Informativo Eletrônico - Edição 177 - Novembro / 2021

LGPD, EMPRESAS ESTATAIS E SANÇÕES APLICÁVEIS O critério do proveito econômico é baliza importante para a aplicação da LGPD às estatais¹

Rafael Wallbach Schwind

A LGPD foi publicada em 2018 e as sanções nela previstas estão  vigentes desde agosto de 2021. Recentemente, em 28 de outubro, a  Autoridade Nacional de Proteção de Dados (ANPD) editou a Resolução  CD/ANPD 1/2021, que estabelece o regulamento dos processos de fiscalização  e sancionador no âmbito da ANPD. 

Nesse contexto, aumenta a expectativa dos administradores públicos em  relação a quais são os seus deveres no tratamento de dados pessoais e quais  as sanções cabíveis em caso de descumprimento. Afinal, a LGPD contém uma  série de deveres e sanções aplicáveis às situações em que o Poder Público é o  responsável pelo tratamento de dados pessoais. No entanto, há muitas  incertezas sobre a extensão de tais deveres.  

Maiores ainda são as dúvidas sobre as regras e sanções cabíveis às  empresas estatais quando estejam realizando o tratamento de dados pessoais.  E mais: sobre quais seriam as providências concretas que tais empresas  devem tomar para cumprir seus deveres e se precaver frente às potenciais  responsabilidades a que estão expostas.  

Falar sobre empresas estatais envolve uma complexidade intrínseca.  Elas são um verdadeiro ornitorrinco da Administração Pública. Por um lado,  são pessoas jurídicas de direito privado, atuam muitas vezes em competição  com empresas totalmente privadas, desenvolvem oportunidades de negócio.  Por outro lado, integram a Administração Pública, realizam licitações, prestam  contas a órgãos de controle e não se submetem a uma série de regras  comerciais e societárias típicas da iniciativa privada.  

Tradicionalmente, doutrina e jurisprudência enxergam as empresas  estatais segundo uma concepção binária. A classificação mais comum – e da  qual se extraem diversas conclusões muitas vezes equivocadas – é a que  distingue as empresas estatais entre prestadoras de serviços públicos e  exploradoras de atividades econômicas.  

Essa visão binária, baseada no tipo de atividade desempenhada, foi  adotada pela LGPD ao definir as regras aplicáveis às empresas estatais no  tocante ao tratamento de dados pessoais. O art. 24 da LGPD estabelece que  as empresas estatais que atuam “em regime de concorrência” terão o mesmo  tratamento dispensado às pessoas de direito privado particulares; já as empresas estatais que “estiverem operacionalizando políticas públicas e no  âmbito da execução delas”, terão o mesmo tratamento dispensado aos órgãos  e às entidades do Poder Público. 

Pode parecer fácil a aplicação dessas regras, mas a realidade é muito  mais complexa. 

Em primeiro lugar, toda empresa estatal, em maior ou menor grau, atua  na operacionalização de políticas públicas. Afinal, o art. 173 da Constituição  Federal exige que as empresas estatais se destinem à consecução de  objetivos relacionados a relevante interesse coletivo ou imperativo de  segurança nacional. Se uma empresa estatal não atende a pelo menos um  desses requisitos, a rigor não deveria nem mesmo existir.  

No entanto, partindo-se da premissa de que a empresa estatal estará  sempre operacionalizando políticas públicas, a aplicação do art. 24 da LGPD  ficaria sem sentido. Não haveria como distinguir as situações, e todas elas se  enquadrariam nas regras que versam sobre o tratamento de dados pessoais  pelo Poder Público. Certamente não foi essa a intenção da lei.  

Em segundo lugar, as empresas estatais não se enquadram  necessariamente em uma das duas hipóteses previstas de modo binário pelo  art. 24 da LGPD. Há situações em que uma mesma empresa estatal explora  atividades econômicas em concorrência e simultaneamente operacionaliza  políticas públicas – não apenas indiretamente, como exposto acima, mas  também de modo direto. Tome-se como exemplo a Caixa Econômica Federal,  que presta serviços em concorrência com instituições financeiras privadas e,  simultaneamente, desempenha um importante papel na execução de políticas  públicas por meio de empréstimos subsidiados e outras atividades.  

Em terceiro lugar, um mesmo conjunto de dados pessoais pode ser  utilizado para finalidades diversas. Dados coletados por uma empresa estatal  ao atuar diretamente na operacionalização de uma política pública podem em  tese ser utilizados no âmbito de uma exploração de atividades econômicas não  diretamente ligadas àquela política em questão.  

Tudo isso torna bastante complexa a definição das regras da LGPD que  são aplicáveis às empresas estatais. Para conciliar essa complexidade com a distinção estabelecida pelo art. 24 da LGPD, é necessário extrair do dispositivo  qual foi o motivo da distinção criada. Parece-nos que a distinção parte da  concepção de que os dados pessoais têm um valor agregado intrínseco e que  a LGPD buscou no proveito econômico o fundamento para a definição das  regras aplicáveis. Se o agente que realiza o tratamento de dados pessoais  busca um proveito econômico, será submetido a um regime específico, que é  diverso daquele aplicado ao Poder Público. No caso das empresas estatais,  presente o objetivo de proveito econômico no tratamento dos dados pessoais,  as regras aplicáveis serão aquelas que incidem sobre a iniciativa privada; já se  a empresa estatal não estiver em busca de um proveito econômico, sua  situação será equiparável à do Poder Público, aplicando-se os dispositivos do Capítulo IV da LGPD.

