Processo nº 6017.2020/0025502-3

Interessado: SECRETARIA MUNICIPAL DA FAZENDA

Assunto: Lei Geral de Proteção de Dados. Compartilhamento de dados. Consulta.

Informação n° 620/2021- PGM.CGC

PROCURADORIA GERAL DO MUNICÍPIO

ASSESSORIA JURÍDICO-CONSULTIVA

Senhor Procurador Coordenador,

Trata-se de consulta decorrente de uma inicial manifestação do Grupo de Trabalho (GT) instituído pela Portaria SF n° 331, de 13 de dezembro de 2019, acerca da repercussão da Lei n° 13.709/18 (Lei Geral de Proteção de Dados - LGPD), especialmente do que diz respeito às hipóteses de compartilhamento pela SF de dados pessoais face às solicitações de outros órgãos da Administração Pública (doc. SEI 031307220).

O Coordenador do GT aponta que o compartilhamento de informações, incluindo as bases que contêm dados pessoais, representa prática relativamente comum, costumando decorrer de mero requerimento do órgão ou ente público interessado. No entanto, vislumbra-se que essa prática, antes corriqueira, não esteja ajustada à Lei Geral de Proteção de Dados.

O GT citou o exemplo do Cadastro Imobiliário Fiscal (CIF), gerido pela Subsecretaria da Receita Municipal, destinado a servir de subsídio ao lançamento de IPTU e outras taxas municipais. No entanto, essa base de dados é disponibilizada, "para distintos propósitos", a diversas outras Pastas (como SMDU e SEL), bem como a outros entes municipais (como a SP Urbanismo).

Com base nisso, foram formulados os seguintes questionamentos, in verbis:

• "A previsão legal ou regulamentar da política pública para cujos dados serão compartilhados deve ser expressa na norma que originou o banco de dados ou pode/deve ser expressa na normatização da Política Pública para cujos dados servirão?"

• "Superada a questão anterior - e se considerando a existência de autorização legal/regulamentar/contratual/etc - caberia avaliar a necessidade do consentimento do titular de que os dados serão utilizados para aquela finalidade específica."

• "Contrario sensu, há que analisar a possibilidade, ou não, de tratamento e compartilhamento dos dados com fundamento exclusivo no consentimento do titular, independentemente da autorização legal/regulamentar/contratual etc."

As dúvidas então suscitadas foram encaminhadas à Secretaria Municipal da Fazenda, cuja Coordenadoria Jurídica (COJUR) pronunciou-se de acordo com o pertinente parecer doc. SEI 032206177.

Em relação à primeira questão, SF/COJUR ponderou o seguinte: "Não obstante o defendido linhas atrás, entendemos, por uma simples questão técnica legislativa, que previsão legal ou regulamentar da política pública para cujos dados serão compartilhados deve ser expressa na normatização da Política Pública para cujos dados servirão."

No que se refere ao segundo ponto suscitado, foi suscitado: "Diante dos valores sob sua tutela, todos relacionados ao interesse coletivo em sentido amplo, o ordenamento jurídico conferiu ao Poder Público prerrogativas que lhe conferem o dever-poder de limitar direitos individuais. É em razão de tais prerrogativas, que há atos administrativos dotados de autoexecutoriedade, que permite ao ente público adotar condutas que repercutem na esfera individual independente do consentimento do administrado." E concluiu-se: "Sendo assim, e respondendo de forma genérica, é possível sustentar que em determinadas hipóteses, à luz do caso concreto, o consentimento do titular dos dados será despiciendo."

Já em relação ao terceiro questionamento, a COJUR expôs: "no âmbito estritamente público, a necessidade do consentimento do particular para o tratamento de dados é mitigada, ao passo que, quando do compartilhamento de dados entre Poder Público e particulares, a aquiescência do titular erige-se como fundamento legitimador determinante."

É o que basta à guisa de relatório.

