LGPD e a transparência ativa no contexto da Lei de Acesso à Informação
Data: 23/07/2023
Autor: André Castro Carvalho
Com o surgimento da Lei Geral de Proteção de Dados Pessoais (LGPD) em 2018, houve muitas dúvidas em relação a como ela se adequaria com a transparência ativa [1] e, principalmente, com a Lei nº 12.527 — Lei de Acesso à Informação (LAI). A principal preocupação que eventualmente pode surgir é que a LGPD pudesse ser utilizada como escusa para o exercício da transparência ativa.
É relevante destacar, no entanto, que esse é um falso dilema. Tanto a proteção de dados pessoais como a transparência ativa consistem em direitos fundamentais na Constituição. A transparência ativa é uma ferramenta essencial para garantir o direito fundamental de acesso à informação que envolva a gestão pública, conforme estabelecido nos incisos XIV e XXXIII do artigo 5º da Constituição. Da mesma forma, a proteção de dados pessoais foi reconhecida como um direito fundamental a partir da Emenda Constitucional n° 115, que a incluiu no mesmo artigo 5º (inciso LXXIX). Não há hierarquia entre direitos fundamentais, mas sim uma harmonização entre eles, sempre que possível [2], inclusive em casos de conflito aparente. Dessa maneira, como já concluímos [3] anteriormente, a LAI exibe a função de transparência e acesso a informações aos cidadãos, enquanto a LGPD estipula regras e limitações para o uso de dados pessoais. Tais diretrizes devem ser aplicadas de maneira conjunta, conforme reforça o próprio Capítulo IV da LGPD.
A finalidade principal da transparência ativa é possibilitar o controle social e a fiscalização dos atos da administração pública, sendo fundamental para o exercício da democracia e para trazer a responsabilização e prestação de contas (accountability) da atividade governamental. Portanto, quando a transparência ativa englobar também a disponibilização de dados pessoais, o interesse público nessa disponibilização residiria apenas na identificação dos agentes públicos ou privados envolvidos nos atos administrativos praticados, como contratos administrativos, notas de empenho, entre outros documentos onde constam dados pessoais dos envolvidos. A identificação pode ser possível por meio do nome completo e do CPF (ou, alternativamente, o número de matrícula quando envolver agente público). O CPF, inclusive, já é considerado como documento único e suficiente para a identificação do cidadão nos bancos de dados de serviços públicos conforme dispõe a Lei nº 14.534/2023.
No exercício da transparência ativa, é possível que, além de nome e CPF, mais dados pessoais sejam divulgados, por exemplo, na qualificação dos responsáveis legais em contratos administrativos, onde podem constar dados pessoais como CPF, data de nascimento, endereço, e-mail, telefone, assinatura, entre outros. Da mesma forma, notas de empenho podem constar informações adicionais além de nome e CPF da pessoa física beneficiária de pagamentos do setor público, por exemplo.
Esses dados, quando reunidos de maneira organizada, permitem que pessoas de má-fé os utilizem para praticar atividades ilícitas, como usurpação de identidade para abertura fraudulenta de contas correntes, assinatura de serviços públicos (como telefonia), ou até mesmo a realização de atos civis obrigacionais, como a locação de imóveis ou compra de bens. Com um volume substancial de dados pessoais em mãos, os fraudadores podem fabricar documentos e se fazerem passar por tais pessoas que tiveram seus dados ali expostos.
Ademais, cumpre destacar, existem algoritmos capazes de realizar web scrapping, ou seja, varrer diversos documentos e construir banco de dados, o que permitiria o perfilamento de servidores públicos com base na sua renda mensal obtida pelos portais de transparência. Como consequência, empresas com más intenções poderiam direcionar produtos e publicidade dirigidas, o que caracteriza desvio de finalidade em relação ao motivo da publicização desses dados e, como decorrência, violação dos próprios ditames da LGPD [4].
Nesse sentido, traçando como paralelo à presente situação, as Regras de Herédia exibem a discussão para a divulgação de decisões judiciais na Internet e a exposição de dados pessoais, que podem também servir de baliza para esse filtro do que se deve divulgar ou não. A Regra Seis, por exemplo, recomenda que, na divulgação de informações judiciais na Internet, alguns dados identificadores não necessitariam ser publicados para não expor os envolvidos nas ações judiciais [5].
Logo, a primeira conclusão é que tais dados não seriam necessários para o exercício da transparência ativa, já que transpassam a sua finalidade e sua divulgação representa risco de danos aos titulares envolvidos. Para a identificação dos responsáveis pelos atos administrativos, entendemos que somente o nome e o CPF seriam suficientes.
Quanto ao CPF, todavia, também podemos interpretar pela não necessidade de divulgação do número integral dos envolvidos em atos administrativos, haja vista ser um dado que, por ser único em relação ao indivíduo, acaba sendo um dado pessoal de maior criticidade no seu tratamento. Nos Estados Unidos, por exemplo, o SSN (Social Security Number) exibe funções parecidas com o CPF e também é amplamente recomendado que esse número fique em caráter reservado por parte do titular, haja vista o risco de fraude na sua utilização.
Por essa razão é que o mascaramento do CPF em documentos e bancos de dados pode ser uma solução para preservar a privacidade do titular, mas ainda assim permitir o exercício da transparência ativa. O mascaramento de CPF é um processo que consiste em ocultar parte dos dígitos de um número de CPF, sendo uma técnica amplamente utilizada em documentos, formulários online e em situações em que é necessário exibir apenas uma parte do CPF, mantendo os demais dígitos ocultos. Para realizar o mascaramento, normalmente é utilizada a substituição dos primeiros dígitos por asteriscos (*), preservando apenas alguns dígitos para identificação. Por exemplo, o CPF 123.456.789-10 pode ser mascarado como 123.***.***-10. Dessa forma, alguns números são substituídos por asteriscos para que a informação fique parcialmente oculta. Como o mascaramento de CPF não altera a validade do número, o objetivo principal é evitar a exposição desnecessária do número completo e reduzir o risco de uso indevido ou fraudulento dos dados pessoais do titular do CPF.
