A (não) obrigatoriedade de compartilhamento de dados com autoridades policiais

Receber um ofício da polícia solicitando dados pessoais de empregados ou prestadores de serviço é, cada vez mais, uma realidade para empresas e instituições privadas. Essa prática, embora comum, abre uma discussão jurídica de grande relevância: até que ponto o setor privado está obrigado a atender a essas requisições administrativas sem a existência de ordem judicial?

A resposta não é simples e exige um olhar atento para a proteção de dados pessoais, a partir da análise da LGPD (lei 13.709/18), em diálogo com a lei 12.830/13, que trata da atividade do delegado de polícia, em conjunto com a interpretação recente do STF sobre os limites do poder requisitório.

A legislação brasileira sobre dados pessoais estabelece, ainda, em seu art. 6º, que o tratamento destes deve observar os princípios da finalidade, adequação, necessidade e segurança. Assim, entende-se como uma exigência que a coleta, o acesso e o compartilhamento de dados de pessoas físicas sejam limitados ao mínimo necessário para o atingimento da finalidade pretendida, sendo esta legítima, explícita e informada.

No que diz respeito ao tratamento de dados pessoais por entes públicos, incluindo policiais, o art. 23 da LGPD dispõe que deve ser observado o interesse público, vendando-se o compartilhamento de dados por parte de controladores privados com fundamento em solicitações genéricas, desvinculadas de obrigação legal específica.

Havendo solicitação de repasse de dados por meio de requerimento específico, no qual é possível identificar o objeto da investigação, a autoridade requisitante, a finalidade do pedido e os dados pretendidos, observa-se cumprida a determinação da legislação vigente. No entanto, o simples fato de um ofício, por exemplo, conter tais elementos não exime o controlador, neste caso o agente privado, do dever de analisar a compatibilidade do requerimento com os princípios e limites previstos na LGPD.

A lei 12.830/13, que regula a atuação dos delegados de polícia, reconhece em seu art. 2º, §1º, a independência funcional do delegado na condução da investigação criminal, a fim de garantir a apuração dos elementos fundamentais para a persecução penal. Contudo, embora tal prerrogativa assegure certa autonomia no exercício das funções investigativas, não garante ao delegado de polícia poderes para impor agentes privados ao fornecimento de dados pessoais sem que haja previsão legal ou ordem judicial que autorize este compartilhamento.

A referida legislação estabelece ainda, em seu art. 2º, §2º, o poder requisitório da autoridade policial, ao dispor sobre a competência do delegado de requisitar informações e dados que possam auxiliar na apuração dos fatos investigados. Ocorre que, embora o próprio delegado de polícia, Adriano Sousa Costa, reconheça, acertadamente, que tal poder não é ilimitado, uma vez que há solicitações autoexecutáveis e outras que, a fim de manter o caráter lícito de seu acesso, necessitam de prévia autorização judicial¹, mostra-se insustentável a tentativa de afastar tal exigência quanto aos dados cadastrais, através da interpretação extensiva do diploma mencionado.

Isso porque, ainda que rotulados como dados cadastrais, quando aptos a expor aspectos da esfera privada do indivíduo, tais informações de natureza pessoal não se afastam da proteção constitucional conferida à privacidade, à intimidade e à proteção de dados pessoais. Assim, atribuir ao art. 2º da lei 12.830/13 a função de legitimar, de forma genérica e irrestrita, o acesso a dados pessoais por autoridades públicas, sem qualquer análise judicial ou parâmetro legal claro, mostra-se incompatível com a estrutura constitucional de proteção dos direitos fundamentais, tampouco no modelo normativo traçado pela LGPD.

