O servidor público como ator fundamental na implementação da LGPD pela Administração Pública

A Lei Geral de Proteção de Dados - LGPD (13.709/18) entrou em vigor esse ano. Com o escopo de proteger direitos constitucionais de primordial importância, a lei passou a regulamentar o tratamento de dados pessoais no território brasileiro, definindo questões como os princípios que a norteiam, as bases legais para o tratamento e os sujeitos envolvidos na proteção de dados.

Referida legislação terá um impacto colossal no universo jurídico pátrio, vez que, de acordo com o texto normativo, suas diretrizes devem ser adotadas por qualquer pessoa, natural ou jurídica, de direito público ou privado, que pratiquem quaisquer modalidades de tratamento de dados pessoais (art. 1º da LGPD).

Nada obstante a ampla abrangência prevista no artigo, que abarca expressamente as pessoas jurídicas de direito público, o legislador foi enfático ao reafirmar, no parágrafo primeiro do art. 1º, a imperiosa observância da LGPD pelos entes federativos da República.

Dito isso, imprescindível destacar que o fato de as sanções administrativas iniciarem somente em agosto de 2021 (art. 65, I-A, da LGPD) não constitui fator minorativo da necessidade de obediência à lei, seja por parte do Estado, empresas, associações civis ou pessoas físicas que praticam tratamento de dados.

Isso porque, com a entrada em vigor da norma, os direitos e deveres nela elencados já produzem seus efeitos jurídicos que podem ser, inclusive, objeto de controle judicial.

E com a vigência da lei, é possível verificar, de pronto, algumas dificuldades que serão enfrentadas especialmente pelo Setor Público, o qual possui histórico de morosidade e dificuldade na implementação de novas tecnologias e, principalmente, de alterações estruturais e culturais.

Uma dessas dificuldades encontra-se no fato de o Brasil ser uma nação extremamente vulnerável a ataques digitais. A proteção de dados ainda é matéria incipiente em nosso país que, mesmo apresentado legislações esparsas a respeito do tema - tais como a Lei de Acesso à Informação e o Marco Civil da Internet -, ainda se encontra nos primórdios da estruturação de um ambiente digital adequado e seguro.

A propósito, de acordo com um estudo divulgado pela Fortinet Threat Intelligence Insider Latin America, ocorreram no Brasil mais de 3,4 bilhões de tentativas de ataques digitais apenas nos primeiros nove meses de 2020¹.

O Judiciário é grande exemplo da vulnerabilidade cibernética brasileira: somente neste ano, criminosos conseguiram derrubar os sistemas do Tribunal de Justiça do Rio Grande do Sul²; do Superior Tribunal de Justiça - no que ficou conhecido como um dos maiores ataques cibernéticos da história brasileira³; e do Tribunal Regional Federal da 1ª Região⁴. Esse último implicou na desabilitação temporária dos portais da Justiça Federal do DF e de outros 13 estados⁵.

Soma-se à referida vulnerabilidade a crescente imersão do Setor Público nos meios digitais. Naturalmente iniciada pela revolução tecnológica exponencial dos últimos anos, essa imersão foi potencializada pela trágica pandemia causada pelo coronavírus. O resultado é um país sem preparação estrutural, que se vê dentro de um apressado e estabanado processo de migração para os meios eletrônicos.

Tal circunstância intensifica a preocupação com o tratamento dos dados dos servidores públicos que ficam sob guarda dos inúmeros órgãos vinculados ao Estado, vez que não apenas a interação entre Estado e cidadão está se deslocando para a via digital, mas também a relação entre Estado e funcionário público.

Dessa forma, oportuno destacar o importante papel dos servidores na implementação da LGPD por parte do Poder Público, considerando serem verdadeiros titulares de dados pessoais, controlados e operados por órgãos vinculados ao Entes Federativos.

Nessa toada, o servidor público deve atentar a eventuais violações de seus direitos por parte de seu empregador, o Estado. E, considerando o já citado histórico de frágil tratamento de dados que detém o país, acredita-se que ditas violações serão numerosas.

Não se descura a importância de que o órgão público, no qual o servidor se encontra lotado, colete e armazene informações pessoais do servidor. A título de exemplo, são perceptíveis a finalidade e a necessidade do tratamento de dados relativos à identificação e à residência dos servidores por parte do setor de recursos humanos dos órgãos estatais.

Contudo, verifica-se que por muitas vezes os dados pessoais são coletados sem fundamento cabível ou compartilhados livremente com outros órgãos e setores dentro de uma mesma instituição. Em outras hipóteses, esses dados se apresentam abertamente expostos para outros servidores, ou mesmo para a sociedade em geral.

Em exemplo recentíssimo, servidores públicos vinculados ao Poder Executivo do Estado de Santa Catarina perceberam a difusão (propagação, divulgação) indevida de dados pessoais dentro do Sistema de Gestão de Processos Eletrônicos - SGPe, utilizado para gerenciar os processos administrativos estaduais.

