Lei geral de proteção de dados e improbidade administrativa: a responsabilidade "das portas para dentro" da administração pública no tratamento de dados pessoais

Não é novidade que a Lei Geral de Proteção de Dados (LGPD) finalmente passou vigorar no Brasil em meados de setembro do ano de 2020, com parte da legislação que tratava da aplicação de sanções pelo descumprimento das obrigações tendo ficado sob vacatio legis por ainda um ano após o início da vigência da Lei.

A moderna legislação tem como objetivo principal regulamentar o tratamento dispensado aos dados pessoais que são mantidos em meios digitais e físicos, assim como criar um ambiente de segurança jurídica para o armazenamento desses dados, buscando, em essência, resguardar o direito fundamental à privacidade e ao livre desenvolvimento da personalidade da pessoa natural (art. 1º da Lei de Proteção de Dados), de maneira que impõe, em seus dispositivos, regras para tratamento de dados pessoais, como a coleta, armazenamento, tratamento, processamento e compartilhamento de dados por pessoas jurídicas, tanto de natureza pública quanto privada¹.

A LGPD, no seu art. 5º, XIX, também dispõe que a autoridade nacional - ANPD - é responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

A legislação de proteção de dados segue, então, a lógica da regulação responsiva e carrega, em seu bojo, a previsão de sanções (as quais classifica como de natureza administrativa) a serem aplicadas diante da infração de normas ali previstas, cuja imposição deve ser determinada pela "autoridade nacional" (art. 52, caput) e moderada por mecanismos normativos já conhecidos como o da análise da proporcionalidade e da razoabilidade da sanção (art. 52, §1º, XI), além da aferição de eventual reincidência do agente (art. 52, §1º, VIII), sem prejuízo de determinar a adoção de práticas e políticas que busquem evitar ou corrigir as infrações pelo agente infrator (art. 52, §1º, IX e X) para que se possa adequar a dosimetria das penas a serem aplicadas.

Com esse sistema, a lei almeja que as instituições públicas e privadas sejam incentivadas a cumprirem as regras, com o objetivo de manter o comportamento adequado na proteção de dados, nos termos principiológicos da LGPD,

Sobre o indigitado dispositivo sancionador, uma previsão chama a atenção. No §3º do mesmo artigo 52, a norma é expressa no sentido de que "o disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na lei 8.112/90, na lei 8.429/92, e na lei 12.527/11".

Nota-se que o dispositivo faz expressa referência ao Estatuto do Servidor Público Federal, à Lei de Acesso à Informação e à Lei de Improbidade Administrativa, a denotar que a responsabilidade pela violação aos ditames da LGPD - ou ao menos os efeitos dessa violação - ecoa(m) para além das suas previsões sancionatórias específicas, interessando, para este artigo, tentar entender, ainda que de maneira superficial, os seus reflexos na regulação da responsabilidade por improbidade administrativa.

A ADMINISTRAÇÃO PÚBLICA NA PROTEÇÃO DE DADOS

É importante inicialmente pontuar que, no âmbito e no contexto da proteção trazida pela Lei Geral de Proteção de Dados, a Administração Pública tem um papel ativo na guarda e no tratamento dos dados pessoais das pessoas naturais (nos termos do art. 23 da LGPD), assumindo a função de controladora de dados (art. 5º, VI), que exerce, é evidente, por meio de agentes públicos que agem em seu nome - denominados pela legislação de operadores de dados. 

Dessa forma, enquanto controladora, a Administração poderá ser apenada por sanções previstas na LGPD em razão de condutas de seus operadores que venham a violar as disposições da citada lei (como, por exemplo, nos termos do seu artigo 31), e o já citado §3º do art. 52 é claro ao estatuir que apenas são aplicáveis "às entidades e aos órgãos públicos" o disposto nos incisos I, IV, V, VI, X, XI e XII do §1º. Por esse motivo, compreende-se que "as penalidades elencadas na LGPD são aplicadas diretamente ao órgão ou à entidade da Administração Pública, e não diretamente ao agente público autor da infração"².

E a pergunta que surge é: ficará, portanto, livre de sanções o agente público que tiver dado causa à violação da LGPD que venha a ser constatada e por conta da qual venha a Administração a ser apenada pela Autoridade Nacional? Evidente que não.

