A promulgação da Lei Geral de Proteção de Dados Pessoais (LGPD) brasileira, no ano de 2018, abriu espaço para diversas discussões sobre a temática de proteção dos dados ou informações pessoais. Entre tais discussões, uma das principais reside na possível relação da LGPD com a já existente Lei de Acesso à Informação (LAI).

No que tange à citada lei de acesso, cabe pontuar que através do Decreto n º 9.690, de 23 de janeiro de 2019, sancionado pelo Vice-Presidente da República, Antônio Hamilton Martins Mourão, no cargo de Presidente da República, sofreu alterações. Este decreto delegava competência de classificação da informação pública no grau de sigilo ultrassecreto a “[...] ocupantes de cargos em comissão do Grupo-DAS de nível 101.6 ou superior, ou de hierarquia equivalente, e para os dirigentes máximos de autarquias, de fundações, de empresas públicas e de sociedades de economia mista [...]” (BRASIL, 2019a, não paginado).

A medida de delegação de competência no decreto foi criticada pela sociedade por figurar uma possibilidade de não transparência nas informações públicas, a principal frente da Lei de Acesso à Informação. Todavia, através do Decreto nº 9.716, de 26 de fevereiro de 2019, o Presidente da República, Jair Messias Bolsonaro, revoga tal medida versada pelo decreto do mês anterior.

Nesse sentido, é fundamental esclarecermos que o acesso à informação sob tutela da administração pública está ligado diretamente ao Estado Democrático de Direito, tendo em vista a possibilidade de proporcionar aos cidadãos a participação ativa na sociedade. Assim, é dever do Estado fornecer mecanismos que facilitem, de forma eficiente, esse acesso. Diante disso, diferentes administrações públicas ao redor do mundo, como, por exemplo, o Reino Unido, vêm criando normativas que visam promover condições explícitas para o acesso à informação pública. Nessa linha de pensamento, o Brasil, através da Lei nº 12.527, de 18 de novembro de 2011, popularmente conhecida como a já citada Lei de Acesso à Informação, se insere.

Entretanto, para além do acesso, fez-se necessário pensar uma maneira de proteger os dados pessoais de cidadãos, já que a facilidade do acesso e da disseminação de informações pode resultar no vazamento e uso indevido desses dados, como revelado por uma investigação divulgada na mídia brasileira que constatou um grande esquema de venda de dados pessoais extraídos das bases de dados do Instituto Nacional do Seguro Social (INSS), das Forças Armadas e do Serviço Federal brasileiro.

A investigação e denúncia, veiculadas no mês de abril do ano de 2019, apontam uma série de sistemas e bases de dados online que armazenam dados e informações pessoais, tais como “[...] número de telefones, celulares ou fixos, CPF, RG, endereços, dados bancários, salário e ainda informações de parentes.” (BANDNEWS FM, 2019, não paginado), que são vendidos, principalmente, para o mercado de callcenter formado por empresas de telemarketing.

Baseado também em casos como o citado acima, que são alvo de investigação pela Polícia Federal brasileira desde o ano de 2018, por meio da operação denominada “Data Leak”, e, a exemplo de outros países, o Brasil sancionou, durante o governo do Presidente Michel Temer, a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais.

Portanto, o presente artigo tem como objetivo investigar a questão do acesso aos documentos de arquivo de caráter público que registram dados ou informações pessoais, a partir da análise da Lei Geral de Proteção de Dados Pessoais e da Lei de Acesso à Informação.

Como procedimento metodológico, utilizamos a análise documental da LGPD e da LAI em caráter investigativo e crítico, de modo que foi possível identificar como o acesso aos documentos de arquivo de caráter público, portadores de dados pessoais, é abordado em cada uma destas leis. A análise proposta permitiu confrontar, relacionar e mapear o cenário legal que envolve o acesso aos documentos, contribuindo assim para uma discussão acerca do tema.

O acesso à informação sob a guarda da administração pública é um direito inerente à democracia. Assim, é dever do Estado atender de forma eficiente as solicitações informacionais dos cidadãos.

Esse direito possui vantagens para a sociedade e para o Estado, de modo que traz diversos benefícios, tais como: prevenção da corrupção, respeito aos direitos fundamentais, fortalecimento da democracia, melhoria da gestão pública e melhoria do processo decisório (CONTROLADORIA GERAL DA UNIÃO, 2013).

Nessa perspectiva, questões sobre o acesso à informação vêm sendo debatidas ao redor do mundo e ao longo do tempo, resultando na necessidade de legislação específica que estabeleça regras nesse sentido.

Apesar de diferenças nas legislações de cada país, as diretrizes buscam atender aos seguintes preceitos: máxima divulgação, publicização de informações, promoção de um governo aberto, limitação das exceções, procedimentos que facilitem o acesso e moderação dos custos (CONTROLADORIA GERAL DA UNIÃO, 2013).

