Ilícito de violação à segurança de dados pessoais pelo Poder Público

Migalhas de Responsabilidade Civil

A novidade de leis, portarias e resoluções voltadas à implementação de tecnologias para eficientização, desburocratização e inovação no Poder Público exigem cautela tanto por parte do intérprete jurídico, quanto do gestor público. Diante da urgência por transformações, é fundamental atentar-se à dogmática e à interpretação dos enunciados normativos, observando-se a tradição, sem prejuízo a eventuais atualizações que o tempo e a experiência podem gerar na descarga argumentativa estabilizada pelo consenso. Localizam-se, assim, as funções dos enunciados dogmáticos: progresso, estabilização, descarga, técnica, controle e heurística¹.

Percebendo-se que a interpretação anda ao lado da experiência, este estudo pretende, apenas, apresentar aos leitores as novidades regulatórias e normativas que podem contribuir à compreensão do dever geral de segurança dos dados pessoais², que, ao lado da inobservância à legislação, é requisito ao tratamento irregular dos dados pessoais, conforme caput do art. 44 da lei 13.709/2018 (LGPD).

A segurança que pode ser esperada (expectativa legítima) pelo titular considera circunstâncias relevantes, tais como modo pelo qual o tratamento é realizado, o resultado e os riscos que razoavelmente dele se esperam, as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado, conforme incisos do art. 44. No parágrafo único, é também dito que responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46³ da LGPD, der causa ao dano.

Essa introdução é apresentada, porque a ilicitude e a responsabilidade civil são temas que sofreram impactos em razão da passagem do tempo, especificamente diante das transformações tecnológicas, sociais e econômicas. Muitas foram as teorias de atribuição de "novos contornos" à responsabilidade civil, inclusive, se seria possível considerá-la sem a ocorrência de dano, por exemplo. Concordando-se ou não com essas novas teorias, indiscutível que a responsabilidade civil perpassa pelo conceito de ilícito, e, no caso específico do ilícito apresentado na LGPD, fundamentado na violação à segurança, merece aprofundamento, sobretudo porque a implementação do governo digital, que recebeu direcionamentos na recente lei 14.129/2021, somente será possível a partir da operacionalização de sistemas que têm como base o tratamento de dados em sentido amplo, pessoais ou não.

Para materializar-se a relevância da conexão entre a LGPD, a lei 14.129/2021 do Governo Digital, a nova Lei de Licitações (lei 14.133/2021) e as alterações promovidas em março de 2021 na Política Nacional de Segurança da Informação (decreto 10.641/21), ao lado, também, do decreto 10.046/2019⁴, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados, para a compreensão de elementos ao dever geral de segurança diante deste contexto de transformações, parte-se de algumas premissas a partir da análise conjunta dessas normativas:

(i) a promoção do desenvolvimento tecnológico e da inovação no setor público como princípio da Governança Digital de acordo com o inciso XVI do art. 3º, da lei 14.129/2021, o qual requer leitura conjunta com a nova modalidade de contratação prevista no art. 32 da nova Lei de Licitações (lei 14.131/2021) referente aos diálogos competitivos para situações de: inovação tecnológica ou técnica; impossibilidade de o órgão ou entidade ter sua necessidade satisfeita sem a adaptação de soluções disponíveis no mercado; e impossibilidade de as especificações técnicas serem definidas com precisão suficiente pela administração pública;

(ii) a interoperabilidade e o compartilhamento de dados pessoais são as bases da governança digital, conforme inciso XIV do art. 3º, da lei 14.129/2021, que estabelece a interoperabilidade de sistemas e a promoção de dados abertos como princípio, de acordo também com o art. 25 da LGPD⁵ no diploma do tratamento de dados pessoais pelo Poder Público, e art. 17 do decreto 10.046/2019, o qual define que "o Cadastro Base do Cidadão será composto pela base integradora e pelos componentes de interoperabilidade necessários ao intercâmbio de dados dessa base com as bases temáticas, e servirá como base de referência de informações sobre cidadãos para os órgãos e entidades do Poder Executivo Federal";

