Maria Gabriela de Assis Souza*
1 – A Portaria RFB nº 167/2022, de 19 de abril de 2022, a Nota Técnica n. 68/2022/CGF/ANPD e o tratamento de dados
Em 22/08/2022, a Autoridade Nacional de Proteção de Dados – ANPD divulgou a Nota Técnica n. 68/2022/CGF/ANPD, que conclui a análise sobre o tratamento de dados entre a Receita Federal e o Serviço Federal de Processamento de Dados (SERPRO).
Foi objeto de análise a Portaria RFB nº 167/2022, de 19 de abril de 2022, que autoriza o SERPRO a disponibilizar acesso, para terceiros, dos dados e informações da Receita Federal.
Ao tomar conhecimento da referida Portaria, a ANPD solicitou informações e esclarecimentos à Receita Federal, tendo em vista tratar-se de norma envolvendo, em parte, regras sobre disponibilização de acesso a dados pessoais, tema que necessita de avaliação à luz da Lei 13.709/2018 (LGPD – Lei Geral de Proteção de Dados Pessoais) e se sujeita a fiscalização da ANPD, a quem compete zelar pelo cumprimento das diretrizes de proteção de dados instituídas pela LGPD.
Em resumo, de acordo com a Nota Técnica indicada, a Receita Federal comunicou que a Portaria analisada trata de fornecimento automatizado de informações que já são públicas, tais como: CPF, CNPJ e certidão negativa. Ressaltou, ainda, que outras informações restritas somente são acessadas mediante procuração ou um perfil de acesso específico ao sistema.
Diante dos esclarecimentos, justificativas e documentos apresentados pela Receita, especialmente o Relatório de Impacto à Proteção de Dados, a ANPD concluiu que o objeto da Portaria RFB nº 167/2022 “é fornecer os instrumentos necessários para o acesso já existente a dados que já eram, em sua maioria, dados públicos por força de normativos e de políticas públicas, como informações sobre CPF, CNPJ e certidão negativa de débitos.”, não existindo incompatibilidade com a LGPD.
A Portaria RFB nº 167/2022 foi considerada adequada pela Autoridade, por referir-se a dados pessoais que estão inseridos em políticas públicas e que possuem finalidade definida, contemplando equilíbrio entre a aplicação da LGPD e as demais normas que regulamentam as atividades da Receita Federal.
2 – Diferenciação entre o direito de privacidade e o direito de proteção de dados no processamento de dados
Em sua análise, a Nota Técnica apresentou interessante e pertinente diferenciação entre o direito de privacidade e o direito de proteção de dados, explicando no item 5.19 que a privacidade está relacionada ao sigilo, enquanto a proteção de dados está relacionada ao uso adequado das informações pessoais, nos termos da Lei:
5.19. Importante esclarecer, igualmente, a diferença entre privacidade e proteção de dados. Tais termos operam, inicialmente, em uma lógica diversa, uma vez que a privacidade é um direito negativo do cidadão, ou seja, é o direito que o cidadão possui de manter sua vida privada em sigilo. Já a proteção de dados é um direito positivo, que importa na circulação de tais dados de maneira apropriada, garantindo que o titular dos dados saiba quais dados serão utilizados, com qual finalidade e por quanto tempo. Nessa senda, conforme disposto na legislação, a LGPD carrega em sua espinha dorsal a proteção de dados pessoais.
Essa diferenciação foi importante para conhecermos o entendimento da Autoridade sobre os conceitos aplicados, no sentido de que os dados referenciados na Portaria RFB 167/2022 estão no campo da proteção de dados pessoais, e não da privacidade.
A LGPD incide no caso não para tornar aqueles dados sigilosos, pois não são de natureza fiscal, mas para serem acessados mediante tratamento de dados apropriado e em consonância com os princípios e regras da proteção dos dados.
A Nota Técnica concluiu que a disponibilização realizada pela Receita mostra-se justificada pelo interesse público e cumprimento de normativos próprios, ou seja, é possível e autorizado o tratamento de dados em conformidade com a LGPD, diante da justa necessidade e finalidade verificadas.
3 – Conclusão
A Nota Técnica reforça a premissa de que a LGPD não anula ou substitui qualquer outra norma, possuindo matéria diversa e que deve ser observada em consonância com as demais normas que possam regulamentar tecnicamente e especificamente a atividade de tratamento de qualquer entidade, incluindo os órgãos públicos, como a Receita Federal.
Sobre isso, há na LGPD disposições para a aplicação das regras de proteção de dados pelo Poder Público, como por exemplo, a previsão de que o tratamento de dados “deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público” (artigo 23).
Todas as pessoas jurídicas, de direito público ou privado, devem realizar o tratamento de dados pessoais de acordo com as regras da LGPD, garantindo a aplicação de medidas adequadas para promover a proteção dos dados pessoais que tratam. Além disso, submetem-se à fiscalização da ANPD.
Maria Gabriela de Assis Souza: Profissional de Privacidade e Proteção de Dados Pessoais, atuando na implementação de projetos de adequação à LGPD, consultorias e treinamentos. Advogada sócia do Escritório José Edilson Advogados Associados, com mais de 14 anos de experiência na advocacia empresarial cível e trabalhista. Possui experiência como docente na educação superior. Possui as seguintes titulações: Especialista em Advocacia no Direito Digital e Proteção de Dados; Especialista em Direito Empresarial; Especialista em Direito Médico e da Saúde; Especialista em Advocacia Trabalhista; Especialista em Docência no Ensino Superior; Mestre em Educação.
