Dados pessoais públicos: o que são e como proceder em caso de vazamento de dados

Em setembro de 2018, entrou em vigor no Brasil a Lei Geral de Proteção de Dados — LGPD que visa proteger a privacidade dos dados pessoais de todos os cidadãos. 

E o que são dados pessoais?  Dado pessoal é toda informação que permita identificar, direta ou indiretamente, um indivíduo, como o nome, RG, CPF, telefone, endereço residencial, cartão bancário, endereço de IP, fotografia, dentre outros. Já o dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, genético ou biométrico é considerado dado pessoal sensível, ao qual a norma exige mais cautela por parte daquele que realiza a coleta e o tratamento, notadamente o consentimento explícito do titular do dado para sua utilização.

Tanto as empresas privadas como a administração pública estão sujeitas às regras previstas na referida Lei e deverão respeitar não só o consentimento do titular dos dados, mas também a finalidade específica para qual foram coletados, além de diversas outras exigências legais.

De fato, a LGPD determina que o tratamento de dados pessoais pelos entes públicos deverá ser realizado para o atendimento específico de sua finalidade pública, devendo ser fornecidas informações claras e atualizadas sobre a previsão legal, a finalidade da utilização, os procedimentos e as práticas utilizadas para a execução da finalidade, tudo isso em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.

Assim, quando entrarmos em um prédio público, fizermos matrícula em uma universidade pública ou estivermos na condição de servidor público, por exemplo, nossos dados pessoais serão coletados e tratados na forma da LGPD. 

Da mesma forma, o tratamento de dados pessoais poderá ser realizado pela administração pública para a execução de políticas públicas. Aqui podemos citar como exemplo evento em que a Secretaria de Saúde realiza tratamento de dados pessoais de gestantes, atendidas em hospitais públicos, com o intuito de executar política pública de incentivo ao pré-natal. Neste caso, os dados pessoais tratados pelo referido órgão possuem finalidade específica – política pública – e, por determinação da LGPD, dispensam o consentimento do titular.

Todavia, em algumas situações, os dados pessoais coletados pela Administração Pública não estarão sujeitos ao tratamento de dados previstos na LGPD. Essa exceção se dará por motivos de (i) segurança pública, como em atividades de identificação criminal, registro de condutores e câmeras de trânsito; (ii) defesa nacional, cujos dados provavelmente serão tratados pelas Forças Armadas no intuito de proteger o país de ameaças externas; (iii) segurança do Estado, envolvendo dados coletados pela inteligência; ou (v) atividades de investigação e repressão de infrações penais, cujos dados serão coletados para instrução de inquéritos criminais e processos. 

Assim, para o tratamento de dados pessoais ligados às situações mencionadas, as regras da LGPD serão inaplicáveis. Para quaisquer outras situações, desde que a finalidade seja pública, o tratamento de dados pessoais pela Administração Pública se submeterá às regras referida Lei, inclusive à fiscalização da Autoridade Nacional de Proteção de Dados (ANPD).

Ainda, necessário ressaltar que a aplicação da LGPD pela Administração Pública deve ser feita em consonância com os termos da Lei de Acesso à Informação, que garante o acesso dos cidadãos às informações públicas. Ou seja, deve haver uma adequação entre ambas as normas para garantir a proteção de dados pessoais. Uma maneira do Poder Público garantir a divulgação de informações e, ao mesmo tempo, a proteção de dados pessoais dos cidadãos envolvidos é, por exemplo, a anonimização — utilização de meios técnicos por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo — ou a pseudonimização — meio pelo qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador do dado em ambiente controlado e seguro.

Imagem: Gorodenkoff/Shutterstock.com

Importante destacar também que o princípio da transparência garante aos titulares dos dados pessoais a disponibilização de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, além da consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais, de modo que a ANPD entende que é boa prática a disponibilização dessas informações na página eletrônica do órgão ou entidade responsável.

Ocorre que, para a Administração Pública, o tratamento dos dados pessoais é definitivamente um desafio, devido ao alto volume de dados a serem tratados e à usual deficiência de estrutura, pessoal e tecnologia de informação de determinados órgãos públicos, especialmente nos municípios.

Em dezembro de 2020, o jornal O Estado de S. Paulo noticiou que falhas de segurança do Ministério da Saúde expuseram dados de mais 200 milhões de brasileiros cadastrados no Sistema Único de Saúde (SUS) e clientes de planos de saúde. Informações que deveriam estar protegidas por login e senha, como nome completo, CPF, endereço e telefone, foram expostas. O órgão informou que os incidentes estariam sendo reportados e investigados para apuração da responsabilidade, bem como ações de segurança seriam adotadas para impedir novos incidentes. Em dezembro de 2021, o DataSUS, outro sistema do Ministério da Saúde, ficou fora do ar em razão de uma possível ação de invasores, deixando expostos dados sensíveis relativos à saúde dos cidadãos.

Importante ter em mente que, em casos de incidente de segurança que envolva dados pessoais e que possa acarretar risco ou dano relevante aos titulares, o controlador, responsável pelas decisões atinentes ao tratamento dos dados pessoais, tem a obrigação de comunicar o incidente à ANPD e aos titulares dos dados. 

E o que fazer, caso seu dado pessoal tenha sido vazado?

Sem prejuízo de eventual ação judicial, o titular dos dados pode solicitar ao controlador o exercício dos seus direitos, como esclarecimentos sobre as operações de tratamento realizadas, correção de dados incompletos ou desatualizados, eliminação dos dados, dentre outros, e, se desatendida a solicitação, pode apresentar petição à ANPD com a comprovação desse requerimento prévio, podendo esta atuar em ação de fiscalização, educacional, regulatória ou mesmo sancionatória, a depender da situação. Veja abaixo fluxo da petição, elaborado pela própria ANPD:

Os exemplos dos incidentes de segurança citados refletem a importância da observância da LGPD, em especial pela Administração Pública, bem como revelam o grande desafio dos gestores públicos, sendo indispensável o planejamento e execução de ações que visem garantir a segurança do tratamento dos dados pessoais e, assim, à privacidade, intimidade e honra dos indivíduos.

Indispensável também o investimento em educação aos cidadãos quanto à importância da segurança de seus dados para que, assim, possam exigir não só da Administração Pública, mas também das empresas privadas, as ferramentas necessárias para que esses incidentes não ocorram e seus direitos sejam respeitados.

—

Isabela Pompilio é responsável pela área de contencioso da unidade de Brasília de TozziniFreire Advogados, com larga experiência em atuação nos Tribunais Superiores. Atua em causas estratégicas há duas décadas e no acompanhamento de teses visando a formação de novos entendimentos jurisprudenciais em direito cível, internacional e digital.