Parecer n° 0083/2020

TID 18169124

Ref.: Memo nº 020/GAB.PRES/2019

Interessado: SGA

Assunto: Reconsideração – Crédito consignado xxxxxxxxxxxxxxxxx – Requerimento de fornecimento de dados de servidores (CPF, RG, data de admissão e margem consignável) – Alegação de segurança das informações e de acesso apenas em caso de solicitação do serviço e consentimento do servidor.

 

Parecer ADM n° 0083/2020

 

INSTITUIÇÃO BANCÁRIA RESPONSÁVEL PELA FOLHA DE PAGAMENTO – PEDIDO DE ADITAMENTO CONTRATUAL PARA FORNECIMENTO DE DADOS PESSOAIS E SIGILOSOS DOS SERVIDORES – CRÉDITO CONSIGNADO DIGITAL – Pedido de reconsideração – Alegação de segurança dos dados coletados e de acesso apenas em caso de solicitação do serviço e consentimento do servidor – Impossibilidade.

Sra. Procuradora Legislativa Supervisora,

 

Trata-se de consulta formulada pela Secretaria Geral Administrativa – SGA, submetendo novamente à apreciação desta Procuradoria pedido formulado pelo xxxxxxxxxxxxxxxxx de aditamento do contrato de gerenciamento da folha de pagamentos da Edilidade para previsão de fornecimento de dados dos servidores da Casa (RG, CPF, data de admissão e margem consignável).

Inicialmente, a pretensão foi submetida à análise desta Procuradoria, que concluiu, por meio do Parecer ADM nº 0069/2020, que não é juridicamente possível atender ao pleito do requerente, uma vez que o empréstimo consignado é forma facultativa de consignação em folha, que depende da manifestação de vontade pelo servidor; que somente mediante manifestação expressa dos servidores poderão seus dados pessoais serem fornecidos para fins como o pretendido; e que, a despeito da Lei Geral de Proteção de Dados se encontrar  (à época) em período de vacatio legis, a proteção à intimidade das pessoas é cláusula pétrea (art. 5º, inc. X, CF) garantida na Constituição Federal de 1988.

O banco requerente lançou nova manifestação, à guisa de pedido de reconsideração, sustentando a segurança do processo de operações de empréstimos consignados no modelo digital e ressaltando que os dados são acessíveis pelos colaboradores do banco somente após solicitação específica do servidor, com sua autorização antecedente ao ato de contratação.

É o relatório. Passa-se a opinar.

Primeiramente, importante é destacar os principais pontos alegados pelo banco requerente em sua nova manifestação:

[…]

ü É preponderante registrar que o xxxxxxxxxxxxxxxxx é completamente aderente à LGPD Lei Geral de Proteção de Dados e demais legislações que fazem menção à correta utilização de dados sensíveis. No processo solicitado, não há, em nenhuma etapa, qualquer fragilização que facilitem a utilização de dados de clientes;

ü Nesse caso, sendo a Câmara Municipal de SP a responsável pela gestão das margens, sem o qual a Instituição Financeira não teria como fazer a Operação de Crédito Consignado, o pedido específico é para que esse órgão disponibilize, em ambiente estritamente seguro e que será utilizado exclusivamente pata VIABILIZAR as operações, os dados de CPF, Margem, Matrícula e MARGEM;

ü Em todo o trajeto (desde o órgão, até o Banco), todo o processo é CRIPTOGRAFADO, sem nenhuma fase manual ou acessível a qualquer um dos colaboradores do xxxxxxxxxxxxxxxxx;

ü O processo é análogo ao mesmo utilizado pela Câmara Municipal de SP para envio dos dados de Folha de Pagamento, com os mesmos requisitos de segurança;

[…]

ü Os dados de margem só são acessados quando há uma solicitação específica com autorização do servidor e essa autorização ANTECEDE o ato da contratação;

ü O acesso ao mobile (APP do Banco) respeita TODAS as exigências do Artigo 19 do Decreto da Câmara Municipal de SP, que trata da autorização expressa do servidor para contratação;

ü O pedido é passivo (não há ofertas utilizando o dado informado), feito exclusivamente pelo servidor e antecede o ato da contratação de qualquer operação;

ü As operações só estão disponíveis nesse mecanismo para CLIENTES do xxxxxxxxxxxxxxxxx, não sendo possível acessá-lo sem ter previamente seus dados e acessos devidamente identificados no aplicativo do Banco;

