Gabarito: B

Interpretação do enunciado: O enunciado aborda o tratamento de dados pessoais por uma Assembleia Legislativa no contexto do processo legislativo, incidindo diretamente sobre os fundamentos e regras da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/18), especialmente nos artigos que disciplinam a atuação do poder público.

Legislação aplicável: O art. 23 da LGPD expressamente prevê: “O tratamento de dados pessoais pelas pessoas jurídicas de direito público... deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, (...) para executar as competências legais ou cumprir as atribuições legais do serviço público...”

Tema central e aplicação: O tratamento de dados pela administração pública se submete a requisitos específicos, calcados não no consentimento, mas em obrigações e competências legais. É o que ocorre, por exemplo, ao publicar atas, pareceres ou projetos de lei que contenham dados pessoais de agentes públicos ou terceiros: tal tratamento decorre da necessidade de publicidade e transparência, fundamentos do processo legislativo.

Análise da alternativa correta (B): Está em absoluta conformidade com a LGPD e com a doutrina: a legitimidade do tratamento de dados pela Assembleia advém do exercício de suas competências constitucionais e do cumprimento de obrigação legal. Jurisprudência do STF (RE 1017365) endossa a observância desses princípios pela Administração Pública.

Análise das incorretas:

A e E: Erram ao exigir consentimento: a LGPD dispensa este requisito quando há previsão legal para o tratamento de dados pela administração pública (art. 23).
C: Incide equívoco ao citar o “legítimo interesse” como fundamento, pois este não se aplica à administração pública para fins do art. 23.
D: Não é necessário consentimento para compartilhamento de dados pessoais entre órgãos públicos em razão de obrigação legal ou regulatória.

Dica estratégica: Pegadinha comum: cobrar consentimento quando a base legal é outra (no setor público, via de regra, é a obrigação legal/regulatória).

Referência doutrinária: Danilo Doneda e Laura Schertel Mendes discutem claramente a prevalência da base legal da competência ou obrigação legal no setor público.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Resposta letra : B

O tratamento dos dados pessoais é legítimo, na medida em que diretamente vinculado ao cumprimento de obrigações e à execução de competências típicas do órgão legislativo, que decorrem de normas de organização previstas na Constituição Estadual, em conformidade com a base legal referente ao cumprimento de obrigação legal ou regulatória pelo controlador e ao disposto no Art. 23 da LGPD.

Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;

II - (VETADO); e

III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei; e

IV - (VETADO).

Alternativa A:

Incorreto. O Artigo 7º da LGPD enumera as bases legais para o tratamento de dados pessoais. Entre elas está o consentimento, mas há outras bases, como a execução de políticas públicas previstas em lei, que se aplicam a órgãos públicos como uma Assembleia Legislativa. Basear todo o tratamento de dados no consentimento pode ser inadequado, especialmente quando há obrigações legais ou regulatórias. Além disso, o Artigo 11, inciso II, permite o tratamento de dados pessoais sensíveis para cumprimento de obrigação legal ou regulatória, se houver previsão.

Alternativa B:

Correto. Esta alternativa é consistente com o Artigo 7º, inciso II da LGPD, que permite o tratamento de dados pessoais para o cumprimento de obrigação legal ou regulatória pelo controlador. Como a Assembleia Legislativa lida com dados para cumprir suas funções legislativas, esta é uma base legítima para o tratamento de dados. Também se baseia no Artigo 23, que prevê o uso de dados pelo Poder Público para execução de políticas públicas.

Alternativa C:

Incorreto. O legítimo interesse é uma das bases legais para o tratamento de dados pessoais, conforme o Artigo 7º, inciso IX. No entanto, essa base geralmente é mais usada no setor privado. No caso do Poder Público, o Artigo 23 fornece outras bases legais, como a execução de políticas públicas, que são mais apropriadas para uma Assembleia Legislativa.

Alternativa D:

Incorreto. O Artigo 7º estabelece várias bases para o tratamento de dados pessoais, e o consentimento é apenas uma delas. No caso do Poder Público, especialmente para execução de atividades regulamentadas ou funções legislativas, outras bases legais são mais adequadas, como o cumprimento de obrigação legal ou regulatória (Artigo 7º, inciso II). Assim, o consentimento pode não ser necessário, como sugerido pela alternativa D.

Alternativa E:

Incorreto. Esta alternativa sugere que o consentimento expresso é necessário para o tratamento de dados por uma Assembleia Legislativa, o que não é verdade em muitos casos. A base legal para o tratamento de dados pelo Poder Público geralmente está relacionada ao cumprimento de obrigações legais ou regulatórias (Artigo 7º, inciso II) ou à execução de políticas públicas (Artigo 23). O consentimento pode ser uma base legal, mas não é a única ou a mais apropriada para todos os casos do setor público.

Com base no artigo 23 da referida lei, a assembleia (pessoa juridica de direito público) está exercendo legitimamente o tratamento de dados:

Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei n. 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

I – sejam informadas as hipóteses em que, no exercício de suas competências, realizam

o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a

previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas

atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;

Letra B

Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;

II - (VETADO); e

III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei.

IV - .  

Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.