ADVOCACIA-GERAL DA UNIÃO
CONSULTORIA-GERAL DA UNIÃO
CONSULTORIA JURÍDICA DA UNIÃO ESPECIALIZADA VIRTUAL RESIDUAL
COORDENAÇÃO-GERAL
ADVOCACIA-GERAL DA UNIÃO
CONSULTORIA-GERAL DA UNIÃO
CONSULTORIA JURÍDICA DA UNIÃO ESPECIALIZADA VIRTUAL RESIDUAL
COORDENAÇÃO-GERAL
DESPACHO n. 072/2023/COORD/E-CJU/RESIDUAL/CGU/AGU
PROCESSO: 08385.002362/2023-74
ORIGEM: SUPERINTENDÊNCIA REGIONAL DA POLÍCIA FEDERAL NO ESTADO DO PARANÁ - DPF/SRPF/PR
ASSUNTOS: ACORDO DE COOPERAÇÃO TÉCNICA
Por meio do PARECER n. 00242/2023/ADVS/E-CJU/RESIDUAL/CGU/AGU (seq.27), o Advogado da União subscritor do opinativo concluiu pela viabilidade jurídica da minuta de Acordo de Cooperação Técnica e a continuidade do procedimento, desde que cumpridas as recomendações constantes dos parágrafos 19, 20, 41, 47, 49, 67, 75 , 77, 79, e 82 do Parecer.
No caso, os autos do processo digital foram encaminhados à e-CJU/Residual com a solicitação de análise jurídica de minuta de ACORDO DE COOPERAÇÃO TÉCNICA PF/COPEL-DIS Nº 001-2023 a ser celebrado entre "(...) COPEL DISTRIBUIÇÃO S.A. – COPEL-DIS E A SUPERINTENDÊNCIA REGIONAL DA POLÍCIA FEDERAL NO PARANÁ – PF (...)", tendo por objeto "(...) a liberação de acesso, na forma de consulta on line, por meio do site www.copel.com/externo, à Superintendência Regional da Polícia Federal no Paraná - PF, aos seguintes dados cadastrais dos clientes da Copel Distribuição S.A. – COPEL-DIS: nome, endereço (logradouro, número, complemento, cidade, CEP e coordenadas geográficas) e número de um documento de identificação do consumidor, (...).
Após a prolação do mencionado PARECER n. 00242/2023/ADVS/E-CJU/RESIDUAL/CGU/AGU (seq.27), este signatário ao realizar a leitura do seu conteúdo, com foco no objetivo uniformizador previsto pelo artigo 2º da Portaria Normativa AGU nº 72/2022, identificou divergência não resolvida, diante de precedentes anteriores desta unidade em sentido contrário.
Dessa forma, com fulcro no § 1º, do artigo 2º e inciso III, do artigo 10, ambos da citada Portaria Normativa[1], faz-se necessário proceder à uniformização de entendimento jurídico sobre o ponto.
Em sua ementa[2], o advogado assim resume a questão:
Acordo de Cooperação Técnica tendo por objeto a liberação de acesso a dados cadastrais. Legalidade. Viabilidade jurídica. Aprovação condicionada ao cumprimento das recomendações.
Ocorre que são precedentes desta e-CJU Residual, em sentido contrário, os seguintes pronunciamentos[3]: PARECER n. 00091/2022/ADVS/E-CJU/RESIDUAL/CGU/AGU (NUP 08270.010874/2019-15, seq.13); PARECER n. 01023/2022/ADVS/E-CJU/RESIDUAL/CGU/AGU (NUP 08335.007709/2022-80, seq.27), e PARECER n. 00163/2023/ADVS/E-CJU/RESIDUAL/CGU/AGU (NUP 08669.011490/2022-41, seq.43), dos quais extraem-se as respectivas ementas:
1 - PARECER n. 00091/2022/ADVS/E-CJU/RESIDUAL/CGU/AGU
CELEBRAÇÃO DE ACORDO DE COOPERAÇÃO TÉCNICA EM MATÉRIA DE SEGURANÇA NACIONAL. ACESSO AOS DADOS PESSOAIS DE CLIENTES DOS LOJISTAS. LEI GERAL DE PROTEÇÃO DE DADOS-LGPD. IMPOSSIBILIDADE. NECESSÁRIO REGRAMENTO ESPECIAL. ANOMIA.
2 - PARECER n. 01023/2022/ADVS/E-CJU/RESIDUAL/CGU/AGU
Administrativo. Acordos de Cooperação.
