RESUMO: O presente artigo busca discutir as possibilidades de acesso a dados pessoais, por parte da Administração Pública, tratados por concessionária de energia elétrica. Para tal, apresentam-se as previsões da Lei Geral de Proteção de Dados sobre o tema e em especial a relevância do respeito à finalidade para a coleta do dado pessoal e ao livre consentimento informado pelo titular dos dados pessoais. Além disso, é apresentado também o recente entendimento do Supremo Tribunal Federal sobre o tema do compartilhamento dos dados pessoais entre órgãos públicos e o dever de respeito à finalidade para a qual foi dado o consentimento.

INTRODUÇÃO

Com o avanço da gestão dos dados pessoais, muito tem-se perguntado sobre os limites de tratamento e gestão desses dados, tanto por particulares quanto pela Administração Pública. Recentemente o direito à proteção de dados pessoais, inclusive nos meios digitais, foi alçado ao status de direito fundamental^[1] em nossa Constituição Federal pela Emenda Constitucional nº 115 de 2022, o que eleva ainda mais a importância desse direito.

Debruçando-se acerca desses limites na gestão dos dados pessoais pela Administração Pública, seja para a consecução de políticas públicas ou mesmo de obrigações legais por parte dos entes públicos, é que se intenta neste trabalho discutir sobre a juridicidade de eventual celebração de convênio com o objetivo de obter junto à concessionária de energia elétrica dados de seu cadastro de clientes.

Um possível interesse do Poder Público no acesso a esses dados poderia ser justificado pela importância do acesso a dados atualizados de contato de seus contribuintes, bem como os dados para a sua correta identificação e planejamento na realização de políticas públicas.

Em que pese essa necessidade de atualização dos cadastros de dados de ente público, discute-se se haveria algum óbice, com base na Lei Geral de Proteção de Dados, para acesso a esses dados.

DESENVOLVIMENTO

Primeiramente, é necessário destacar que a proteção de dados pessoais é cada vez mais relevante no ordenamento jurídico brasileiro e como já mencionado agora constitui expressamente um direito fundamental em nossa Constituição Federal. Portanto, é um tema com o qual a Administração Pública necessita ter especial atenção. E no campo da proteção de dados pessoais alguns institutos têm especial relevância, como é o caso da finalidade do consentimento para a gestão dos dados pessoais.

Nesse sentido, a Lei Geral de Proteção de Dados exige autorizações específicas para o tratamento dos dados, de acordo com as finalidades informadas no momento do consentimento dado pelo titular. No que se refere especificamente ao acesso a dados pessoais de consumidores de serviços de energia elétrica trata-se de relação privada, tipicamente de consumo, e que envolvem finalidades diversas daquelas perquiridas pela Administração Pública.

E no que se refere a uma relação de consumo, merece ainda destaque que o Código de Defesa do Consumidor estabelece entre os direitos básicos^[2] do consumidor o direito à informação adequada e clara, o que se alinha perfeitamente à necessidade de informar a finalidade da coleta dos dados pessoais. O Código de Defesa do Consumidor estabelece esses direitos básicos considerando a especial condição de vulnerabilidade do consumidor, especialmente o consumidor usuário do serviço de energia elétrica, considerado um serviço público essencial.

Portanto, deve-se ter em mente que não é dado ao usuário-consumidor a escolha de contratar ou não aquele serviço de energia, pois ele é essencial à própria possibilidade de uma existência digna em nossa sociedade.

Retornando às disposições da LGPD, é necessario apontar que a Lei traz diversos conceitos chave para análise da matéria e de acordo com o art. 5º, incisos I, VI, X, XII e XVI, da LGPD considera-se:

(i)       dado pessoal, a informação relacionada a pessoa natural identificada ou identificável;

(ii)     controlador, a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

(iii)   tratamento, toda operação realizada com dados pessoais, como as que se referem a coleta, produção,recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento,armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

(iv)    consentimento, a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

(v)      uso compartilhado de dados, a comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

Na hipótese aqui analisada discute-se a possibilidade de a Administração Pública realizar o tratamento (inciso X) dos dados pessoais (inciso I), sobre os quais atuam como controladores (inciso VI) as concessionárias de energia elétrica. No entanto, os titulares desses dados deram consentimento (inciso XII) com finalidade diversa.

Conforme se lê da definição acima colacionada, o consentimento é a manifestação livre pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. A finalidade para a qual foi dado o consentimento pelos titulares – em uma análise abstrata – seria para o acesso a serviços públicos de consumo de energia elétrica, uma finalidade diversa, portanto.

A LGPD dá grande destaque à obrigatoriedade do respeito à finalidade para a qual o consentimento foi dado, tratando do tema por diversas vezes. Nesse sentido, prevê:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

[...]

