Poder estatal no controle dos cidadãos: Há limites para o uso desenfreado de dados pessoais pelo Poder Público?

Por Rafael Garofano

Sócio fundador do escritório Garofano Sociedade de Advogados

Doutor e Mestre e Direito do Estado pela Universidade de São Paulo (USP)

Professor de Direito Administrativo

Ex-assessor da Secretaria de Governo do Estado de São Paulo

Ex-diretor de programa da Secretaria de Assuntos Estratégicos da Presidência da República

O exercício das funções estatais requer dados atualizados e disponíveis a qualquer momento, o que pode em tese refletir em uma gestão pública mais eficiente. A análise de dados – sobretudo os de natureza pessoal – pode oferecer informações estratégicas para que o Poder Público possa se antecipar às demandas sociais e aos desafios da gestão pública, adotando ações mais eficientes, inclusive com redução de gastos e melhoria da qualidade dos serviços prestados à população.

Devido a capilaridade de sua atuação e ao contato direto com os usuários-cidadãos – titulares dos dados –, o Poder Público é potencialmente capaz de acessar e tratar dados pessoais em larga escala, principalmente nos centros urbanos adensados, nos quais um grande volume de dados está ainda mais disponível. As cidades são cada vez mais reconhecidas como espaço privilegiado de acesso e de oportunidades de uso intensivo de tecnologias de tratamento de dados.

Ainda é difícil prever os impactos da adoção de recursos baseados em Internet das Coisas (IoT), Big Data, Inteligência Artificial (IA) e tecnologias disruptivas na realização das funções típicas do Poder Público. O fato é que os órgãos e as entidades públicos, assim como agentes privados em colaboração com o Estado, podem se utilizar de inúmeros equipamentos e dotá-los de inteligência embarcada e capacidade de comunicação em tempo real, oferecendo ao Poder Público parâmetros confiáveis para a tomada de decisão e a formulação de políticas públicas.

A partir do Big Data de interesse público, novas e criativas formas de investimentos e serviços inteligentes podem ser criados e implantados. As tecnologias inovadoras podem ser absorvidas pelos entes públicos por meio de diferentes modelos de interação e parcerias com a iniciativa privada, viabilizando inclusive o acompanhamento de comportamentos humanos em tempo real e de maneira massificada. Os órgãos de Estado podem assim viabilizar um controle efetivo, em tempo real, entre oferta de serviços e as necessidades da população.

Mas, se de um lado, é inquestionável o potencial do tratamento de dados para o progresso da sociedade por meio da formulação e implementação de políticas públicas mais eficazes, de outro, a utilização cada vez mais frequente de informações de natureza pessoal em grande escala pelo Poder Público – ou por seus agentes em colaboração – aprofunda o debate e as preocupações acerca dos pressupostos, condicionantes, requisitos e limites da exploração desse conjunto de informações relevantes, a reclamar uma disciplina reguladora de sua utilização a favor da sociedade e em respeito aos direitos fundamentais.

Diante da crescente demanda pelo tratamento e pela reutilização de dados pessoais, para inúmeras finalidades de interesse público, é relevante compreender os contornos de aplicação dos princípios jurídicos criados com o objetivo de evitar situações de abuso, desvio ou violação aos direitos individuais ou coletivos na relação entre Estado e cidadãos.

Assiste-se nos últimos anos à iniciativa de inúmeros países ou blocos regionais de aprovar ou aprimorar as suas legislações de proteção de dados pessoais, com a pretensão declarada de adequar a regulação aos desafios impostos pela rápida evolução tecnológica, pela globalização e pelo significativo aumento da coleta e partilha de dados pessoais. Busca-se, com isso, um quadro de proteção mais coerente e sólido, com aplicação rigorosa das regras, devido à importância de gerar a confiança necessária ao desenvolvimento da economia digital.

No entanto, o desafio da regulação jurídica é particularmente complexo quando o direito à privacidade e à proteção de dados pessoais se coloca em conflito com o exercício das funções de interesse público pelos poderes estatais. Na vertente de atuação do Poder Público, as leis de proteção de dados pessoais são duplamente desafiadas. De um lado, as tecnologias avançadas de análise de dados incentivam o Poder Público a cada vez mais se utilizar das informações disponíveis nos diversos bancos de dados. De outro, os riscos à privacidade e à proteção de dados pessoais exigem a imposição de limites à utilização irrestrita ou excessiva de informações particulares.

