Informativo Eletrônico - Edição 167 - Janeiro / 2021

AS DESESTATIZAÇÕES E A LGPD: COMO A ADMINISTRAÇÃO PÚBLICA DEVE LIDAR COM OS DADOS PESSOAIS COLETADOS E TRATADOS PELAS EMPRESAS DESESTATIZADAS

Amanda Celeste Marinho Koslinski
André Guskow Cardoso
Rafael Wallbach Schwind

1. Introdução

A Lei Geral de Proteção de Dados (“LGPD”) trouxe diversas atualizações  por meio da redação dada pela recente Lei 13.853/2019. As determinações  sobre o tratamento devido pela Administração Pública aos dados pessoais,  contudo, foram atualizadas em somente alguns pontos específicos.  

Ainda assim, a nova redação trouxe uma maior abertura para os estudos  referentes à proteção de dados de um modo geral, abrindo caminhos para a  análise da LGPD em conjunto com várias outras áreas do direito privado e do  direito público, inclusive nos âmbitos penal e eleitoral. 

O tema das desestatizações também pode ser analisado em conexão  com a LGPD. Os questionamentos que se fazem são os seguintes: até que  ponto, por quais motivos e de que forma a Administração Pública pode utilizar os  dados coletados e tratados pela empresa estatal depois que ela é  desestatizada? A forma de tratamento se altera depois da desestatização?

O presente artigo volta-se a entender quais são os deveres e os limites  que a Administração Pública carrega com relação aos dados pessoais coletados  e tratados por uma empresa que deixa de ser estatal. 

2. O contexto das desestatizações no Brasil 

As empresas estatais (sociedades de economia mista e empresas  públicas) são mecanismos utilizados pelo Estado para a exploração de  atividades de natureza econômica quando estão presentes os pressupostos  constitucionais do relevante interesse coletivo ou da proteção da segurança  nacional. Sua atuação pode se dar de diversas formas e inclusive em ambiente  concorrencial. 

A Lei do Programa Nacional de Desestatização (Lei 9.491/1997) define os objetivos das desestatizações no seu art. 1º. Na maioria dos casos, ocorrem  por motivos econômicos: busca-se atrair mais investimentos privados e reduzir a  necessidade de investimentos estatais.

Empresas, serviços, instituições financeiras e bens móveis e imóveis  podem ser objeto de desestatização, conforme estabelece o art. 2º da Lei  9.491/1997. No caso das empresas, para que sejam desestatizadas, precisam  estar sob controle direto ou indireto da Administração Pública Direta (União,  Estados, Distrito Federal e Municípios).

É essencial ressaltar que as empresas estatais, mesmo sendo  controladas por entes públicos e tendo sua criação autorizada por lei, possuem  personalidade jurídica de direito privado, fazendo parte da Administração Pública  Indireta. Ainda assim, lidam com dados pessoais e devem seguir as diretrizes de  proteção de dados, já que aptas ao exercício do serviço público. 

3. Os dados coletados e tratados pelas empresas estatais

Como visto, as empresas estatais possuem personalidade jurídica de  direito privado, mas a Administração Pública mantém controle total (empresas  públicas) ou de forma majoritária (sociedade de economia mista) sobre elas.  Portanto, elas coletam e tratam dados pessoais em nome da Administração  Pública quando executoras de serviços públicos.

Durante o controle público, coexistem dois regimes no que diz respeito  aos dados pessoais coletados e tratados pelas empresas estatais. O art. 24 da  LGPD e seu parágrafo único divisam, respectivamente, como a Administração  Pública deve lidar com os dados pessoais não relacionados à execução de  políticas públicas e com os dados pessoais relacionados a elas. 

Quando operadoras de políticas públicas, as empresas estatais devem  receber o “mesmo tratamento dispensado aos órgãos e às entidades do Poder  Público” (parágrafo único do art. 24 da LGPD), mantendo os dados por elas  coletados e tratados “em formato interoperável e estruturado para o uso  compartilhado” (art. 25 da LGPD) e compartilhando tais dados apenas quando  atendidas as “finalidades específicas de execução de políticas públicas e  atribuição legal pelos órgãos e pelas entidades públicas, respeitados os  princípios de proteção de dados pessoais” (art. 26 da LGPD).

Considerando que as estatais também exercem atividades em regime de  concorrência, a LGPD determinou que, nesses casos de prestação de serviços  estritamente privados, elas deveriam receber “o mesmo tratamento dispensado  às pessoas jurídicas de direito privado particulares” (art. 24). 