I- Acordo de Cooperação é instrumento destinado exclusivamente à cooperação entre entes públicos. Parecer nº 5/2019/CNCIC/CGU/AGU NUP: 13168.100456/2022-21
II- Criação, por meio de mero acordo, de ferramenta investigatória em sobreposição aos instrumentos disponibilizados pela legislação para a condução do Inquérito Policial - Solidariedade da Administração nos riscos e vícios eventualmente assumidos pelo particular. Geração de obrigações de contrapartida para a União, sem interesse suficientemente qualificado. Predominância do princípio da Legalidade Estrita.
3 - PARECER n. 00163/2023/ADVS/E-CJU/RESIDUAL/CGU/AGU
I – Acordo de cooperação técnica para compartilhamento de dados a ser firmado com Pessoa Jurídica de Direito Privado.
II –Decreto-Lei 200 de 25 de fevereiro de 1977; Lei 7.596 de 10 de abril de 1987; Código de Defesa do Consumidor -Lei 8.078, de 11 de Setembro de 1990 e Lei n 13.709, de 14 de agosto de 2018-Lei Geral de Proteção de Dados Pessoais - LGPD.
III – Anomia quanto à pretensão do órgão consulente, opina-se pela impossibilidade, ante esta ausência normativa.
Reitera-se aqui a base normativa para a presente uniformização, citada no item 2.
A identidade dos precedentes se refere ao objeto dos pretendidos ajustes, posto que intentam a formalização de instrumento que permita acesso de órgãos públicos federais (Polícia Federal ou Polícia Rodoviária Federal) a dados pessoais, constantes de bancos de dados de empresas privadas, concessionárias de serviços públicos ou não, sob o argumento de serem necessários para finalidades de segurança pública, atividades de investigação e repressão de infrações penais, atividade de Polícia Judiciária ou atividades de inteligência ou similares [4].
Para os estritos, limitados e precários[5] fins aos quais a presente uniformização se destina, nos colocamos de acordo com a posição do último e anterior pronunciamento nesta unidade especializada (PARECER n. 00163/2023/ADVS/E-CJU/RESIDUAL/CGU/AGU), constante dos presente autos, de abril p.p., razão pela qual faz-se premente a transcrição dos seus fundamentos.
III.1 – DOS SUJEITOS E OBJETO DO ACORDO EM RELAÇÃO À LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS – LEI Nº 13.709 DE 14 DE AGOSTO DE 2018 – LGPD.
11. O objeto do presente acordo visa possibilitar o acesso de dados cadastrais de clientes, pessoas físicas e/ou jurídicas no Estado do Mato Grosso do Sul, da Concessionária, por meio de web service, pela PRF/MS, para fins de segurança pública, o que, inexoravelmente, recai sob a incidência da Lei n. 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais – LGPD, um microssistema complexo com léxico normativo próprio, contudo, de pronto, vislumbra-se essa possibilidade mediante a hipótese autorizativa para a celebração de Acordos de Cooperação no tratamento e compartilhamento dos dados pessoais( art. 7º, inciso III, da LGPD), verbis:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; (g.n.)12. A Lei Geral de Proteção de Dados, em seu artigo 1º. determina os fins pretendidos pela legislação:
Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios. (Incluído pela Lei nº 13.853,de_2019) (g.n.)13. O art. 2º. da referida lei dispõe sobre os fundamentos da legislação, elencando sete fundamentos que baseiam a proteção de dados pessoais, demonstrando o caráter protetivo da norma em favor do titular de dados pessoais, a saber:.
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:I - o respeito à privacidade;II - a autodeterminação informativa;III - a liberdade de expressão, de informação, de comunicação e de opinião;IV - a inviolabilidade da intimidade, da honra e da imagem;V - o desenvolvimento econômico e tecnológico e a inovação;VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; eVII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.(...) (g.n.)
14. Consoante se observa da leitura acima, a aplicação da LGPD corresponde a todo e qualquer tratamento de dados pessoais, independente de quem o promova (pessoas físicas ou jurídicas), salvo as exceções dispostas no art.4º. da lei:
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;II - realizado para fins exclusivamente:a) jornalístico e artísticos; oub) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;III - realizado para fins exclusivos de:a) segurança pública;b) defesa nacional;c) segurança do Estado; oud) atividades de investigação e repressão de infrações penais; ouIV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.§ 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.§ 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste artigo.§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público. (Redação dada pela Lei nº 13.853, de 2019) Vigência(g.n.)15. Da leitura acima verifica-se que a Lei 13.709/2018 deixou propositalmente de regular o tratamento de dados no âmbito de segurança pública e de atividades de persecução e repressão de infrações penais.
