É importante ressaltar que o dilema em questão é, na verdade, uma falsa dicotomia. A proteção dos dados pessoais e a transparência proativa são ambos direitos fundamentais consagrados na Constituição. A transparência proativa é uma ferramenta crucial para assegurar o direito fundamental de acesso à informação relacionada à gestão pública. De maneira similar, a proteção dos dados pessoais foi oficialmente reconhecida como um direito fundamental pela Emenda Constitucional n° 115, que a incorporou ao mesmo artigo 5º. Não existe uma hierarquia entre os direitos fundamentais, mas sim uma busca por harmonizá-los sempre que possível, mesmo em situações de aparente conflito. Portanto, a Lei de Acesso à Informação (LAI) desempenha o papel de promover a transparência e o acesso à informação para os cidadãos, enquanto a Lei Geral de Proteção de Dados (LGPD) estabelece regras e restrições para o uso de dados pessoais.
A transparência proativa tem como principal objetivo possibilitar o controle social e a supervisão das ações do setor público, sendo essencial para a prática democrática e para assegurar a prestação de contas das atividades governamentais. Assim, quando a transparência proativa implica na divulgação de dados pessoais, o interesse público nessa divulgação se restringiria à identificação dos agentes, sejam eles públicos ou privados, envolvidos nos atos administrativos, como contratos e notas de empenho. Essa identificação pode ser viabilizada por meio do nome completo e do CPF, ou alternativamente, pelo número de matrícula nos casos que envolvam agentes públicos. O CPF, inclusive, já é considerado um documento suficiente para identificar cidadãos em bancos de dados de serviços públicos, de acordo com a Lei nº 14.534/2023.
No contexto da transparência proativa, é possível que, além do nome e do CPF, outros dados pessoais sejam disponibilizados. Por exemplo, em contratos administrativos, os dados pessoais dos responsáveis legais podem incluir informações como data de nascimento, endereço, e-mail, telefone e assinatura. Similarmente, notas de empenho podem conter mais informações sobre a pessoa física beneficiária de pagamentos do setor público.
No entanto, a coleta organizada desses dados pessoais pode ser explorada por indivíduos mal-intencionados para atividades ilícitas, como roubo de identidade, abertura fraudulenta de contas bancárias, subscrição de serviços e até mesmo a realização de transações civis, como aluguel de propriedades ou compra de bens. Detentores desses dados podem falsificar documentos e fazer-se passar pelas pessoas cujas informações foram expostas.
Além disso, é importante considerar que algoritmos de web scraping são capazes de extrair informações de diversos documentos para construir bancos de dados, permitindo o perfilamento de servidores públicos com base em sua renda mensal, conforme apresentado nos portais de transparência. Isso pode levar a empresas com intenções duvidosas direcionando produtos e anúncios específicos, o que constitui uma violação dos princípios da LGPD.
Portanto, esses dados não são essenciais para a transparência proativa, uma vez que extrapolam sua finalidade e sua divulgação acarreta riscos aos titulares. No que diz respeito à identificação dos responsáveis por atos administrativos, acredita-se que somente o nome e o CPF são suficientes.
Contudo, quanto ao CPF, também é possível argumentar que a divulgação do número completo dos envolvidos em atos administrativos não é necessária, dado que esse é um dado altamente sensível e único para cada indivíduo. Nos Estados Unidos, o SSN (Número de Seguro Social) possui funções semelhantes ao CPF e é amplamente recomendado que esse número seja mantido confidencial, devido ao risco de fraude.
Em contratos administrativos, portanto, apenas a informação de identificação do representante legal, com nome completo e CPF mascarado (ou número de matrícula em casos de servidores públicos), seria suficiente para atender à transparência proativa, protegendo a privacidade dos envolvidos e prevenindo fraudes.
No entanto, há situações em que os dados pessoais não estão estruturados em bancos de dados, como contratos administrativos digitalizados, e estão disponíveis no documento. Se o documento for digitalizado com reconhecimento óptico de caracteres, os dados pessoais podem ser extraídos, inclusive de forma automatizada.
Nesses casos, ferramentas de “marcação para redação” podem ser empregadas para cobrir os dados pessoais que não são necessários. Isso, no entanto, muitas vezes requer intervenção manual, o que pode ser desafiador para órgãos com recursos limitados. Além disso, o mascaramento do CPF pode exigir softwares específicos.
Por conseguinte, o encarregado pelo tratamento de dados pessoais deve orientar as áreas responsáveis.