Existe uma percepção bastante comum de que dados disponíveis em bases públicas podem ser utilizados sem restrições. Contudo, tal compreensão não reflete, de forma precisa, o regime jurídico aplicável à matéria, podendo conduzir empresas à adoção de práticas que implicam riscos relevantes sob a perspectiva regulatória.
O fato de uma informação estar acessível ao público não implica, por si só, a possibilidade de sua coleta, utilização ou compartilhamento irrestrito. Sob a ótica da Lei Geral de Proteção de Dados Pessoais (LGPD), o tratamento de dados pessoais deve observar critérios específicos e fundamentos jurídicos adequados, independentemente da origem dos dados. Nesse contexto, princípios como finalidade, adequação, necessidade e transparência permanecem plenamente aplicáveis, inclusive quando se trata de dados disponibilizados em bases públicas.
Importa destacar que a LGPD se relaciona diretamente com a Lei de Acesso à Informação (LAI) e com princípios constitucionais. Nesse cenário, merece especial atenção o disposto no art. 5º, inciso XXXIII, da Constituição Federal de 1988, que assegura o direito de acesso a informações públicas, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado.
Embora tratem de aspectos distintos, LGPD e LAI não se apresentam como normas conflitantes, mas sim complementares. Enquanto a LAI garante o direito de acesso à informação, a LGPD estabelece os limites e as condições para o tratamento de dados pessoais, inclusive quando inseridos em bases de acesso público, promovendo o necessário equilíbrio entre transparência e proteção de direitos fundamentais.
Diante desse cenário, torna-se evidente que a simples disponibilidade de dados em bases públicas não afasta a incidência das regras previstas na Lei Geral de Proteção de Dados Pessoais. A análise sobre a licitude do tratamento deve ir além da origem do dado, exigindo a verificação da finalidade, da base legal aplicável e da compatibilidade do uso pretendido com o contexto em que a informação foi originalmente divulgada.
Nesse contexto, é recomendável que as organizações adotem medidas estruturadas de avaliação prévia do tratamento de dados, incluindo a definição clara de finalidades, a validação da base legal aplicável, a análise de riscos e a implementação de políticas internas que orientem o uso adequado de informações provenientes de fontes públicas.
Adicionalmente, mostra-se fundamental que as empresas assegurem que operadores de dados e eventuais subcontratados atuem em conformidade com a legislação aplicável, especialmente no que se refere à licitude da origem dos dados coletados. Para tanto, recomenda-se a condução de processos de due diligence prévia à contratação, com o objetivo de avaliar o nível de maturidade dos parceiros em matéria de proteção de dados e compliance, bem como verificar a regularidade dos meios e das fontes de obtenção das informações utilizadas no âmbito da relação contratual.
Mais do que uma exigência legal, trata-se de um movimento essencial para a construção de práticas responsáveis e sustentáveis no tratamento de dados, em consonância com os princípios da boa-fé, da transparência e do respeito aos direitos dos titulares. É justamente nesse equilíbrio entre acesso à informação e proteção de dados que se consolida um ambiente de maior segurança jurídica e confiança nas relações institucionais e comerciais.
Autora: Dra. Beatriz Severino Moreno
