A responsabilidade extracontratual do estado no tratamento de dados pessoais

2 de setembro de 2020

A responsabilidade extracontratual do estado no tratamento de dados pessoais

Escrito por

No contexto de uma cultura digital, o atual potencial de coleta, processamento e utilização de dados pessoais pode acarretar graves riscos aos direitos da personalidade do cidadão, ao acesso aos serviços e bens, além de insegurança jurídica para o ambiente de negócios de tecnologia da informação existente no país.

Diante desse cenário, a Lei Geral de Proteção de Dados Pessoais – LGPD, Lei Federal nº 13.709/2018, instituiu regras expressas de como deve ocorrer o tratamento de dados pessoais fornecidos por pessoas naturais, visando à proteção e salvaguarda dos usuários. Assim, todos os sujeitos de tratamento terão que adotar medidas de segurança, técnicas e administrativas, aptas para realizar o tratamento efetivo de proteção dos dados pessoais das pessoas naturais que a lei busca resguardar. E referido diploma disciplina o tratamento de dados pessoais não apenas pelos entes privados, mas também pelas pessoas jurídicas de direito público (Capítulo IV, LGPD), sendo os fundamentos e princípios da referida legislação aplicáveis tanto à Administração Pública direta e indireta, quanto aos Poderes Legislativo e Poder Judiciário, incluindo, ainda, as Cortes de Contas e o Ministério Público.

Assim, o artigo 23 da Lei Geral de Proteção de Dados Pessoais determina que o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. Dessa forma, deverão ser fornecidas informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução das atividades de tratamento de dados pessoais, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos, bem como deverá ser indicado um encarregado.[1] É dizer, os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

Não se pode olvidar que um dos maiores interessados na coleta de dados pessoais é a própria Administração Pública, que exige dos titulares a exposição constante e crescente de suas informações pessoais para fins de execução de políticas públicas previstas em leis e regulamentos. Assim, ainda que a Administração Pública atue em persecução do interesse público, isso não a isenta de, eventualmente, realizar tratamento indevido dos dados pessoais coletados, seja por falta de um programa maduro de segurança digital ou mesmo em razão do uso de dados pessoais para fins ilícitos – não pautados pelo princípio da finalidade.

Por isso, a Administração Pública, necessariamente, deverá realizar a implementação de políticas de integridade efetivas ao cumprimento da lei, e não apenas para ser coerente com as exigências feitas ao setor privado, mas para dar cumprimento ao princípio da legalidade, estando diretamente sujeita às penalidades da LGPD. Do contrário, haverá responsabilização quando da sua atuação como controladora ou operadora de dados pessoais, aplicando-se-lhe a teoria da responsabilidade extracontratual objetiva, nos termos do artigo 37, §6, da Constituição da República de 1988.[2]

Conclui-se, portanto, que na eventualidade de exposição indevida de dados pessoais por um agente público (ato lesivo), e tal exposição (nexo causal) ensejar danos (danos patrimoniais ou morais), poderá o titular dos dados pleitear reparação pelo dano patrimonial ou moral, individual ou coletivo, causado pela exposição indevida de sua privacidade, nos termos do artigo 42 da Lei Geral de Proteção de Dados Pessoais.

 

[1] O encarregado é pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), nos termos do artigo 5º, inciso VIII, da LGPD. BRASIL. Lei Geral de Proteção de Dados Pessoais. Brasília, Lei Federal nº 13.709, de 14 de agosto de 2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 20 jul. 2020.

[2] Sobre o tema cf. RE 327.904, 1.ª T., rel. Min. Carlos Britto, j. 15.08.2006, DJ 08.09.2006.