Compartilhamento de dados pessoais entre órgãos públicos deve seguir LGPD

Em julgamento concluído na última quinta-feira (15), o Supremo Tribunal Federal (STF) confirmou, por maioria de votos, decisão que permite aos órgãos e entidades da administração pública federal o compartilhamento de dados pessoais entre si, desde que sejam observados os critérios e as disposições da Lei Geral de Proteção de Dados Pessoais (LGPD).¹

O julgamento respondeu a duas ações promovidas pela Ordem dos Advogados do Brasil (OAB) e pelo Partido Socialista Brasileiro (PSB) que questionavam a constitucionalidade do Decreto 10.046/2019 da Presidência da República. O decreto criou o Cadastro Base do Cidadão, para reunir informações existentes em diferentes órgãos da administração pública, e também o Comitê Central de Governança de Dados, que tem entre suas atribuições definir quais bases de dados devem integrar o cadastro.

A permissão para o compartilhamento, no entanto, deve seguir diversas regras já previstas na LGPD, tais como:  

1. O compartilhamento deve ser realizado para propósitos legítimos, específicos e explicitamente informados para as pessoas que tiverem seus dados pessoais compartilhados. Na linha do que já está disposto na LGPD, o STF reforça a necessidade de que cada atividade de tratamento de dados pessoais tenha propósitos bem definidos, documentados e amplamente informados para as pessoas;
2. O compartilhamento deve ser limitado ao mínimo necessário para que seja alcançado o propósito da iniciativa, programa ou ação realizados. Ou seja, os bancos de dados dos órgãos públicos não devem ser compartilhados de forma integral e ilimitada, mas sim de forma adaptável e customizada para as ações que, a partir do compartilhamento, serão realizadas;
3. Os requisitos, princípios, boas práticas, direitos e garantias previstos na LGPD devem ser integralmente cumpridos, inclusive no que diz respeito a adoção de programas de conformidade que contemplem práticas jurídicas, organizacionais e de segurança da informação;
4. As organizações da administração pública federal que compartilharem dados pessoais entre si devem informar ampla e detalhadamente sobre o compartilhamento realizado (Exemplos: quais dados pessoais, através de quais ferramentas, para quais objetivos, com quais outros órgãos públicos e, ainda, as medidas de segurança adotadas), em locais de fácil acesso, preferencialmente em seus sites;
5. Devem, ainda, adotar medidas robustas de segurança da informação, especialmente a criação de sistema eletrônico de registro de acesso aos dados pessoais (ou seja, que identifique, registre e monitore), a fim de que seja possível eventual responsabilização por indevida utilização.

Além desses requisitos, o STF definiu também que, caso órgãos públicos tratem dados pessoais de forma irregular, sejam responsabilizados pelos danos suportados pelas pessoas a quem os dados se referem. Ao mesmo tempo, os órgãos públicos poderão acionar os servidores ou agentes políticos responsáveis pelas transgressões nos casos de culpa ou dolo, que também poderão ser condenados por improbidade administrativa.

A decisão não gera efeitos diretos para as cooperativas, mas reforça o fato de que o compartilhamento de dados pessoais realizado para o desenvolvimento e execução das mais diversas atividades (com fornecedores e parceiros, na maioria das vezes), e nos mais variados segmentos em que as cooperativas atuam, deve observar, também, os requisitos acima.

Fique atento:

Para estar em conformidade com a LGPD, é essencial avaliar cada um dos compartilhamentos realizados e sua pertinência, além da adoção de instrumentos jurídicos e medidas de segurança da informação.

1. Processos relacionados: ADI 6649 e ADPF 695