1. Introdução
A Lei Geral de Proteção de Dados (“LGPD”) trouxe diversas atualizações por meio da redação dada pela recente Lei 13.853/2019. As determinações sobre o tratamento devido pela Administração Pública aos dados pessoais, contudo, foram atualizadas em somente alguns pontos específicos.
Ainda assim, a nova redação trouxe uma maior abertura para os estudos referentes à proteção de dados de um modo geral, abrindo caminhos para a análise da LGPD em conjunto com várias outras áreas do direito privado e do direito público, inclusive nos âmbitos penal e eleitoral.
O tema das desestatizações também pode ser analisado em conexão com a LGPD. Os questionamentos que se fazem são os seguintes: até que ponto, por quais motivos e de que forma a Administração Pública pode utilizar os dados coletados e tratados pela empresa estatal depois que ela é desestatizada? A forma de tratamento se altera depois da desestatização?
O presente artigo volta-se a entender quais são os deveres e os limites que a Administração Pública carrega com relação aos dados pessoais coletados e tratados por uma empresa que deixa de ser estatal.
2. O contexto das desestatizações no Brasil
As empresas estatais (sociedades de economia mista e empresas públicas) são mecanismos utilizados pelo Estado para a exploração de atividades de natureza econômica quando estão presentes os pressupostos constitucionais do relevante interesse coletivo ou da proteção da segurança nacional. Sua atuação pode se dar de diversas formas e inclusive em ambiente concorrencial.
A Lei do Programa Nacional de Desestatização (Lei 9.491/1997) define os objetivos das desestatizações no seu art. 1º. Na maioria dos casos, ocorrem por motivos econômicos: busca-se atrair mais investimentos privados e reduzir a necessidade de investimentos estatais.
Empresas, serviços, instituições financeiras e bens móveis e imóveis podem ser objeto de desestatização, conforme estabelece o art. 2º da Lei 9.491/1997. No caso das empresas, para que sejam desestatizadas, precisam estar sob controle direto ou indireto da Administração Pública Direta (União, Estados, Distrito Federal e Municípios).
É essencial ressaltar que as empresas estatais, mesmo sendo controladas por entes públicos e tendo sua criação autorizada por lei, possuem personalidade jurídica de direito privado, fazendo parte da Administração Pública Indireta. Ainda assim, lidam com dados pessoais e devem seguir as diretrizes de proteção de dados, já que aptas ao exercício do serviço público.
3. Os dados coletados e tratados pelas empresas estatais
Como visto, as empresas estatais possuem personalidade jurídica de direito privado, mas a Administração Pública mantém controle total (empresas públicas) ou de forma majoritária (sociedade de economia mista) sobre elas. Portanto, elas coletam e tratam dados pessoais em nome da Administração Pública quando executoras de serviços públicos.
Durante o controle público, coexistem dois regimes no que diz respeito aos dados pessoais coletados e tratados pelas empresas estatais. O art. 24 da LGPD e seu parágrafo único divisam, respectivamente, como a Administração Pública deve lidar com os dados pessoais não relacionados à execução de políticas públicas e com os dados pessoais relacionados a elas.
Quando operadoras de políticas públicas, as empresas estatais devem receber o “mesmo tratamento dispensado aos órgãos e às entidades do Poder Público” (parágrafo único do art. 24 da LGPD), mantendo os dados por elas coletados e tratados “em formato interoperável e estruturado para o uso compartilhado” (art. 25 da LGPD) e compartilhando tais dados apenas quando atendidas as “finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais” (art. 26 da LGPD).
Considerando que as estatais também exercem atividades em regime de concorrência, a LGPD determinou que, nesses casos de prestação de serviços estritamente privados, elas deveriam receber “o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares” (art. 24).
4. Os dados coletados e tratados pelas empresas após a desestatização
Quando as empresas estatais são desestatizadas, a Administração Pública perde o controle sobre elas, mas elas não deixam de ter coletado ou tratado dados pessoais anteriormente.
Após a desestatização, não se aplica mais o disposto no art. 24 da LGPD aos dados pessoais coletados, já que as empresas passam a exercer atividades puramente de cunho privado. Ou seja, as empresas desestatizadas deixam de exercer função pública, mesmo que por delegação contratual 2 (concessão) ou por vias de ato unilateral (delegação ou autorização).
Contudo, faz sentido que a Administração Pública dispense aos dados anteriormente coletados e processados pela empresa estatal o tratamento definido pelo art. 23 da LGPD, ainda que essa definição não esteja claramente versada no texto da lei.
Desse modo, o tratamento dos dados anteriormente coletados pela então empresa estatal apenas poderá ser “realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público” e desde que respeitados os critérios dos incisos I e III do referido artigo.
5. Os deveres da Administração Pública com relação aos dados coletados e tratados pela empresa quando estatal
Como verificado, quando as empresas estatais estiverem exercendo atividade em regime de concorrência, submetem-se ao mesmo regime de proteção de dados pessoais a que se subordinam as empresas privadas sem capital de titularidade do Estado (art. 24 da LGPD).
O que perdura após a desestatização é que elas deixam de exercer atividades públicas em sua essência. Assim, passam a exercer estritamente atividades em regime de concorrência, o que agrava ainda mais a necessidade de ter os dados por elas tratados e coletados anteriormente respeitados pela Administração Pública.
Essa responsabilidade aumenta no caso das desestatizações porque a Administração Pública teve anteriormente acesso aos dados da empresa quando executora de políticas públicas e nos casos em que havia interesse público.
