A LGPD foi publicada em 2018 e as sanções nela previstas estão vigentes desde agosto de 2021. Recentemente, em 28 de outubro, a Autoridade Nacional de Proteção de Dados (ANPD) editou a Resolução CD/ANPD 1/2021, que estabelece o regulamento dos processos de fiscalização e sancionador no âmbito da ANPD.
Nesse contexto, aumenta a expectativa dos administradores públicos em relação a quais são os seus deveres no tratamento de dados pessoais e quais as sanções cabíveis em caso de descumprimento. Afinal, a LGPD contém uma série de deveres e sanções aplicáveis às situações em que o Poder Público é o responsável pelo tratamento de dados pessoais. No entanto, há muitas incertezas sobre a extensão de tais deveres.
Maiores ainda são as dúvidas sobre as regras e sanções cabíveis às empresas estatais quando estejam realizando o tratamento de dados pessoais. E mais: sobre quais seriam as providências concretas que tais empresas devem tomar para cumprir seus deveres e se precaver frente às potenciais responsabilidades a que estão expostas.
Falar sobre empresas estatais envolve uma complexidade intrínseca. Elas são um verdadeiro ornitorrinco da Administração Pública. Por um lado, são pessoas jurídicas de direito privado, atuam muitas vezes em competição com empresas totalmente privadas, desenvolvem oportunidades de negócio. Por outro lado, integram a Administração Pública, realizam licitações, prestam contas a órgãos de controle e não se submetem a uma série de regras comerciais e societárias típicas da iniciativa privada.
Tradicionalmente, doutrina e jurisprudência enxergam as empresas estatais segundo uma concepção binária. A classificação mais comum – e da qual se extraem diversas conclusões muitas vezes equivocadas – é a que distingue as empresas estatais entre prestadoras de serviços públicos e exploradoras de atividades econômicas.
Essa visão binária, baseada no tipo de atividade desempenhada, foi adotada pela LGPD ao definir as regras aplicáveis às empresas estatais no tocante ao tratamento de dados pessoais. O art. 24 da LGPD estabelece que as empresas estatais que atuam “em regime de concorrência” terão o mesmo tratamento dispensado às pessoas de direito privado particulares; já as empresas estatais que “estiverem operacionalizando políticas públicas e no âmbito da execução delas”, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público.
Pode parecer fácil a aplicação dessas regras, mas a realidade é muito mais complexa.
Em primeiro lugar, toda empresa estatal, em maior ou menor grau, atua na operacionalização de políticas públicas. Afinal, o art. 173 da Constituição Federal exige que as empresas estatais se destinem à consecução de objetivos relacionados a relevante interesse coletivo ou imperativo de segurança nacional. Se uma empresa estatal não atende a pelo menos um desses requisitos, a rigor não deveria nem mesmo existir.
No entanto, partindo-se da premissa de que a empresa estatal estará sempre operacionalizando políticas públicas, a aplicação do art. 24 da LGPD ficaria sem sentido. Não haveria como distinguir as situações, e todas elas se enquadrariam nas regras que versam sobre o tratamento de dados pessoais pelo Poder Público. Certamente não foi essa a intenção da lei.
Em segundo lugar, as empresas estatais não se enquadram necessariamente em uma das duas hipóteses previstas de modo binário pelo art. 24 da LGPD. Há situações em que uma mesma empresa estatal explora atividades econômicas em concorrência e simultaneamente operacionaliza políticas públicas – não apenas indiretamente, como exposto acima, mas também de modo direto. Tome-se como exemplo a Caixa Econômica Federal, que presta serviços em concorrência com instituições financeiras privadas e, simultaneamente, desempenha um importante papel na execução de políticas públicas por meio de empréstimos subsidiados e outras atividades.
Em terceiro lugar, um mesmo conjunto de dados pessoais pode ser utilizado para finalidades diversas. Dados coletados por uma empresa estatal ao atuar diretamente na operacionalização de uma política pública podem em tese ser utilizados no âmbito de uma exploração de atividades econômicas não diretamente ligadas àquela política em questão.