(iii) o decreto 10.046/2019 prevê que a interoperabilidade observará a legislação e as recomendações técnicas estabelecidas pelo Sistema de Administração dos Recursos de Tecnologia da Informação - SISP do Poder Executivo federal, e, ainda, as recomendações do Comitê Central de Governança de Dados, conforme parágrafo único do art. 17, tendo sido a figura do Comitê instituída pelo art. 21, competindo-lhe, de acordo com os incisos II e III do artigo referido as regras e os parâmetros para o compartilhamento restrito, incluídos os padrões relativos à preservação do sigilo e da segurança, bem como a compatibilidade entre as políticas de segurança da informação e as comunicações efetuadas pelos órgãos e entidades de que trata o art. 1º do decreto 10.046/2019, no âmbito das atividades relativas ao compartilhamento de dados, além da previsão do art. 7º do mesmo decreto, estabelecendo que as plataformas de interoperabilidade contemplarão os requisitos de sigilo, confidencialidade, gestão, auditabilidade e segurança da informação necessários ao compartilhamento de dados, conforme regras estabelecidas pelo Comitê Central de Governança de Dados;

(iv) os padrões de segurança, além daqueles determinados pelo Comitê Central de Governança de Dados e de eventuais normativas da Autoridade Nacional de Proteção de Dados, que poderá, por sua vez, solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público, conforme art. 32 da LGPD, também são orientados, sem prejuízo a regulamentos futuros, pelo disposto no Decreto n. 9.637/2018, o qual institui a Política Nacional de Segurança da Informação, alterado em ponto importante pelo decreto 10.641/21, que inseriu o termo "equipes de prevenção", ou seja, ampliando-se a competência da segurança da informação, antes resumida ao tratamento e resposta a incidentes cibernéticos;

(v) a perspectiva de dever de segurança da informação voltada à tutela preventiva da ocorrência do ilícito por falha específica de segurança também deriva da LGPD, especialmente da previsão de política de boas práticas de governança do art. 50, o qual prevê que "os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais", que se relaciona, por sua vez, com o art. 49 da mesma Lei, no sentido de que "os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta lei e às demais normas regulamentares", e

(vi) a "gravidade dos riscos" do tratamento de dados pessoais previsto no parágrafo primeiro do art. 50 da LGPD, quando refere que, "ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular", representa elemento qualitativo à definição da expectativa legítima do dever de segurança, de modo que há de se refletir se a gravidade dos riscos pode mitigar a expectativa, ou, do contrário, exige, de forma preventiva, padrões mais complexos de tutela.

A partir dos elementos apresentados, com a conjugação de diplomas recentes em relação ao tratamento de dados pessoais e à governança digital, como contribuição ao estudo do dever geral de segurança, cuja violação implica o tratamento irregular dos dados pessoais, é possível perceber a relevância da temática quando se trata do Poder Público enquanto controlador e operador de dados, além de guardião da integridade e segurança das informações. Esse tema torna-se ainda mais complexo, quando se volta aos instrumentos de aquisição de tecnologia, conforme a nova Lei de Licitações e de acordo com os direcionamentos necessários à modernização da gestão pública, baseada, como visto, no tratamento dos dados pessoais ou não.

A governança digital visa à otimização da gestão pública, tendo como centro o próprio cidadão. Nesse processo, portanto, ao conciliar a interoperabilidade e o compartilhamento de dados como instrumentos à elaboração de políticas públicas, além da prestação de serviços públicos, o dever geral de segurança recebe contornos distintos se comparados à relação entre privados, tendo em vista, inclusive, questões de soberania nacional que podem restar comprometidas se vulnerabilizadas as proteções à informação e aos dados pessoais.