Em um contrato administrativo, portanto, somente a informação de identificação do representante legal, com o seu nome completo e o seu CPF mascarado (ou o número de matrícula do servidor envolvido), já seriam suficientes para o cumprimento da transparência ativa, preservando-se privacidade e intimidade dos envolvidos, bem como protegendo-os de potenciais fraudes que podem ser realizadas com o uso de seus dados pessoais.
Porém, existem casos, como em contratos administrativos digitalizados, em que os dados pessoais não estão em formato estruturado em banco de dados, e estão livremente disponíveis no documento. Caso ele esteja digitalizado no formato “oscerizado”, ou seja, mediante o uso de tecnologia OCR (Optical Character Recognition), é possível fazer uso desses dados pessoais, inclusive de maneira automatizada. Mesmo sem estar em OCR já seria possível, por meio de leitura manual, identificar os dados pessoais acima discriminados.
Nessas situações, existem softwares que possuem a função de “marcar para redação”, onde é possível tarjar em preto os dados pessoais que sejam desnecessários. No entanto, isso precisa ser feito manualmente pelos responsáveis pela disponibilização de documentos para a transparência ativa, por meio da seleção dos trechos que contenham dados pessoais que devem ser protegidos da divulgação. Essa excessiva manualização pode ser um desafio para alguns órgãos que tenham carência de pessoas para realizar tal tarefa. Outro desafio técnico pode ser o próprio mascaramento do CPF, que pode exigir tecnologia e softwares específicos com os quais o órgão não tem contato ou acesso facilitado.
Por isso, o encarregado pelo tratamento de dados pessoais deve orientar as áreas relativas à transparência ativa nos órgãos e entidades da administração pública direta e indireta (quando não for responsável por ambas as funções) para ficarem atentas na disponibilização de documentos em que o excesso de dados pessoais pode expor os titulares a risco, e sugerir medidas técnicas e administrativas aptas, dentro da realidade do órgão ou entidade. Com isso, busca-se evitar violações à privacidade dos agentes públicos e privados envolvidos em atos administrativos com o setor público — que, pelo conceito do artigo 5º, V, da LGPD, também são titulares de dados pessoais e devem gozar da proteção estabelecida na referida lei em relação aos seus dados pessoais.
________________________________
[1] Segundo o sítio eletrônico do governo federal, “[a]s informações publicadas em transparência ativa são aquelas disponibilizadas pelos órgãos e entidades, independentemente de solicitação, utilizando principalmente a internet. A disponibilização proativa de informações de interesse público, além de facilitar o acesso dos cidadãos sobre decisões e iniciativas governamentais, evita o acúmulo de pedidos de acesso sobre temas semelhantes.” Disponível em: <https://www.gov.br/acessoainformacao/pt-br/assuntos/transparencia-ativa#:~:text=As%20informa%C3%A7%C3%B5es%20publicadas%20em%20transpar%C3%AAncia,solicita%C3%A7%C3%A3o%2C%20utilizando%20principalmente%20a%20internet>. Acesso em: 29 jun. 2023.
[2] PARGENDLER, Vitor Silveira. Convívio entre Transparência Ativa e Proteção de Dados Pessoais na Administração Pública Brasileira: Análise de Possíveis Impactos da Emenda Constitucional 115 e da Lei do Governo Digital. Revista Jurídica do Ministério Público Catarinense, Florianópolis, v. 17, n. 36, p. 290-321, nov. 2022. Disponível em: <https://seer.mpsc.mp.br/index.php/atuacao/article/view/197/111>. Acesso em: 29 jun. 2023.
[3] CARVALHO, André Castro; BANNWART, Elizabeth Marques. A Lei de Acesso à Informação (LAI) e a Lei Geral de Proteção de Dados (LGPD): adequando-as aos programas de governança em privacidade das empresas estatais. In: CARVALHOSA, Modesto; KUYVEN, Fernando (coords.). Compliance empresarial. v. 4. São Paulo: Thomson Reuters Brasil, 2020, p. 240.
[4] Para maiores informações sobre o tema, ver BIONI, Bruno Ricardo; SILVA, Paula Guedes Fernandes da; MARTINS, Pedro Bastos Lobo. Intersecções e relações entre a Lei Geral de Proteção de Dados (LGPD) e a Lei de Acesso à Informação (LAI): análise contextual pela lente do direito de acesso. In: CONTROLADORIA-GERAL DA UNIÃO. Coletânea de Artigos da Pós-Graduação em Ouvidoria Pública. Brasília: 2022, v. 1, p. 8-19. Disponível em: <https://revista.cgu.gov.br/Cadernos_CGU/issue/view/39/46>. Acesso em: 29 jun. 2023.
[5] Para maiores informações sobre o tema, ver CARVALHO, André Castro; GUARISTE, Florencia. Proteção de dados pessoais em decisões judiciais divulgadas na Internet. In: MORAIS, Paulo Soares de; SILVA, Maurício Faria da; PEDUTI FILHO, Cesar (org.). Perspectivas da Lei Geral de Proteção de Dados Pessoais no Direito Empresarial. Rio de Janeiro: Lumen Juris, 2021, p. 194.
Fonte: Consultor Jurídico
.