STF declara inconstitucionalidade do Comitê de Governança de Dados
O Comitê Central de Governança de Dados, da forma como foi criado pelo atual governo federal em 2019, é inconstitucional. A declaração foi feita pelo Plenário do Supremo Tribunal Federal (STF) nesta quinta-feira, 15, por unanimidade, e está de acordo com o entendimento de entidades que defendem a proteção de dados na internet.
O tema foi discutido no julgamento de dois processos: a Arguição de Descumprimento de Preceito Fundamental (ADPF) 695, interposta pelo Partido Socialista Brasileiro (PSB), e a Ação Direta de Inconstitucionalidade (ADI) 6649, protocolada pelo Conselho Federal da Ordem dos Advogados do Brasil (OAB).
Os autores alegaram, entre outros pontos, a incompatibilidade entre a Lei Geral de Proteção de Dados (LGPD) e o Decreto 10.046/2019, que criou o Comitê para gerenciar o compartilhamento de informações dos cidadãos e do governo entre quaisquer das pessoas jurídicas de direito público, incluindo órgãos, autarquias e empresas públicas.
Entre os argumentos das entidades contra o decreto está a “desproporcionalidade” do poder de controle do Comitê sobre os dados pessoais e a falta de critérios expressos para o compartilhamento das informações, que previa a coleta de informações genéticas, biométricas e até “o jeito de andar”. Ambas pediram a anulação completa do decreto, no entanto, o relator das ações, ministro Gilmar Mendes, determinou a reedição da norma com adequações.
O magistrado declarou inconstitucional o artigo que cria o Comitê Central de Governança de Dados e exigiu o cumprimento das definições previstas na LGPD, de que “o compartilhamento de dados pessoais entre órgãos e entidades da administração pública pressupõe: a eleição de propósito legítimos específicos e explícitos para o tratamento de dados, a compatibilidade do tratamento com as finalidades informadas e a limitação do compartilhamento ao mínimo necessário para atendimento da finalidade informada”.
O despacho determina ainda que o governo deve justificar “formal e previamente, à luz dos postulados da proporcionalidade, razoabilidade e princípios gerais previstos na LGPD, tanto a necessidade de novos dados pessoais como a escolha das bases temáticas que comporão a base”.
Prazo de transição
Mendes estabeleceu um prazo de transição para o cumprimento da decisão. De acordo com o relatório, o Comitê deve manter a estrutura atual pelo prazo de 60 dias, a contar da data da publicação da ata de julgamento. Apesar disso, deve seguir em sua atuação, desde já, as normas estabelecidas na LGPD.
Segundo o ministro, a modulação é para “garantir ao chefe do Poder Executivo prazo hábil para atribuir ao órgão perfil independente plural e aberto à participação efetiva de representantes de outras instituições democráticas e conferir aos seus integrantes garantias mínimas contra influências indevidas”.
O prazo foi o único ponto de divergência entre os ministros. André Mendonça e Nunes Marques defendiam que a estrutura atual do Comitê Central de Governança de Dados fosse mantida até 31 de dezembro, mas foram vencidos pela maioria, que entendeu o prazo de 60 dias como razoável para as adequações no decreto.
Punições
A decisão também prevê punições em caso de descumprimento, estabelecendo que “a transgressão dolosa ao dever de publicidade [ou seja, casos de sigilo de dados do governo em desconformidade com a lei] importará a responsabilização do agente estatal por ato de improbidade administrativa”.
Para que a responsabilização seja possível, o Supremo também determina a criação de “mecanismo rigoroso” de controle do acesso aos dados, na forma de um “sistema eletrônico de registros”.
Precedente no setor de telecom
A análise dos ministros citou e reforçou o precedente julgamento sobre proteção de dados que envolveu as operadoras de telefonia. No caso em questão, o STF suspendeu a eficácia da Medida Provisória (MP) 954/2020, que previa o compartilhamento de dados de usuários de telecomunicações com o Instituto Brasileiro de Geografia e Estatística (IBGE).
O processo, usado nas argumentações contra o decreto, foi julgado em maio de 2020, quando o Supremo reconheceu que a efetividade dos direitos fundamentais à proteção dos dados pessoais pressupõe a aplicação dos princípios de adequação, da necessidade, da transparência e da finalidade.