Não há, ademais, na lei 12.830/13, dispositivo algum que estabeleça o dever de colaboração ou autorização legal que imponha a obrigação do compartilhamento de dados pessoais por agentes privados, sejam de seus empregados ou terceiros relacionados, fora das hipóteses previstas em lei. Isto é, a independência funcional do delegado de polícia não se traduz, por si só, em autorização para compelir entes privados, alheios a obrigações legais específicas de colaboração, a fornecer dados de pessoas físicas mediante simples requisição administrativa, sem haver base legal para amparar tal divulgação.

Uma vez ausente base legal que legitime ou autorize o compartilhamento de dados pessoais por entes privados, o atendimento à requisição administrativa, ainda que por iniciativa de autoridade policial, configura hipótese de tratamento ilícito de dados, não conforme à Lei Geral de Proteção de Dados e com os direitos fundamentais assegurados constitucionalmente.

Nesses casos, o agente privado, ora controlador, deve recusar o compartilhamento solicitado, sob pena de incorrer em responsabilidade administrativa e cível, nos termos dos arts. 52 e 42 da LGPD, respectivamente.

Esse ponto foi objeto de análise também à luz da lei de lavagem de capitais (lei 9.613/1998). O art. 17-B, incluído pela lei 12.683/12, garante o acesso direto, por delegados de polícia, a dados cadastrais específicos, quais sejam a qualificação pessoal, filiação e endereço, sem necessidade de ordem judicial. Contudo, expressamente no mesmo dispositivo há a determinação de que tais dados são os "mantidos pela Justiça Eleitoral, pelas empresas telefônicas, pelas instituições financeiras, pelos provedores de internet e pelas administradoras de cartão de crédito"².

A referida norma, ao determinar tal garantia, no entanto, não conferiu autorização genérica para requisição ampla de dados por autoridade policial, tampouco flexibilizou os princípios constitucionais que regem a proteção de dados pessoais e o devido processo legal. Ainda assim, quando a norma foi questionada no STF, a Corte limitou ainda mais a sua aplicação.

A ADIn 4.906, ajuizada perante o Supremo, teve por objeto a análise da constitucionalidade do mencionado art. 17-B da lei de lavagem de capitais. Na ocasião, a Abrafix - Associação Brasileira de Concessionárias de Serviço Telefônico Fixo Comutado sustentou a inconstitucionalidade do dispositivo, com fundamento nas garantias fundamentais à privacidade e à intimidade, argumentando também que o compartilhamento de tais informações com a autoridade policial e o Ministério Público deveria estar condicionado à prévia autorização judicial³.

O relator, min. Nunes Marques, votou pela constitucionalidade do dispositivo, sendo seguido por quatro ministros, com fulcro na objetividade das informações contidas pelos dados cadastrais. Contudo, incluiu, ainda, em seu voto a corrente inaugurado pelo min. Gilmar Mendes, que limita o acesso dos dados aos expressamente previstos no art. 17-B. Essa corrente contou com o apoio de mais três ministros, formando, assim, maioria na confirmação pela constitucionalidade de maneira restrita, como se confirma na tese enunciada: 

"É constitucional norma que permite o acesso por autoridades policiais e pelo MP a dados cadastrais de pessoas investigadas independentemente de autorização judicial, excluído do âmbito de incidência da norma a possibilidade de requisição de qualquer outro dado cadastral além daqueles referentes à qualificação pessoal, filiação e endereço." ⁴

Note que, apesar da tese enunciada pelo STF, trata-se de confirmação sobre a obrigatoriedade de compartilhamento de dados por agentes específicos previstos no art. 17-B, não devendo ser automaticamente estendida a todo e qualquer ente privado, uma vez que não há previsão legal ou jurisprudencial sobre este aspecto.

Ademais, ainda em 2021, o então min. Marco Aurélio votou contrário ao relator na referida ADIn, sustentando a inconstitucionalidade da norma devido ao direito à inviolabilidade da privacidade, garantido no texto constitucional⁵, julgando imprescindível a apresentação de autorização judicial para tal compartilhamento.

