INTRODUÇÃO
Em 04 de maio de 2016 a União Europeia regulamentou de modo geral a Proteção de Dados (RGPD). Em movimentos semelhantes, o México (2017), os Estados Unidos da América (2018), e também o Brasil (2018).
Em todos os casos, a preocupação surge quando do reiterado vazamento, numa era digital globalizada, de informações pessoais armazenadas junto a grandes empresas privadas. Os exemplos da Nasdaq (onde crackers foram responsáveis pelo furto de 160 milhões de números de cartões de crédito e débito), do Facebook, Adobe, LivingSocial, Evernote, PlayStation e mais recentemente, na situação Brasileira, junto ao Telegram, mesmo que sob negativa técnica de que tal fato existiu, despertaram nas nações a necessidade de regulamentar a forma como os processos empresariais de tratamento de dados pessoais devem seguir.
Nessa senda, no cenário brasileiro, veio a lume a Lei n.º 13.709 de 2018, recentemente alterada pela Lei n.º 13.853 de 2019 e, com ela, a preocupação sobre a forma como o setor público deve enfrentá-la, haja vista a menção expressa, já no seu artigo 1º, da aplicabilidade da norma às pessoas jurídicas de direito público.
Nessa perspectiva, o estudo se propõe a analisar o alcance da destacada diretriz às atividades diuturnamente desempenhadas junto aos Tribunais de Contas do Brasil, instituições que detêm enorme quantidade de dados de pessoas jurídicas, no caso dos entes públicos, mas também de pessoas naturais, como aqueles que se referem aos próprios servidores que fazem a Administração.
A INAPLICABILIDADE DA NORMA NO ÂMBITO DOS TRIBUNAIS DE CONTAS DECORRENTE DA PONDERAÇÃO ENTRE PRINCÍPIOS CONSTITUCIONAIS
Pois bem, em que pese seu caráter Nacional, advertido pelo Legislador junto ao parágrafo único do primeiro artigo de regência, entende-se, com todas as vênias aos pensamentos contrários, que a regulamentação geral não se aplica à atividade típica dos Tribunais de Contas.
Isso porque é evidente a ponderação feita entre os princípios da informação, expressão, comunicação e opinião e, de outro, o princípio da privacidade do indivíduo. Veja-se a esse título o artigo 2º, da Lei n. 13.709/2018.
Nesse contexto, conforme advertido por Marcelo Novelino[1], no Estado Democrático de Direito os princípios, diferentemente das regras, devem ter aplicação mitigada quando verificada contraposição. Considerando os princípios que balizam a Lei de Acesso à informação, Política de Dados abertos, Controle Social e a Lei de Proteção de Dados Pessoais, imprescindível observar o alcance e aplicação de cada um.
Com efeito, mencione-se que a Lei de Acesso à informação tem base no artigo 5º, inciso XXXIII, da Constituição da República[2], donde é direito de todos o contato e a recepção de dados que tenham interesse coletivo ou geral.
Do mesmo modo, o artigo 37, §3º, inciso II, da Norma das Normas, esclarece que a publicidade é princípio da Administração, cujo acesso aos registros e informações sobre atos administrativos tem idêntica garantia[3]. A própria Lei n.º 12.527 de 2011, previu em seu artigo 3º ser direito fundamental de acesso à informação a divulgação de informações de interesse público. Outrossim, o Art. 8º, da mesma Lei, assevera ser dever dos órgãos e entidades públicas promover, independentemente de requerimentos, a divulgação em local de fácil acesso, no âmbito de suas competências, de informações de interesse coletivo ou geral por eles produzidas ou custodiadas.
Por óbvio, o objetivo do legislador foi possibilitar de maneira irrestrita o acesso aos gastos, além da verificação de condutas dos administradores com bens e dinheiros públicos. Sobre a constitucionalidade da divulgação de salários dos servidores, por exemplo, o Supremo Tribunal Federal decidiu ser legítima a publicação, inclusive em sítio eletrônico mantido pela Administração Pública, quando assim se pronunciou:
“(...) Não cabe, no caso, falar de intimidade ou de vida privada, pois os dados objeto da divulgação em causa dizem respeito a agentes públicos enquanto agentes públicos mesmos; ou, na linguagem da própria Constituição, agentes estatais agindo “nessa qualidade” (§ 6º do art. 37). No mais, é o preço que se paga pela opção por uma carreira pública no seio de um Estado republicano. 3. A prevalência do princípio da publicidade administrativa outra coisa não é senão um dos mais altaneiros modos de concretizar a República enquanto forma de governo. Se, por um lado, há um necessário modo republicano de administrar o Estado brasileiro, de outra parte é a cidadania mesma que tem o direito de ver o seu Estado republicanamente administrado. O “como” se administra a coisa pública a preponderar sobre o “quem” administra – falaria Norberto Bobbio -, e o fato é que esse modo público de gerir a máquina estatal é elemento conceitual da nossa República. O olho e a pálpebra da nossa fisionomia constitucional republicana. 4. A negativa de prevalência do princípio da publicidade administrativa implicaria, no caso, inadmissível situação de grave lesão à ordem pública. 5. Agravos Regimentais desprovidos.” (ARE 652.777/SP)
Na mesma ótica, o artigo 216, §2º[4], permitiu a regulamentação da consulta aos dados e, de fato, o inciso X, do artigo 5º, da Constituição[5], admitiu serem invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas.