No referido sistema, além das informações inerentes aos processos administrativos em si, constavam também diversos dados pessoais dos servidores associados ao processo, tais quais CPF, RG, nome, telefone, e-mail e endereço completo, além de dados tidos como sensíveis pela lei, como o nome social. Ditas informações podiam ser facilmente visualizadas por qualquer outro servidor público estadual com acesso ao sistema.

De pronto, a conjuntura fática da hipótese deixava nítida a inexistência de qualquer causa de inaplicabilidade da legislação, vez que os dados não se destinavam para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação ou repressão criminal (art. 4º, III, da LGPD).

Também não se verificava, no caso, que a exposição dos dados estaria fundamentada em eventual cumprimento de obrigação legal, vez que inexiste, nas principais legislações autorizadoras de hipóteses específicas de tratamento de dados - tais como a Lei de Acesso à Informação, a Lei do Habeas Data e o Marco Civil da Internet - qualquer disposição que implique na permissão ou determinação de que os dados pessoais de servidores sejam veiculados livremente, como o eram na referida plataforma.

Aliás, lembra-se já ter o STF manifestado que, sob determinadas circunstâncias, o interesse público se sobressai ao interesse do particular, de modo a legitimar a mitigação do direito à intimidade, à honra e à vida privada. Foi o que aconteceu no julgamento do Tema de Repercussão Geral 483, consolidando-se o seguinte entendimento:

É legítima a publicação, inclusive em sítio eletrônico mantido pela Administração Pública, dos nomes dos seus servidores e do valor dos correspondentes vencimentos e vantagens pecuniárias.

Ou seja, plataformas tais quais os portais de transparência, que publicizam nome, remuneração, função e unidade à qual está vinculada o servidor não violariam os direitos de titulares de dados, porquanto atreladas à consecução do princípio da transparência na Administração Pública.

Nada obstante ter julgado constitucional a exposição de dados nesse tipo de portal, pertinente citar, do voto do ministro relator no ARE 652.777/SP - leading case do tema de Repercussão Geral 483 -, o seguinte excerto:

E quanto à segurança física ou corporal dos servidores, seja pessoal, seja familiarmente, claro que ela resultará um tanto ou quanto fragilizada com a divulgação nominalizada dos dados em debate, mas é um tipo de risco pessoal e familiar que se atenua com a proibição de se revelar o endereço residencial, o CPF e a CI de cada servidor. No mais, é o preço que se paga pela opção por uma carreira pública no seio de um Estado republicano. (Grifou-se).

Como se vê, ao mesmo tempo em que declarou que a exposição do nome e remuneração de servidores em plataformas governamentais atenderiam ao cumprimento de preceitos constitucionais, o STF também indicou que a difusão de dados mais reservados, tais como endereço e documentos de identificação, seriam vetadas no direito brasileiro.

Cientes de seus direitos, servidores públicos da Polícia Civil do estado acionaram a sua entidade representativa, a fim de averiguar o cumprimento da LGPD por parte da Administração no sistema de gestão de processos eletrônicos.

Levando em consideração (I) o direito à informação clara e facilitada de que gozam os titulares de dados e (II) a aparente inexistência de finalidade específica para a difusão dos dados, o Sindicato da Polícia Civil de Santa Catarina - SINPOL-SC, assessorado pela Baratieri Advogados, apresentou requerimento à Secretaria de Estado da Administração, responsável pela gestão da plataforma em análise.

O requerimento veio fundamentado nos arts. 19 e 23, I, da LGPD, que garantem ao titular o direito à informação clara e facilitada a respeito do tratamento de seus dados.

Assim, foram solicitadas informações sobre a origem dos dados, como foram tratados, qual seriam a finalidade e a necessidade do tratamento, e quais foram os critérios e bases legais utilizadas para fundamentar as modalidades de tratamento de cada tipo de dado exposto na plataforma.

Atenta ao novo regramento legal, a Secretaria de Estado da Administração imediatamente suprimiu os dados pessoais indevidamente expostos no sistema, respondendo também que se encontrava em processo de adaptação às novas exigências apresentadas pela LGPD.

Diante da responsividade da Administração em casos semelhantes, bem como da grande importância sendo conferida à LGPD pela iniciativa privada, consideramos que não cabe indagar "se a lei vai pegar", mas tão somente deixar o tempo revelar os caminhos traçados em direção à sua plena eficácia. E, dentro desses caminhos, verificar qual será a colaboração dos servidores públicos.

Ao nosso ver, consoante o exemplo citado acima, esses terão um papel ativo na adoção das políticas previstas na LGPD. Visando resguardar seus próprios direitos, irão compor uma das frentes que guiará o Setor Público na implementação da nova legislação, combatendo o cenário de histórica despreocupação do Estado, seja com a quantidade de dados coletados, seja com o modo pelo qual realiza o seu tratamento, de modo a impulsionar o desenvolvimento da proteção de dados no país.

________