Dados Abertos, Transparência e LGPD no Setor Público A capacidade de gerar, armazenar, processar e compartilhar dados é um dos ativos mais estratégicos do Estado contemporâneo. A digitalização dos serviços públicos produziu um volume inédito de informações sobre cidadãos, empresas, territórios e políticas públicas, cuja gestão é regida por dois princípios que, embora complementares em sua finalidade última de servir ao interesse público, frequentemente se encontram em tensão: a transparência, que impulsiona a abertura e a publicidade dos dados governamentais, e a privacidade, que impõe limites e salvaguardas ao tratamento de dados pessoais. O equilíbrio entre esses dois vetores é um dos grandes desafios da governança pública contemporânea e tema de frequente cobrança em concursos de alto nível. Dados Abertos Governamentais: Conceito, Princípios e Marco Normativo 1.1. Definição e os Oito Princípios de Sebastopol Dados abertos (open data) são dados publicados na internet, em formato acessível e processável por máquina, sob licença livre, que permite sua reutilização, redistribuição e combinação com outras fontes por qualquer pessoa, para qualquer finalidade. O conceito foi sistematizado em 2007, quando um grupo de especialistas reunidos em Sebastopol, Califórnia, formulou os oito princípios dos dados abertos governamentais: Completos: todos os dados públicos devem estar disponíveis, exceto aqueles sujeitos a restrições legítimas de privacidade, segurança ou privilégio. Primários: os dados devem ser publicados na fonte, com o maior grau de granularidade possível, sem agregação ou modificação. Oportunos (atuais): devem ser disponibilizados tão rapidamente quanto possível para preservar seu valor. Acessíveis: devem estar disponíveis para o público mais amplo possível e para os propósitos mais variados. Processáveis por máquina: devem ser estruturados em formatos que permitam o processamento automatizado (CSV, JSON, XML), e não apenas em PDF ou imagens. Não discriminatórios: devem estar disponíveis para qualquer pessoa, sem exigência de cadastro ou identificação. Não proprietários: devem estar em formatos abertos, que não exijam software proprietário para sua leitura. Livres de licença: não devem estar sujeitos a direitos autorais, patentes, marcas registradas ou segredos comerciais. 1.2. A Política de Dados Abertos no Brasil O Brasil construiu, ao longo da última década, um arcabouço normativo robusto para a abertura de dados públicos, que se articula com a política de transparência e acesso à informação. Lei de Acesso à Informação — LAI (Lei nº 12.527, de 18 de novembro de 2011): é o marco zero da transparência pública no Brasil. Regulamenta o direito fundamental de acesso à informação previsto no art. 5º, XXXIII, da Constituição, e estabelece que a publicidade é a regra, e o sigilo, a exceção. Decreto nº 8.777, de 11 de maio de 2016: instituiu a Política de Dados Abertos do Poder Executivo Federal, com o objetivo de promover a publicação de dados contidos em bases de órgãos e entidades da administração pública federal direta, autárquica e fundacional, sob a forma de dados abertos. O decreto estabeleceu a obrigatoriedade de elaboração de Planos de Dados Abertos (PDA) por cada órgão, com inventário de bases de dados, cronograma de abertura e mecanismos de participação social. Portal dados.gov.br: é o catálogo central de dados abertos do governo federal, que reúne milhares de conjuntos de dados de centenas de órgãos. Funciona como um repositório centralizado que permite a busca, o download e a visualização de dados de áreas como saúde, educação, economia, transporte e segurança pública. 1.3. A Lei de Acesso à Informação (LAI) em Detalhe A LAI é aplicável à União, Estados, Distrito Federal e Municípios, e a todos os Poderes e órgãos da administração direta e indireta. Seus principais dispositivos estabelecem um regime jurídico de máxima transparência. Art. 3º: estabelece as diretrizes da lei: "Art. 3º Os procedimentos previstos nesta Lei destinam-se a assegurar o direito fundamental de acesso à informação e devem ser executados em conformidade com os princípios básicos da administração pública e com as seguintes diretrizes: I - observância da publicidade como preceito geral e do sigilo como exceção; II - divulgação de informações de interesse público, independentemente de solicitações; III - utilização de meios de comunicação viabilizados pela tecnologia da informação; IV - fomento ao desenvolvimento da cultura de transparência na administração pública; V - desenvolvimento do controle social da administração pública." Art. 5º: dispõe que "é dever do Estado garantir o direito de acesso à informação, que será franqueada, mediante procedimentos objetivos e ágeis, de forma transparente, clara