4. Os dados coletados e tratados pelas empresas após a desestatização  

Quando as empresas estatais são desestatizadas, a Administração  Pública perde o controle sobre elas, mas elas não deixam de ter coletado ou  tratado dados pessoais anteriormente. 

Após a desestatização, não se aplica mais o disposto no art. 24 da  LGPD aos dados pessoais coletados, já que as empresas passam a exercer  atividades puramente de cunho privado. Ou seja, as empresas desestatizadas  deixam de exercer função pública, mesmo que por delegação contratual  2  (concessão) ou por vias de ato unilateral (delegação ou autorização).

Contudo, faz sentido que a Administração Pública dispense aos dados  anteriormente coletados e processados pela empresa estatal o tratamento  definido pelo art. 23 da LGPD, ainda que essa definição não esteja claramente  versada no texto da lei. 

Desse modo, o tratamento dos dados anteriormente coletados pela  então empresa estatal apenas poderá ser “realizado para o atendimento de sua  finalidade pública, na persecução do interesse público, com o objetivo de  executar as competências legais ou cumprir as atribuições legais do serviço  público” e desde que respeitados os critérios dos incisos I e III do referido artigo.

5. Os deveres da Administração Pública com relação aos dados coletados  e tratados pela empresa quando estatal  

Como verificado, quando as empresas estatais estiverem exercendo  atividade em regime de concorrência, submetem-se ao mesmo regime de  proteção de dados pessoais a que se subordinam as empresas privadas sem  capital de titularidade do Estado (art. 24 da LGPD).

O que perdura após a desestatização é que elas deixam de exercer  atividades públicas em sua essência. Assim, passam a exercer estritamente  atividades em regime de concorrência, o que agrava ainda mais a necessidade de ter os dados por elas tratados e coletados anteriormente respeitados pela  Administração Pública.

Essa responsabilidade aumenta no caso das desestatizações porque a  Administração Pública teve anteriormente acesso aos dados da empresa quando  executora de políticas públicas e nos casos em que havia interesse público. 

O inciso II do art. 7º da LGPD, de início, define que o tratamento de  dados pessoais somente poderá ser realizado pela Administração Pública para o  tratamento e o uso compartilhado de dados “necessários à execução de políticas  públicas previstas em leis e regulamentos ou respaldadas em contratos,  convênios ou instrumentos congêneres”. Isso deve ser aplicado com relação aos  dados pessoais coletados e tratados pelas então empresas estatais.

No entanto, a LGPD não define exatamente como a transição do  tratamento dos dados deve ocorrer, tampouco especifica os deveres da  Administração Pública nesses casos.

O que resta, assim, é a manutenção da aplicação do Capítulo IV da  LGPD (Do tratamento de dados pessoais pelo Poder Público) diretamente aos dados pessoais coletados e tratados quando a empresa ainda era estatal.

5.1. A manutenção e o tratamento dos dados coletados e tratados pelas  empresas desestatizadas  

O art. 25 da LGPD define o seguinte: 

“Art. 25. Os dados deverão ser mantidos em formato  interoperável e estruturado para o uso compartilhado, com vistas  à execução de políticas públicas, à prestação de serviços  públicos, à descentralização da atividade pública e à  disseminação e ao acesso das informações pelo público em  geral.”

Pode-se confirmar que o caráter do tratamento de dados pela  Administração Pública deve derivar de uma necessidade pública: execução de  políticas públicas, prestação e serviços públicos, descentralização da atividade  pública ou acesso ao público em geral. 

Isso não muda no caso dos dados pessoais coletados pela empresa  quando estatal. A anterior prestação de serviços públicos enfatiza a necessidade  de que os dados coletados por ela, àquela época, sejam tratados com apoio no  art. 24 da LGPD. 

Ademais, os dados, para esses objetivos, devem ser mantidos em  caráter interoperável, isto é, sempre de um modo transparente de  compartilhamento com outros sistemas. E, por ter de possuir um caráter  interoperável, o dispositivo seguinte toma o cuidado de definir os limites para o  compartilhamento desses dados. 

5.2. O uso compartilhado dos dados coletados e tratados pelas  empresas desestatizadas 

O art. 26 da LGPD determina que: 

“Art. 26. O uso compartilhado de dados pessoais pelo Poder  Público deve atender a finalidades específicas de execução de  políticas públicas e atribuição legal pelos órgãos e pelas  entidades públicas, respeitados os princípios de proteção de  dados pessoais elencados no art. 6º desta Lei.”

Levando-se em consideração que todo o contexto da LGPD prioriza os  princípios de proteção de dados e da boa-fé (art. 6º da LGPD)1, é preciso que o  compartilhamento desses dados, provindos de um sistema interoperável, sempre  atenda às finalidades específicas de necessidades públicas.