Do ponto de vista do cenário internacional, a noção de “liberdade de informação” foi reconhecida pela Organização das Nações Unidas (ONU), pela primeira vez, em 1946, ao adotar a Resolução 59 (1) que afirmara que o direito à liberdade de informação é primordial (MENDEL, 2009). Segundo Mendel (2009), a Assembleia Geral da ONU, em 1948, adotou a Declaração Universal dos Direitos Humanos que, em seu artigo 19, propõe: “Todo o indivíduo tem direito à liberdade de opinião e de expressão, o que implica o direito de não ser inquietado pelas suas opiniões e o de procurar, receber e difundir, sem consideração de fronteiras, informações e ideias por qualquer meio de expressão.” (UNITED NATIONS HUMAN RIGHTS, 1948, não paginado).

Em 1966, a Assembleia Geral da ONU adotou, com força de lei, o Pacto Internacional de Direitos Civis e Políticos, e, em julho de 2007, este foi ratificado por 160 países. Também em seu artigo 19, o Pacto garante a liberdade de procurar, receber e expandir informações e ideias de toda espécie (MENDEL, 2009).

Além da Declaração e do Tratado supracitados, o Brasil adotou outros atos internacionais referentes ao direito fundamental de acesso à informação, tais como: a Declaração Interamericana de Princípios de Liberdade de Expressão, promulgada em 2000 e a Convenção das Nações Unidas contra a Corrupção, promulgada em 2003 (CONTROLADORIA GERAL DA UNIÃO, 2013).

Além do reconhecimento internacional do direito de acesso à informação como fundamental e conceito-chave para um Estado Democrático de Direito, outros fatores levaram ao crescimento de legislações que versam sobre esse direito, como, por exemplo, a redemocratização de vários países, além do desenvolvimento de novas tecnologias que mudaram a relação entre a informação e seu uso pelos cidadãos.

Em um Estado Democrático de Direito, o acesso à informação é essencial para garantir a transparência e a cidadania e é dever desse dar subsídios que garantam esse acesso, sendo a publicização da informação uma regra e o sigilo, exceção.

No Brasil, após o regime civil militar (1964-1985) e com a redemocratização, promulgou-se a Constituição da República Federativa do Brasil em 1988, onde o direito à informação foi previsto no Título I - Dos Direitos e Garantias Fundamentais, Capítulo I – Dos Direitos e Deveres Individuais e Coletivos, art. 5º:

Art. 5º. Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
[...]
XIV - é assegurado a todos o acesso à informação e resguardado o sigilo da fonte, quando necessário ao exercício profissional;
[...]
XXXIII - todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, que serão prestadas no prazo da lei, sob pena de responsabilidade, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado (BRASIL, 2016, p. 13-14, grifo nosso).

A partir da promulgação da Constituição da República Federativa do Brasil de 1988, leis, decretos e portarias foram publicados sobre o acesso à informação pública, tais como: Lei nº 9.507/1997, que regulamenta o rito processual do habeas corpus; Lei nº 9.784/1999, que regulamenta o processo administrativo; Lei nº 10.520/2002, que criou os pregões presencial e eletrônico; Decreto nº 6.170/2007, que criou o SICONV - Sistema de Gestão de Convênios e Contratos de Repasse e o Decreto nº 6.370/2008, que criou o cartão de pagamento do Governo Federal e extinguiu o fim das contas tipo “B” - suprimento de fundos (CONTROLADORIA GERAL DA UNIÃO, 2013).

Entretanto, até a promulgação da Lei nº 12.527, em 18 de novembro de 2011, a Lei de Acesso à Informação (LAI), não havia dispositivo legal que normatizasse explicitamente as condições para acesso às informações produzidas ou detidas pelo Estado.

A promulgação da Lei nº 12.527 propiciou condições para que os cidadãos possam buscar e acessar informações produzidas pela administração pública brasileira. Entretanto, o caminho pelo qual se deu a institucionalização do direito à informação pública foi longo. Segundo Jardim:

Desde 2009, quando o Poder Executivo remeteu à Câmara dos Deputados o projeto de lei 5228/2009 com o objetivo de regulamentar o acesso às informações públicas, ficou evidente a centralidade dos arquivos públicos e, sobretudo, da gestão da informação arquivística para a viabilização da proposta após a sua aprovação. Durante o período em que o projeto tramitou na Câmara e, posteriormente, no Senado, essas características foram reiteradas, embora talvez insuficientemente. A comunidade arquivística, de forma geral, pouco participou desse processo pelas suas associações profissionais e instituições arquivísticas (JARDIM, 2013, p. 385).