e em linguagem de fácil compreensão". Art. 8º: estabelece a obrigação de transparência ativa, determinando que os órgãos públicos divulguem, independentemente de requerimento, informações de interesse coletivo ou geral, como registros de competências, estrutura organizacional, endereços, telefones, repasses e transferências de recursos, despesas, licitações e contratos. Art. 10: regulamenta o pedido de acesso (transparência passiva), que pode ser feito por qualquer pessoa, física ou jurídica, sem necessidade de motivação, por meio do Serviço de Informações ao Cidadão (SIC). O prazo para resposta é de 20 dias, prorrogáveis por mais 10 dias mediante justificativa (art. 11). Art. 21, parágrafo único: contém uma cláusula de especial importância para a proteção dos direitos humanos: "Art. 21. Não pode ser negado acesso à informação necessária à tutela judicial ou administrativa de direitos fundamentais. Parágrafo único. As informações ou documentos que versem sobre condutas que impliquem violação dos direitos humanos praticada por agentes públicos ou a mando de autoridades públicas não poderão ser objeto de restrição de acesso." Este dispositivo impede que a administração pública invoque sigilo para ocultar graves violações de direitos humanos, sendo um dos pilares do direito à memória e à verdade. Art. 23: classifica as informações quanto ao grau de sigilo (reservado, secreto, ultrassecreto) e estabelece prazos máximos de restrição de acesso. Informações ultrassecretas podem ter sigilo de até 25 anos, renovável uma única vez por igual período. Informações pessoais relativas à intimidade, vida privada, honra e imagem têm prazo de restrição de 100 anos, exceto se o titular autorizar a divulgação ou se houver consentimento para tratamento de dados (art. 31, §1º). A Lei Geral de Proteção de Dados (LGPD) e o Setor Público A Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), com redação atualizada pela Lei nº 13.853/2019, disciplina o tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado. Sua aplicação ao setor público é mandatória e introduziu uma mudança de paradigma na gestão da informação governamental. 2.1. Conceitos Fundamentais (Art. 5º) A LGPD estabelece um vocabulário técnico que deve ser dominado pelo gestor público: Dado pessoal: "informação relacionada a pessoa natural identificada ou identificável" (art. 5º, I). Dado pessoal sensível: "dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural" (art. 5º, II). Titular: pessoa natural a quem se referem os dados pessoais (art. 5º, V). Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º, VI). No setor público, o controlador é o órgão ou entidade que detém a base de dados. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, VII). ANPD: Autoridade Nacional de Proteção de Dados, entidade da administração pública federal indireta, sob regime autárquico especial, responsável por zelar pela proteção de dados pessoais (art. 5º, XIX, com redação dada pela Lei nº 14.460/2022). 2.2. Bases Legais para Tratamento pelo Poder Público (Arts. 7º, 11 e 23) Diferentemente do setor privado, que frequentemente se vale do consentimento do titular como base legal, o setor público opera sob um regime jurídico específico. O art. 7º e o art. 11 enumeram as bases legais que autorizam o tratamento de dados pessoais e de dados pessoais sensíveis. Para a administração pública, as mais relevantes são: Cumprimento de obrigação legal ou regulatória pelo controlador (art. 7º, II e art. 11, II, "a"): por exemplo, a Receita Federal trata dados de contribuintes para processar declarações de imposto de renda, por força do Código Tributário Nacional. Execução de políticas públicas previstas em leis e regulamentos (art. 7º, III e art. 11, II, "b"): é a base legal por excelência das políticas sociais. O Ministério da Saúde processa dados de saúde no DATASUS; o MDS processa dados socioeconômicos no CadÚnico; o INEP processa dados educacionais no Censo Escolar. A lei ou regulamento que institui a política é o fundamento jurídico que legitima o tratamento. Realização de estudos por órgão de pesquisa (art. 7º, IV e art. 11, II, "c"): garante a anonimização ou pseudonimização dos dados sempre que possível. O IBGE e o IPEA são exemplos de órgãos que realizam tratamento de dados para fins estatísticos e de pesquisa. Exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI e art. 11, II, "d"). Proteção da vida ou da incolumidade física do titular ou de terceiro (art. 7º, VII e art. 11, II, "e"). Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (art. 7º, VIII e art. 11, II, "f"). O art. 23 estabelece regras específicas para o tratamento de dados pessoais pelo poder público. Seu caput dispõe: "Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público." O §1º do mesmo artigo exige que o órgão público informe as bases legais do tratamento, a finalidade, os procedimentos e as práticas utilizadas, preferencialmente em seu sítio eletrônico. O §3º determina que a comunicação ou o uso compartilhado de dados pessoais entre órgãos e entidades de direito público deve atender a finalidades específicas de execução de políticas públicas, sendo vedada a transferência de dados a entidades privadas, salvo nos casos previstos em lei ou mediante convênios e contratos com cláusulas específicas. 2.3. A Autoridade Nacional de Proteção de Dados (ANPD) A ANPD foi originalmente criada como órgão da administração pública federal direta, vinculado à Presidência da República. A Lei nº 14.460, de 25 de outubro de 2022, transformou-a em autarquia de natureza especial, dotada de autonomia administrativa, financeira, técnica e decisória, composta por um Conselho Diretor, um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, e uma Procuradoria. Compete à ANPD, conforme o art. 55-J da LGPD, zelar pela proteção dos dados pessoais, elaborar diretrizes, fiscalizar e aplicar sanções administrativas, promover a cooperação com autoridades de proteção de dados de outros países, e editar regulamentos e procedimentos sobre proteção de dados pessoais. A Tensão entre Transparência e Privacidade A LAI e a LGPD operam em uma relação de complementaridade tensa. Ambas são corolários do princípio da dignidade da pessoa humana e do Estado Democrático de Direito, mas apontam em direções que, em situações concretas, podem colidir. A transparência exige a divulgação de informações; a privacidade exige a proteção de dados pessoais. 3.1. Soluções de Conciliação e Instrumentos Práticos O ordenamento jurídico oferece instrumentos para conciliar esses dois imperativos. Anonimização: é o processo por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (art. 5º, XI, LGPD). Uma base de dados anonimizados, que não permite a reidentificação, não se submete à LGPD (art. 12, §2º) e pode ser objeto de transparência ativa. Pseudonimização: é o tratamento por meio do qual um dado perde a possibilidade de associação direta, mas não indireta, a um indivíduo (art. 5º, XIV, LGPD). Dados pseudonimizados ainda são dados pessoais e estão protegidos pela LGPD, mas oferecem um nível adicional de segurança. Agregação e supressão de campos: a divulgação de dados estatísticos agregados (ex.: "percentual de beneficiários por município") preserva a transparência sem expor informações individuais. 3.2. Casos Concretos de Tensão Dados de beneficiários de programas sociais: a transparência dos beneficiários do Programa Bolsa Família e do Benefício de Prestação Continuada (BPC) é um caso emblemático da tensão entre publicidade e privacidade. O Portal da Transparência do Governo Federal publica, de forma nominal e de livre acesso a qualquer cidadão, os nomes completos, os Números de Identificação Social (NIS) e os valores exatos dos benefícios pagos mês a mês. O entendimento consolidado pela Controladoria-Geral da União (CGU) e referendado pelo Tribunal de Contas da União (TCU) é de que, tratando-se de recursos públicos de transferência direta de renda, o princípio constitucional da publicidade (art. 37, caput, CF/88) e a necessidade de controle social do gasto público se sobrepõem à proteção da privacidade dos beneficiários. A justificativa é que a transparência nominal permite à sociedade e aos órgãos de controle fiscalizar a regularidade da concessão, coibir fraudes (como beneficiários falecidos ou servidores públicos recebendo indevidamente) e garantir que os recursos cheguem, de fato, a quem deles necessita. Dados de saúde: o DATASUS disponibiliza dados públicos anonimizados e agregados sobre internações, mortalidade e nascimentos. Contudo, a divulgação de microdados com detalhamento excessivo (como município de residência cruzado com causa de óbito) pode permitir a reidentificação de pacientes e violar o sigilo médico. Jurisprudência Relevante 4.1. STF — ADI 6.389/DF (MP 954/2020 — Compartilhamento de dados de telecomunicações com o IBGE) No contexto da pandemia de COVID-19, o governo federal editou a Medida Provisória nº 954/2020, que determinava o compartilhamento de dados de todos os usuários de serviços de telecomunicações (nome, endereço, CPF, número de telefone) com o IBGE para a realização do Censo Demográfico. Partidos políticos e o Conselho Federal da OAB ajuizaram a ADI 6.389, e o Plenário do STF, por maioria, deferiu medida cautelar para suspender a eficácia da MP. A Ministra Rosa Weber, relatora do caso, fundamentou que a MP violava o núcleo essencial do direito à privacidade (art. 5º, X, CF/88), o devido processo legal e a proteção de dados, ao não especificar a finalidade concreta do compartilhamento, os mecanismos de segurança e as salvaguardas contra acesso indevido. O julgado é um leading case sobre os limites do poder estatal no tratamento de dados pessoais em massa e sobre a necessidade de que a coleta de dados seja proporcional, finalística e cercada de garantias. (ADI 6.389/DF, Rel. Min. Rosa Weber, Plenário, julgado em 24/04/2020, DJe de 04/05/2020). 