Usando-se de uma expressão bastante corriqueira, pode-se dizer que, da porta para fora, a Administração responderá, como controladora de dados, pela infração à LGPD, nos termos do art. 52, §3º da lei. Já da porta para dentro, a Administração e demais legitimados poderão buscar reparação e punição a eventuais responsáveis - agentes públicos lato sensu, operadores de dados - pela infração praticada.

O AGENTE PÚBLICO, A IMPROBIDADE ADMINISTRATIVA E A VIOLAÇÃO À LGPD: DA PORTA PARA DENTRO DA ADMINISTRAÇÃO PÚBLICA

O ato praticado pelo agente público ao exercer as suas funções na gestão e na guarda dos dados que são atribuídos pela LGPD à Administração Pública não é diferente, em essência, de qualquer outro ato praticado por agente público no exercício de cargo, mandato, função, emprego ou atividade junto a órgão da Administração. Sujeitam-se, assim - ato administrativo e agente público - a todas as normas que se aplicam ordinariamente à atividade pública.

Não à toa, a Lei de Proteção de Dados não limita à responsabilização por sua violação em si própria, referindo-se à possibilidade de aplicação simultânea do Estatuto de Servidor Público (que denota a eventual aplicação de eventuais sanções disciplinares), da Lei de Acesso à Informação (clara e evidentemente vinculada ao tratamento da informação e dados pela Administração) e, por fim, da Lei de Improbidade Administrativa (LIA), cuja análise aqui se pretende agora fazer.

Inicialmente, vale lembrar que os atos de improbidade administrativa são - em obediência a princípios próprios de Direito Punitivo - tipificados pela Legislação de regência, a Lei nº 8.429/92, que os divide, didaticamente, em três enfoques um tanto abstratos: (i) os atos que importam enriquecimento ilícito do agente público ou de terceiro que induza, concorra com ou se beneficie do ato praticado, tratados pelo artigo 9º da Lei; (ii) os atos que, praticados, causam prejuízo ao Erário, tratados pelo art. 10; e (iii) os atos que, praticados, atentam contra os princípios da Administração Pública, regulados pelo art. 11.

Pensando no enquadramento típico das eventuais condutas do agente público no exercício da função de operador de dados³, é perfeitamente possível identificar, no exercício do tratamento de dados protegidos pela LGPD, a ocorrência de situações fáticas que venham a implicar na responsabilização do agente público por ato de improbidade, a teor dos citados artigos 9, 10 e 11.

É importante lembrar que, para isso, é necessário que exista, na conduta do agente público que, na sua prática, viola os termos da LGPD, um elemento de má-fé, de desonestidade ou, no mínimo, de grave desatenção e descuido, sob pena de, contrariamente ao entendimento já pacificado nas Cortes brasileiras, se equiparar a mera conduta ilegal (que, embora indesejável, é natural no sistema normativo) com a conduta ímproba.

Tendo em vista esses elementos, pode-se entender, que um agente, ao praticar ou deixar de praticar determinado ato em desobediência a alguma das disposições da Lei Geral de Proteção de Dados, atentando contra princípio da administração pública na sua atuação como operador de dados, pode ser responsabilizado por cometer ato de improbidade administrativa nos termos do artigo 11 da Lei de Improbidade Administrativa, desde que o faça de maneira necessariamente dolosa e intencional (REsp 765.212/AC; AIA nº 30/AM; AgInt no REsp 1.585.939/PB) e com eivo de má-fé.

Certo é que as situações podem ser das mais variadas e das mais impensáveis, mas pode-se imaginar cenário hipotético em que um servidor público que exerça a sua atividade em uma secretaria vinculada à prefeitura de um pequeno município, buscando atingir pessoa com a qual tenha criado inimizade no último pleito eleitoral ocorrido na cidade, venha a tomar conhecimento e tornar público um dado pessoal sensível a ela pertencente, constante em banco de dados legalmente coletados, armazenados em um sistema informático acessado de dentro da secretaria, objetivando atingir a sua honra externa perante os cidadãos daquela região.

Certamente que age, assim, em violação clara e manifesta à Lei Geral de Proteção de Dados, gerando à Prefeitura Municipal, na qualidade de controlador de dados, o dever de responder, perante a ANPD, nos termos dos art. 37 e 52, §3º da LGPD ("da porta para fora"); mas perante a Prefeitura ("da porta para dentro"), o agente público deverá responder, pelo menos, pela prática de ato improbidade administrativa nos termos do art. 11 da LIA, podendo ser acionado pela própria Prefeitura ou pelo Ministério Público.