Porém, somente em 18 de novembro de 2011, a lei foi sancionada pela então Presidenta da República Dilma Rousseff, reafirmando que “[...] o direito à informação é uma garantia constitucional e sua efetivação pressupõe a participação ativa do cidadão no Estado Democrático de Direito.” (BARROS; RODRIGUES, 2017, p. 294).

A LAI entrou em vigor em 16 de maio de 2012 tornando-se, assim, um mecanismo que permite que o cidadão participe ativamente da esfera pública, de modo que possibilita a luta contra corrupção e o fortalecimento da democracia. A partir do Decreto nº 7.724 de 2012, a LAI foi regulamentada (CONTROLADORIA GERAL DA UNIÃO, 2013).

É importante destacar que a LAI possui princípios e diretrizes orientadores, que garantem sua efetivação:

I. Princípio da publicidade máxima: a abrangência do direito à informação deve ser ampla no tocante ao espectro de informações e órgãos envolvidos, bem como quanto aos indivíduos que poderão reivindicar esse direito;
2. Princípio da transparência ativa e a obrigação de publicar: os órgãos públicos têm a obrigação de publicar informações de interesse público, não basta atender apenas aos pedidos de informação. O ideal é que a quantidade de informações disponibilizadas proativamente aumente com o passar do tempo;
3. Princípio da abertura de dados: estímulo à disponibilização de dados em formato aberto;
4. Princípio da promoção de um governo aberto: os órgãos públicos precisam estimular a superação da cultura do sigilo e promover ativamente uma cultura de acesso;
5. Princípio da criação de procedimentos que facilitem o acesso: os pedidos de informação devem ser processados mediante procedimentos ágeis, de forma transparente e em linguagem de fácil compreensão, com a possibilidade de apresentação de recurso em caso de negativa da informação. (CONTROLADORIA GERAL DA UNIÃO, 2013, p. 13-14).

Através desses princípios e diretrizes, pode-se afirmar que a LAI é um marco para legislação brasileira, uma vez que fornece os meios necessários para que os cidadãos possam exercer o direito ao acesso à informação, respaldando-se sempre no acesso como regra.

As novas tecnologias de informação e suas ferramentas permitem que informações sejam produzidas e disseminadas em tempo cada vez menor e globalmente, e com os dados pessoais isso não é diferente. Entretanto, por conter informações que podem ferir a intimidade e honra do titular desses dados, que são os cidadãos, existe a preocupação, cada vez maior, de criar mecanismos para protegê-los. Assim, instrumentos legais foram e estão sendo criados para resguardar os dados pessoais. Alguns exemplos serão demonstrados abaixo.

A OECD é uma organização composta por 36 países que busca promover a prosperidade e o combate à pobreza por meio de crescimento econômico e estabilidade financeira. Oficialmente, foi criada em 30 de setembro de 1961, após a assinatura da nova Convenção da Organização para Cooperação Econômica Europeia (OCDE) em 14 de dezembro de 1960 (ORGANISATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT, 2018).

A Organização, no âmbito dos países membros, estabeleceu diretrizes, chamadas de Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, que entraram em vigor em 23 de novembro de 1980. Essas diretrizes têm como objetivo limitar o acesso aos dados pessoais, tanto nos setores públicos quanto privados, de modo que esses só podiam ser acessados legalmente, de preferência com o consentimento do titular (MORGADO, 2009).

A União Europeia promoveu, através do Parlamento Europeu e do Conselho da União Europeia, a Diretiva nº 95/45/EC de 24 de outubro de 1995 (MORGADO, 2009). Esse documento estabeleceu diretrizes para uniformização de tratamento de dados pessoais pelos Estados-membros. Em essência, estipulava que:

[...] os sistemas de processamento de dados pessoais são criados para servir ao homem e devem respeitar seus direitos individuais e sua liberdade. Esse processamento deve ser legal e justo aos indivíduos. Os dados pessoais processados devem ser adequados, relevantes e não excessivos para os propósitos a que se destinam, que devem ser explícitos e legítimos, e determinados ao tempo da coleta das informações. Para que o processamento de dados seja legal, deve, ainda mais, ser feito com o consentimento do indivíduo ou ser necessário para algumas atividades especificadas, como para o desempenho de uma tarefa de interesse público. (MORGADO, 2009, não paginado).

Assim, os dados pessoais não devem ser armazenados por mais tempo que o necessário, além da proibição do processamento de dados, com exceções, que revelem origem racial ou étnica, posições políticas, crenças religiosas e filosóficas, associação a sindicato, estado de saúde e estilo de vida sexual.

