Compartilhamento de Dados entre Entes Públicos

O compartilhamento de dados entre entes públicos exige conformidade rigorosa com a LGPD e demanda processos estruturados de due diligence para evitar violações e responsabilizações.

O Cenário Atual do Compartilhamento de Dados no Setor Público

Vivemos em uma era em que a administração pública depende cada vez mais do fluxo de informações entre seus diversos órgãos e entidades. Quando analisa-se o funcionamento de políticas públicas no Brasil, percebe-se que programas de saúde, assistência social, previdência e fiscalização tributária dependem do acesso cruzado a bases de dados mantidas por diferentes entes federativos. Esse intercâmbio de informações, embora necessário para a eficiência administrativa, carrega riscos substanciais quando não é conduzido dentro de parâmetros legais claros.

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) trouxe um marco regulatório que impacta diretamente a forma como União, estados e municípios compartilham dados entre si. Antes da LGPD, o compartilhamento entre entes públicos frequentemente ocorria de maneira informal, por meio de convênios genéricos ou simples solicitações administrativas. Com a vigência plena da lei, verifica-se que essa prática precisou ser inteiramente reformulada, passando a exigir bases legais específicas, finalidades determinadas e mecanismos de proteção adequados.

O conceito de due diligence aplicado a dados, que já era consolidado no setor privado, ganhou relevância no contexto público. Trata-se de um processo sistemático de verificação e avaliação que busca garantir que o compartilhamento de dados pessoais entre entes públicos atenda a todos os requisitos legais, técnicos e operacionais exigidos pela legislação vigente. Quando conduzimos uma due diligence de dados no setor público, avalia-se não apenas a conformidade legal, mas também a segurança da informação, a qualidade dos dados e a capacidade institucional dos envolvidos.

Esse assunto tem relação direta com auditoria de proteção de dados, tema que aborda-se em artigo específico.

Esse assunto tem relação direta com dados abertos e proteção de dados, tema que aborda-se em artigo específico.

Bases Legais e Requisitos para o Compartilhamento entre Entes Públicos

Ao examinarmos o arcabouço normativo que regula o compartilhamento de dados entre entes públicos, identifica-se que a LGPD estabelece regras específicas nos artigos 23 a 30. O artigo 26 da lei é particularmente relevante, pois determina que o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas. A norma é clara ao vedar o compartilhamento com entidades privadas, salvo exceções expressamente previstas.

A due diligence de dados no setor público não é mera formalidade burocrática, mas sim um mecanismo essencial para garantir que o compartilhamento de informações entre entes públicos respeite os direitos fundamentais dos cidadãos.

Na prática, verifica-se que o compartilhamento legítimo entre entes públicos exige o cumprimento simultâneo de diversos requisitos. Primeiro, deve haver uma finalidade pública claramente definida, vinculada às competências legais do órgão solicitante. Segundo, o tratamento deve ser limitado ao mínimo necessário para alcançar essa finalidade, respeitando o princípio da minimização de dados. Terceiro, o órgão que compartilha os dados deve manter registro das operações de tratamento, conforme exigido pelo artigo 37 da LGPD.

Além da LGPD, outros diplomas normativos influenciam esse compartilhamento. O Decreto nº 10.046/2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal, estabeleceu o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados. Esse decreto criou categorias de compartilhamento (amplo, restrito e específico) conforme a sensibilidade dos dados envolvidos. Quando realiza-se a due diligence, é necessário classificar corretamente os dados em cada uma dessas categorias para definir o procedimento adequado.

O Papel do Encarregado de Dados (DPO) nos Entes Públicos

Cada órgão público que participa de operações de compartilhamento deve ter designado seu encarregado pelo tratamento de dados pessoais, conforme o artigo 23, inciso III, da LGPD. Esse profissional desempenha papel central na due diligence, pois é responsável por avaliar a conformidade das operações de compartilhamento, orientar os servidores sobre as práticas adequadas e servir como canal de comunicação com a Autoridade Nacional de Proteção de Dados (ANPD). Observa-se que muitos entes públicos ainda não estruturaram adequadamente essa função, o que representa um risco significativo nas operações de compartilhamento.

Convênios e Acordos de Cooperação Técnica

O instrumento jurídico que formaliza o compartilhamento entre entes públicos merece atenção especial na due diligence. Analisa-se que convênios, acordos de cooperação técnica e termos de uso são os veículos mais comuns para essa finalidade. Esses instrumentos devem conter cláusulas específicas sobre a finalidade do compartilhamento, os tipos de dados envolvidos, as medidas de segurança adotadas, os prazos de retenção, as responsabilidades de cada parte e os procedimentos em caso de incidentes de segurança. A ausência de qualquer desses elementos pode comprometer a validade jurídica do compartilhamento.

Metodologia de Due Diligence para Compartilhamento de Dados Públicos

Quando estruturamos um processo de due diligence voltado ao compartilhamento de dados entre entes públicos, seguimos etapas metodológicas que garantem uma avaliação completa dos riscos e da conformidade. A primeira etapa consiste no mapeamento dos fluxos de dados, identificando quais informações pessoais serão compartilhadas, sua origem, seu destino, os sistemas envolvidos e os responsáveis em cada ponta da operação. Esse mapeamento é fundamental porque permite visualizar o ciclo completo dos dados e identificar pontos de vulnerabilidade.

A segunda etapa envolve a análise da base legal aplicável. Verifica-se se o compartilhamento pretendido encontra amparo em alguma das hipóteses previstas na LGPD, especialmente no artigo 7º (para dados pessoais comuns) e no artigo 11 (para dados pessoais sensíveis). No caso de entes públicos, as bases legais mais frequentemente aplicáveis são a execução de políticas públicas (artigo 7º, inciso III), o cumprimento de obrigação legal ou regulatória (artigo 7º, inciso II) e a tutela da saúde (artigo 7º, inciso VIII). Cada base legal carrega exigências específicas que precisam ser integralmente atendidas.

