OPINIÃO

ADI 6.649 e o compartilhamento de dados

pessoais pela administração pública
23 de setembro de 2022, 11h07

Por Franciele Cristina Brandelero Doutor

O Pleno do Supremo Tribunal Federal, em decisão unânime, conheceu e julgou

parcialmente procedentes os pedidos da ação direta de inconstitucionalidade e da arguição
de descumprimento de preceito fundamental, conferindo interpretação conforme ao Decreto
nº 10.046/2019, no que tange ao compartilhamento de dados pela administração pública e a
criação do Cadastro Base do Cidadão e do Comitê Central de Governança de Dados.

As ações tinham por objeto a controvérsia relativa

aos limites, ao âmbito de proteção e à dimensão
axiológica dos direitos fundamentais à privacidade
e ao livre desenvolvimento da personalidade,
especificamente no que diz respeito ao tratamento
de dados pessoais pelo Estado brasileiro.

A controvérsia inicialmente foi levada ao STF

após a tentativa de edição da MP 954/2020, que
determinava que as operadoras de telefonia disponibilizassem ao IBGE, em meio
eletrônico, os nomes, números de telefone e endereços de milhões de usuários de serviços
de telecomunicação. No julgamento da ADI nº 6387, de relatoria da ministra Rosa Weber, o
tribunal referendou a medida cautelar que suspendeu a eficácia da Medida Provisória nº
954/2020, a fim de prevenir danos irreparáveis à intimidade e ao sigilo da vida privada de
mais de uma centena de milhão de usuários dos serviços de telefonia fixa e móvel.

Foi considerada, ainda, por ocasião do julgamento, a recomendação do Laboratório de

Políticas Públicas e Internet de que o Comitê Central de Governança de Dados, no
exercício de suas atribuições regulamentares, no sentido de que os dados pessoais fossem
submetidos ao nível de compartilhamento restrito.
Segundo o ministro relator Gilmar Mendes "O evento preocupa, na medida em que, por
definição, o nível de compartilhamento restrito engloba dados que, apesar de sigilosos,
podem ser livremente acessados por todos os órgãos e entidades da Administração Pública
Federal", o que, em suas palavras oferece, "proteção inadequada para a tutela dos valores
estruturantes da LGPD".

Com a publicação da Emenda Constitucional nº 115/2022, a proteção de dados pessoais foi

erigida à categoria de direito e garantia fundamental. A teor do artigo 5º, inciso LXXIX, da
Constituição, "é assegurado, nos termos da lei, o direito à proteção dos dados pessoais,
inclusive nos meios digitais".

A emeda constitucional acrescentou novas competências à União, determinando que:

"Art. 21. Compete à União:

XXVI - organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos
da lei.
Art. 22. Compete privativamente à União legislar sobre:
XXX - proteção e tratamento de dados pessoais."

A inovação constitucional, sem dúvidas, conferiu poderes ainda maiores de gerência do

Estado sobre a proteção à privacidade dos titulares de dados pessoais. Mas, quais são os
limites de atuação do Estado? Foi essa a questão enfrentada pelo Supremo Tribunal Federal
na ADI 6.649/DF.

A Lei nº 13.709/2018 (Lei Geral de Proteção de Dados), em seu artigo 7º, inciso III,
determina que o tratamento de dados pessoais poderá ser realizado pela administração
pública "para o tratamento e uso compartilhado de dados necessários à execução de
políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios
ou instrumentos congêneres". Em complemento, dispõe no artigo 23 que o tratamento de
dados pessoais pelas pessoas jurídicas de direito público "deverá ser realizado para o
atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo
de executar as competências legais ou cumprir as atribuições legais do serviço público".
No inciso I do artigo 23, a lei condiciona o tratamento ao "fornecimento de informações
claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas
utilizadas para a execução dessas atividades, em veículos de fácil acesso,
preferencialmente em seus sítios eletrônicos".

Em complemento, dispõe os artigos 25 e 26 da Lei Geral de Proteção de Dados:

 "Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para
o uso compartilhado, com vistas à execução de políticas públicas, à prestação de
serviços públicos, à descentralização da atividade pública e à disseminação e ao
acesso das informações pelo público geral.
Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a
finalidades específicas de execução de políticas públicas e atribuição legal pelos
órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados
pessoais elencados no art. 6º desta Lei."

A par disso, a lei, pautada no princípio da autodeterminação informacional, segundo o qual

o titular tem o direito de conhecer o fluxo de seus dados pessoais, determina que o
tratamento de dados pessoais deverá observar, entre outros princípios, a boa-fé, a
finalidade, a adequação, a necessidade e transparência, todos aplicáveis aos agentes de
tratamento, sejam eles de direito público ou privado.

O tratamento de dados pessoais pela administração pública exige, assim, a

compatibilização dos princípios e mecanismos de proteção trazidos pela nova legislação
com os interesses públicos do Estado, em homenagem ao direito fundamental à
privacidade, à proteção de dados e autodeterminação informacional, o que não autoriza, por
certo, o tratamento indiscriminado de dados pessoais, ainda que para atividades de
inteligência, sob pena de evidente retrocesso social diante do abuso que um cadastro
unificado pode ocasionar, além dos riscos de incidentes de segurança com dados pessoais.