No Reino Unido foi promulgado o Ato de Proteção de Dados (Data Protection Act 1998) em 16 de julho de 1998 (MORGADO, 2009). Esse ato estabeleceu as condições para o processamento de dados pessoais, sendo que estes:

[...] devem ser obtidos para um ou mais propósitos especificados e legais e não devem ser processados de maneira incompatível com esses propósitos; os dados pessoais devem ser adequados, relevantes e não excessivos em relação aos propósitos para os quais eles são processados; devem ser precisos e mantidos atualizados; não devem ser guardados por tempo maior que o necessário; devem ser processados de acordo os direitos pessoais dos indivíduos; devem ser adotadas medidas técnicas e organizacionais para impedir acesso não autorizado, processamento ilegal, perda acidental, destruição ou dano aos dados; e os dados pessoais não devem ser transferidos para fora da Área Econômica Europeia, a não ser sob garantia de adequado nível de proteção aos direitos e liberdades dos indivíduos detentores. (MORGADO, 2009, não paginado).

Além disso, existe uma entidade que controla o processamento de dados, a Data Protection Commissioner, que tem como função supervisionar as atividades referentes ao processamento de dados.

Diante da necessidade de uma lei que abordasse a proteção de dados pessoais de modo a protegê-los, o governo brasileiro, pela figura do então Presidente da República, Michel Temer, sancionou a Lei nº 13.709, de 14 de agosto de 2018, conhecida por Lei Geral de Proteção de Dados Pessoais (LGPD).

Até então, o Brasil não contava com legislação específica que abordasse a questão de proteção de dados pessoais. Entretanto, a Constituição de 1988, no artigo 5º, inciso X, estipula que:

Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:
[...]
X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação. (BRASIL, 2016, p. 13).

Além da Constituição, a Lei nº 10.406, de 10 de janeiro de 2002, que estabelece o Código Civil, apresenta em seu artigo 21 que “A vida privada da pessoa natural é inviolável, e o juiz, a requerimento do interessado, adotará as providências necessárias para impedir ou fazer cessar ato contrário a esta norma.” (BRASIL, 2002, não paginado).

Em 2014, entrou em vigor a Lei nº 12.965, de 23 de abril de 2014, o Marco Civil da Internet que estipula os princípios, garantias, direitos e deveres do uso da internet no Brasil. O artigo 11 trata da proteção de dados pessoais ao afirmar que:

Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros. (BRASIL, 2014, não paginado).

Observa-se que, apesar de normativas que contêm a proteção de dados pessoais em seu conteúdo, a forma que essa proteção é apresentada ainda era tímida. Assim, uma legislação que estabelecesse condições específicas para a proteção de dados pessoais era necessária, de modo que em agosto de 2018 foi sancionada, com vetos, pelo Presidente Michel Temer, a já citada Lei nº 13.709.

A LGPD tem origem no Projeto de Lei da Câmara dos Deputados, o PLC 53/2018, cuja iniciativa deu-se pelo Deputado Federal Milton Monti (PR/SP). Esse projeto foi aprovado em julho de 2018, por unanimidade e em regime de urgência, pelo Plenário do Senado. do Senado.

A lei foi pensada, principalmente, por causa do vazamento de dados de usuários do Facebook, coletadas pela empresa Cambridge Analytica e usados nas eleições presidenciais dos Estados Unidos em 2016 (SENADO FEDERAL, 2018).

O texto da lei traz garantia, aos cidadãos, de maior controle sobre suas informações pessoais, além de exigir o consentimento explícito do titular para a coleta e uso dos dados. Além disso, permite que o titular possa visualizar, corrigir e excluir os dados pessoais. Também abarca empresas com sede no exterior, desde que o tratamento de dados seja realizado em território nacional (SENADO FEDERAL, 2018).

Em 14 de agosto de 2018, Michel Temer sancionou a LGPD, que entraria em vigor em fevereiro de 2020. Entretanto, o presidente vetou algumas propostas, tais como a criação da Autoridade Nacional de Proteção de Dados,

[...] depois de consultar os ministérios da Justiça; da Fazenda; da Transparência, Fiscalização e Controladoria-Geral da União; do Planejamento, Desenvolvimento e Gestão; da Segurança Pública; da Ciência, Tecnologia, Inovações e Comunicações; e o Banco Central. A ANPD seria vinculada ao Ministério da Justiça e teria função de órgão regulador para fiscalizar as normas da nova lei, além de aplicar sanções. (SENADO FEDERAL, 2018, não paginado).

A justificativa alegada foi que a criação de uma Autoridade Nacional de Proteção de Dados acarretaria “[...] inconstitucionalidade do processo legislativo por trazer vício de iniciativa.” (SENADO FEDERAL, 2018, não paginado). Da mesma maneira, também foi vetado o Conselho Nacional de Proteção de Dados Pessoais.

