Após quatro anos de implementação da autarquia Autoridade Nacional de Proteção de Dados (ANPD), interessante notar que a maioria dos processos administrativos sancionadores em curso por violação à Lei Geral de Proteção de Dados (LGPD) envolve entes públicos. Como compreender este processo de sujeição do Poder Público às sanções administrativas?
Não é novidade que os entes públicos desempenham um papel fundamental no tratamento de dados, frequentemente lidando com dados pessoais em diversas atribuições legais. Suas atividades abrangem uma ampla gama de operações envolvendo dados pessoais, refletindo sua importância e presença significativa no cenário da proteção de dados. As obrigações deste setor são claramente delineadas no capítulo IV da LGPD, que estabelece que o tratamento de dados se justifica para o cumprimento da finalidade pública dos entes, visando o interesse público, e para a execução das competências legais ou o cumprimento das atribuições legais do serviço público.
Do ponto de vista sociológico, é destaque que na dinâmica das operações dos “dividendos da vigilância”[1] e no processo de automatização do Estado, ocorre simultaneamente a extração e operação de grandes bancos de dados, resultando em inúmeras violações perpetuadas por entidades públicas.
Na discussão sobre governamentalidade algorítmica,[2] estudos indicam que a automação do Estado promove assimetrias sociais e controle social.[3] Por exemplo, abordagens baseadas em tratamentos de dados e análises preditivas, que buscam resolver o problema da violência por meio da automação da segurança nacional, são fundamentais para o surgimento de novas formas de autoritarismo.
É neste contexto que as decisões administrativas da ANPD se tornam relevantes em face do Poder Público. As primeiras sanções foram pontuais, mas relevantes para compreender o papel da autoridade na sociedade e sua relação com o Poder Público.
Desde 2020 a autarquia federal instaurou nove processos administrativos sancionadores para apurar possíveis violações à LGPD contra órgãos e entidades da Administração Pública, sendo eles o Ministério da Saúde, o Instituto de Pesquisas Jardim Botânico do Rio de Janeiro, a Secretaria de Estado da Saúde de Santa Catarina, a Secretaria de Educação do Distrito Federal, o Instituto de Assistência ao Servidor Público Estadual de São Paulo, a Secretaria de Assistência Social, Combate à Fome e Políticas sobre Drogas de Pernambuco e o Instituto Nacional do Seguro Social (INSS).
Contra o Ministério da Saúde há dois processos administrativos sancionadores em curso. O primeiro, instaurado em 7 de março de 2022, investiga a ausência de comunicação de incidentes de segurança e de um encarregado de dados pessoais, bem como o não atendimento a requisições da ANPD (Processo 00261.000456/2022-12). Já o segundo processo contra o Ministério da Saúde, aberto em 12 de setembro de 2022, apura a falta de comunicação a titulares sobre incidentes de segurança e a ausência de medidas de prevenção adequadas (Processo 00261.001882/2022-73).
O INSS e o Instituto de Pesquisas Jardim Botânico do Rio de Janeiro também estão sob investigação da ANPD por não comunicarem incidentes de segurança, além de não atenderem às requisições da ANPD (Processos 00261.001888/2023-21 e 00261.000574/2022-21, respectivamente).
Outro órgão no foco da ANPD é a Secretaria de Educação do DF, com processo instaurado em 10 de junho de 2022. A investigação aponta a falta de comprovação de medidas de segurança e a ausência de comunicação de incidentes de segurança aos titulares (Processo 00261.001192/2022-14).
A Secretaria da Saúde de SC enfrenta um processo desde 14 de setembro de 2022 em razão da exfiltração de 1,2 milhão de registros, o que teria impactado 48 mil pessoas. As acusações incluem a ausência de comunicação de incidentes de segurança e a falta de medidas de segurança (Processo 00261.001886/2022-51). Nesse caso, em razão do número de pessoas impactadas, foi determinado que a secretaria publique informações sobre o incidente de segurança em seu site por no mínimo 90 dias, além de ter que comunicar individualmente os titulares de dados afetados.