Conforme bem consignado pelo ministro relator:

"(...) Em homenagem ao direito à autodeterminação informativa, apenas as

informações gerais do Estado são alcançadas pelo disposto no art. 3, inciso I, do
Decreto 10.046/2019, e não aquelas relacionadas aos atributos da personalidade ou
qualidades próprias do cidadão.
Devem ser amplamente compartilhadas, nos termos do dispositivo, somente as
informações relativas ao funcionamento do aparato estatal, como gestão de pessoal e
do patrimônio público, utilização de recursos orçamentários, formalização de atos e
contratos administrativos, apenas para citar alguns exemplos. Lado outro, em relação
às informações pessoais, devem incidir os vetores protetivos da LGPD, estruturados
para a salvaguarda da privacidade dos cidadãos, que exigem o preenchimento de
requisitos mais rígidos para o fluxo de informações no âmbito dos órgãos públicos
federais." (grifo do autor)
Com base nessas premissas, entendeu a Corte Constitucional que, "desde que interpretados
de maneira sistemática e em conformidade com as regras da LGPD, os dispositivos do
Decreto 10.046/2019 não abrem espaço para a instituição de uma base integradora
descomunal". Concluiu o relator que, ao contrário, "as inúmeras alusões feitas pelo decreto
ao regime protetivo instituído pela LGPD impõem a necessidade de estabelecimento de
ferramentas rigorosas de controle de acesso ao Cadastro Base do Cidadão".

No que tange à criação do Comitê Central de Governança de Dados, no entanto, entendeu o

STF que o Decreto 10.046/2019, na forma como estruturado, não apenas oferece proteção
deficiente para valores centrais da ordem constitucional, como também constitui fator de
desestabilização das garantias previstas na Lei 13.709/2018.

Nas palavras do relator ministro Gilmar Mendes:

"Cuida-se, a rigor, de instituição com perfil insular, hostil a qualquer proposta de

abertura democrática e de pluralização do debate e, nessa medida, fechada à
participação de representantes oriundos de outras instituições republicanas e de
entidades da sociedade civil.
(...)
As distorções identificadas na composição do Comitê Central de Governança de
Dados oferecem, ainda, grave risco de comprometimento da imagem do país no plano
externo, podendo, em certa medida, ameaçar pretensões deduzidas pelo Estado
brasileiro de ingresso em entidades internacionais relevantes, como a Organização
para a Cooperação e Desenvolvimento Econômico – OCDE.
(...)
Dada a relevância e a sensibilidade da sua missão institucional, é inequívoco que o
Comitê Central de Governança de Dados ocupa posição de centralidade no regime
constitucional de proteção da privacidade. Cuida-se de entidade que atua em
articulação direta com a Autoridade Nacional de Proteção de Dados, desempenhando
atribuições que dialogam intimamente com as regras e princípios instituídos pela
LGPD, sobretudo no que diz respeito à preservação da privacidade dos usuários de
serviços públicos federais."

É objeto de crítica pelo ministro Gilmar Mendes, ainda, a composição do comitê, porquanto
é composto única e exclusivamente por representantes do Poder Executivo, inexistindo
quaisquer garantias contra influência indevidas, pelo que restaria caracterizada evidente
afronta ao regime de proteção de dados instituído pela atual ordem constitucional.
Entendeu o STF, deste modo, ante do risco de desestabilização do sistema, pela declaração
de inconstitucionalidade do dispositivo que instituiu o Comitê Central de Governança de
Dados — modulando os efeitos da decisão, preservando a sua estrutura orgânica pelo prazo
de 60 dias, a contar da data da publicação do julgamento. Dentro deste prazo, o presidente
da República deverá reestruturar o comitê, "de modo a resgatar a trajetória de
fortalecimento dos mecanismos de proteção de dados pessoais". Segundo destacado na
conclusão do voto, cabe ao chefe do Poder Executivo (1) atribuir ao órgão um perfil
independente e plural, aberto à participação efetiva de representantes de outras
instituições democráticas; e (2) conferir às suas integrantes garantias mínimas contra
influências indevidas.

O julgamento da ADI nº 6.649/DF acabou por estabelecer, portanto, premissas importantes

no que tange ao compartilhamento de dados pessoais entre os órgãos e entidades da
administração pública, definindo, entre outras medidas, que o tratamento deverá se dar com
propósitos legítimos, específicos e explícitos, atendendo-se à transparência, finalidade e
necessidade (artigo 6º da LGPD), em estrita observância às disposições da Lei Geral de
Proteção de Dados, garantindo-se aos cidadãos, titulares de dados pessoais, além da
pluralidade, participação e autodeterminação informacional, o direito constitucional
fundamental à privacidade e proteção de dados pessoais.

Referências:
BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em:
http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm. Acesso em: 16 set. 22.

_______. Lei nº 13.709/2018. Lei Geral de Proteção de Dados (LGPD). Disponível em

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 16
set. 22.

_______. Emenda Constitucional nº 115/2022. Altera a Constituição Federal para incluir

a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a
competência privativa da União para legislar sobre proteção e tratamento de dados
pessoais. Acesso em:
http://www.planalto.gov.br/ccivil_03/constituicao/emendas/emc/emc115.htm. Acesso em:
16 set. 22

_______. ADI 6.649/DF. Ação Direita de Inconstitucionalidade. Disponível em:

https://portal.stf.jus.br/processos/detalhe.asp?incidente=6079238.> Acesso em: 16 set. 22.
Franciele Cristina Brandelero Doutor é advogada especializada em Direito Digital e
proteção de dados na Federiche e Mincache Advogados, membro do Comitê de Privacidade
e Proteção de Dados da Associação Nacional dos Advogados de Direito Digital (Anadd),
data protection officer, certificada pela Exin e Compliance Officer CPC-A e LEC — Legal,
Ethics & Compliance.

Revista Consultor Jurídico, 23 de setembro de 2022, 11h07