Além disso, o art. 26 traz mais um entendimento importante de limitação  do compartilhamento de dados pela Administração Pública: para o  compartilhamento dos dados pessoais coletados e tratados pelas empresas,  inclusive das que foram desestatizadas, além de haver o contexto de execução  de uma política pública, é preciso que haja atribuições legais pelos próprios órgãos e pelas entidades públicas especificamente para esse tipo de atividades. 

6. Conclusão

O presente artigo iniciou-se com o intuito de se analisar como a  Administração Pública deve lidar com os dados coletados e tratados por uma  empresa que antes era estatal.  

Concluiu-se que ainda devem ser definidos parâmetros específicos de  regulação para a transferência de controle e de operação dos dados pessoais do  Estado para o particular, de modo a definir se a Administração Pública pode manter, para si, os dados que haviam sido anteriormente coletados.

Até lá, entende-se que devem ser aplicados, aos dados pessoais coletados e tratados pela empresa estatal, os dispositivos do Capítulo IV da  LGPD, mesmo na hipótese de a empresa se tornar privada. 

7. Adendo: considerações acerca dos ataques hackers aos sistemas do  STJ e do TRF1 e as tentativas de ataque ao sistema do TSE no período  das eleições municipais de 2020 

O ataque hacker ocorrido no Superior Tribunal de Justiça em 03.11.2020  fez o Tribunal quase parar. Os prazos foram suspensos; as sessões e as  reuniões, canceladas. 

Nas eleições municipais de 15.11.2020, houve tentativas de ataque  hacker ao sistema do TSE. Mesmo não tendo interferido no resultado das  eleições, foram vazados dados administrativos de funcionários e ex-ministros do  Tribunal2.  

O Tribunal Regional da 1ª Região, em 26.11.2020, também sofreu  ataque que, segundo os próprios hackers, teve o intuito de demonstrar que o  sistema do Tribunal é vulnerável3.  

Esses fatos demonstram, de forma empírica, a importância que os dados  pessoais têm e a necessária tomada de providências pela Administração Pública  e pelo Poder Judiciário quanto à proteção desses dados e à modernização  tecnológica dessas formas de proteção. 

Essas exigíveis ações estatais se justificam ainda mais após a  atualização da LGPD, que, como visto, aplica-se e se conecta com as mais  variadas áreas do conhecimento. 

A Administração Pública e o Poder Judiciário, portanto, têm  responsabilidades quanto à proteção dos dados privados que obtêm, aos quais  têm acesso e conservam, até mesmo internacionalmente. 

Como afirmado pelo Ministro Presidente do Supremo Tribunal Federal,  Luiz Fux, atualmente, “é uma exigência de todas as instituições que pretendem  investir no país que ele seja um país aprimorado tecnologicamente”4

Essa exigência reflete-se diretamente no âmbito das desestatizações,  que demandam investimentos nacionais e internacionais no intuito de trazer  mais ativos à empresa e, inclusive, movimentar a economia. 

_____________________________
1 Com relação às atividades de tratamento de dados pessoais, a LGPD determina que devem ser  seguidos, além da boa-fé, o seguintes princípios: finalidade; adequação; necessidade; livre  acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; e  responsabilização.

_____________________________
2 Vide: https://www.tse.jus.br/imprensa/noticias-tse/2020/Novembro/tentativas-de-ataques-de hackers-ao-sistema-do-tse-nao-afetaram-resultados-das-eleicoes-afirma-barroso

_____________________________
3 Vide: https://www.conjur.com.br/2020-nov-27/trf-sofre-ataque-hacker-site-fora-ar-nesta-sexta feira

_____________________________
4 Vide: https://g1.globo.com/politica/noticia/2020/11/18/apos-ataques-de-hackers-a-stj-e-tse-fux  

Compartilhe:

LinkedIn
WhatsApp
Amanda Celeste Marinho Koslinski
André Guskow Cardoso
André Guskow Cardoso
Mestre em Direito do Estado pela USP. Sócio da Justen, Pereira, Oliveira & Talamini.
Rafael Wallbach Schwind
Rafael Wallbach Schwind
Doutor e Mestre em Direito do Estado pela USP. Sócio da Justen, Pereira, Oliveira & Talamini.
Amanda Celeste Marinho Koslinski
André Guskow Cardoso
André Guskow Cardoso
Mestre em Direito do Estado pela USP. Sócio da Justen, Pereira, Oliveira & Talamini.
Rafael Wallbach Schwind
Rafael Wallbach Schwind
Doutor e Mestre em Direito do Estado pela USP. Sócio da Justen, Pereira, Oliveira & Talamini.