Na tentativa de equilibrar a tensão entre os riscos à privacidade de dados e os potenciais benefícios à coletividade, as normas de regulação em geral reconhecem as particularidades da atuação do Poder Público por meio de regras específicas, requisitos e exceções às restrições normalmente impostas ao tratamento e uso compartilhado de dados, desde que tais situações específicas venham acompanhadas de salvaguardas legais suficientes e adequadas. As finalidades do tratamento estão vinculadas, via de regra, ao exercício de funções de interesse público, de autoridade pública, de prestação de serviços públicos ou de atendimento de finalidades públicas em geral.

Em muitas situações, no entanto, as leis de proteção de dados não são suficientes para regular todas as situações possíveis. Até mesmo em razão da adoção de conceitos jurídicos indeterminados – como a própria noção de interesse público –, ainda existem dúvidas relevantes quanto aos limites do tratamento e da reutilização de dados pessoais pelo Estado, sobretudo quando para fins distintos do propósito original. A abertura normativa naturalmente amplia os riscos de uso excessivo ou arbitrário, uma vez que o Poder Público seria capaz de justificar praticamente quaisquer operações de tratamento de dados pessoais, nos mais variados contextos e para as mais diferentes finalidades.

O Estado poderia, com isso, utilizar os dados coletados dos cidadãos – geralmente em razão de uma relação de prestação de um serviço público – para fins não imagináveis originalmente. Isso seria possível mediante a inferência ou a associação com outros dados fornecidos pelo usuário ou por terceiros, entre outras possibilidades. Esta formação de bancos de dados pessoais que podem ser recuperados a qualquer momento e combinados com outros, somada ao fato de que nem sempre os titulares terão o controle de sua utilização, pode resultar na violação à livre construção da personalidade e uma ameaça real à liberdade democrática na dimensão coletiva da proteção[1].

Sobretudo em razão de tentativas de formação de bancos de dados centralizados dos cidadãos, algumas das principais normas de proteção de dados pessoais organizaram-se em torno de um “núcleo comum” de princípios, entre os quais o princípio da limitação de finalidade, segundo o qual “os dados só podem ser tratados e utilizados pela instância responsável para a finalidade para a qual foram captados[2]. O aludido princípio representa uma convergência presente em diversos ordenamentos jurídicos, e insere-se na tentativa de consolidação de certos preceitos básicos de proteção.

Ao mesmo tempo em que o princípio da finalidade tem sido uma das pedras angulares das legislações de proteção de dados, ele também é um dos princípios de proteção mais desafiados pelo avanço tecnológico. Com o progresso das tecnologias de análise massiva de dados, o Poder Público é cada vez mais instado a se utilizar das informações disponíveis nos diversos bancos de dados – inclusive informações de natureza pessoal – para melhorar o planejamento e a execução de políticas públicas ou aumentar a eficiência dos serviços públicos em sentido amplo.

A utilização de dados pessoais pelo Poder Público pode servir a uma multiplicidade de finalidades, quase sempre justificáveis à luz dos interesses públicos abstratamente considerados a partir das competências legais e das finalidades públicas a serem perseguidas pelos órgãos e entidades estatais. Há, com isso, uma tensão entre os potenciais benefícios à coletividade, que podem ser obtidos através de uma maior permissibilidade ao tratamento e uso compartilhado de bases de dados para fins de interesse público, de um lado, e os potenciais riscos à privacidade e à proteção de dados pessoais, de outro.

Ao mesmo tempo em que as normas de proteção, em geral, reconhecem as particularidades da atuação do Poder Público e estabelecem requisitos específicos ou exceções às restrições legais de tratamento – como a dispensa do consentimento e a maior abertura à reutilização em situações específicas –, inexiste imunidade ao dever de observância dos princípios e regras gerais da Administração Pública e dos princípios gerais de proteção de dados pessoais, ainda quando o tratamento seja motivado por razões de interesse público.

A reutilização para finalidades variadas, não necessariamente compatíveis com a coleta original, pode até se justificar do ponto de vista das finalidades legais mais amplas e do interesse público vinculado à execução mais eficiente das funções públicas. Entretanto, o uso excessivo ou incompatível com a finalidade original que motivou a coleta, ou mesmo com as expectativas dos titulares e o contexto do tratamento, representa risco aos direitos fundamentais dos titulares e pode caracterizar desvio de finalidade no uso pelo Poder Público, sujeitando-o ao controle de legalidade pelos órgãos legitimados.