Todavia, a Medida Provisória n. 869, de 27 de dezembro de 2018, assinada ainda durante a gestão de Michel Temer, altera a LGPD. A ementa dessa medida modifica a

Lei nº 13.709, de 2018, para criar, como órgão da administração pública federal, a Autoridade Nacional de Proteção de Dados – ANPD, estabelecendo sua composição e suas competências e garantindo sua autonomia técnica. Altera a Lei nº 13. 502, de 2017, de forma a incluir a ANPD na estrutura da Presidência da República. Promove outras alterações na Lei nº 13. 709, de 2018, para dispor sobre a proteção de dados pessoais (BRASIL, 2018b, não paginado).

Em 1º de janeiro de 2019, o então Presidente da República, Jair Messias Bolsonaro, sancionou essa medida provisória (MP). Dentre a criação da ANPD, a medida ainda exclui da lista de dados pessoais protegidos informações sobre elaboração de políticas públicas, prestação de serviços por órgãos estatais e pesquisa acadêmica. Além disso, o prazo para a LGPD entrar em vigor foi modificado, o que antes era fevereiro de 2020, agora com a MP o prazo se estende por mais dois anos (SENADO FEDERAL, 2019).

O texto da MP foi apreciado e, após avaliação, foi aprovado pela Câmara dos Deputados e Senado Federal, em maio de 2019. Assim, a medida provisória originou a Lei 13.853, de 08 de julho de 2019, que dispõe sobre a proteção de dados e criação da Autoridade Nacional de Proteção de Dados, sancionada pelo presidente Jair Messias Bolsonaro. Essa normativa insere as competências da ANPD, sendo: “[...] zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções em caso de tratamento de dados feito de forma irregular.” (SENADO FEDERAL, 2019, não paginado).

Apesar disso, o texto da lei sofreu vetos. O presidente Jair Messias Bolsonaro vetou o dispositivo que permitia que a ANPD cobrasse os serviços que fossem prestados. Outro veto foi a parte que “[...] proibia o poder público de compartilhar, com outros órgãos públicos ou com pessoas jurídicas de direito privado, os dados pessoais de requerentes que utilizaram a Lei de Acesso à Informação (Lei 12.527, de 2011).” (SENADO FEDERAL, 2019, não paginado). Também foi vetado o dispositivo que ampliava as sanções administrativas aplicadas pela ANPD (SENADO FEDERAL, 2019).

Diante do exposto, vale ressaltar que a LGPD objetiva proporcionar um mecanismo legal, de modo a proteger os cidadãos e seus respectivos dados pessoais, dando condições de controle desses dados. Além de obrigar as entidades no cumprimento do conteúdo da lei, esta aplica sanções caso não seja cumprida. Dessa forma, uma Autoridade Nacional de Proteção de Dados auxiliará no cumprimento e fiscalização do uso de dados pessoais.

Embora escritas e aprovadas em contextos diferentes, a LGPD e a LAI carregam conceitos e definições que, se não exatamente iguais, podem ser relacionados ou até mesmo aproximados.

Nesta seção objetivamos a abordagem relacional entre os principais conceitos presentes em ambas as leis, e que fundamentam o desenvolvimento deste artigo.

A primeira relação possível está nos conceitos “dado pessoal” e “dado pessoal sensível”, contidos na LGPD, e o conceito de “informação pessoal” trazido pela LAI.

A partir da tabela a seguir, podemos visualizar, de forma clara, os conceitos presentes em cada lei e, assim, analisarmos a aproximação entre os mesmos.

Por meio da análise dos conceitos apresentados da tabela acima, observamos que as definições de “dado pessoal” e “informação pessoal” são análogas, sendo possível dizer que essas são sinônimas, principalmente porque “dado pessoal” é conceituado como uma informação.

Com relação ao conceito de “informação pessoal”, a LAI também apresenta que essa informação é relativa à intimidade, vida privada, honra e imagem de uma pessoa natural e, embora não haja na referida lei um conceito possível de ser associado ao de “dado pessoal sensível”, entendemos que sua definição na LGPD abre espaço para o relacionarmos com o conceito de “informação pessoal” da LAI, visto que os dados pessoais de origem racial, convicção religiosa, opinião política, saúde, vida sexual, etc. têm direta ligação com a intimidade, vida privada, honra e imagem das pessoas naturais.

Nessa linha de pensamento, pode-se afirmar que o conceito de “informação pessoal” abordado pela LAI engloba os conceitos de “dado pessoal” e “dado pessoal sensível” da LGPD, sem diferenciação, o que abre espaço para dúvidas em torno do que de fato é uma informação pessoal “comum” e uma informação pessoal relativa à intimidade, vida privada, honra e imagem. Nesse sentido, a LGPD parece preencher essa lacuna ao explicar qual a origem dos dados ou informações de caráter sensível.

