O art. 1º da Lei nº 13.709/2018, da Lei Geral de Proteção de Dados Pessoais (LGPD), não deixa dúvidas de que as regras, deveres e cuidados no tratamento de dados pessoais também se aplicam aos órgãos e entidades públicas. A referida norma deixa claro que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação e responsabilização e prestação de contas.
Dentro do regramento da Lei Geral de Proteção de Dados, foram previstas sanções administrativas específicas a serem aplicadas por autoridade nacional (ANPD) de modo a impor a todos aqueles envolvidos no tratamento dos dados pessoais, inclusive a Administração Pública, a obediência às regras ali previstas.
A moderna legislação tem como objetivo principal regulamentar o tratamento dispensado aos dados pessoais que são mantidos em meios digitais e físicos, assim como criar um ambiente de segurança jurídica para o armazenamento desses dados, buscando, em essência, resguardar o direito fundamental à privacidade, de maneira que impõe, em seus dispositivos, regras para tratamento de dados pessoais, por pessoas jurídicas, tanto para empresas privadas como também para órgãos e entidades públicas
O ato praticado pelo agente público no exercício de cargo e ao exercer as suas funções na gestão e na guarda dos dados que são atribuídos pela LGPD à Administração Pública sujeitam-se a todas as normas que se aplicam ordinariamente à atividade pública.
Não à toa, a Lei de Proteção de Dados não limita à responsabilização por sua violação em si própria, referindo-se à possibilidade de aplicação simultânea do Estatuto de Servidor Público (que denota a eventual aplicação de eventuais sanções disciplinares), da Lei de Acesso à Informação (clara e evidentemente vinculada ao tratamento da informação e dados pela Administração) e, por fim, da Lei de Improbidade Administrativa (LIA), cuja análise aqui se pretende agora fazer.
Inicialmente, vale lembrar que os atos de improbidade administrativa são – em obediência a princípios próprios de Direito Punitivo – tipificados pela Legislação de regência, a Lei nº 8.429/92, que os divide, didaticamente, em três enfoques um tanto abstratos: (i) os atos que importam enriquecimento ilícito do agente público ou de terceiro que induza, concorra com ou se beneficie do ato praticado, tratados pelo artigo 9º da Lei; (ii) os atos que, praticados, causam prejuízo ao Erário, tratados pelo art. 10; e (iii) os atos que, praticados, atentam contra os princípios da Administração Pública, regulados pelo art. 11.
Pensando no enquadramento típico das eventuais condutas do agente público no exercício da função de operador de dados, é perfeitamente possível identificar, no exercício do tratamento de dados protegidos pela LGPD, a ocorrência de situações fáticas que venham a implicar na responsabilização do agente público por ato de improbidade, a teor dos citados artigos 9, 10 e 11.
Pode-se entender, que um agente, ao praticar ou deixar de praticar determinado ato em desobediência a alguma das disposições da Lei Geral de Proteção de Dados, atentando contra princípio da administração pública na sua atuação como operador de dados, pode ser responsabilizado por cometer ato de improbidade administrativa nos termos do artigo 11 da Lei de Improbidade Administrativa. Certo é que as situações podem ser das mais variadas e das mais impensáveis, mas pode-se imaginar cenários hipotéticos como:
Imaginemos um servidor público que exerça a sua atividade em uma secretaria vinculada à prefeitura de um pequeno município, buscando atingir pessoa com a qual tenha criado inimizade no último pleito eleitoral ocorrido na cidade, venha a tomar conhecimento e tornar público um dado pessoal sensível a ela pertencente, constante em banco de dados legalmente coletados, armazenados em um sistema informático acessado de dentro da secretaria, objetivando atingir a sua honra externa perante os cidadãos daquela região.
Certamente que age, assim, em violação clara e manifesta à Lei Geral de Proteção de Dados, gerando à Prefeitura Municipal, na qualidade de controlador de dados, o dever de responder, perante a ANPD, nos termos dos art. 37 e 52, §3º da LGPD (“da porta para fora”); mas perante a Prefeitura (“da porta para dentro”), o agente público deverá responder pela prática de ato improbidade administrativa nos termos do art. 11 da LIA, podendo ser acionado pela própria Prefeitura ou pelo Ministério Público.
É possível, ainda, pensar-se em um cenário, ainda que hipotético, de que sejam violados também os artigos 9º e 10 da Lei de Improbidade.
Imaginemos, nesse sentido, que, nesse cenário fático indicado, o vitimado pela conduta do servidor público ingresse em juízo contra a Prefeitura daquele Município, buscando ressarcimento pelos danos contra si causados, obtendo êxito na condenação voltada à sua indenização. A conduta do agente violador, assim, além de ter ensejado a violação de princípios da administração, terá causado um efetivo e concreto dano ao Erário municipal, considerando o pagamento da indenização fixada.
Assim, poderá o servidor público também ser enquadrado como infrator do artigo 10 da Lei de Improbidade Administrativa, que dispõe ser ato de improbidade administrativa aquele praticado, de maneira dolosa ou culposa, de maneira a ensejar perda patrimonial do ente público, objetiva e concreta.
Em outro exemplo, imaginemos que esse mesmo servidor público, apossado dos dados pessoais sensíveis constantes em um banco de dados legalmente coletados, armazenados em um sistema informático acessado de dentro da secretaria, decida vende-los para pessoa que, posteriormente, os utilizará para a aplicação de golpes criminosos que demandam o uso de algum dado pessoal da vítima ou, ainda, para a sua revenda para utilização por hackers, por exemplo.
Há, nesse sentido, a partir da prática comprovada do ato ilícito pelo servidor público (violador direito da LGPD, nos termos, por exemplo, de seu art. 11), uma circunstância ainda mais específica de improbidade administrativa, que é a do recebimento, por si, de uma “vantagem patrimonial indevida” que se originou em razão de um abuso no exercício de seu cargo público.
A seguir, vale destacar algumas vantagens para a implementação da lei:
- Primeiramente, trata-se de uma obrigação legal que deve ser respeitada;
- A melhora da reputação e imagem dos gestores públicos;
- O apreço por parte dos cidadãos e fornecedores comerciais;
- O fortalecimento das relações comerciais em virtude da responsabilidade solidária, ao passo que a o órgão público poderá exigir em licitação que as empresas estejam adequadas a LGPD.
Dessa forma, concluo que, é devido o enquadramento de uma conduta do agente público que viola as disposições sobre a lei geral de proteção dados como ato de improbidade administrativa, sendo necessário, no entanto, que seja descrito de modo objetivo como se deu a referida violação, trazendo a configuração do elemento volitivo, a fim de garantir ao réu a observância dos princípios constitucionais do contraditório e ampla defesa.
Anthonio Araujo Jr.
Advogado, especialista em LGPD e Negócios Digitais