16. No citado art. 4 º. , caput, III, “a” e “d”, c/c § 1 º consta expressa necessidade de “lei específica que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular” .
17. A Lei Geral de Proteção de Dados também regulamenta como as organizações públicas ou privadas devem tratar os dados pessoais e confere ao titular desses dados direitos para definir como eles serão usados, garantindo mais transparência e proteção ao seu tratamento.
18. No caso em comento, o fornecedor de dados trata-se de uma empresa de direito privado concessionária de serviço público de energia elétrica. Não é despiciendo lembrar que Órgão Público, no conceito determinado que se lhe dá o vetusto Decreto-Lei 200/67 alterado pela Lei que incluiu as Fundações Públicas – a lei 7596/87, compreende, verbis:
“(...)Art. 4° A Administração Federal compreende:I - A Administração Direta, que se constitui dos serviços integrados na estrutura administrativa da Presidência da República e dos Ministérios.II - A Administração Indireta, que compreende as seguintes categorias de entidades, dotadas de personalidade jurídica própria:a) Autarquias;b) Empresas Públicas;c) Sociedades de Economia Mista.d) fundações públicas.(Incluído pela Lei nº 7.596, de 1987)§ 1° As entidades compreendidas na Administração Indireta consideram-se vinculadas ao Ministério em cuja área de competência estiver enquadrada sua principal atividade.Parágrafo único. As entidades compreendidas na Administração Indireta vinculam-se ao Ministério em cuja área de competência estiver enquadrada sua principal atividade.(...)Art. 5º Para os fins desta lei, considera-se:I - Autarquia - o serviço autônomo, criado por lei, com personalidade jurídica, patrimônio e receita próprios, para executar atividades típicas da Administração Pública, que requeiram, para seu melhor funcionamento, gestão administrativa e financeira descentralizada.II - Empresa Pública - a entidade dotada de personalidade jurídica de direito privado, com patrimônio próprio e capital exclusivo da União, criado por lei para a exploração de atividade econômica que o Governo seja levado a exercer por força de contingência ou de conveniência administrativa podendo revestir-se de qualquer das formas admitidas em direito.(Redação dada pelo Decreto-Lei nº 900, de 1969)III - Sociedade de Economia Mista - a entidade dotada de personalidade jurídica de direito privado, criada por lei para a exploração de atividade econômica, sob a forma de sociedade anônima, cujas ações com direito a voto pertençam em sua maioria à União ou a entidade da Administração Indireta.(Redação dada pelo Decreto-Lei nº 900, de 1969)IV - Fundação Pública - a entidade dotada de personalidade jurídica de direito privado, sem fins lucrativos, criada em virtude de autorização legislativa, para o desenvolvimento de atividades que não exijam execução por órgãos ou entidades de direito público, com autonomia administrativa, patrimônio próprio gerido pelos respectivos órgãos de direção, e funcionamento custeado por recursos da União e de outras fontes. (Incluído pela Lei nº 7.596, de 1987) ...” (g.n.)
19. Salta aos olhos que a empresa privada em questão não é Órgão Público, portanto, tendo em vista a circunstância da sua natureza jurídica de direito privado, passa-se à análise dos aspectos dessa situação, pois, na condição de agente tratador de dados pessoais, sendo o tratamento “..toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.”(LGPD, art 5º inciso X), ou seja, o partícipe-empresa privada seria controlador de dados pessoais (LGPD, art, 5º inciso VI) ou até operador se acaso o serviço fosse terceirizado (LGPD art. 5º inciso VII), o que, decerto exclui da incidência da norma todo o tratamento de dados pelo Poder Público no Capítulo IV da LGPD, posto que, conditio sine qua é que seja pessoa jurídica de direito público, tutelada pelo direito público administrativo, e ainda neste Capítulo IV a lei sublinha a competência da Autoridade Nacional para estabelecer normas complementares à própria LGPD (art. 30).
20. Isto posto, tem-se que a empresa privada é uma prestadora de serviços públicos, portanto, sujeita à relação de direito do consumidor no âmbito civil e de acordo com o art. 45 da LGPD:
Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente (g.n)21. A própria LGPD reconhece que, em se tratando de prestação de serviço de índole consumerista, a norma especial do CDC prevalece sobre a geral – lex specialis derrogat generalis, com a respectiva prevalência do CDC sobre a LGPD nesses casos, qualquer vazamento de dados e consequentes danos causados às pessoas físicas ou naturais e às morais ou jurídicas seriam tanto de responsabilidade da empresa controladora de dados(art. 5º, VI, da LGPD) quanto da fornecedora (art. 3º do CDC)e se submeteriam à disciplina do art 14 do CDC.
22. A bem de ver o mesmo CDC (Lei 8.078, de 11 de Setembro de 1990) dispõe, de forma inequívoca, que:
Art. 22. Os órgãos públicos, por si ou suas empresas, concessionárias, permissionárias ou sob qualquer outra forma de empreendimento, são obrigados a fornecer serviços adequados, eficientes, seguros e, quanto aos essenciais, contínuos.Parágrafo único. Nos casos de descumprimento, total ou parcial, das obrigações referidas neste artigo, serão as pessoas jurídicas compelidas a cumpri-las e a reparar os danos causados, na forma prevista neste código.
23. Corolário lógico dessa premissa, na sistemática do CDC o fornecedor responde pelos danos causados ao consumidor (art. 14, caput , do CDC):
a) por defeitos relativos à prestação do serviço( vazamento de dados seria classificado, nessa ótica, como um defeito do serviço g.n.)b) por informações insuficientes ou inadequadas sobre sua fruição e riscos.24. Então, a uma, reputa-se defeituoso o serviço quando não fornece a segurança que o consumidor dele pode esperar, levando-se em consideração, o modo de seu fornecimento, o resultado e os riscos que razoavelmente dele se esperam e a época em que foi fornecido (art. 14, § 1º, do CDC), a duas, a responsabilidade não depende de defeito do serviço, mas se relaciona à falta de clareza e precisão sobre instruções relativas à fruição e aos riscos do serviço que possam ocasionar acidentes de consumo, e a regra geral é a da responsabilidade objetiva do fornecedor é objetiva (art. 14, caput , do CDC), restando caracterizada se provados: a) a existência do defeito ou do vício de informação; b) a existência do dano; c) o nexo de causalidade entre o defeito ou o vício de informação e o dano, este preceito específico do CDC por si só atrairia a responsabilidade da União se consentisse na hipótese deste Acordo genérico com uma empresa de direito privado, ainda que ao argumento da segurança pública, já que a empresa privada está sempre sob a manto normativo do CDC.
25. Ademais disso, a proteção de dados tem por fundamentos o respeito à privacidade, a autodeterminação informativa, a inviolabilidade da intimidade e também a defesa do consumidor (art. 2º, I, II, IV e VI, da LGPD), sendo, inclusive, irrelevante se são dados sensíveis ou não, visto que o art. 42 da LGPD sequer faz essa diferença, verbis:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.26. Caudalosa jurisprudência firmada nesse sentido:
01. Recurso inominado – Vazamento de dados pessoais de cliente por empresa fornecedora de energia elétrica – Relação de consumo – Tratamento de dados pessoais de pessoa localizada no território nacional e após 17/09/2020 – LGPD aplicável ao caso – Vazamento denota que não foram adotadas medidas de segurança eficazes pela controladora/fornecedora (art. 46 da LGPD), o que caracteriza defeito na prestação do serviço – Responsabilidade objetiva da controladora/fornecedora (art. 14 do CDC)– Ação de eventual hacker que constitui fortuito interno – Danos morais in re ipsa, conforme precedente do STJ – Indenização arbitrada em R$ 5.000,00 – Sentença reformada – Recurso provido. (TJ-SP - RI: 10030862120218260003 SP 1003086-21.2021.8.26.0003, Relator: Carlos Eduardo Santos Pontes de Miranda, Data de Julgamento: 25/10/2021, 4ª Turma Recursal Cível - Santo Amaro, Data de Publicação: 25/10/2021)02. DANO MORAL – VAZAMENTO DE DADOS – CÓDIGO DE DEFESA DO CONSUMIDOR – DEVER DE SEGURANÇA. 1 – Reconhecida a falha no sistema, ante a invasão por terceiros, ocasionando o vazamento de dados pessoais do consumidor, patente o dever de indenizar pelos danos morais sofridos; 2 – Indenização por danos morais fixada no montante pleiteado, ou seja, em R$ 10.000,00, corrigidos do arbitramento e acrescido de juros de mora de 1% ao mês, a partir da citação. RECURSO PROVIDO. (TJ-SP - AC: 10001447120218260405 SP 1000144-71.2021.8.26.0405, Relator: Maria Lúcia Pizzotti, Data de Julgamento: 25/08/2021, 30ª Câmara de Direito Privado, Data de Publicação: 13/09/2021)03. EMENTA: APELAÇÃO CÍVEL - AÇÃO DE INDENIZAÇÃO POR DANOS MORAIS - VAZAMENTO DE DADOS PESSOAIS - FALHA NA PRESTAÇÃO DE SERVIÇOS - DANO MORAL - OCORRÊNCIA - CULPA EXCLUSIVA DE TERCEIROS - NÃO CARACTERIZADA - VALOR - CIRCUNSTÂNCIAS E RAZOABILIDADE. - Configura defeito na prestação do serviço e, por conseguinte, dano moral indenizável o vazamento de dados pessoais e sigilosos de clientes pela empresa mantenedora que não ofereceu a segurança necessária sobre as informações que lhe foram confiadas pelos seus usuários - Não se pode falar em culpa exclusiva de terceiro que isente a ré de responsabilidade, se configurada a falha na prestação de seus serviços - O valor da indenização por danos morais deve ser fixado de forma proporcional às circunstâncias do caso e com razoabilidade. (TJ-MG - AC: 10000210824256001 MG, Relator: Evandro Lopes da Costa Teixeira, Data de Julgamento: 02/09/2021, Câmaras Cíveis / 17ª CÂMARA CÍVEL, Data de Publicação: 03/09/2021)
27. Importante registrar o fato de que a União não é seguradora universal de todas as pretensões de direito subjetivo que visem locupletar-se com o Erário, mesmo no Risco Administrativo, a vis atractiva de um eventual Acordo dessa natureza com uma empresa privada, prestadora de serviços públicos, à míngua de norma específica e determinada pela Autoridade Nacional, a quem, por dever legal, compete suprir as deficiências, colmatar as lacunas normativas e complementar no âmbito da Administração Pública esse aspecto enfatizado da Lei Geral de Proteção de Dados, inclusive no que tange à segurança pública, pois, vale ressaltar que, muito embora as entidades privadas possam colaborar com a segurança pública, essa é uma tarefa do Estado, de modo que a exceção ao âmbito de incidência material prevista pelo art. 4º, inciso III da LGPD somente se aplica quando o tratamento for realizado pelo próprio Estado, os §§ 2º e 3º do art. 4º da LGPD, assim estabelecem :
“§ 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste artigo.§ 3º - A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.”(g.n.)
28. Com efeito, a Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018), repita-se, deixou de regular o tratamento de dados no âmbito da segurança pública e de atividades de persecução e repressão de infrações penais. No mencionado artigo 4º, caput, III, "a" e "d", c/c §1º, a referida lei expressa a necessidade de "lei específica que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular"
29. Assim, em que pese a existência da LGPD, a proteção de dados individuais carece de previsão legal quanto às investigações criminais e ações penais, seara em que, sabidamente, os direitos e garantias fundamentais do indivíduo acusado ou investigado são mais relativizados. Há inúmeras normas constitucionais e infraconstitucionais que dispõem sobre os deveres do Estado na segurança pública, o que inclui a proteção aos dados pessoais dos indivíduos. Isso porque, o reconhecimento da proteção de dados como um direito fundamental pelo STF na MC em ADI nº 6.387-DF e pela publicação da EC nº 115/2022, garantem algum nível de proteção seja garantido ao titular de dados, ainda que o tratamento de dados pessoais seja realizado para garantir a segurança pública, competindo à doutrina e aos tribunais definir a medida dessa extensão até que o legislador regulamente a matéria. É lógico que, na ausência de lei formal que forneça os parâmetros para a proteção de dados pessoais no âmbito da segurança pública, a atuação doutrinária e jurisprudencial será calcada em princípios jurídicos, que, por natureza e definição, são vagos e imprecisos. Esses atores devem ter especial cuidado na aplicação direta do direito fundamental à proteção de dados aos casos concretos, uma vez que a sua atuação traz um evidente déficit de legitimidade democrática, já que a competência primária para ponderar os diversos valores e interesses protegidos pela Constituição da República é do Congresso Nacional, que o fará por meio de lei.
30. O STF no julgamento da Ação Direta de Inconstitucionalidade nº 6.649 e da Arguição de Descumprimento de Preceito Fundamental nº 695, sobre a validade do Decreto 10.046/2019, que dispõe sobre o compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública, traçou alguns parâmetros para a interpretação da referida norma. No voto do ministro Gilmar Mendes venceu o entendimento de que o compartilhamento de dados pessoais por órgãos e entidades da Administração Pública deve pressupor: a) a eleição de propósitos legítimos, específicos e explícitos para o tratamento de dados (artigo 6º, inciso I, da Lei 13.709/2018); b) a compatibilidade do tratamento com as finalidades informadas (artigo 6º, II); c) a limitação do compartilhamento ao mínimo necessário para o atendimento da finalidade informada (artigo 6º, III); bem como o cumprimento integral dos requisitos, garantias e procedimentos estabelecidos na LGPD, no que for compatível com o setor público. A decisão prevê a necessidade de o Poder Público conferir publicidade quando do uso de dados pessoais de particulares, bem como a instituição de mecanismos rigorosos de controle ao acesso destes dados, sob pena de responsabilização do Estado e do agente estatal em casos de abuso.
30. Cumpre ainda trazer à baila o PARECER n. 00088/2020/DECOR/CGU/AGU, de 22/10/2020 (NUP 08000.066064/2019-01), que possui a seguinte ementa:
EMENTA: DIREITO CONSTITUCIONAL E ADMINISTRATIVO. COMPARTILHAMENTO DE DADOS OBTIDOS PELO DEPARTAMENTO NACIONAL DE TRÂNSITO - DENATRAN COM ÓRGÃOS INTEGRANTES DO MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA - MJSP PARA FINS DE UTILIZAÇÃO EM AÇÕES DE SEGURANÇA PÚBLICA.I - Não existe divergência jurídica nos autos sobre a legalidade do compartilhamento de informações entre o Ministério da Infraestrutura - MINFRA e o Ministério da Justiça e Segurança Pública - MJSP, não sendo essa matéria objeto desta manifestação.II - Eventuais providências destinadas a esse compartilhamento devem observar, na linha do que se extrai da parte final do §1º do art. 4º da Lei nº 13.709, de 14 de agosto de 2018 - LGPD, o devido processo legal, bem como os princípios gerais de proteção e os direitos do titular, no que couber.III A avaliação dos requisitos legais pertinentes ao compartilhamento dos dados mantidos pelo DENATRAN cabe conjuntamente ao MJSP e ao MINFRA, sendo ambos responsáveis pela adoção, no âmbito de suas respectivas competências, das providências necessárias à execução das políticas públicas que estão a justificar asprovidências ainda pendentes.
31. O aludido parecer foi aprovado parcialmente pelo Diretor do Decor, consoante despacho cujo teor segue abaixo:
“(....) No Despacho do Diretor do DECOR, DESPACHO n. 00357/2021/DECOR/CGU/AGU houve parcial aprovação das conclusões do parecer, como se percebe dos seguintes itens:1.Aprovo, em parte, e firme nas razões e conclusões complementares que seguem, o Parecer nº 88/2020/DECOR/CGU/AGU e o Despacho nº 780/2020/DECOR/CGU/AGU.65. Isto posto, no regular exercício das competências conferidas pelo art. 14 do Anexo I do Decreto nº 10.608, de 2021, e firme nas razões jurídicas expostas neste Despacho, aprovo, em parte, o Parecer nº 88/2020/DECOR/CGU/AGU e o Despacho nº 780/2020/DECOR/CGU/AGU, para sugerir às instâncias superiores de deliberação desta Advocacia-Geral da União a consolidação dos seguintes entendimentos para fins de uniformização da jurisprudência administrativa:a) as Consultorias Jurídicas junto ao Ministério da Infraestrutura e ao Ministério da Justiça e Segurança Pública convergiram quanto à existência de respaldo legal para o compartilhamento dos dados entre os órgãos e em prol das finalidades perseguidas (segurança pública, investigação e repressão de crimes), portanto, cabe às Pastas adotar tempestivamente, no âmbito de suas respectivas competências, as providências administrativas necessárias para resguardar que o compartilhamento se efetive pelo modo mais eficiente e menos oneroso possível, de forma que, observados os preceitos constitucionais, as prescrições legais e infralegais aplicáveis, não haja prejuízo nem descontinuidade para a regular execução das políticas públicas conduzidas pelos Ministérios;b) o § 1º do art. 4º da Lei nº 13.709, de 2018, compreende comando legal que reclama a edição de lei especial para disciplinar o tratamento de dados para fins de segurança pública, investigação e repressão de crimes, além de prever diretrizes, inclusive de patamar constitucional, que devem orientar os termos da legislação especial que regulará a matéria, não determinando, portanto, a incidência imediata de artigos da LGPD ao tratamento de dados para os fins previstos nas alíneas “a” e “d” do inciso III do art. 4º da Lei nº 13709, de 2018, sob pena de tornar sem qualquer serventia o disposto no referenciado inciso, e de se subverter a técnica logística adotada na redação do inciso II, alínea “b”, e §§ 2º a 4º do art. 4º da Lei nº 13.709, de 2018;c) os §§ 2º a 4º do art. 4º da Lei nº 13.709, de 2018, aplicam-se de logo ao tratamento de dados pessoais para fins de segurança pública, investigação e repressão de crimes, e devem ser imediatamente observados pelo Ministério da Justiça e Segurança Pública e pelo Ministério da Infraestrutura;d) a ausência da lei a que se refere a parte final do § 1º do art. 4º, da Lei nº 13.709, de 2018, não implica a descontinuidade da execução das políticas públicas de que cuida as alíneas "a" e "d" do seu inciso III, nem tampouco representa a inexistência de salvaguardas para preservar a governança, segurança, controle e o sigilo dos dados compartilhados; ee) portanto, a melhor exegese do inciso II, alínea “b”; do inciso III, alíneas “a” e “d”; e dos §§ 1º a 4º; todos do art. 4º da LGPD; determina que: a LGPD não se aplica para o tratamento de dados com fins de segurança pública, investigação e repressão de ilícitos penais, ressalvado o disposto nos §§ 2º a 4º do seu art. 4º; o tratamento dos dados para estas finalidades será disciplinado em lei especial; os Poderes Constituídos, na proposição e trâmite da lei especial, devem considerar as diretrizes, inclusive de patamar constitucional, de que cuida a parte final do § 1º do art. 4º da LGPD; a não incidência de regras gerais esparsas na LGPD e a ausência da lei especial referenciada no § 1º do seu art. 4º não enseja a interrupção da execução das políticas públicas de segurança e persecução penal, nem tampouco importa a ausência de salvaguardas, de governança e de controles no tratamento dos dados pessoais para tais finalidades, devendo as Pastas envolvidas aplicar os preceitos constitucionais e as normas legais e infralegais em vigor, sem prejuízo do oportuno cumprimento dos mandamentos legais específicos que serão editados.” (destaques não do despacho original)(g.n.)32. De acordo com o citado Despacho Decor, o respaldo legal para o compartilhamento dos dados é fixado entre os órgãos públicos e no caso em comento o órgão consulente pretende firmar acordo de cooperação com a Energisa S/A, pessoa jurídica de direito privado. Ademais, em que pese a existência da LGPD, a proteção de dados individuais em matéria de segurança pública carece de previsão legal.
III.2 - DA COMPETÊNCIA LEGIFERANTE DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS - ANPD
33. As competências da ANPD encontram-se devidamente descritas no art. 55-J da Lei Geral de Proteção de Dados – Lei 13.709/2018, conforme transcrito abaixo:
Art. 55-J. Compete à ANPD: (Incluído pela Lei nº 13.853, de 2019)I - zelar pela proteção dos dados pessoais, nos termos da legislação; (Incluído pela Lei nº 13.853, de 2019)II - zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º desta Lei; (Incluído pela Lei nº 13.853, de 2019)III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; (Incluído pela Lei nº 13.853, de 2019)IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; (Incluído pela Lei nº 13.853, de 2019)V - apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação; (Incluído pela Lei nº 13.853, de 2019)VI - promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; (Incluído pela Lei nº 13.853, de 2019)VII - promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade; (Incluído pela Lei nº 13.853, de 2019)VIII - estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis; (Incluído pela Lei nº 13.853, de 2019)IX - promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional; (Incluído pela Lei nº 13.853, de 2019)X - dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial; (Incluído pela Lei nº 13.853, de 2019)XI - solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento desta Lei; (Incluído pela Lei nº 13.853, de 2019)XII - elaborar relatórios de gestão anuais acerca de suas atividades; (Incluído pela Lei nº 13.853, de 2019)XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei; (Incluído pela Lei nº 13.853, de 2019)XIV - ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento; (Incluído pela Lei nº 13.853, de 2019)XV - arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas; (Incluído pela Lei nº 13.853, de 2019)XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público; (Incluído pela Lei nº 13.853, de 2019)XVII - celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942; (Incluído pela Lei nº 13.853, de 2019)XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei; (Incluído pela Lei nº 13.853, de 2019)XIX - garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso); (Incluído pela Lei nº 13.853, de 2019)XX - deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos; (Incluído pela Lei nº 13.853, de 2019)XXI - comunicar às autoridades competentes as infrações penais das quais tiver conhecimento; (Incluído pela Lei nº 13.853, de 2019)XXII - comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal; (Incluído pela Lei nº 13.853, de 2019)XXIII - articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e (Incluído pela Lei nº 13.853, de 2019)XXIV - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei. (Incluído pela Lei nº 13.853, de 2019)(...) (g.n)
31. Assim, a anomia em que se encontra a questão jurídica objeto de análise há de ser resolvida mediante um arcabouço normativo elaborado por quem de direito, vale dizer, a Autoridade Nacional de Proteção de Dados , que detém a prerrogativa do poder-dever de agir para fins de adequação no âmbito da Administração Pública de todo o espectro de aplicações aos casos concretos que invoquem a Lei Geral de Proteção de Dados – LGPD, urge essa harmonização interna no direito administrativo brasileiro, de modo a propiciar segurança jurídica nos Acordos de Cooperação regidos ou tocados pela LGPD, a harmonia das normas é condição basilar da sua efetividade jurídica e social.
32. Por último, cumpre ressaltar que no âmbito desta e-CJU Residual, por meio do DESPACHO n. 00044/2022/COORD/E-CJU/RESIDUAL/CGU/AGU, o assunto encontra-se em fase de elaboração de parecer jurídico sobre o tema referente à Lei federal nº 13.709, de 2019 - Lei Geral de Proteção de Dados – LGPD, com o objetivo de uniformização de entendimento no âmbito deste grupo temático, eis que, segundo consta no referido despacho, o tema, de caráter abrangente e delicado, tem suscitado variadas demandas perante a e-CJU/Residual, notadamente aquelas destinadas ao compartilhamento de dados de particulares entre órgãos públicos.
IV- DA CONCLUSÃO
33. Pelo exposto, considerando que o presente acordo de cooperação, objeto de análise pretende ser firmado com empresa privada, prestadora de serviços públicos, sujeita, portanto, à relação de direito do consumidor com os seus titulares no âmbito civil e , diante da Anomia quanto à pretensão do órgão consulente, considerando que a Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018), deixou de regular o tratamento de dados no âmbito da segurança pública e de atividades de persecução e repressão de infrações penais, e à luz do conjunto normativo e dos argumentos acima expendidos, opina-se pela impossibilidade de prosseguimento do feito, ante esta ausência normativa, cuja competência é da Autoridade Nacional de Proteção de Dados.
Pelo que se expôs e se pretendeu demonstrar, fica adotado o raciocínio jurídico e as conclusões do PARECER n. 00163/2023/ADVS/E-CJU/RESIDUAL/CGU/AGU, cujos fundamentos e conclusão foram acima transcritos, como posição uniformizadora desta e-CJU Residual, cabendo aos integrantes desta unidade realizarem a análise dos respectivos processos que tratem do tema, sob a ótica e entendimento ora adotado, assim resumido:
I – Acordo de cooperação técnica para compartilhamento de dados a ser firmado com pessoa jurídica de direito privado com finalidades de segurança pública, atividades de investigação e repressão de infrações penais, atividade de Polícia Judiciária ou atividades de inteligência ou similares.
II – Anomia quanto à pretensão, resultando na impossibilidade de aprovação por esta e-CJU Residual.
III - Sugestão de provocação à ASJUR da ANPD, competente finalisticamente para a análise.
Forte no parágrafo único do art. 22 da Portaria Normativa CGU nº 10/2022[6], a manifestação jurídica constante do sequencial 27[7] do presente expediente eletrônica fica não aprovada, pelas mesmas razões e fundamentos acima.
Em conclusão, diante dos fundamentos jurídicos acima indicados, fica registrado que esta Coordenação da e-CJU-Residual não aprova a minuta de ACORDO DE COOPERAÇÃO TÉCNICA PF/COPEL-DIS Nº 001-2023 a ser celebrado entre "(...) COPEL DISTRIBUIÇÃO S.A. – COPEL-DIS E A SUPERINTENDÊNCIA REGIONAL DA POLÍCIA FEDERAL NO PARANÁ – PF, prevalecendo o entendimento jurídico sustentado na presente Manifestação Jurídica.
Caso a autoridade assistida divirja do entendimento da presente Manifestação Jurídica e decida por adotar entendimento diverso, recomendamos proceder à devida motivação nos autos, conforme determina o art. 50, inciso VII, da Lei federal nº 9.784, de 1999, assumindo os riscos da sua decisão.
Dê-se ciência aos integrantes desta e-CJU Residual, bem como insira-se nas páginas da CGU na internet e na intranet (Sharepoint), entre "uniformização de entendimentos".
Retornem os autos à CJU de origem, para ciência ao assessorado, em especial da consequência apontada nos itens 11 e 12 acima.
São José dos Campos, 29 de maio de 2023.
(assinado eletronicamente)
Jorge Cesar Silveira Baldassare Gonçalves
Advogado da União
Coordenador-Geral
jorge.goncalves@agu.gov.br
Chave de acesso ao Processo: 782be90e - https://supersapiens.agu.gov.br
Notas