A relação entre os conceitos de “banco de dados” e “documento” é necessária quando compreendemos que os dados ou informações pessoais necessariamente precisam ser expressos em um suporte. Dessa forma, a tabela abaixo exprime as definições de tais conceitos em cada uma das leis.

A definição de “banco de dados” da LGPD nos permite entendê-lo como sendo um ou mais documentos, visto que um conjunto estruturado de dados pessoais, estabelecido em um suporte, prontamente nos remete a diversos documentos que possuem esse formato, como uma ficha cadastral de um paciente médico, uma ficha de registro de um empregado ou um formulário de matrícula em uma instituição de ensino.

Comparando a definição de “banco de dados” da LGPD e de “documento” da LAI, podemos estabelecer uma relação de equivalência entre os conceitos, uma vez que ambos se referem a meios de registro de informações ou dados, seja em suporte eletrônico ou em suporte físico.

Os conceitos de “tratamento” da LGPD e de “tratamento da informação” da LAI carregam uma forte relação de analogia quando comparados, conforme podemos observar na tabela a seguir.

A ideia de “tratamento” presente em ambas as definições remete a todo o processo que envolve o trato de um dado ou informação. O que se pode observar é que a operação que envolve o tratamento de dados parece mais ampla que o conjunto de ações que envolvem o tratamento de informações.

A tabela a seguir compara ações de tratamento de dados e informações em cada uma das leis:

A verificação comparativa da tabela acima nos permite afirmar que:

• as ações de: “coleta”, “processamento”, “modificação”, “comunicação”, “transferência”, “difusão” e “extração” expostas na LGPD não são citadas na LAI;
• as ações de: “transporte” e “destinação” presentes na LAI não constam na LGPD;
• e que as ações de: “avaliação” e “controle” entendidas de individualmente na LAI são apresentadas como sinônimo na LGPD na forma de: “avaliação ou controle da informação”.

As constatações apresentadas acima, a partir dos conceitos de “tratamento” e de “tratamento da informação”, nos fazem refletir sobre a possibilidade de estabelecimento de uma aproximação entre as definições desses conceitos, isso porque, ao passo que parecem se tratar de um mesmo conceito, ainda que sendo um a ampliação do outro, parecem também tratar-se de conceitos divergentes, visto que a ausência de ações na definição de um, comparado ao outro, abre espaço para uma dita divergência.

Contudo, para efeitos de desenvolvimento do objetivo deste artigo, entenderemos os conceitos aqui abordados como sinônimos e por nós denominado de “tratamento de dados ou informações pessoais”.

No que diz respeito aos dados ou informações pessoais, é necessário também entender quem a LGPD e a LAI definem como sendo os agentes envolvidos, ou seja, a quem as leis se destinam como forma de regulação.

É importante ressaltar que, enquanto a LGPD se preocupa em definir claramente os agentes envolvidos, a LAI discorre sobre o tema ao longo de seu texto, sem se prender a uma definição, como possui para outros conceitos, conforme pode ser observado na tabela 5.

Ademais, cabe colocar que, como o objeto deste artigo se restringe aos documentos públicos que registram dados pessoais, focaremos aqui no poder público.

A tabela a seguir apresenta as definições de “titular”, “controlador” e “operador”, abordadas pela LGPD e a equivalência dessas na LAI.

Como o foco da LAI é a informação como um todo, não apenas aquela de caráter pessoal, essa lei não se preocupa em definir quem é o titular da informação pessoal, como faz a LGPD. Porém, podemos compreender, a partir do texto da LAI, que uma informação pessoal é aquela que se refere a uma pessoa natural. Para tanto, enquanto a LGPD chama este indivíduo de “titular”, a LAI apenas se refere como “pessoa” ou “pessoa natural”.

Em relação ao agente “controlador” definido pela LGPD, relacionamos o mesmo aos citados “órgãos e entidades do poder público” da LAI, uma vez que serão estes que definirão políticas e decisões para o tratamento de dados ou informações pessoais. Assim, de acordo com a LAI:

Art. 6º. Cabe aos órgãos e entidades do poder público, observadas as normas e procedimentos específicos aplicáveis, assegurar a:
[...]
III - proteção da informação sigilosa e da informação pessoal, observada a sua disponibilidade, autenticidade, integridade e eventual restrição de acesso. (BRASIL, 2011, não paginado, grifo nosso).

Por fim, relaciona-se a figura do agente “operador” da LGPD ao “agente público e militar”, o servidor público, da LAI. De acordo com a LAI:

Art. 32. Constituem condutas ilícitas que ensejam responsabilidade do agente público ou militar:
[...]
IV - divulgar ou permitir a divulgação ou acessar ou permitir acesso indevido à informação sigilosa ou informação pessoal. (BRASIL, 2011, não paginado, grifo nosso).

