LGPD também vale para o Poder Judiciário?
Ataque cibernético ao STJ demonstra a importância de o poder público se adequar à nova lei
No último dia 3 de novembro, o Superior Tribunal de Justiça (STJ) sofreu um ataque cibernético. A ação, que está sendo investigada, interrompeu julgamentos e suspendeu prazos processuais no período compreendido entre o dia do ataque e 9 de novembro. Para além do fato de hackers terem alcançado o sistema de um dos órgãos mais importantes da Justiça brasileira, o episódio levanta uma questão que antes passaria despercebida: estaria o tribunal sujeito à aplicação da LGPD, lei que protege dados pessoais?
“A Lei Geral de Proteção de Dados (LGPD) é aplicável tanto para a pessoa jurídica de direito privado quanto para a pessoa jurídica de direito público. Segundo a lei, o tratamento de dados pessoais, por pessoa natural ou por pessoa jurídica de direito público ou privado, tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, ressalta Pedro Mourão, sócio do Nankran & Mourão Sociedade de Advogados. Ele lembra que o Estado é detentor de um enorme volume de informações pessoais dos cidadãos.
Entretanto, a aplicação da LGPD nesse caso tem algumas particularidades, destaca. “O art. 4º, por exemplo, dispõe sobre as excepcionalidades relativas à não incidência da LGPD quando o tratamento de dados for exercido para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais”, acrescenta.
A seguir, Mourão detalha a extensão da aplicação da LGPD a entes públicos.
A LGPD se aplica da mesma forma ao poder público e a entidades privadas?
Sim, ela é aplicável tanto para a pessoa jurídica de direito privado quanto para a pessoa jurídica de direito público. O art. 1º da Lei 13.709/18, a Lei Geral de Proteção de Dados, dispõe que o tratamento de dados pessoais, por pessoa natural ou por pessoa jurídica de direito público ou privado, tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Inclusive, vale lembrar que o Estado controla, indiretamente, a vida de toda a população, com acesso a dados financeiros, de saúde, de processos judiciais, de educação, dentre outros. Ademais, ressalte-se que o Estado é um empregador, principalmente no Brasil, em larga escala — ou seja, são milhões de pessoas trabalhando direta e indiretamente para municípios, estados e a própria federação. O governo é, ainda, acionista em diversas empresas. Tudo isso, por óbvio, demonstra a importância de o poder público também se adequar à LGPD.
Todavia, a aplicação da LGPD para o poder público tem algumas peculiaridades. Nesse sentido, cabe destacar o art. 4º da Lei 13.709/18, o qual dispõe sobre as excepcionalidades relativas à não incidência da LGPD quando o tratamento de dados for exercido para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
Muito se fala, inclusive, da necessidade de consentimento do titular para que ocorra o tratamento de dados pessoais. Contudo, para a administração pública, nos termos do inciso III do art. 7º da LGPD, são permitidos o tratamento e o uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
Outro exemplo é a previsão contida no art. 26 da Lei 13.709/18, o qual prevê que o uso compartilhado de dados pessoais pelo poder público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas. Entretanto, o parágrafo primeiro prevê a vedação, com algumas ressalvas, de o poder público transferir a entidades privadas dados pessoais constantes de base de dados a que tenha acesso.
Enfim, o poder público também deve se atentar para a necessária adequação à LGPD, a despeito de algumas peculiaridades previstas na legislação.
Qual é o papel da Agência Nacional de Proteção de Dados (ANPD) e do Judiciário no que diz respeito à aplicação das penas previstas pela LGPD?
Nos termos do art. 55-J, inciso IV, da Lei 13.709/18, compete à ANPD “fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso.”
Em relação à aplicação das penas previstas, o art. 55-K da LGPD dispõe que a ANPD é a agência que detém competência exclusiva para a aplicação das sanções previstas na legislação — prevendo, inclusive, que suas competências prevalecerão, quanto à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
O Judiciário certamente, por outro lado, também julgará diversos casos envolvendo infrações aos princípios e regras contidas na LGPD. Até mesmo porque, a cultura da judicialização no Brasil é enorme. Além disso, vale lembrar que o procedimento administrativo na ANPD não impede a discussão judicial do assunto, principalmente pelo princípio fundamental previsto na Constituição de acesso à Justiça.
Por fim, também vale destacar que o Poder Judiciário poderá rever as decisões e sanções administrativas aplicadas pela ANPD, atuando para verificar se elas foram corretas e se a legislação está sendo aplicada sem beneficiar ou prejudicar qualquer envolvido.
Enquanto a ANPD ainda não estiver em estágio operacional, como são exercidas suas funções?
De acordo com o § 1º, do art. 55-G da Lei 13.709/18, até a data de entrada em vigor de sua estrutura regimental, a ANPD receberá o apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades.
Haveria conflito de interesses se o Judiciário tiver de julgar a responsabilidade sobre um possível vazamento de dados em decorrência do ataque cibernético ao STJ?
Considerando que o próprio Poder Judiciário julgaria ações envolvendo pessoas que possam ter sido prejudicadas por vazamento de dados do próprio STJ, sem dúvida alguma a segurança jurídica não seria a mesma. Portanto, há sim a possibilidade de se argumentar conflito de interesses.