Convém apontar, desde já, que a consulta formulada está revestida de extrema generalidade, de modo a impedir uma orientação jurídica que abarque todos os casos envolvendo o compartilhamento de dados pelos órgãos municipais. Com efeito, as informações detidas pelo Poder Público assumem múltiplas matizes e graus de proteção, a exemplo dos dados acobertados pelo sigilo fiscal, que obviamente se diferenciam daqueles não abarcados pela tutela do sigilo. A titulo de exemplo, no Município de São Paulo há regramento envolvendo o compartilhamento de informações protegidas pelo sigilo fiscal, ex vi do Decreto 57.319/2016[1].

A propósito, convém apontar que a esfera federal regulamentou o compartilhamento de dados entre os órgãos e entidades da Administração federal, nos termos do Decreto 10.046/2019, a fim de dar efetividade à Lei Geral de Proteção de Dados. Nesse sentido é que foram categorizados três níveis de compartilhamento, de acordo com a sua confidencialidade (art. 4°[2]).

De todo modo, a preocupação manifestada pelo órgão consulente - no sentido da necessidade de se avaliar se a "prática relativamente comum" do compartilhamento de informações entre os órgãos municipais está ajustada à Lei 13.709/2018 - mostra-se totalmente pertinente. Nesse sentido, o presente parecer abordará especificamente os aspectos jurídicos envolvendo o compartilhamento de dados no âmbito interno da Administração municipal.

Passa-se à análise.

O Poder Público, independentemente da esfera federativa, sempre foi um tradicional repositório de dados pessoais, substrato necessário para a implementação de diversas políticas públicas. Pode ser considerado, inclusive, "o detentor de dados pessoais mais antigo de que se tem noticia, já que a maioria das atividades básicas depende de cadastros, registros e uso de diferentes dados pessoais de todos os cidadãos"[3]. Esse manuseio de dados pelo Estado é fundamental, porquanto "fomenta o exercício da democracia com o objetivo de desenvolver políticas públicas que garantam uma administração mais transpartente, proba e republicada"[4].

Considerando a relação entre tais dados e a garantia constitucional da privacidade, da intimidade e da vida privada - de preservação obrigatória pela Administração -, sobreveio a Lei Geral do Proteção de Dados - LGPD (Lei 13.709/18). Trata-se de diploma de amplo alcance, porquanto dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.

Convém destacar que referida tutela já estava incorporada, conquanto de modo sucinto, na Lei de Acesso à Informação (Lei 12.527/11), nos termos de seu art. 31, pelo qual "o tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais."

O próprio Judiciário vem sistematicamente apreciando litígios envolvendo tal aspecto. Cite-se o julgado envolvendo a pandemia do Covid-19, em que o Supremo Tribunal Federal reconheceu o "direito fundamental à proteção de dados pessoais" e suspendeu a eficácia da Medida Provisória 954/2020, que previa o compartilhamento de dados de usuários de telecomunicações com o Instituto Brasileiro de Geografia e Estatística (IBGE), para a produção de estatística oficial durante o período de anormalidade (ADI 6.387, 6.388, 6.389, 6.390 e 6.393).

No âmbito do Município de São Paulo, a Lei Geral de Proteção de Dados (LGPD) foi objeto de regulamentação pelo Decreto 59.767, de 15 de setembro de 2020, que estabelece competências, procedimentos e providências correlatas a serem observados pelos órgãos e entidades locais, visando garantir a proteção de dados pessoais. Esse regulamento designou o Controlador Geral do Município como o encarregado da proteção de dados pessoais, ex vi do art. 41 da Lei 13.709/18. Uma de suas atribuições é a edição de diretrizes para a elaboração dos planos de adequação, compreendido como o conjunto das regras de boas práticas e de governança de dados pessoais que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, entre outros aspectos[5]. Também merece destaque as atribuições da Comissão Municipal de Acesso à Informação, entre as quais deliberar sobre as propostas de referidas diretrizes. Nota-se, assim, que a aplicação do regime de proteção de dados encontra-se em pleno processo de implementação no Município de São Paulo, motivo pelo qual as conclusões ora expedidas podem sofrer ajustes diante da eventual superveniência de diretivas específicas em relação à matéria.