4.2. STF — ADPF 690/DF (Painel de Dados da COVID-19) Em junho de 2020, em meio ao recrudescimento da pandemia, ocorreu a chamada "crise dos dados da COVID-19", quando o Ministério da Saúde alterou a metodologia de divulgação e passou a divulgar os dados de casos e óbitos com atraso e de forma inconsistente. Partidos de oposição ajuizaram a Arguição de Descumprimento de Preceito Fundamental nº 690. O relator, Ministro Alexandre de Moraes, em decisão liminar, determinou que o Ministério da Saúde mantivesse a plena divulgação diária dos dados epidemiológicos e restabelecesse o formato anterior de consolidação. A decisão foi referendada pelo Plenário do STF e tornou-se um marco da transparência pública, reafirmando que a manipulação ou ocultação de dados de interesse público por parte da administração configura violação a preceitos fundamentais da Constituição, como o direito à informação e o direito à saúde. (ADPF 690/DF, Rel. Min. Alexandre de Moraes, Plenário, julgado em 24/06/2020, DJe de 06/08/2020). 4.3. STF — RE 1.055.941/SP (Tema 990 da Repercussão Geral — Compartilhamento de dados fiscais e bancários) O Plenário do STF, no julgamento do Recurso Extraordinário nº 1.055.941/SP, com repercussão geral (Tema 990), fixou tese sobre os limites constitucionais do compartilhamento de dados bancários e fiscais entre a Receita Federal, o Conselho de Controle de Atividades Financeiras (COAF, atual UIF) e órgãos de investigação criminal ou de persecução penal (Ministério Público e Polícia). O relator, Ministro Dias Toffoli, conduziu o Plenário a fixar a seguinte tese: "É constitucional o compartilhamento dos relatórios de inteligência financeira da UIF e da íntegra do procedimento fiscalizatório da Receita Federal do Brasil, que define o lançamento do tributo, com os órgãos de persecução penal para fins criminais, sem a obrigatoriedade de prévia autorização judicial, devendo ser resguardado o sigilo das informações em procedimentos formalmente instaurados e sujeitos a posterior controle jurisdicional." O julgamento esclareceu que a transferência de dados para a autoridade investigativa não viola, por si só, a intimidade e o sigilo de dados, desde que os órgãos receptores mantenham a confidencialidade e observem as regras processuais penais. (RE 1.055.941/SP, Rel. Min. Dias Toffoli, Plenário, julgado em 15/04/2021, DJe de 28/05/2021). Desafios Contemporâneos A implementação da política de dados abertos e da proteção de dados no setor público brasileiro enfrenta desafios concretos que exigem ação coordenada e investimentos. Cultura organizacional refratária: a administração pública brasileira ainda carrega uma forte cultura de segredo e de controle da informação como fonte de poder. Mudar esse paradigma exige liderança política, capacitação de servidores e incentivos institucionais. Déficit de capacidade técnica e de interoperabilidade: muitos órgãos carecem de profissionais de TI, de ciência de dados e de segurança da informação em quantidade e qualidade para implementar planos de dados abertos e para realizar a anonimização segura de bases de dados. Riscos de reidentificação e de vazamentos: a tecnologia de reidentificação (cruzar bases anonimizadas com outras bases públicas) avança rapidamente, e a garantia de que um dado é efetivamente anônimo se torna cada vez mais complexa. O vazamento de dados pessoais (o "megavazamento" de CPFs em 2021 é um exemplo) demonstra a vulnerabilidade dos sistemas e a necessidade de investimentos robustos em cibersegurança. Coordenação federativa: a implementação da LGPD e da política de dados abertos nos Estados e Municípios é extremamente desigual. A maioria das cidades brasileiras não possui estrutura administrativa adequada para cumprir as exigências da lei, o que demanda forte indução e apoio da União e dos Estados. Conclusão O equilíbrio entre transparência e privacidade não é um estado de perfeita harmonia que se atinge de uma vez por todas, mas um processo contínuo de ponderação, regulação e vigilância democrática. As leis brasileiras — LAI e LGPD — são modernas e oferecem um arcabouço sólido, mas sua efetividade depende de investimento em capacidade estatal, de uma cultura de integridade e de uma sociedade civil ativa. Para o gestor público, dominar esse arcabouço e compreender suas tensões é condição indispensável para atuar de forma ética, legal e responsável na administração pública do século XXI.