Ocorre que, conforme visto acima, a última instância Judicial deste país já realizou interpretação conforme a Constituição, de modo a asseverar que quando o agente público assume o exercício do cargo passa a ter seu campo de intimidade e privacidade reduzido de tal forma que, na maior parte das vezes, se confundem os limites de acesso aos dados.
A doutrina já seguia o mesmo raciocínio com relação ao próprio particular, desde o ano de 2008, asseverando que a informação invasiva da privacidade, quando preenchidos alguns requisitos, poderia ser adentrada, senão vejamos:
“A invasão de uma informação invasiva da privacidade deve ser admitida quando concorrerem os seguintes fatores: i) licitude da informação; ii) forma adequada de transmissão; e, iii) contribuição para o debate de interesse geral ou relevância para a formação da opinião pública, eixo em torno do qual gira o direito à informação. A divulgação de uma informação deve ser de interesse público, não apenas de ‘interesse do público’. Deve haver a necessidade de divulgar para esclarecer e a utilidade da divulgação, ‘que há de corresponder a interesses legítimos, distantes da curiosidade pura ou mórbida, afastados do mexerico ou do desejo de conhecer o que é dos outros, sem conteúdo ou serventia socialmente justificáveis’.” (Direito Constitucional, 2 edição, Editora Método, Novelino, Marcelo, pág.272/273)
Outrossim, o Supremo Tribunal Federal já indiciava distinção entre os conceitos de dados em si considerados e a própria comunicação de dados. Em linhas gerais, por meio dos Recursos Extraordinários n.º 219.780/PE, e n.º 418.416/SC, além do MS n.º 21.729, a Corte Superior esclareceu que o sigilo dos dados não era absoluto, sendo possível ao legislador infraconstitucional possibilitar a sua abertura.[6]
Conforme se observou de toda a exposição até aqui, foi exatamente por meio das Leis de Acesso à Informação, e da Política de Dados Abertos que se possibilitou essa disrupção. Estabeleceu-se, assim, dicotomia. Apenas a comunicação de dados estaria protegida pelo sigilo e pela intimidade do particular. Os dados em si considerados e os resultados obtidos com esses dados estariam fora da redoma de proteção do constituinte, sendo imperioso ponderar, no que toca à comunicação, que os dados oriundos de situações que de algum modo têm zona de contato com atos administrativos estão igualmente distantes dessa proteção.
Em suma, quando de interesse geral da sociedade, ou seja, quando presente um interesse público, aberta deve ser a informação até para que sobre ela se concentrem os esforços do controle social em auxílio aos próprios Tribunais de Contas.
DA INAPLICABILIDADE DA NORMA INDICADA PELO PRÓPRIO LEGISLADOR. ARTIGO 4º, INCISO III, DA LEI DE PROTEÇÃO DE DADOS PESSOAIS
Feito este apanhado, e estabelecida a idéia de que a aplicação da Lei de Dados Pessoais não alcança as Instituições Constitucionais de Controle, com base na ponderação de princípios dos quais não se pode afastar, e também com base no argumento de que ao escolher o campo do serviço público o agente público, em sentido latu, abdica, de certo modo, de parte de suas esferas privada e pública, passemos aos argumentos que nos levam a mesma alternativa da inaplicabilidade, desta vez baseada na própria exceção à regra.
Com efeito, então, voltando-se à análise dos ditames estabelecidos pela Lei de Proteção de Dados Pessoais, percebe-se serem requisitos cumulativos à sua aplicação, relacionados no artigo 3º da destacada norma: a) que o tratamento de dados deva se dar em território nacional; b) que a coleta desses dados também tenha sido praticada no Brasil; c) que o objetivo do tratamento seja o fornecimento de bens ou de serviços, ou ainda o simples direcionamento de dados dos indivíduos.
Partindo dessas premissas, e tendo em conta o contexto narrado no início deste artigo, percebe-se que a principal diretriz do legislador infraconstitucional foi o setor privado, restando ao setor público, em casos particulares, o reflexo das mesmas orientações.
Dito de uma outra maneira, pode-se afirmar, com base em princípios, que norteado na atividade desenvolvida pelos Tribunais e considerando o cenário no qual foi gestada a Lei de Proteção de Dados, as pessoas jurídicas de direito público a que o legislador se referiu são aqueles que de algum modo utilizam empresas privadas para operações de vigilância ou, de outro modo, que transferem do órgão público para uma empresa privada dados pessoais. Nessa quadratura, cite-se como exemplo as empresas mencionadas no artigo 24, da Lei n.º 13.853/2019.
Distante da prática dos Tribunais de Contas, portanto, deve ser deles afastada a aplicação normativa de proteção de dados, conforme desvinculação permitida pelo artigo 23 e incisos, da Lei de Proteção de Dados Pessoais, para quem bastaria a informação à autoridade Nacional que o tratamento de dados realizado em suas sedes têm como destino a execução de atividades previstas legal e constitucionalmente.