O inciso II do art. 7º da LGPD, de início, define que o tratamento de dados pessoais somente poderá ser realizado pela Administração Pública para o tratamento e o uso compartilhado de dados “necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres”. Isso deve ser aplicado com relação aos dados pessoais coletados e tratados pelas então empresas estatais.
No entanto, a LGPD não define exatamente como a transição do tratamento dos dados deve ocorrer, tampouco especifica os deveres da Administração Pública nesses casos.
O que resta, assim, é a manutenção da aplicação do Capítulo IV da LGPD (Do tratamento de dados pessoais pelo Poder Público) diretamente aos dados pessoais coletados e tratados quando a empresa ainda era estatal.
5.1. A manutenção e o tratamento dos dados coletados e tratados pelas empresas desestatizadas
O art. 25 da LGPD define o seguinte:
“Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.”
Pode-se confirmar que o caráter do tratamento de dados pela Administração Pública deve derivar de uma necessidade pública: execução de políticas públicas, prestação e serviços públicos, descentralização da atividade pública ou acesso ao público em geral.
Isso não muda no caso dos dados pessoais coletados pela empresa quando estatal. A anterior prestação de serviços públicos enfatiza a necessidade de que os dados coletados por ela, àquela época, sejam tratados com apoio no art. 24 da LGPD.
Ademais, os dados, para esses objetivos, devem ser mantidos em caráter interoperável, isto é, sempre de um modo transparente de compartilhamento com outros sistemas. E, por ter de possuir um caráter interoperável, o dispositivo seguinte toma o cuidado de definir os limites para o compartilhamento desses dados.
5.2. O uso compartilhado dos dados coletados e tratados pelas empresas desestatizadas
O art. 26 da LGPD determina que:
“Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei.”
Levando-se em consideração que todo o contexto da LGPD prioriza os princípios de proteção de dados e da boa-fé (art. 6º da LGPD)1, é preciso que o compartilhamento desses dados, provindos de um sistema interoperável, sempre atenda às finalidades específicas de necessidades públicas.
Além disso, o art. 26 traz mais um entendimento importante de limitação do compartilhamento de dados pela Administração Pública: para o compartilhamento dos dados pessoais coletados e tratados pelas empresas, inclusive das que foram desestatizadas, além de haver o contexto de execução de uma política pública, é preciso que haja atribuições legais pelos próprios órgãos e pelas entidades públicas especificamente para esse tipo de atividades.
6. Conclusão
O presente artigo iniciou-se com o intuito de se analisar como a Administração Pública deve lidar com os dados coletados e tratados por uma empresa que antes era estatal.
Concluiu-se que ainda devem ser definidos parâmetros específicos de regulação para a transferência de controle e de operação dos dados pessoais do Estado para o particular, de modo a definir se a Administração Pública pode manter, para si, os dados que haviam sido anteriormente coletados.
Até lá, entende-se que devem ser aplicados, aos dados pessoais coletados e tratados pela empresa estatal, os dispositivos do Capítulo IV da LGPD, mesmo na hipótese de a empresa se tornar privada.
7. Adendo: considerações acerca dos ataques hackers aos sistemas do STJ e do TRF1 e as tentativas de ataque ao sistema do TSE no período das eleições municipais de 2020
O ataque hacker ocorrido no Superior Tribunal de Justiça em 03.11.2020 fez o Tribunal quase parar. Os prazos foram suspensos; as sessões e as reuniões, canceladas.
Nas eleições municipais de 15.11.2020, houve tentativas de ataque hacker ao sistema do TSE. Mesmo não tendo interferido no resultado das eleições, foram vazados dados administrativos de funcionários e ex-ministros do Tribunal2.
O Tribunal Regional da 1ª Região, em 26.11.2020, também sofreu ataque que, segundo os próprios hackers, teve o intuito de demonstrar que o sistema do Tribunal é vulnerável3.
Esses fatos demonstram, de forma empírica, a importância que os dados pessoais têm e a necessária tomada de providências pela Administração Pública e pelo Poder Judiciário quanto à proteção desses dados e à modernização tecnológica dessas formas de proteção.
Essas exigíveis ações estatais se justificam ainda mais após a atualização da LGPD, que, como visto, aplica-se e se conecta com as mais variadas áreas do conhecimento.
A Administração Pública e o Poder Judiciário, portanto, têm responsabilidades quanto à proteção dos dados privados que obtêm, aos quais têm acesso e conservam, até mesmo internacionalmente.
Como afirmado pelo Ministro Presidente do Supremo Tribunal Federal, Luiz Fux, atualmente, “é uma exigência de todas as instituições que pretendem investir no país que ele seja um país aprimorado tecnologicamente”4.
Essa exigência reflete-se diretamente no âmbito das desestatizações, que demandam investimentos nacionais e internacionais no intuito de trazer mais ativos à empresa e, inclusive, movimentar a economia.
_____________________________
1 Com relação às atividades de tratamento de dados pessoais, a LGPD determina que devem ser seguidos, além da boa-fé, o seguintes princípios: finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; e responsabilização.
_____________________________
2 Vide: https://www.tse.jus.br/imprensa/noticias-tse/2020/Novembro/tentativas-de-ataques-de hackers-ao-sistema-do-tse-nao-afetaram-resultados-das-eleicoes-afirma-barroso
_____________________________
3 Vide: https://www.conjur.com.br/2020-nov-27/trf-sofre-ataque-hacker-site-fora-ar-nesta-sexta feira
_____________________________
4 Vide: https://g1.globo.com/politica/noticia/2020/11/18/apos-ataques-de-hackers-a-stj-e-tse-fux