Verifica-se, desse modo, a ausência de amparo legal e jurisprudencial à imposição de que agentes privados tenham o dever de fornecer dados pessoais de empregados ou terceiros diretamente à autoridade policial mediante simples ofício administrativo. 

A LGPD prevê, em seus arts. 42 e 52, que o controlador que realiza tratamento de dados pessoais de maneira não conforme com a legislação pode ser responsabilizado por danos patrimoniais, morais, individuais ou coletivos causados aos titulares, bem como sofrer sanções administrativas impostas pela ANPD, incluindo multa. Assim, a empresa que cede a uma requisição sem respaldo legal corre o risco de responder não apenas perante a agência de proteção de dados, mas também perante os titulares prejudicados. 

Em um cenário de tantas pressões práticas, em que o receio de contrariar a polícia muitas vezes leva empresas a atender prontamente ofícios administrativos, é essencial reforçar que, em certas situações, a segurança jurídica está, paradoxalmente, no ato de dizer não. Recusar o fornecimento de dados sem ordem judicial não é desrespeito à autoridade, mas cumprimento da lei. E se, em situação excepcional, houver decisão pela entrega de alguma informação, esta deve ser restrita ao mínimo necessário, sempre acompanhada de justificativa documental que resguarde o ente privado. 

O avanço da proteção de dados no Brasil exige essa mudança de postura. A lógica da "colaboração incondicional" cede lugar à lógica da conformidade legal. O delegado continua a desempenhar papel central na persecução penal, mas seus poderes encontram limites nas garantias constitucionais e no regime normativo da LGPD. A autoridade policial, por sua vez, não perde com isso; ganha, na verdade, mais segurança jurídica para conduzir investigações que não serão posteriormente questionadas por nulidades.

__________

Referências

1 Costa, Adriano Sousa; Boschi, José Antonio Paganella; Lima, Sérgio Luís Moreira. Poder requisitório do delegado e o conceito histórico-progressivo de dados cadastrais. Consultor Jurídico, São Paulo, 6 set. 2022. Disponível em: https://www.conjur.com.br/2022-set-06/academia-policia-poder-requisitorio-delegado-conceito-dados-cadastrais/. Acesso em: 22 set. 2025. 

2 BRASIL. Lei nº 9.613, de 3 de março de 1998. Dispõe sobre os crimes de "lavagem" ou ocultação de bens, direitos e valores; a prevenção da utilização do sistema financeiro para os ilícitos previstos nesta Lei; cria o Conselho de Controle de Atividades Financeiras - COAF, e dá outras providências. Diário oficial da União: seção 1, Brasília, DF, 4 mar. 1998. Disponível em: https://www.planalto.gov.br/ccivil_03/leis/l9613.htm. Acesso em: 22 set. 2025.

3 Migalhas. STF: MP e polícia podem acessar dados de investigados sem autorização judicial. Migalhas Quentes, 11 set. 2024. Disponível em: https://www.migalhas.com.br/quentes/415026/stf-mp-e-policia-podem-acessar-dadosde-investigados-sem-autorizacao. Acesso em: 22 set. 2025.

4 SUPREMO TRIBUNAL FEDERAL. ADI 4.906: acesso a dados cadastrais pelo MP e polícia - rev. LC FSP. Brasília, 11 set. 2024, p. 3. Disponível em: https://noticias-stf-wp-prd.s3.sa-east-1.amazonaws.com/wpcontent/uploads/wpallimport/uploads/2024/09/11200722/ADI-4906-acesso-a-dados-cadastrais-pelo-MP-e-policiarev.-LC-FSP-18h52.pdf. Acesso em: 22 set. 2025.

5 SUPREMO TRIBUNAL FEDERAL. Voto do Ministro Marco Aurélio na ADI 4.906. Brasília, 2021. Disponível em: https://www.migalhas.com.br/arquivos/2024/9/7036D6D81365BA_7E80A922EFF0C5_voto-MA.pdf. Acesso em: 22 set. 2025.