É possível, ainda, pensar-se em um cenário, ainda que hipotético, de que sejam violados também os artigos 9º e 10 da Lei de Improbidade.

Imaginemos, nesse sentido, que, nesse cenário fático indicado, o vitimado pela conduta do servidor público ingresse em juízo contra a Prefeitura daquele Município, buscando ressarcimento pelos danos contra si causados, obtendo êxito na condenação voltada à sua indenização. A conduta do agente violador, assim, além de ter ensejado a violação de princípios da administração, terá causado um efetivo e concreto dano ao Erário municipal, considerando o pagamento da indenização fixada.

Assim, poderá o servidor público também ser enquadrado como infrator do artigo 10 da Lei de Improbidade Administrativa, que dispõe ser ato de improbidade administrativa aquele praticado, de maneira dolosa ou culposa, de maneira a ensejar perda patrimonial do ente público, objetiva e concreta.

Ainda, partindo-se da mesma situação fático-hipotética, pode-se imaginar que esse mesmo servidor público, apossado dos dados pessoais sensíveis constantes em um banco de dados legalmente coletados, armazenados em um sistema informático acessado de dentro da secretaria, decida vende-los para pessoa que, posteriormente, os utilizará para a aplicação de golpes criminosos que demandam o uso de algum dado pessoal da vítima ou, ainda, para a sua revenda para utilização por hackers, por exemplo.

Há, nesse sentido, a partir da prática comprovada do ato ilícito pelo servidor público (violador direito da LGPD, nos termos, por exemplo, de seu art. 11), uma circunstância ainda mais específica de improbidade administrativa, que é a do recebimento, por si, de uma "vantagem patrimonial indevida" que se originou em razão de um abuso no exercício de seu cargo público.

Para situações em que se constate (i) recebimento de vantagem patrimonial indevida por agente público, acarretando, ou não, dano ao erário; (ii) vantagem decorrente de comportamento ilícito do agente; (iii) ciência do agente da ilicitude (dolo) da vantagem obtida; e (iv) nexo causal entre o exercício funcional abusivo do agente e a indevida vantagem por ele auferida⁴, a LIA oferece a tipificação do seu artigo 9º, que pune o agente que enriquece ilicitamente a partir do exercício de seu cargo. 

CONLUSÕES

Percebe-se, assim, que a nova regulamentação para a proteção dos dados apresentou impactos diretos e muito sentidos na Administração Pública e em seus servidores.

Novos horizontes, em termos materiais, nasceram para serem explorados e analisados, assim como se criou uma nova seara de responsabilização da Administração Pública, agora perante a Autoridade Nacional de Proteção de Dados, nos termos da lei. Da porta para fora da Administração, novas dimensões de obrigação e responsabilidade se apresentam para ela própria.

Mas não há, necessariamente, uma diferença que tenha sido com ela inaugurada no que toca à responsabilidade dos agentes públicos, especialmente no que diz respeito à regulação da improbidade administrativa. Ao contrário, a LGPD é expressa ao reconhecer que as suas sanções são aplicáveis aos órgãos e entidades públicas de maneira restrita (art. 52, §3º), sem prejuízo da possibilidade de sancionamento dos agentes públicos responsáveis pelas condutas infratoras nos termos das legislações já vigentes - tal como a Lei de Improbidade Administrativa.

E nela, apesar de se entender o aumento do horizonte material de aplicação - uma nova legislação a ser seguida, com novas disposições que criam obrigações aos controladores e operadores de dados -, não há novidade na responsabilidade do agente público: da porta para dentro da Administração, as mesmas disposições se aplicam ao agente que atua no tratamento dos dados protegidos pela LGPD.

De toda forma, ainda que se esteja a fazer exercícios de previsão futura, sem nenhuma certeza de como essas condutas serão encaradas pelos atores processuais, é interessante entender como as novas disposições da LGPD impactam a identificação de novas condutas e situações em que poderá o agente público ser responsabilizado por cometimento de ato de improbidade administrativa.

A ver como isso se desenvolverá no futuro.

----------

1- Nos termos do inciso X do art. 5º, para "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração".