Os meses de julho e agosto deste ano foram de agrura tecnológica para o CNPq [1]. No que ficou conhecido como "apagão do CNPq", pesquisadores de todo país perderam acesso às informações disponibilizadas nas plataformas Lattes e Carlos Chagas, o que ocasionou atrasos no desenvolvimento de trabalhos científicos, processamento de editais, bolsas de estudos e prestação de contas de projetos financiados pelo governo.

Mesmo que o desfecho da história tenha sido amenizado com o restabelecimento de acesso a partes dos sistemas, o episódio — sem qualquer pretensão de fazer juízo de valor sobre o caso em si — enseja a colocação de alguns questionamentos quanto à exigência de boas práticas e governança para proteção de dados em entidades públicas. Por sua vez, a recente entrada em vigor das sanções administrativas da LGPD põe em perspectiva outro debate acerca da parametrização e eficiência do sistema sancionatório para os entes públicos que se recém inaugura.

O §3º do artigo 52 da LGPD estabelece que poderão ser aplicadas às entidades e aos órgãos públicos as sanções administrativas de: a) advertência, com indicação de prazo para adoção de medidas corretivas; b) publicização da infração após devidamente apurada e confirmada a sua ocorrência; c) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; d) eliminação dos dados pessoais a que se refere a infração; e) suspensão parcial do funcionamento do banco de dados a que se refere a infração; f) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração; e g) proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

Portanto, trata-se de um rol extenso de sanções administrativas, não se aplicando às entidades públicas apenas sanções de ordem pecuniária — a saber: a) multa simples, de até 2% do faturamento da pessoa jurídica; e b) multa diária, restrita às entidades privadas [2]. Em que pese a variedade de sanções, vale indagar em que medida essas penalidades são adequadas no âmbito da Administração Pública, no que tange à adesão dos entes públicos à conformidade com a LGPD.

As sanções previstas na LGPD foram desenhadas tomando como referencial o consentimento do titular de dados. As sanções gravitam em torno da ideia de tornar indisponível o dado para tratamento como penalidade para o abuso no tratamento, ou seja, o agente de tratamento obteve do titular aquele dado, seu modelo de negócio (ou o aprimoramento de seu negócio) baseava-se no tratamento daquele dado e, a partir do momento em que comete violações neste mister, ele perde o direito de proceder ao tratamento, seja pela exclusão daqueles dados, seja pela proibição do tratamento em si. Porém, a dinâmica do tratamento de dados por entes públicos é diversa.

As hipóteses que autorizam o tratamento de dados pessoais por entes públicos não se baseiam na manifestação de vontade do titular, mas, sim, na consecução do interesse público, para execução de políticas e serviços públicos, ou mesmo desempenho das atividades-fim da Administração Pública [3].

Ora, se a finalidade do tratamento é a persecução do interesse público, a sanção adequada para o abuso no tratamento de dados não deve ser sempre a proibição do tratamento de dados; quanto mais pelo fato de que as sanções pecuniárias não se aplicam à Administração Pública [4]. Isso porque, se o tratamento de dados pessoais for essencial ao desempenho da atividade administrativa, execução de políticas públicas, oferta de serviço público ou mesmo execução de contrato público, como poderia o ente público perder a capacidade de realizar tais operações de tratamento de dados pessoais, ainda que sua conduta tenha sido abusiva?

E, em se tratando de abuso nas atividades de tratamento de dados pessoais, quando se fala na esfera pública, se pode vislumbrar condutas violadoras de direitos dos titulares que não se referem a abusos na atividade-fim de tratamento, como, por exemplo, a precariedade de sistemas, lentidões de acesso, falhas de segurança, mas igualmente passíveis de gerar danos aos titulares na qualidade de administrados, com quem se tem o dever de uma Administração Pública moral e eficiente. E, mais uma vez, a proibição parcial, temporária, total ou definitiva de tratamento de dados pode não ser a solução para coibição de abusos no tratamento, quanto mais em se tratando de serviços públicos ou de interesse da coletividade.

Nesses termos, faz-se necessário repensarmos as sanções administrativas da LGPD sob uma ótica publicista para que, então, se adéque a conduta violadora à sanção que, mais do que capaz de fazer cessar a conduta, seja efetivamente capaz de coibi-la, sem fazer cessar, de inopinado, atividades administrativas ou a execução de políticas públicas essenciais à coletividade.

No mais, vale ressaltar que, entre as previsões dos artigos 32 [5] e 52 [6] da LGPD — uma norma que atribui à ANPD [7] capacidade de solicitar informações e recomendar boas práticas aos entes públicos, e uma norma que confere à ANPD poder de aplicar sanções —, nota-se a ausência de previsão quanto a participação ativa do órgão na definição dos princípios aplicáveis à Administração Pública digital, a fim de que respeite os compromissos relacionados ao respeito à liberdade de expressão e à privacidade.

O papel do agente regulador consistiria, portanto, em assegurar as condições de garantia do desenvolvimento da Administração Pública digital, reavaliando suas premissas constantemente, no que diz respeito à evolução da nossa sociedade no que toca às garantias e proteções frente ao tratamento de dados pessoais.

Avaliar e desenvolver a capacidade de desempenhar atividades administrativas e de executar políticas públicas no meio digital, conduzindo os agentes públicos através do difícil processo de mudança, garantindo o comprometimento dos entes públicos ao longo do caminho e gerenciando seus programas de trabalho, todas essas possibilidades podem se mostrar mais eficazes na era do digital.

Conteúdo gentilmente cedido pelos autores a Acadêmia, originalmente publicado no Conjur.

[1] O Conselho Nacional de Desenvolvimento Científico e Tecnológico, fundação pública vinculada ao Ministério da Ciência, Tecnologia, Inovações e Comunicações, é a entidade responsável por gerir o repositório de informações curriculares e dados pessoais de pesquisadores e professores universitários de todo o País.

[2] Exegese do §3º do artigo 52 da LGPD.

[3] Arts. 7, inc. III, e 23 da LGPD.

[4] §3º do artigo 52 da LGPD.

[5] In verbis: "Artigo 32 - A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público."

[6] In verbis: "Artigo 52 - Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I — advertência, com indicação de prazo para adoção de medidas corretivas; II — multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III — multa diária, observado o limite total a que se refere o inciso II; IV — publicização da infração após devidamente apurada e confirmada a sua ocorrência; V — bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI — eliminação dos dados pessoais a que se refere a infração; VII — (VETADO); VIII — (VETADO); IX — (VETADO); X — (VETADO); XI — (VETADO); XII — (VETADO); X — suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; XI — suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  XII — proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados."

[7] Essa autoridade nacional é órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.