Desse modo, no contexto em que se insere nosso universo de pesquisa, o “agente público ou militar” é o indivíduo responsável pelo tratamento dos dados ou informações pessoais em documentos de arquivo de caráter público.

Inicialmente, cabe definir que, sendo os dados ou informações pessoais registrados em documentos públicos, compreendemos que tais documentos são produtos de uma ação ou atividade de um órgão ou entidade pública, que envolve uma pessoa natural. Tal definição, então, relaciona-se ao conceito de “documento de arquivo” que, de acordo com Camargo e Bellotto (1996), é aquele que, independentemente da natureza ou do suporte, é reunido em um conjunto documental por acumulação natural ao longo das atividades de pessoas físicas ou jurídicas, públicas ou privadas.

Assim, a abordagem aqui proposta visa analisar como o acesso a documentos de arquivo de caráter público é tratado na LGPD e na LAI. Para tanto, restringiremos o sentido de “tratamento” estabelecido na LGPD e de “tratamento da informação” apresentado na LAI à ação de “acesso”.

Isto posto, através da análise de ambas as leis, foi possível estabelecer seis categorias comuns de condições de acesso [tratamento] aos dados ou informações pessoais, sendo elas:

• CONSENTIMENTO DO TITULAR - se refere ao trecho das leis que abordam o acesso aos dados ou informações pessoais a partir do consentimento do titular ou da pessoa à qual esses dados ou informações se referem;
• JUDICIAL E LEGAL - das condições para acesso ligadas ao cumprimento de ordem judicial, obrigação legal ou ao exercício de direitos;
• INTERESSE PÚBLICO - apresentam-se os trechos das leis que se referem ao uso dos dados ou informações pessoais pela administração pública, ou seja, de interesse público;
• PESQUISA - uso dos dados ou informações pessoais por órgãos de pesquisa na realização de estudos e pesquisas científicas;
• DIREITOS HUMANOS E PROTEÇÃO DA VIDA - da proteção aos direitos humanos e à vida do titular ou de terceiros;
• SAÚDE - trechos relativos ao acesso para a tutela de saúde, diagnóstico e tratamento médico;
• RESTRITO AOS AGENTES - acesso restrito aos interesses dos agentes envolvidos nos dados ou informações pessoais, sendo eles o titular, o controlador [órgãos e entidades do poder público] e o operador [agente público ou militar].

A tabela a seguir ilustra cada uma das categorias e os trechos correspondentes:

Das categorias aqui expostas, debruçaremo-nos principalmente nas de “consentimento do titular”, “pesquisa” e de “restrito aos agentes” como meio de avaliarmos o impacto dessas no acesso aos documentos de arquivo públicos que registram dados ou informações pessoais.

Em relação ao consentimento do titular, tanto a LGPD quanto a LAI autorizam o acesso aos dados ou informações pessoais, desde que consentidos pelo titular ou pessoa à qual se referem. Porém, a LGPD traz um detalhe que pode colocar em questão o acesso a esses dados ou informações, quando trata que:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
[...]
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei [...] (BRASIL, 2018a, não paginado).

A eliminação citada no trecho da lei é a “[...] exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado [...]” (BRASIL, 2018a, não paginado). Contudo, o que a LGPD não deixa claro é se a eliminação deve ser feita a pedido do titular ou pelo controlador apenas com consentimento do titular.

De toda forma, no que diz respeito à eliminação de documentos públicos, é preciso relacionarmos essa afirmativa ao que versa a Lei nº 8.159, de 1991, conhecida como “Lei de arquivos”, ao tratar que “A eliminação de documentos produzidos por instituições públicas e de caráter público será realizada mediante autorização da instituição arquivística pública, na sua específica esfera de competência.” (BRASIL, 1991, não paginado), e, ainda, de acordo com o Código Penal:

Art. 305 - Destruir, suprimir ou ocultar, em benefício próprio ou de outrem, ou em prejuízo alheio, documento público ou particular verdadeiro, de que não podia dispor:
Pena - reclusão, de dois a seis anos, e multa, se o documento é público, e reclusão, de um a cinco anos, e multa, se o documento é particular. (BRASIL, 1940, não paginado).

Assim, há de se considerar que, mesmo com o consentimento do titular, o documento de arquivo de caráter público que registra dados ou informações pessoais só pode, de fato, ser eliminado se estiver de acordo com a legislação que discorre sobre o tema, conforme apresentado acima.

Não obstante, cabe apresentar as hipóteses de exceção na eliminação de dados pessoais previstas na LGPD. De acordo com a referida lei:

Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I - cumprimento de obrigação legal ou regulatória pelo controlador;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. (BRASIL, 2018a, não paginado, grifo nosso).