Tudo isso torna bastante complexa a definição das regras da LGPD que são aplicáveis às empresas estatais. Para conciliar essa complexidade com a distinção estabelecida pelo art. 24 da LGPD, é necessário extrair do dispositivo qual foi o motivo da distinção criada. Parece-nos que a distinção parte da concepção de que os dados pessoais têm um valor agregado intrínseco e que a LGPD buscou no proveito econômico o fundamento para a definição das regras aplicáveis. Se o agente que realiza o tratamento de dados pessoais busca um proveito econômico, será submetido a um regime específico, que é diverso daquele aplicado ao Poder Público. No caso das empresas estatais, presente o objetivo de proveito econômico no tratamento dos dados pessoais, as regras aplicáveis serão aquelas que incidem sobre a iniciativa privada; já se a empresa estatal não estiver em busca de um proveito econômico, sua situação será equiparável à do Poder Público, aplicando-se os dispositivos do Capítulo IV da LGPD.
Portanto, a presença de um potencial proveito econômico parece ser o fundamento que orienta a previsão do art. 24 da LGPD. Por isso a distinção entre empresas estatais que atuam em concorrência e empresas estatais que estejam atuando como agentes de políticas públicas. A compreensão desse fundamento é uma baliza orientadora na aplicação do art. 24.
A partir disso, extraem-se três conclusões relevantes e úteis ao tratamento de dados pelas empresas estatais.
A primeira é que uma mesma empresa estatal poderá estar sujeita a um regime dual. Novamente se recorre ao exemplo da Caixa Econômica Federal. Se ela estiver tratando com dados pessoais apenas para operacionalizar uma política pública – como o pagamento de um auxílio emergencial, por exemplo –, serão aplicadas as regras dos arts. 23 a 32 da LGPD, que estabelecem o dever de obter dados que sejam estritamente necessários ao exercício das políticas públicas, o dever de interoperabilidade dos dados, regras específicas de compartilhamento, dentre outros. Já se os dados pessoais estão de posse da estatal para o desempenho de sua atividade econômica em concorrência, serão aplicáveis as regras que incidem sobre a iniciativa privada em geral.
A segunda conclusão é que caberá à empresa estatal um dever de cautela dobrado no tratamento de dados pessoais. Deverá não apenas compreender bem as regras aplicáveis, mas também cuidar para que os dados obtidos na operacionalização de políticas públicas não sejam utilizados nas suas atividades em concorrência (ou seja, com finalidade de proveito econômico). Neste ponto, normas e procedimentos internos de compliance no tratamento de dados serão imprescindíveis para garantir a observância das regras aplicáveis e prevenir responsabilidades.
A terceira conclusão diz respeito às sanções cabíveis às empresas estatais que eventualmente violarem os preceitos da LGPD. O art. 52 da LGPD estabelece o rol de penalidades cabíveis em geral. Há a previsão de nove modalidades de sanções, mas apenas sete são em tese aplicáveis ao Poder Público. Assim, quando a empresa estatal estiver no tratamento de dados pessoais com finalidades de proveito econômico, eventual descumprimento das regras aplicáveis levará à cominação das sanções previstas em qualquer dos incisos do art. 52 da LGPD – as quais, evidentemente, deverão ser aplicadas de modo proporcional à gravidade da violação. Já se a empresa estatal estiver de posse de dados pessoais enquanto mecanismo operacional de políticas públicas, as sanções em tese aplicáveis por violações à lei serão apenas aquelas relacionadas no §3º do art. 52 da LGPD.
Além disso, é necessário que haja uma cautela especial na aplicação de sanções às empresas estatais por violações à LGPD. Isso porque certas penalidades podem gerar prejuízos à consecução das próprias políticas públicas. É o que ocorre, por exemplo, com a penalidade de suspensão parcial do funcionamento do banco de dados (art. 52, X). Suspender o funcionamento de um banco de dados que é essencial à execução de políticas públicas por uma empresa estatal acaba por comprometer a própria execução dessas políticas, num autêntico “throw the baby out with the bath water”.
Isso não quer dizer que as empresas estatais devam ser imunes à incidência das sanções da LGPD. Muito menos que não se deva ter cautelas na aplicação de sanções à iniciativa privada. No entanto, é necessário que haja parcimônia na aplicação de sanções, ainda mais no presente momento, que ainda é de compreensão e adaptação às regras da lei.
Em conclusão, parece-nos que o critério do proveito econômico no tratamento de dados pessoais é um importante fator para a correta compreensão do regime jurídico e sancionatório da LGPD em relação às empresas estatais. A partir desse critério, pode-se interpretar adequadamente o art. 24 da lei e, por conseguinte, tem-se mais clareza a respeito das normas, cautelas, responsabilidades e sanções cabíveis.
_____________________________
1 Publicado originalmente no JOTA: https://www.jota.info/opiniao-e-analise/artigos/lgpd empresas-estatais-sancoes-aplicaveis-24112021 (acesso em 26.11.21).