A terceira etapa diz respeito à avaliação de impacto à proteção de dados pessoais, conhecida pela sigla RIPD (Relatório de Impacto à Proteção de Dados). Embora a ANPD ainda não tenha regulamentado de forma definitiva a obrigatoriedade do RIPD para todas as operações de compartilhamento entre entes públicos, considera-se uma boa prática a sua elaboração sempre que houver tratamento de dados sensíveis, tratamento em larga escala ou quando o compartilhamento envolver dados de populações vulneráveis, como beneficiários de programas sociais ou segurados do INSS.

Avaliação de Segurança da Informação

Um componente crítico da due diligence é a avaliação das medidas de segurança da informação adotadas pelos entes envolvidos no compartilhamento. Verifica-se se existem políticas de segurança formalizadas, controles de acesso adequados, criptografia em trânsito e em repouso, logs de auditoria, procedimentos de resposta a incidentes e planos de continuidade. A disparidade no nível de maturidade em segurança da informação entre diferentes órgãos públicos é um desafio recorrente que identifica-se na prática. Um ente com controles robustos pode ter seus dados comprometidos ao compartilhá-los com outro que não possui o mesmo nível de proteção.

Governança e Monitoramento Contínuo

A due diligence não se encerra com a formalização do compartilhamento. Implementa-se mecanismos de monitoramento contínuo que permitem verificar se as condições inicialmente avaliadas permanecem válidas ao longo do tempo. Isso inclui auditorias periódicas, revisão dos acessos concedidos, atualização dos instrumentos jurídicos quando necessário e acompanhamento de eventuais mudanças legislativas ou regulatórias que possam impactar o compartilhamento. A ANPD tem emitido orientações e guias que devem ser incorporados a esse monitoramento contínuo.

Riscos e Responsabilidades no Compartilhamento Inadequado

Quando analisa-se os riscos associados ao compartilhamento de dados entre entes públicos sem a devida due diligence, identifica-se consequências em múltiplas dimensões. Na esfera administrativa, a LGPD prevê sanções que vão desde advertências até a publicização da infração, passando pelo bloqueio e eliminação dos dados pessoais envolvidos. Embora a aplicação de multas pecuniárias à administração pública direta tenha particularidades, a ANPD já demonstrou disposição em responsabilizar entes públicos por irregularidades no tratamento de dados.

Na esfera judicial, o compartilhamento irregular de dados pode gerar responsabilidade civil do Estado, com a obrigação de indenizar os titulares prejudicados. O artigo 42 da LGPD estabelece que o controlador ou operador que causar dano patrimonial, moral, individual ou coletivo em razão do exercício de atividade de tratamento de dados é obrigado a repará-lo. Verifica-se que ações coletivas movidas pelo Ministério Público e por organizações da sociedade civil têm sido cada vez mais frequentes nessa seara.

Há também o risco reputacional, que embora menos tangível, pode comprometer significativamente a confiança dos cidadãos nos serviços públicos digitais. Quando um incidente de segurança decorrente de compartilhamento inadequado vem a público, o impacto na credibilidade institucional pode ser duradouro. Analisa-se casos em que vazamentos de dados de beneficiários de programas sociais geraram exposição indevida de informações sensíveis, como condições de saúde e situação socioeconômica, causando constrangimento e discriminação.

Do ponto de vista do servidor público envolvido, o compartilhamento irregular de dados pode configurar infração disciplinar e, em casos mais graves, ilícito penal. A Lei de Acesso à Informação (Lei nº 12.527/2011) já previa sanções para o acesso ou divulgação indevida de informações sigilosas, e a LGPD reforçou esse arcabouço de responsabilização individual.

Boas Práticas e Recomendações para a Conformidade

Com base em experiência da área na análise de operações de compartilhamento de dados entre entes públicos, consolida-se um conjunto de boas práticas que contribuem significativamente para a conformidade. A primeira recomendação é a criação de um inventário centralizado de todos os compartilhamentos de dados em que o órgão participa, seja como fornecedor ou como receptor. Esse inventário deve ser mantido atualizado e deve conter informações sobre a base legal utilizada, os dados envolvidos, os prazos e os responsáveis.

Recomenda-se também a padronização dos instrumentos jurídicos utilizados para formalizar o compartilhamento. Modelos de convênios e acordos de cooperação técnica que já contemplem as exigências da LGPD facilitam a análise jurídica e reduzem o risco de omissões relevantes. Esses modelos devem ser revisados periodicamente para incorporar novas orientações da ANPD e eventuais alterações legislativas.

A capacitação dos servidores que operam os sistemas e que têm acesso aos dados compartilhados é outro pilar fundamental. Verifica-se que muitos incidentes de segurança decorrem de falhas humanas, como o envio de dados por canais inseguros, a concessão de acessos excessivos ou a ausência de procedimentos para descarte seguro. Programas de treinamento regulares, aliados a uma cultura organizacional de proteção de dados, são investimentos que geram retorno significativo em termos de redução de riscos.

Por fim, cabe destacar a importância de estabelecer canais de comunicação eficientes entre os encarregados de dados dos diferentes entes envolvidos no compartilhamento. Essa comunicação facilita a gestão de incidentes, a atualização de procedimentos e a resolução de dúvidas operacionais. Em um cenário de crescente digitalização dos serviços públicos, a cooperação entre os profissionais responsáveis pela proteção de dados torna-se cada vez mais relevante para garantir que o compartilhamento de informações entre entes públicos cumpra sua finalidade sem comprometer os direitos dos cidadãos.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.