No que se refere ao tratamento de dados pessoais pela Administração, há todo um capítulo na LGPD dedicado ao tema (capítulo IV). Nos termos de seu art. 23, o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. Esse preceito é compatível com o art. 7°, inc. III, o qual igualmente faz referência à Administração Pública, autorizada para o "tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres".

Verifica-se, portanto, que a LGPD dispõe sobre os três requisitos para o tratamento de dados pessoais pelo Poder Público:

• Atendimento de sua finalidade pública;

• Persecução do interesse público;

• Objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Neste ponto, a Lei 13.079/2018 não inovou. Na verdade, nem poderia tê-lo feito. Essas condições constituem o próprio fundamento de atuação legítima do Poder Público: finalidade e interesse públicos (noções que se encontram imbricadas) e submissão do princípio da legalidade. Não carreiam, portanto, qualquer ruptura com o regime publicista anterior à LGPD.

Inafastável, portanto, que a legalidade (ou a juridicidade, conforme expressão cunhada por Cármen Lúcia Rocha[6]) representa o principal parâmetro para o tratamento de dados pessoais pelo Poder Público, de modo que o órgão ou a entidade públicas que manuseiam o dado pessoal devem assumir competência normativa para tanto. Mesmo no caso do tratamento necessário à execução de políticas públicas "respaldadas em contratos, convênios ou instrumentos congêneres" (art. 7°, inc. III, da LGPD), não se pode prescindir da correspondente previsão normativa que legitima o firmamento de tais ajustes pelo órgão ou entidade pública.

No entanto, diferentemente da manifestação doc. SEI 031307220, não se compreende que haja a necessidade de norma expressa veiculando ipsis litteris a possibilidade de tratamento de dado pessoal por determinado ente público. Explica-se.

Embora seja impensável o exercício de um múnus pela Administração à margem da legalidade, não menos inequívoco que a lei pode dispor da corresponde atribuição de maneira expressa ou razoavelmente implícita. O permissivo expresso decorre de uma incorporação semântica, pelo enunciado prescritivo, da medida a ser adotada (exemplo: a norma que autoriza determinado órgão público a manusear um banco de dados pessoais). Já o permissivo razoavelmente implícito decorre de uma interpretação dos preceitos normativos existentes, por força do manuseio, notadamente, de técnicas hermenêuticas teleológicas e sistemáticas[7]. No caso ora sob análise, a norma que confere determinada atribuição a um órgão ou entidades pública autoriza, de modo razoavelmente implícito, o manuseio de dados adstritos à mesma finalidade, sob pena de tornar inútil a implementação da competência pública.

Evidentemente, imprescindível a existência de uma adequação entre a atribuição do ente e os dados que serão objeto de tratamento. Cumpre frisar que a adequação constitui um dos elementos do postulado da proporcionalidade, encontrando-se expressamente incorporada na LGPD, nos termos de seu art. 6°, inc. II. Ademais, a finalidade igualmente compreende princípio basilar para o tratamento de dados pessoais (art. 6°, inc. I), sendo vedado tratamento incompatível com a finalidade normativa do ente.

Nesse sentido, em relação ao primeiro questionamento formulado na consulta, entende-se que a própria competência estabelecida pela norma (legal ou regulamentar) em relação a órgão ou entidade pública, inserida necessariamente em determinada política pública, representa o permissivo para o manuseio de dados pessoais, desde que haja uma adequação entre a respectiva atribuição e o caráter das informações objeto de tratamento. Não há necessidade de que a previsão legal ou regulamentar da política pública esteja "expressa na norma que originou o banco de dados".

Contém apontar que a presente conclusão não afasta a necessidade de observância dos princípios que sustentam o tratamento de dados pessoais (art. 6° da LGPD), bem como das condições legais para o seu manuseio, entre as quais se destaca a publicidade prevista no art. 23, inc. I, da LGPD.

Os demais questionamentos do órgão consulente dizem respeito à necessidade de consentimento do titular, que representa, a bem da verdade, um dos principais aspectos do novo regime de proteção de dados, já que o protagonismo da voluntariedade constitui verdadeira "regra de ouro" do diploma legal. A despeito disso, há situações que dispensam o consentimento, nos termos das inúmeras hipóteses previstas na Lei 13.709/2018.