*Isadora Formenton Vargas é mestra em Argumentação Jurídica pela Universidad de Alicante e Università degli Studi di Palermo. Mestranda em Direito pela Universidade Federal do Rio Grande do Sul. Associada ao IBERC. Assessora Jurídica na Assessoria Especial da Presidência do TJ/RS.

__________

1 ALEXY, Robert. Teoria da Argumentação Jurídica. Tradução de Zilda Hutchinson Schild Silva. São Paulo: Editora Landy, 2001.p. 253-257.

2 DRESCH, Rafael de Freitas Valle; FALLEIROS JÚNIOR, José Luiz de Moura. Reflexos sobre a responsabilidade civil na Lei Geral de Proteção de Dados (lei 13.709/2018). In: ROSENVALD, Nelson; DRESCH, Rafael de Freitas Valle; WESENDONCK, Tula (Coord). Responsabilidade civil: novos riscos. Indaiatuba: Editora Foco, 2019.

3 LGDP. Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

4 STF. OAB questiona decreto presidencial sobre compartilhamento de dados dos cidadãos: segundo a entidade, as medidas previstas na norma permitem construir uma ferramenta de vigilância estatal que inclui dados pessoais sensíveis. 25/01/2021. Disponível aqui. Acesso em 10 abr. 2021. ADI 6649/DF encontra-se em andamento junto ao Supremo Tribunal Federal.

5 LGPD. Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

__________

Esta coluna é exclusivamente produzida pelos associados do IBERC (Instituto Brasileiro de Estudos de Responsabilidade Civil). @iberc.brasil

COORDENAÇÃO

Carlos Edison do Rêgo Monteiro Filho é professor titular e ex-coordenador do programa de pós-graduação em Direito da Faculdade de Direito da UERJ (mestrado e doutorado). Doutor em Direito Civil e mestre em Direito da Cidade pela UERJ. Presidente do Fórum Permanente de Direito Civil da Escola Superior de Advocacia Pública da Procuradoria-Geral do Estado do Rio de Janeiro (ESAP/PGE). Vice-presidente do IBERC (Instituto Brasileiro de Estudos da Responsabilidade Civil). Autor de livros e artigos científicos. Advogado, parecerista e consultor em temas de Direito Privado.

Fernanda Schaefer é pós-doutora pelo Programa de pós-graduação Stricto Sensu em Bioética da PUC-PR. Doutora em Direito das Relações Sociais pela Universidade Federal do Paraná, curso em que realizou Doutorado Sanduíche nas Universidades do País Basco e Universidade de Deusto (Espanha). Professora do UniCuritiba. Coordenadora do Curso de Pós-Graduação em Direito Médico e da Saúde da PUC-PR. Assessora Jurídica do CAOP Saúde MPPR.

Igor de Lucena Mascarenhas é advogado e professor universitário nos cursos de Direito e Medicina (UFPB / UNIFIP). Doutorando em Direito pela UFBA e doutorando em Direito pela UFPR. Mestre em Ciências Jurídicas pela UFPB. Especialista em Direito da Medicina pelo Centro de Direito Biomédico vinculado à Faculdade de Direito da Universidade de Coimbra.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Paulo Roque Khouri é doutorando em Direito Constitucional pelo Instituto Brasiliense de Direito Público - IDP. Graduado em Direito pelo Centro Universitário de Brasília - UNICEUB (1992) e em Jornalismo pela Universidade Federal de Juiz de Fora (UFJF) (1987); mestrado em Direito Privado pela Universidade de Lisboa (2006). Atualmente é professor do Instituto Brasiliense de Direito Público (IDP), sócio do escritório de advocacia Roque Khouri & Pinheiro Advogados Associados S/C.

outras edições

APOIADORES

FOMENTADORES

COLUNAS

Migalhas de Responsabilidade Civil

Elementos à compreensão do ilícito de violação à segurança no tratamento de dados pessoais pelo Poder Público à luz do governo digital (lei 14.129/2021)