Nesse propósito, clarifique-se que no parecer elaborado pela Comissão Especial destinada a analisar o projeto de lei sobre o tratamento e proteção de dados Pessoais, de relatoria do Deputado Orlando Silva, iniciou-se o voto asseverando que a proposta era fruto da Resolução da ONU, de 25 de novembro de 2013, sobre “Direito à Privacidade na Era Digital”.
O referido documento foi apresentado de forma conjunta por Brasil e Alemanha, em resposta às denúncias de espionagem internacional praticadas pelos Estados Unidos em meios eletrônicos e digitais e, com maior importância, o projeto reafirmou a responsabilidade de empresas privadas de respeito aos direitos humanos. Segundo o texto, os governos também devem respeitar os direitos humanos quando usarem as empresas privadas para operações de vigilância. Eis aqui o caráter restritivo da aplicação.
Com relação aos Tribunais de Contas, órgãos públicos de controle, estabeleça-se, com mais contundência, os motivos da inaplicabilidade. Ora, o artigo 4º assevera que a norma não tem aplicação quando eventual tratamento de dados pessoais for realizado para fins exclusivos de investigação ou em repressão de infrações.
Enquanto organismos constitucionais dotados de autonomia administrativa e financeira, sem qualquer relação de subordinação com os Poderes Executivos, Legislativos e Judiciário[7], as Cortes de Contas agem ora numa posição de colaboração com o Poder Legislativo, ora no exercício de competências próprias ou, como bem asseverado por Eduardo Gualazzi, são órgãos administrativos parajudiciais, afastando-se daquele último apenas no que tange a definitividade jurisdicional.
Nesse ensejo, seus processos de controle se diferenciam do processo administrativo comum, em virtude da própria natureza da função de fiscalização, havendo inclusive uma fase do processo de controle em que não há espaço para contraditório e ampla defesa.
Nas felizes lições do Conselheiro Valdecir Pascoal, a primeira fase da instrução processual recebe o nome de fase investigatória, guardando relação de proximidade com o inquérito policial e a sindicância, caracterizando-se pela coleta e cruzamento de dados oriundos de auditorias, inspeções, informações, e documentos, as quais culminam com a elaboração de relatório técnico, o qual poderá concluir pela regularidade da gestão ou por sua irregularidade.
Após esse instante processual, inaugura-se a fase dialética a partir da qual os jurisdicionados terão acesso ao amplo direito de defesa e também ao contraditório. Antes, entretanto, como se viu, o procedimento é investigatório, não remanescem dúvidas.
Ao final, os resultados do julgamento são publicizados em Diário Eletrônico, com nomes completos e identidades reveladas, de modo tal a que se permita aos cidadãos, representados politicamente por aqueles gestores, que estejam atentos quanto à seleção dos próximos nomes dispostos a ocupar cargos políticos. Controle social, se reitere, sendo importante mencionar que na maior parte dos Tribunais de Contas os processos de controle são abertos, públicos e de fácil acesso ao cidadão comum.
Pois bem, em sendo investigativa a atividade, não se aplicaria a ela o controle dos dados estabelecidos pela Lei n.º 13.853 de 2018. Justamente porque se tem ali, nos processos de controle, de outro modo, o combate e repressão de infrações à ordem econômica e financeira. Nesse campo, mencione-se o artigo 34, inciso V c/c artigo 91, §1º, inciso II, ambos da Constituição da República, sem prejuízo da aplicação continuada das disposições estabelecidas na Lei de Responsabilidade Fiscal. As atividades dos Tribunais de Contas representam assunto de Defesa Nacional, notadamente à intervenção Federal decorrente da calamidade das finanças públicas como conseqüência ao desrespeito à Lei de Responsabilidade Fiscal, sendo imprescindível mencionar que, de um modo ou de outro, a Lei de Proteção aos dados pessoais, por todos os motivos já delineados, não se aplica aos Tribunais de Contas da União, dos Estados e Municípios.
Interpretação diversa seria incapaz de conciliar, por exemplo, o tratamento de dados prévio à adoção de uma medida cautelar pelos Tribunais de Contas (recepção e cruzamento de informações sobre um gestor), com a necessária autorização pessoal de utilização daqueles próprios dados pelo particular. Por óbvio, ao ter ciência de uma investigação nesse sentido, o infrator teria tempo suficiente para se livrar de seu patrimônio, adotando medidas escusas à sua afetação.
Portanto, clarificada a singularidade das decisões das Cortes Constitucionais, reitere-se que o raio de atuação da Lei de Proteção de Dados se afasta de sua esfera.
Essa parece ser a interpretação mais lógica a ser retirada de todo o enunciado, sob pena de uma sistemática diversa da aqui apresentada significar a supressão de competências constitucionalmente asseguradas aos Tribunais de Contas e, de modo reflexo, sob pena de vir a traduzir a própria declaração de invalidade da norma que se pretenda aplicar.