Uma das perguntas suscitadas a esta PGM assume os seguintes contornos: "considerando a existência de autorização legal/regulamentar/contratual/etc - caberia avaliar a necessidade do consentimento do titular de que os dados serão utilizados para aquela finalidade específica."

Partindo da premissa que de que haja autorização normativa para tratamento de dados a determinado órgão ou ente públicos, a interpretação da LGPD aponta a desnecessidade do consentimento do titular. É o que se extrai do seu art. 7°, inc. III[8]., c.c o art. 11, inc. II, "b"[9]. Trata-se da mesma posição incorporada no Guia de Boas Práticas para implementação da LGPD na Administração federal: "Sempre que a administração pública efetuar o tratamento de dados pessoais no exercício de suas competências legais vinculadas a políticas públicas e entrega de serviços públicos, não precisará colher o consentimento."

Já a última dúvida abrange a situação oposta: "Contrario sensu, há que analisar a possibilidade, ou não, de tratamento e compartilhamento dos dados com fundamento exclusivo no consentimento do titular, independentemente da autorização legal/regulamentar/contratual etc."

Ora, partindo-se do pressuposto de que a atuação administrativa necessariamente se baseia na legalidade/juridicidade - de modo explícito ou razoavelmente implícito, como apontado acima -, impensável o exercício da função administrativa fora da órbita do ordenamento jurídico. A propósito da legalidade, a própria LGPD dispõe no art. 27 sobre as situações em que o consentimento do titular se mostra necessário: comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado. Mesmo nesses casos, advirta-se, o consentimento é dispensado nas hipóteses previstas nos incisos do mesmo artigo, entre as quais o uso compartilhado de dados.

Assim, o uso compartilhado de dados entre os órgãos e entes públicos municipais não pode ser dissociado do corresponde permissivo normativo que o sustenta, o que afasta a possibilidade "de tratamento e compartilhamento dos dados com fundamento exclusivo no consentimento do titular, independentemente da autorização legal/regulamentar/contratual etc."

Diante de todo o exposto, em relação aos questionamentos envolvendo o compartilhamento pela Secretaria Municipal da Fazenda de dados pessoais face às solicitações de outros órgãos da Administração Pública municipal, conclui-se:

(i) A própria competência estabelecida pela norma (legal ou regulamentar) em relação a órgão ou entidade pública, inserida necessariamente em determinada política pública, representa o permissivo para o manuseio de dados pessoais, desde que haja uma adequação entre a respectiva atribuição e o caráter das informações objeto de tratamento. Não há necessidade de que a previsão legal ou regulamentar da política pública esteja "expressa na norma que originou o banco de dados";

(ii) Partindo da premissa que de que haja autorização normativa para tratamento de dados a determinado órgão ou ente público, desnecessário o consentimento do titular, nos termos do art. 7°, inc. III , c.c. o art. 11, inc. II, "b", da Lei 13.709/2018;

(iii) O uso compartilhado de dados entre os órgãos e entes públicos municipais não pode ser dissociado do corresponde permissivo normativo que o sustenta, o que afasta a possibilidade "de tratamento e compartilhamento dos dados com fundamento exclusivo no consentimento do titular, independentemente da autorização legal/regulamentar/contratual etc."

Reitere-se que as conclusões ora expedidas podem sofrer ajustes diante da eventual superveniência de diretivas específicas em relação à matéria, ex vi do Decreto municipal 59.767/20.

À consideração superior.

.

São Paulo, 10/06/2021

RODRIGO BORDALO RODRIGUES

Procurador Assessor - AJC

OAB/SP 183.508

PGM

.

De acordo.

.

São Paulo, 10/06/2021 

RODRIGO BRACET MIRAGAYA

Procurador Chefe da Assessoria Jurídico Consultiva Substituto

OAB/SP 227.775

CGC/PGM

.