Dessa maneira, conforme se extrai da previsão legal, deve haver respeito à finalidade, à adequação e à necessidade no tratamento dos dados pessoais fornecidos por seu titular. Essa finalidade deve ser observada por todo o tratamento, não sendo possível utilização posterior desses dados para outra finalidade incompatível. Por outro lado, o tratamento deve ser realizado de maneira estritamente necessária para o cumprimento daquela finalidade informada.

Além disso, o texto legal elencou em seu artigo 7º as hipóteses em que o tratamento de dados pessoais poderá ser realizado, mencionando o consentimento pelo titular como a principal hipótese, dentre algumas outras. No entanto, compulsando o dispositivo se verifica que as outras possibilidades se revelam excepcionais, sendo exigidos requisitos complementares.

Nesse sentido prevê o art. 7º da LGPD:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019)

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Da leitura do dispositivo acima colacionado nota-se que, a priori, o propósito almejado pela Administração Pública não se enquadra nas outras hipóteses de tratamento de dados além daquela que exige o consentimento.

Poder-se-ia cogitar que a previsão do inciso III do art. 7º, que trata da possibilidade de tratamento de dados pessoais pela administração pública necessários para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, se aplicaria à hipótese aqui discutida.

E poderia. No entanto, o próprio dispositivo faz a ressalva de que nesse caso devem ser observadas as disposições do Capítulo IV da Lei Geral de Proteção de Dados, que versa sobre o tratamento de dados pessoais pela administração pública, prevendo em seu art. 23 alguns requisitos para que esse tratamento ocorra.

Nesse sentido, esse tratamento deve ser realizado (i) para o atendimento de sua finalidade pública, (ii) perseguindo o interesse público, (iii) com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que (iv) sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.

Portanto, a finalidade específica para o tratamento e o livre consentimento informado permanecem sendo necessária, pois são a base para o tratamento dos dados pessoais, ainda que seja realizado pela Administração Pública.

O artigo 7º, §5º, da LGPD também traz importante previsão aplicável ao caso.  O dispositivo estabelece que caso o controlador que obteve o consentimento do titular necessite comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na Lei.

A título de complementação, foi editado em âmbito federal o Decreto nº 10.046/2019, para tratar sobre a governança no compartilhamento de dados no âmbito da administração pública federal. O referido decreto foi objeto da ADI nº 6649, julgada pelo Supremo Tribunal Federal em setembro de 2022, quando este Tribunal adotou o seguinte entendimento:

“Decisão: [...] No mérito, por maioria, julgou parcialmente procedentes os pedidos, conferindo interpretação conforme ao Decreto 10.046/2019, traduzida nos seguintes termos:

1. O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública, pressupõe: a) eleição de propósitos legítimos, específicos e explícitos para o tratamento de dados (art. 6º, inciso I, da Lei 13.709/2018); b) compatibilidade do tratamento com as finalidades informadas (art. 6º, inciso II); c) limitação do compartilhamento ao mínimo necessário para o atendimento da finalidade informada (art. 6º, inciso III); bem como o cumprimento integral dos requisitos, garantias e procedimentos estabelecidos na Lei Geral de Proteção de Dados, no que for compatível com o setor público.

2. O compartilhamento de dados pessoais entre órgãos públicos pressupõe rigorosa observância do art. 23, inciso I, da Lei 13.709/2018, que determina seja dada a devida publicidade às hipóteses em que cada entidade governamental compartilha ou tem acesso a banco de dados pessoais, “fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos”.

3. O acesso de órgãos e entidades governamentais ao Cadastro Base do Cidadão fica condicionado ao atendimento integral das diretrizes acima arroladas, cabendo ao Comitê Central de Governança de Dados, no exercício das competências aludidas nos arts. 21, incisos VI, VII e VIII do Decreto 10.046/2019:

3.1. prever mecanismos rigorosos de controle de acesso ao Cadastro Base do Cidadão, o qual será limitado a órgãos e entidades que comprovarem real necessidade de acesso aos dados pessoais nele reunidos. Nesse sentido, a permissão de acesso somente poderá ser concedida para o alcance de propósitos legítimos, específicos e explícitos, sendo limitada a informações que sejam indispensáveis ao atendimento do interesse público, nos termos do art. 7º, inciso III, e art. 23, caput e inciso I, da Lei 13.709/2018;

3.2. justificar formal, prévia e minudentemente, à luz dos postulados da proporcionalidade, da razoabilidade e dos princípios gerais de proteção da LGPD, tanto a necessidade de inclusão de novos dados pessoais na base integradora (art. 21, inciso VII) como a escolha das bases temáticas que comporão o Cadastro Base do Cidadão (art. 21, inciso VIII);

3.3. instituir medidas de segurança compatíveis com os princípios de proteção da LGPD, em especial a criação de sistema eletrônico de registro de acesso, para efeito de responsabilização em caso de abuso.