Afinal, os dados pessoais coletados inicialmente para uma determinada finalidade podem ser [re]utilizados pelo Poder Público para outras finalidades de interesse público, sendo compartilhados para outros fins entre órgãos e entidades do Poder Público ou entre estes e entidades privadas? Quais são, enfim, os limites jurídicos à reutilização de dados pessoais pelo Poder Público à luz do princípio da finalidade no direito brasileiro?

A verdade é que ainda há pouca clareza hoje, na disciplina jurídico-normativa e mesmo na reflexão teórica relacionada ao tema, acerca dos limites da legalidade na atividade de tratamento de dados pessoais pelo Estado à luz do princípio da finalidade, entendido tanto como princípio geral de Direito Administrativo quanto princípio inerente às normas de proteção de dados pessoais.

Assim como a finalidade de interesse público é considerada requisito de juridicidade das ações estatais, servindo como baliza para o controle de legalidade dos atos da Administração Pública, a atividade de tratamento de dados pessoais é geralmente limitada pelo princípio da finalidade ou da limitação de propósito – e seus correlatos –, de modo a impedir que um mesmo dado pessoal coletado para uma finalidade específica possa ser [re]utilizado para outras finalidades incompatíveis com a original.

No entanto, há uma dificuldade evidente – agravada pelos desafios do uso massivo de dados e pela evolução tecnológica – de equilibrar a anunciada tensão existente entre proteção, limitação, reutilização e compartilhamento, tendo como resultado a insuficiência de regras objetivas e organizadas de incidência do princípio às situações que envolvam o exercício de funções de interesse público.

Apesar de não se negar a importância das leis e dos regulamentos de proteção de dados pessoais, influenciados pela experiência e protagonismo da UE, muitas vezes os textos normativos não se mostram suficientes para delimitar ou regular a aplicação do princípio da limitação de finalidade às situações específicas de utilização de dados com finalidades de interesse público. Não é incomum a opção legislativa de adotar permissivos genéricos e excessivamente abertos, com significativo espaço para a discricionariedade ou até mesmo para o arbítrio.

No Brasil, iniciativas recentes de promoção do amplo compartilhamento de dados entre órgãos e entidades do Poder Público têm sido objeto de críticas notadamente contrárias à ideia de que o Estado seja considerado uma unidade informacional, dentro da qual os dados pessoais poderiam circular de maneira desimpedida[3]. O alerta considera necessário, por exemplo, para efeito de análise da compatibilidade entre diferentes operações de tratamento, levar em consideração as expectativas razoáveis do titular, a natureza dos dados e os possíveis prejuízos ao titular em decorrência do compartilhamento[4].

A legislação brasileira vigente traz alguns contornos gerais – às vezes implícitos ou indiretos – de quais devem ser os limites ao tratamento de dados pessoais para fins de interesse público. Entretanto, a verdade é que o ordenamento nacional ainda apresenta lacunas relevantes em termos de regulação dos limites de reutilização de dados pessoais pelo Poder Público, sobretudo para finalidades diferentes da original (mudança de propósito), o que é causa de uma indesejada situação de insegurança e incerteza acerca das possibilidades e dos limites do tratamento de dados pessoais pelo Estado brasileiro. [5]


[1] MARANHÃO, Juliano; CAMPOS, Ricardo. A divisão informacional de Poderes e o Cadastro Base do

Cidadão. JOTA INFO. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/a-divisao-informacional-de-poderes-e-o-cadastro-base-do-cidadao-18102019. Acesso em 25/02/2021.

[2] Cf. OCDE. Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. Disponível em: www.oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html. Acesso em 01/04/2021.

[3] Cf. CELLA, José Renato Gaziero; COPETTI, Rafael. Compartilhamento de dados pessoais e a administração pública brasileira. Revista de Direito, Governança e Novas Tecnologias | e-ISSN: 2526-0049| Maranhão | v. 3 | n. 2 | p. 39 – 58 | Jul/Dez. 2017; e MARANHÃO, Juliano; CAMPOS, Ricardo. A divisão informacional de Poderes e o Cadastro Base do Cidadão. JOTA INFO. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/a-divisao-informacional-de-poderes-e-o-cadastro-base-do-cidadao-18102019. Acesso em 25/02/2021.

[4] Cf. ALHADEFF, Joseph; ALSENOY, Brendan Van; DUMORTIER, J. The accountability principle in data protection regulation: origin, development and future directions. Published in D. Guagnin, L. Hempel, C. Ilten a.o. (eds.), Managing Privacy through Accountability, 2012, Palgrave Macmillan, pp. 49-82.

Compartilhe:

LinkedIn
Facebook
WhatsApp
Twitter

Outras Postagens

Escanear o código