Portanto, a presença de um potencial proveito econômico parece ser o  fundamento que orienta a previsão do art. 24 da LGPD. Por isso a distinção  entre empresas estatais que atuam em concorrência e empresas estatais que  estejam atuando como agentes de políticas públicas. A compreensão desse  fundamento é uma baliza orientadora na aplicação do art. 24.

A partir disso, extraem-se três conclusões relevantes e úteis ao  tratamento de dados pelas empresas estatais.  

A primeira é que uma mesma empresa estatal poderá estar sujeita a um  regime dual. Novamente se recorre ao exemplo da Caixa Econômica Federal.  Se ela estiver tratando com dados pessoais apenas para operacionalizar uma política pública – como o pagamento de um auxílio emergencial, por exemplo –,  serão aplicadas as regras dos arts. 23 a 32 da LGPD, que estabelecem o dever  de obter dados que sejam estritamente necessários ao exercício das políticas  públicas, o dever de interoperabilidade dos dados, regras específicas de  compartilhamento, dentre outros. Já se os dados pessoais estão de posse da  estatal para o desempenho de sua atividade econômica em concorrência,  serão aplicáveis as regras que incidem sobre a iniciativa privada em geral.  

A segunda conclusão é que caberá à empresa estatal um dever de  cautela dobrado no tratamento de dados pessoais. Deverá não apenas  compreender bem as regras aplicáveis, mas também cuidar para que os dados  obtidos na operacionalização de políticas públicas não sejam utilizados nas  suas atividades em concorrência (ou seja, com finalidade de proveito  econômico). Neste ponto, normas e procedimentos internos de compliance no  tratamento de dados serão imprescindíveis para garantir a observância das  regras aplicáveis e prevenir responsabilidades.  

A terceira conclusão diz respeito às sanções cabíveis às empresas  estatais que eventualmente violarem os preceitos da LGPD. O art. 52 da LGPD  estabelece o rol de penalidades cabíveis em geral. Há a previsão de nove  modalidades de sanções, mas apenas sete são em tese aplicáveis ao Poder  Público. Assim, quando a empresa estatal estiver no tratamento de dados  pessoais com finalidades de proveito econômico, eventual descumprimento das  regras aplicáveis levará à cominação das sanções previstas em qualquer dos  incisos do art. 52 da LGPD – as quais, evidentemente, deverão ser aplicadas  de modo proporcional à gravidade da violação. Já se a empresa estatal estiver  de posse de dados pessoais enquanto mecanismo operacional de políticas  públicas, as sanções em tese aplicáveis por violações à lei serão apenas  aquelas relacionadas no §3º do art. 52 da LGPD.  

Além disso, é necessário que haja uma cautela especial na aplicação de  sanções às empresas estatais por violações à LGPD. Isso porque certas  penalidades podem gerar prejuízos à consecução das próprias políticas  públicas. É o que ocorre, por exemplo, com a penalidade de suspensão parcial  do funcionamento do banco de dados (art. 52, X). Suspender o funcionamento  de um banco de dados que é essencial à execução de políticas públicas por  uma empresa estatal acaba por comprometer a própria execução dessas  políticas, num autêntico “throw the baby out with the bath water”. 

Isso não quer dizer que as empresas estatais devam ser imunes à  incidência das sanções da LGPD. Muito menos que não se deva ter cautelas  na aplicação de sanções à iniciativa privada. No entanto, é necessário que haja  parcimônia na aplicação de sanções, ainda mais no presente momento, que  ainda é de compreensão e adaptação às regras da lei. 

Em conclusão, parece-nos que o critério do proveito econômico no  tratamento de dados pessoais é um importante fator para a correta  compreensão do regime jurídico e sancionatório da LGPD em relação às  empresas estatais. A partir desse critério, pode-se interpretar adequadamente  o art. 24 da lei e, por conseguinte, tem-se mais clareza a respeito das normas,  cautelas, responsabilidades e sanções cabíveis.

_____________________________
1 Publicado originalmente no JOTA: https://www.jota.info/opiniao-e-analise/artigos/lgpd empresas-estatais-sancoes-aplicaveis-24112021 (acesso em 26.11.21).

Compartilhe:

LinkedIn
WhatsApp
Rafael Wallbach Schwind
Rafael Wallbach Schwind
Doutor e Mestre em Direito do Estado pela USP. Sócio da Justen, Pereira, Oliveira & Talamini.
Rafael Wallbach Schwind
Rafael Wallbach Schwind
Doutor e Mestre em Direito do Estado pela USP. Sócio da Justen, Pereira, Oliveira & Talamini.