[1] Nos termos de seu art. 11, "quando qualquer órgão ou autoridade da Administração Municipal receber o compartilhamento de dados e informações protegidos pelo sigilo fiscal, deverá observar rigorosamente a cláusula do sigilo e ficará impedido de recompartilhar os dados e informações obtidos com qualquer outro órgão ou autoridade pública que os solicite ou requisite, salvo autorização expressa da autoridade detentora originária do material sigiloso."

[2] Os três níveis são: (i) compartilhamento amplo: quando se tratar de dados públicos que não estão sujeitos a nenhuma restrição de acesso, cuja divulgação deve ser pública e garantida a qualquer interessado, na forma da legislação; (ii) compartilhamento restrito: quando se tratar de dados protegidos por sigilo, nos termos da legislação, com concessão de acesso a todos os órgãos e entidades de que trata o art. 1° do Decreto 10.046/2019 para a execução de políticas públicas, cujo mecanismo de compartilhamento e regras sejam simplificados e estabelecidos pelo Comitê Central de Governança de Dados; e (iii) compartilhamento específico: quando se tratar de dados protegidos por sigilo, nos termos da legislação, com concessão de acesso a órgãos e entidades específicos, nas hipóteses e para os fins previstos em lei, cujo compartilhamento e regras sejam definidos pelo gestor de dados.

[3] SANTOS, Marcela de Oliveira. MOTTA, Fabrício. Regulação do tratamento de dados pessoais no Brasil - o estado da arte. In: "LGPD & Administração Pública", Revista dos Tribunais, 2020, p. 91.

[4] Cf. Parecer 295/2020/CONJUR-CGU/AGU.

[5] Em fevereiro de 2021 foi editada a cartilha "Diretrizes para o Programa de Privacidade e Proteção de Dados da Prefeitura de São Paulo", consistente em um compilado da Lei 13.709/2018. Ademais, foi elaborada a cartilha de "Boas Práticas de Proteção de Dados e Privacidade".

[6] "A preferência que se confere à expressão deste princípio da juridicidade, e não apenas ao da legalidade como antes era afirmado, é que, ainda que se estenda esta em sua generalidade (e não na especificidade da lei formal), não se tem a inteireza do Direito e a grandeza da Democracia em seu conteúdo, como se pode e se tem naquele." (Princípios constitucionais da Administração Pública, p. 69).

[7] Nesse sentido, acertada a ponderação da SF/COJUR, no sentido de que "a legalidade do tratamento de dados pessoais por parte do Poder Público pode advir de disposições jurídicas extraídas do sistema jurídico e não de uma lei específica."

[8] "Art. 7° O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular; (...) III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei".

[9] "Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: (...) b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos."

.

.

Processo nº 6017.2020/0025502-3

Interessado: SECRETARIA MUNICIPAL DA FAZENDA

Assunto: Lei Geral de Proteção de Dados. Compartilhamento de dados. Consulta.

Cont. da Informação n° 620/2021 - PGM.CGC

PROCURADORIA GERAL DO MUNICÍPIO

Senhora Procuradora Geral

Encaminho o presente com a manifestação da Assessoria Jurídico-Consultiva desta Coordenadoria Geral do Consultivo, que acompanho integralmente.

.

São Paulo, 10/06/2021

CAYO CÉSAR CARLUCCI COELHO

Coordenador Geral do Consultivo

OAB/SP n° 168.127

PGM

.

.

Processo nº 6017.2020/0025502-3

Interessado: SECRETARIA MUNICIPAL DA FAZENDA

Assunto: Lei Geral de Proteção de Dados. Compartilhamento de dados. Consulta.

Cont. da Informação n° 620/2021-PGM.CGC

SECRETARIA MUNICIPAL DA FAZENDA

Senhor Chefe de Gabinete

Nos termos do encaminhamento constante no doc. SEI 032283333, restituo o presente com o entendimento da Coordenadoria Geral do Consultivo (parecer doc. SEI 044799005), que acolho na íntegra.

.

São Paulo, 10/06/2021

MARINA MAGRO BERINGHS MARTINEZ

PROCURADORA GERAL DO MUNICÍPIO

OAB/SP 169.314

PGM/SP