Tanto em relação ao Instituto de Assistência ao Servidor Público Estadual de São Paulo quanto em relação à Secretaria de Assistência Social, Combate à Fome e Políticas sobre Drogas de Pernambuco apura-se a ausência de comunicação de incidentes e a não implementar medidas correlatas (Processos 00261.001969/2022-41 e 00261.001963/2022-73, respectivamente).
Uma breve análise comparativa entre os casos revela que todos eles tratam da falta de comunicação de incidentes de segurança pelos entes públicos. A maioria dos órgãos públicos investigados falhou em comunicar incidentes de segurança tanto à ANPD quanto aos titulares dos dados – sendo que em muitos dos casos envolveram entidades estaduais e municipais.[4]
Ainda, observa-se nos casos que o setor público é marcado pela falta de implementação de medidas de segurança adequadas para proteger dados pessoais. O não atendimento às requisições e determinações da ANPD é outra fonte de processos administrativos. Vê-se, por fim, que a magnitude dos incidentes interfere nas providências cautelares indicadas pela ANPD, a exemplo do caso da Secretaria da Saúde de Santa Catarina, que teve grande número de registros exfiltrados.
Todos os processos administrativos sancionadores acima mencionados encontram-se em fase de instrução, mas o teor das manifestações da ANPD até aqui sinaliza para a atuação rigorosa da Autoridade na implementação da LGPD no setor, independentemente da ocorrência de danos concretos, ou seja: bastando a mera violação aos deveres de conduta impostos ao Poder Público.
Destaca-se, por fim, a existência de processos de fiscalização em curso contra o Serviço Federal de Processamento de Dados (Serpro), para verificação de conformidade no compartilhamento de dados pessoais entre órgãos públicos, contra o INSS e Dataprev, para verificação de conformidade do tratamento de dados pessoais no compartilhamento para oferta de empréstimos consignados, e contra o Ministério da Justiça e Segurança Pública, para verificação de conformidade do tratamento de dados pessoais para o Projeto Estádio Seguro.
Os processos conduzidos pela ANPD revelam, por fim, um panorama favorável à progressiva conformação do setor público à LGPD, mas ainda bastante desafiador. Nesse sentido, somam-se aos expedientes administrativos de fiscalização e sancionadores ações de monitoramento recorrentes, por exemplo para acompanhamento da aplicação Minha Escola SP, da Secretaria de Educação do Estado de São Paulo, auditorias e a publicação de orientações, a exemplo do Guia orientativo sobre o tratamento de dados pessoais pelo Poder Público. É necessário considerar, ao longo da trajetória da ANPD, as consequências práticas do processo sancionador para o setor público, promovendo incentivos para uma cultura de proteção de dados pessoais nas entidades e coibir as práticas autoritárias.
[1] MOROZOV, Evgeny. Big Tech: A ascensão dos dados e a morte da política. São Paulo: Ubu Editora, 2018.
[2] Governamentalidade algorítmica refere-se à governança do mundo social por meio do processamento de dados por algoritmos. Isso significa que a política, as leis e as normas sociais são implementadas através de operações algorítmicas. Para uma discussão do conceito, veja ROUVROY, A.; BERNS, T. Algorithmic governmentality and prospects of emancipation. Réseaux, v. 177, n. 1, p. 163–196, 2013.
[3] Veja o debate em RICAURTE, P.; GÓMEZ-CRUZ, E.; SILES, I. Algorithmic governmentality in Latin America: Sociotechnical imaginaries, neocolonial soft power, and authoritarianism. Big Data & Society, v. 11, n. 1, 2024.
[4] Os achados coincidem com apontamentos importantes do relatório nic.br que indicam a discrepância da adequação à LGPD de órgãos públicos federais vis-à-vis estaduais e municipais. Veja: NÚCLEO DE INFORMAÇÃO E COORDENAÇÃO DO PONTO BR. Privacidade e proteção de dados pessoais 2021São Paulo: Comitê Gestor da Internet no Brasil, 2022.