4. O compartilhamento de informações pessoais em atividades de inteligência observará o disposto em legislação específica e os parâmetros fixados no julgamento da ADI 6.529, Rel. Min. Cármen Lúcia, quais sejam: (i) adoção de medidas proporcionais e estritamente necessárias ao atendimento do interesse público; (ii) instauração de procedimento administrativo formal, acompanhado de prévia e exaustiva motivação, para permitir o controle de legalidade pelo Poder Judiciário; (iii) utilização de sistemas eletrônicos de segurança e de registro de acesso, inclusive para efeito de responsabilização em caso de abuso; e (iv) observância dos princípios gerais de proteção e dos direitos do titular previstos na LGPD, no que for compatível com o exercício dessa função estatal.

5. O tratamento de dados pessoais promovido por órgãos públicos ao arrepio dos parâmetros legais e constitucionais importará a responsabilidade civil do Estado pelos danos suportados pelos particulares, na forma dos arts. 42 e seguintes da Lei 13.709/2018, associada ao exercício do direito de regresso contra os servidores e agentes políticos responsáveis pelo ato ilícito, em caso de culpa ou dolo.

6. A transgressão dolosa ao dever de publicidade estabelecido no art. 23, inciso I, da LGPD, fora das hipóteses constitucionais de sigilo, importará a responsabilização do agente estatal por ato de improbidade administrativa, nos termos do art. 11, inciso IV, da Lei 8.429/92, sem prejuízo da aplicação das sanções disciplinares previstas nos estatutos dos servidores públicos federais, municipais e estaduais.

Por fim, o Tribunal declarou, com efeito pro futuro, a inconstitucionalidade do art. 22 do Decreto 10.046/19, preservando a atual estrutura do Comitê Central de Governança de Dados pelo prazo de 60 dias, a contar da data de publicação da ata de julgamento, a fim de garantir ao Chefe do Poder Executivo prazo hábil para (i) atribuir ao órgão um perfil independente e plural, aberto à participação efetiva de representantes de outras instituições democráticas; e (ii) conferir aos seus integrantes garantias mínimas contra influências indevidas. Tudo nos termos do voto do Ministro Gilmar Mendes (Relator), vencidos, parcialmente e nos termos de seus respectivos votos, os Ministros André Mendonça, Nunes Marques e Edson Fachin. Presidência da Ministra Rosa Weber. Plenário, 15.9.2022.” (ADI nº 6649 – Julgamento 15/09/2022, DJE 26/09/2022)

Conforme se lê da decisão, o Supremo Tribunal Federal assentou que o compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública, pressupõe, dentre outros requisitos, a compatibilidade do tratamento com as finalidades informadas (art. 6º, inciso II) e a limitação do compartilhamento ao mínimo necessário para o atendimento da finalidade informada. Assim, corroborou a importância trazida expressamente na redação legal do respeito à finalidade informada no momento do consentimento dado pelo titular dos dados pessoais.

Embora a discussão tratada no presente trabalho se refira ao compartilhamento de dados pessoais por concessionária de energia elétrica com a Administração Pública, o que difere do caso analisado pelo Supremo Tribunal Federal, foi trazido o entendimento da Corte para ilustrar que até quando os dados já estão sob a guarda da Administração Pública será necessário respeitar a finalidade para a qual o dado foi coletado.

CONCLUSÃO

Assim, com base nos argumentos apresentados, entende-se que não é possível o livre compartilhamento dos dados pessoais entre a controladora, concessionária de energia elétrica, e a Administração Pública. No entanto, reputa-se possível que a concessionária de energia elétrica franqueie aos consumidores a possibilidade de fornecerem seu consentimento expresso ao compartilhamento de seus dados pessoais para finalidade diversa, qual seja, a complementação dos cadastros públicos da Administração Pública, conforme o art. 9º, § 2º, da LGPD^[3].

Isso porque o ordenamento jurídico pátrio, em especial o direito fundamental à proteção dos dados pessoais e a LGPD, não autorizam o livre acesso a dados pessoais da população pela Administração Pública ao arrepio da finalidade para a qual foi dado o consentimento para coleta desses dados. No entanto, isso não inviabiliza de todo a possibilidade de que seja firmado um convênio para compartilhamento desses dados, sendo necessário nesse caso que os titulares dos dados pessoais deem novo consentimento que abranja a finalidade almejada pela Administração Pública.

REFERÊNCIAS

CONGRESSO NACIONAL. Lei Federal nº 13.709/2018. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: 30/11/2023.

CONGRESSO NACIONAL. Lei Federal nº 8.078/1990. Disponível em: <https://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm>. Acesso em: 30/11/2023.

SUPREMO TRIBUNAL FEDERAL. Ação Direta de Inconstitucionalidade nº 6649. Tribunal Pleno. Min. Rel. Gilmar Mendes. DJE 26/09/2022.