesse caso estamos falando de pessoa jurídica de
direito público — demonstrar que não houve violação à legislação de proteção de
dados. Ou seja, que não houve ilegalidade. Ocorre que, conforme visto, no
regime de responsabilidade civil objetiva, a legalidade ou a ilegalidade da
conduta administrativa são circunstâncias irrelevantes para fins de verificação
do dever de indenizar.
Portanto, o afastamento desta responsabilidade quando o
agente demonstrar, sem negar a autoria, que não houve violação à lei, embora
seja aplicável aos particulares investidos da qualidade de agentes de
tratamento de dados, é inservível às hipóteses em que os agentes sejam pessoas
jurídicas de direito público [7], sob pena de inconstitucionalidade, por
afronta a cláusula geral do artigo 37, §6º, da Constituição Federal. Desse
modo, o artigo 43, II, da LGPD deve ser lido em conformidade com o
mencionado dispositivo constitucional, para que em seu âmbito de incidência não
estejam inseridas as pessoas jurídicas de direito público, que, no contexto da
proteção de dados pessoais, sempre responderão (por ação ou omissão)
objetivamente.
Fonte: Consultor Jurídico