No dia 14 de abril, o Ministério da Economia publicou uma portaria que abre a porteira para a entrega de dados da Receita Federal dos brasileiros e brasileiras a entes privados, como empresas. A norma autoriza que o Serviço Federal de Processamento de Dados (Serpro), controlador dessas importantes informações, disponibilize-as a terceiros. A Coalizão Direitos na Rede entende que a norma viola a Constituição Federal e a Lei Geral de Proteção de Dados (Lei No 13.709 de 2018), entre outros dispositivos legais.
A Portaria prevê de forma genérica a “disponibilização a terceiros” de mais de 1.700 tipos de dados, especificados no anexo da norma. Entre eles estão CPF, CNPJ, classificações de atividades econômicas (CNAEs) primárias e secundárias, sócios de empresas, certidões negativas de débitos, conhecimento de embarque-mercante, escala, consulta de conhecimento de transporte marítimo, notas fiscais eletrônicas, declaração de importação, procurações, caixa postal, Documentos de Arrecadação da Receita Federal, cadastros no Simples Nacional, entre vários outros.
O compartilhamento de dados pessoais entre órgãos públicos já foi objeto de inúmeras discussões e do caso mais emblemático no Supremo Tribunal Federal (STF) sobre proteção de dados pessoais. Na ocasião, o STF decidiu que a proteção de dados pessoais – sejam dados íntimos ou ‘’triviais’’, como nome e endereço – é um direito fundamental autônomo e da maior importância na atualidade. Posteriormente, o Congresso Nacional aprovou uma Emenda Constitucional que inseriu a proteção de dados diretamente na Constituição, com status de direito fundamental e cláusula pétrea.
A norma é inconstitucional uma vez que viola esse direito, segundo o qual os dados pessoais não podem ser compartilhados de forma abusiva, sem necessidades claras a partir de finalidades específicas e proporcionais. Em sentido contrário, a Portaria prevê a “disponibilização a terceiros” sem nenhuma especificação quanto aos tipos de dados, ou para quais finalidades.
A elevação da proteção de dados ao posto de direito fundamental reforça um longo acúmulo legal sobre como os dados pessoais devem ser tratados, tanto pelo setor privado, como pelo setor público, a partir de uma série de princípios e regras, inscritas particularmente na LGPD. Esta Lei, aprovada por unanimidade na Câmara e no Senado, estabelece regras claras para o compartilhamento de dados do Poder Público. O Art. 23 diz que o tratamento de dados por entes públicos deve ser realizado com “atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”.
O tratamento por órgãos públicos precisa garantir que “sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades”. O repasse de forma genérica a “terceiros” de dados da Receita Federal, muito importantes e com potenciais impactos sobre os cidadãos, contrasta com essas diretrizes para o tratamento do Poder Público.
A LGPD também disciplina o compartilhamento de dados de entes públicos com empresas e organizações privadas. Ele deve “atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas”.
A Portaria tenta fundamentar as operações de compartilhamento na hipótese, prevista na Lei Geral de Proteção de Dados, que autoriza o tratamento de dados pessoais “pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres” (destaque nosso). Deve-se notar, ainda, que a Autoridade Nacional de Proteção de Dados (ANPD), órgão com a prerrogativa de interpretação da LGPD na esfera administrativa, recomenda que tal dispositivo seja interpretado de modo que normas sobre compartilhamento de dados do Poder Público determinem “objetivos, metas, prazos e meios de execução”¹ para a referida política.
Ainda, a LGPD só autoriza o poder público a transferir dados pessoais constantes em sua base de dados nas seguintes hipóteses: i) necessidade da transferência para a execução de atividade pública, sendo esta restrita a este fim específico e determinado; ii) disponibilidade pública prévia dos dados; iii) previsão da transferência em instrumento formal; iv) finalidade exclusiva de prevenção de fraudes e irregularidades ou proteção da segurança e integridade do titular. À exceção dessas hipóteses, a regra é a proibição expressa de transferências de dados pessoais mantidos pelo poder público para entes privados.
As regras adotadas pela portaria colocam uma série de questionamentos, tais como: i) como se dará a avaliação dos argumentos de consulta ou será um processo apenas formal? ii) como se dará a transparência quanto aos terceiros que acessarem os dados e os valores eventualmente pagos? iii) como se dará a avaliação das finalidades pretendidas pelos terceiros e como será assegurado que não haverá tratamentos posteriores incompatíveis? iv) como o princípio da transparência da LGPD e os demais direitos dos titulares serão assegurados?
Sem respostas a essas perguntas e com os dispositivos previstos, a Coalizão entende que Portaria RFB nº 167/2022 é inconstitucional e não atende aos requisitos da LGPD e, portanto, carece de base legal adequada para fundamentar as operações de compartilhamento que pretende disciplinar. Dado que nenhuma das exceções legalmente previstas é aplicável, o compartilhamento previsto pela Portaria RFB nº 167/2022 viola a LGPD. Neste sentido, é urgente que o Ministério da Economia cancele a Portaria ou que essa decisão seja sustada pela Justiça.
Brasília, 29 de abril de 2022
Coalizão Direitos na Rede
¹ BRASIL. Autoridade Nacional de Proteção de Dados. Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público. Versão 1.0. Janeiro de 2022. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf. Acesso em 26 abr. 2022.