Na sequência de textos sobre relações da Lei Geral de Proteção de Dados com outros atos normativos no país que também tratam da proteção de dados, após a análise da Constituição (clique aqui), do Código de Defesa do Consumidor (clique aqui), do Código Civil (clique aqui), da Lei do Sigilo Bancário (clique aqui) e da Lei do Cadastro Positivo (clique aqui), passa-se à Lei de Acesso à Informação.
Além das leis analisadas anteriormente, que se aplicam principalmente a relações jurídicas de Direito Privado, a LGPD também mantém um diálogo com leis de Direito Público, entre as quais se destaca a Lei de Acesso à Informação (Lei nº 12.527/2011), regulamentada pelo Decreto nº 7.724/2012.
A Lei de Acesso à Informação (LAI) foi editada com o objetivo principal de permitir a publicidade, a abertura e o acesso amplo de dados e de informações da Administração Pública à sociedade, com fundamento nos direitos à informação de interesse particular ou coletivo (art. 5º, XXXIII, da Constituição) e de acesso dos usuários aos registros administrativos e a informações sobre atos de governo (art. 37, § 3º, II, da Constituição), e nos deveres da Administração Pública de gestão da documentação governamental e de adoção das providências necessárias para permitir a consulta dos documentos públicos pelos interessados e por quem necessitar de seu uso (art. 216, § 2º, da Constituição).
A LAI tem como destinatários todos os entes da Administração Pública direta e indireta da União, dos Estados, do Distrito Federal e dos Municípios. Na Administração direta, abrange o Executivo, o Legislativo (inclusive os Tribunais de Contas), o Judiciário e o Ministério Público.
As principais normas de proteção de dados na Lei de Acesso à Informação são as seguintes:
1) Definição de informação e dado (art. 4º, I e IV, da LAI): a Lei de Acesso à Informação, como a sua própria denominação indica, utiliza como base conceitual a informação, que compreende os “dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato” (art. 4º, I). Em complemento, a informação pessoal é definida como “aquela relacionada à pessoa natural identificada ou identificável” (art. 4º, IV). A partir desses conceitos, os dados podem ser compreendidos como elementos que, isoladamente, não possuem um sentido compreensível de maneira isolada, enquanto a informação consiste na ordenação dos dados para produzir e transmitir conhecimento. Consequentemente, as informações são extraídas a partir dos dados (inclusive de sua relação a uma pessoa) e não o inverso. Por sua vez, e de forma similar, a Lei Geral de Proteção de Dados define o dado pessoal como a “informação relacionada a pessoa natural identificada ou identificável” (art. 5º, I, da LGPD);
2) Definição do tratamento (art. 4º, V, da LAI): a Lei de Acesso à Informação define o tratamento de forma ampla, como o “conjunto de ações referentes à produção, recepção, classificação, utilização, acesso, reprodução, transporte, transmissão, distribuição, arquivamento, armazenamento, eliminação, avaliação, destinação ou controle da informação”. A Lei Geral de Proteção de Dados observa um padrão similar ao conceituar o tratamento como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (art. 5º, X, da LGPD). Assim, a LGPD esclarece que as atividades listadas compõe um rol exemplificativo e que qualquer operação realizada com os dados pessoais se submete às suas normas;
3) Acesso restrito a dados pessoais (art. 31, § 1º, I, da LAI): os dados e informações pessoais relativos à intimidade, à vida privada, à honra e à imagem dos seus titulares devem ser classificados como de acesso restrito (independentemente de classificação de sigilo), permitido apenas aos próprios titulares e a agentes públicos legalmente autorizados, pelo prazo máximo de 100 anos a partir de sua produção. O acesso à informação pública é a regra na LAI, que, ao mesmo tempo, protege dados e informações pessoais armazenados em bancos de dados de entes públicos;
4) Divulgação dos dados a terceiros (art. 31, § 1º, II, da LAI): excepcionalmente, permite-se a divulgação de dados pessoais a terceiros, em duas hipóteses: (4.1) consentimento do titular, (4.2) ou previsão legal expressa de divulgação (independentemente do consentimento), nas hipóteses previstas nos cinco incisos do § 3º do art. 31 da LAI, que são a prevenção e diagnóstico médico, a realização de estatísticas e pesquisas científicas de evidente interesse público ou geral (com a anonimização dos dados), o cumprimento de ordem judicial, a defesa de direitos humanos e a proteção do interesse público e geral preponderante. O acesso aos dados pessoais por terceiros é condicionado à assinatura de um termo de responsabilidade, que deve conter a finalidade e a destinação que fundamentaram sua autorização, além das obrigações do requerente (art. 61 do Decreto nº 7.724/2012);
5) Responsabilização pelo uso indevido de dados pessoais e sigilosos (art. 31, § 2º, da LAI): As pessoas que tiverem acesso aos dados pessoais e sigilosos e fizerem uso indevido deles serão responsabilizadas. Essa responsabilidade é objetiva, porque decorre do uso indevido dos dados pessoais. Portanto, quem tiver acesso aos dados pessoais e realizar o seu uso ou tratamento indevido, tem responsabilidade objetiva, que não depende de prova de culpa ou dolo. Da mesma forma, a LGPD estabelece a responsabilidade objetiva pelo tratamento inadequado dos dados (por ato ilícito) e pelos danos causados ao titular (arts. 42 e 43 da LGPD).Além disso, a LAI contém uma regulação (parcial) do tratamento de dados pessoais dos administrados pelos entes públicos, a partir da regra de proteção das informações sigilosas e dos dados pessoais (art. 6º, III) e das regras de tratamento de dados previstas no Decreto nº 7.724/2012.
