As Administrações Públicas mundiais são as maiores controladoras de dados pessoais de seus cidadãos[1]. No Brasil não poderia ser diferente.

Isso toma relevância especialmente se considerarmos a quantidade de órgãos e de pessoas jurídicas de direito público da Administração Indireta com as quais o cidadão comum possui vínculo, como o Sistema Único de Saúde (SUS) e o Instituto Nacional de Seguridade Social (INSS), e também as pessoas jurídicas de direito privado que desempenham atividade pública, como os cartórios de registro civil e de documentos.

A Constituição Federal de 1988 introduziu em seu artigo 5º, inciso XII, a inviolabilidade do sigilo de dados como direito fundamental. Trata-se de um dos modos de assegurar o direito à privacidade, cujo conteúdo é preenchido por disposições encontradas em outros locais da mesma Constituição – como os incisos X e XI do mesmo artigo – e na legislação infraconstitucional.

Não é inusual, contudo, nos depararmos com casos de vazamento de informações sigilosas em virtude de “falhas” ou gaps nos sistemas adotados pelas entidades governamentais. Veja-se, por exemplo, a mais recente polêmica envolvendo o Detran do Rio Grande do Norte (Detran/RN), em que uma brecha em seu sistema teria disponibilizado dados de mais de 70 milhões de brasileiros que possuem Carteira Nacional de Habilitação (CNH)[2].

Soma-se a isso, de forma igualmente relevante, o contexto de escândalos de vazamentos de dados provenientes de ataques maliciosos de hackers ou de práticas comerciais obscuras, como foi o caso da já famosa Cambridge Analytica.

Embora o tratamento de dados pessoais já tenha sido regulamentado por leis esparsas, como a Lei de Acesso à Informação (Lei n.º 12.527/11)[3], a Lei do Habeas Data (Lei n.º 9.507/97) e o Marco Civil da Internet (Lei n.º 12.965/14), a Lei Geral de Proteção de Dados – LGPD (Lei 13.709/18) foi sancionada em 2018 para cuidar do assunto de forma centralizada, haja vista a importância do tema, e entra em vigor, a princípio, em agosto deste ano.

A LGPD surge em um contexto que evidencia a ideia de autodeterminação informativa, trazendo novas nuances ao direito fundamental à privacidade que abrange a proteção de dados e informações disponíveis – ou não – em bases públicas ou privadas. Essa ideia colabora com a mudança translacional do pensamento de que os dados seriam um produto ou uma commodity, retornando à percepção de que, antes de tudo, os dados são uma dimensão da identidade[4].

A despeito de a LGPD cuidar do tratamento de dados pessoais tanto pelos entes públicos quanto particulares, ela não surpreendentemente possui um capítulo dedicado ao tratamento de dados pessoais pelo Poder Público.

O artigo 23 da referida lei dispõe que as pessoas jurídicas de direito público – como os entes federativos, as autarquias, fundações públicas – devem tratar os dados pessoais de suas bases com a propósito de atender à finalidade pública, perseguir o interesse público, executar as competências legais ou cumprir as atribuições legais do serviço público.

Para tanto, o Poder Público ainda deve informar as exatas hipóteses em que realiza o tratamento dos dados pessoais e designar responsável para o desempenho dessa competência, observando-se os requisitos elencados no artigo 7º da LGPD.

Em virtude de os propósitos do Poder Público elencados no artigo 23 apresentarem textura aberta, conceito tratado por Herbert Hart[5] que significa a abertura semântica de determinadas normas jurídicas, espera-se que a jurisprudência dos tribunais pátrios, sobretudo do Superior Tribunal de Justiça (STJ) e do Supremo Tribunal Federal (STF), cuide de delimitar certos conceitos legais dispostos na LGPD com o surgimento de casos concretos, sob pena de eventual uso arbitrário de determinados dados pessoais pelas autoridades públicas.

Espera-se que tais casos surjam, a rigor, a partir de agosto deste ano, mês em que se espera que a LGPD entre em vigor e deixe seu status de lei em tese – texto positivo que ainda não foi subsumido a nenhum caso.

Contudo, a desestabilização especialmente econômica[6] provocada pela pandemia do COVID-19 coloca em xeque essa expectativa inicial de vacatio legis, considerando-se a inevitável necessidade de se arcar com os custos regulatórios dessa nova legislação; e nessa perspectiva não se inclui apenas o Poder Público, com o dever positivo, dentre vários outros, de estruturar a Agência Nacional de Proteção de Dados[7], mas também as empresas de todos os portes, que terão que regularizar todos os seus procedimentos de modo a observar a LGPD.

Sem prejuízo de eventual postergação do vigor da lei, o que se deve visar é a cautela na aplicação dos conceitos legais de textura aberta presentes na LGPD, sob pena de invocação ilegal de certo propósito pelo Poder Público e consequente violação ao direito fundamental à privacidade, o que certamente deturparia o objetivo da lei de melhoria de políticas públicas e serviços públicos.

Bruna Medina é acadêmica de Direito da Universidade Federal do Paraná e compõe a equipe jurídica do escritório Klein Portugal Advogados Associados.


[1] DIAS, Jorge Alves. O que se espera do Poder Público com a LGPD?, in Comissão de Direito Digital, Tecnologia e Inteligência Artificial da 116ª Subseção da OAB/SP. Comentários à Lei Geral de Proteção de Dados. São Paulo: OAB/SP, 2020, p. 64-80.

[2] “Qualquer pessoa que acessasse a página usando um número de CPF conseguiria visualizar as informações de 70 milhões de CNHs registradas no sistema, incluindo endereço residencial, números de telefone, sexo, data de nascimento, CPF e carteira de identidade, além da foto do documento.” Disponível em https://www.tecmundo.com.br/seguranca/146780-falha-detran-vaza-dados-70-milhoes-brasileiros-cnh.htm.

[3] O presidente Jair Bolsonaro editou Medida Provisória n.º 928/20, no dia 23/03/2020, que suspende prazos de pedidos feitos conforme previsão da Lei de Acesso à Informação – LAI e prevê o atendimento prioritário aos requerimentos relacionados às medidas de enfrentamento da pandemia do COVID-19. Os demais pedidos, segundo a MP, devem ser refeitos no prazo de dez dias após o encerramento do estado de calamidade pública do país. A redação literal da Medida Provisória está disponível em http://www.in.gov.br/en/web/dou/-/medida-provisoria-n-928-de-23-de-marco-de-2020-249317429.

[4] Sobre o tema, PIETCZAK, Juliano; GLASMEYER, Rodrigo. Proteção de Dados: dos Retrocessos no Direito Fundamental à Privacidade aos Meios de Resistência. In PET Direito: Direito, Retrocesso e Resistência. Coord. SALGADO, Eneida Desiree. Curitiba: Íthala, 2019, p. 87-108.

[5] Conceito tratado em HART, Herbert L. A. O Conceito de Direito. 6ª ed. Portugal: Fundação Calouste Gulbenkian, 2007.

[6] BECKER, Daniel; BRÍGIDO, João Pedro; HAIKAL, Beatriz; CAVALHEIRO, Gabriela. Ensaio sobre a cegueira: Covid-19 e postergação da vacatio legis da LGPD. Publicado em 20/03/2020 na plataforma de notícias Jota. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/ensaio-sobre-a-cegueira-covid-19-e-postergacao-da-vacatio-legis-da-lgpd-20032020.

[7] A Lei 13.853/19, publicada em julho de 2019, criou a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por editar normas e fiscalizar procedimentos sobre proteção de dados pessoais. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/L13853.htm.