Por definição, “órgão de pesquisa”, segundo a LGPD, em seu artigo 5º, inciso XVIII, é:

[...] órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico [...] (BRASIL, 2018a, não paginado).

Assim, para que os documentos de arquivo de caráter público que registram dados ou informações pessoais sejam preservados, para fins de pesquisa e estudo, atribui-se aos mesmos um valor de uso diferente daquele pelo qual o documento foi produzido, ou seja, a ação que o gerou.

Para explicar essa concepção, citamos Schellenberg (2006) que, ao tratar sobre a teoria dos valores dos documentos, defende a existência de dois valores: o primeiro diz respeito ao chamado “valor primário”, sendo esse significativo para o próprio órgão ou indivíduo produtor do documento e é, então, inerente à produção de documentos; já o segundo, refere-se ao denominado “valor secundário” que se trata do significado do documento para outros órgãos ou indivíduos, sendo esse um valor atribuído.

No que tange à categoria de “restrição aos agentes”, pode-se considerar que essa se ampara principalmente no referido pela LAI em seu artigo 31, parágrafo 1, inciso I:

§ 1º As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem:
I - terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem. (BRASIL, 2011, não paginado).

É possível relacionar este trecho ao inciso IX do artigo 7° da LGPD, que trata:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
[...]
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. (BRASIL, 2018a, não paginado).

A relação entre os trechos citados acima reside no fato de serem os dados ou informações pessoais exclusivamente de interesse dos agentes envolvidos, que, no que diz respeito aos documentos públicos que registram dados ou informações pessoais, vem a ser o órgão ou entidade do poder público no qual tal documento foi produzido, além do próprio titular dos dados ou informações pessoais.

A inconformidade que surge neste sentido é que se a LAI trata sobre a restrição de acesso pelo prazo máximo de cem anos e a LGPD não, o que prevalece quando falamos do acesso irrestrito a esses documentos públicos?

Por fim, a LGPD cita ainda, em seu artigo 8º, parágrafo 5º, que o titular do dado ou informação pessoal pode revogar o consentimento de acesso a qualquer momento, mediante manifestação expressa. Tal fato, portanto, nos faz questionar sobre o que se deve considerar quando um titular, ou seu familiar, revoga o acesso aos dados ou informações pessoais mesmo após os 100 (cem) anos de produção. Caso o dado ou informação pessoal possa ferir a intimidade, vida privada, honra e imagem do titular, ou dos familiares do mesmo, deve-se, então, restringir o acesso? Ou então, deve-se apenas defender a premissa de que acesso pode ser fornecido desde que vedada a identificação da pessoa à qual os dados ou informações se referem?

As explicitadas definições de “dado pessoal” e “dado pessoal sensível” pela LGPD e “informação pessoal” pela LAI nos permitem inferir que, enquanto a preocupação da primeira tende a abranger os dados pessoais de forma geral, a preocupação da segunda tende a ser mais conservadora e restrita, principalmente por este não ser o único enfoque da LAI.

Os dados ou informações pessoais registrados em documentos de arquivo de caráter público se encontram em um dito “limbo” legislativo para o operador de tratamento destes dados ou informações, muito porque as leis que versam sobre este tema possuem pontos de encontro e desencontro, abrindo espaço para um dúbio entendimento entre o direito de acesso aos documentos públicos e o direito à privacidade da pessoa sobre a qual os dados e informações registrados em documentos públicos se referem.

A abordagem aqui proposta não se compromete a ser definitiva, mas sim subsidiar o diálogo acerca do tema, possibilitando que órgãos ou entidades públicas e os agentes públicos e militares que atuam em arquivos possuam mais um aparato crítico para lidar com a jurisprudência envolvida no tratamento dos documentos que aqui foram referidos.

O que podemos concluir, então, é que o acesso a tais documentos é permitido em qualquer momento apenas diante do consentimento da pessoa (do titular) a(o) qual esses se referem (salvas as exceções expressas no artigo 31, parágrafo 3º, da LAI e no artigo 7° da LGPD). Porém, na forma do que é declarado na LAI, os documentos aqui abordados só podem, de fato, estar completamente acessíveis após 100 (cem) anos de produção. Tal fato, portanto, não se repete na LGPD, onde os documentos que registram dados pessoais nunca poderão estar acessíveis, a não ser pelas hipóteses expressas no já citado artigo 7º da lei.

Desse modo, estamos tratando aqui de um acesso condicional, que deve considerar vários fatores, como a intenção de quem quer acessar tais documentos, o teor dos dados ou informações pessoais registradas nesses documentos e, ainda, qual instrumento legal vai fundamentar o acesso ou a restrição de acesso.

Coordenação de Aperfeiçoamento de Pessoal de Nível Superior - CAPES