ü O consentimento para cada operação é eletrônico e contém autorização específica para que seus dados sejam utilizados, como pode ser visto pela cláusula 8 da Cédula de Crédito Bancário (anexo a esse e-mail como modelo) onde consta: “Autorizo minha Fonte Pagadora, de forma irrevogável e irretratável, a: (i) realizar a Averbação, na quantia necessária para o pagamento total das parcelas deste empréstimo; (ii) efetuar o desconto dos valores das parcelas deste empréstimo em minha Remuneração e repassar ao xxxxxxxxxxxxxxxxx o valor correspondente até a liquidação integral deste empréstimo; (iii) se aplicável, descontar o valor equivalente a 30% (trinta por cento) de minhas verbas rescisórias para o pagamento das obrigações previstas nesta CÉDULA, repassando respectivo valor ao xxxxxxxxxxxxxxxxx, e; (iv) trocar com o xxxxxxxxxxxxxxxxx todas as Informações necessárias para realizar a Averbação.” Essa mesma autorização consta através do aplicativo xxxxxxxxxxxxxxxxx.

ü Todas as operações dependem do consentimento do Órgão, que é o legitimo controlador da existência da margem consignável suficiente para celebração do Empréstimo.

ü Nos anexos temos um exemplo da Minuta utilizada para contratação e a Jornada Digital do cliente, onde fica claro que, EM NENHUM MOMENTO, os dados do cliente podem ser acessados. (sic.).

Da leitura da manifestação, observa-se que não foram trazidos novos elementos aptos a refutar as conclusões lançadas no Parecer ADM nº 0069/2020.

As alegações acrescentadas pelo requerente dizem respeito à segurança no tratamento dos dados cujo compartilhamento se solicita, isto é, em momento posterior ao compartilhamento.

Assim, a existência de mecanismos de alto grau de segurança no tratamento dos dados pelo banco requerente não suprime a necessidade de prévio consentimento dos servidores públicos para o compartilhamento de seus dados pessoais.

Da mesma forma, o fato de os colaboradores da instituição financeira não acessarem os dados até que haja a solicitação do serviço e o consentimento pelos servidores não altera a conclusão lançada no Parecer ADM nº 0069/2020, uma vez que o que se requer é o compartilhamento prévio dos dados pessoais dos servidores, que passariam a constar do sistema do banco, ainda que o acesso seja condicionado ao consentimento prévio.

Como bem pontuou referido parecer:

Destarte, o crédito consignado fornecido por instituições bancárias caracteriza-se como uma forma de consignação facultativa, já que não decorre de obrigação legal nem de decisão judicial.

Posto isto, o fornecimento de dados pessoais à instituição financeira requerente para a realização de empréstimo consignado, seria uma forma de fornecimento de dados pessoais para o desempenho de uma atividade facultativa, de âmbito eminentemente privado, sem a função de cumprir finalidade pública.

Tomando-se essa premissa, e por analogia, podemos mencionar que a Procuradoria desta Casa já se manifestou anteriormente sobre o fornecimento de dados pessoais de servidores não relacionados à Lei de Acesso à Informação. No Parecer nº 272/2016, que tratou de consulta formulada pelo Sindicato dos Servidores da Câmara Municipal e do Tribunal de Contas do Município de São Paulo – SINDILEX, este requereu nome e endereço eletrônico de todos os servidores ativos e aposentados da Câmara Municipal. Naquela oportunidade, entendeu-se que se tratava de fornecimento de dados pessoais dos servidores, que somente poderiam ser cedidos com a autorização expressa dos titulares.

Sendo assim, adotando-se a mesma lógica, somente mediante o consentimento expresso dos servidores poderia ser cedido algum dado pessoal à instituição financeira por parte da Edilidade, não podendo ser realizado de forma automática em relação a todos os servidores indistintamente.

Isso porque os dados requeridos pelo xxxxxxxxxxxxxxxxx não se referem a informações necessárias ao cumprimento de políticas públicas (art. 7º, incisos II e III, da Lei 13.709/2018), nem são necessárias para a garantia de transparência e do acesso à informação, já que são dados estritamente pessoais e o objetivo do requerimento formulado é de natureza meramente privada, voltado à contratação de crédito consignado digital, de modo que não vislumbramos a possibilidade de que sejam cedidos à instituição financeira sem o consentimento expresso de seus titulares.

Sendo facultativo o crédito consignado, a Câmara Municipal não deve realizar procedimentos prévios à realização da consignação, consistentes em fornecer dados pessoais dos servidores, porventura sequer interessados na proposta, antes de obter autorização dos que venham a ser interessados.

Assim, o fornecimento de dados pessoais para uma atividade facultativa, de âmbito eminentemente privado, sem a função de cumprir finalidade pública, e que pode vir a nem ser gozado pelo servidor objeto da cessão de dados, não pode ser feito sem o seu consentimento.

Ademais, as informações relativas à margem consignável são protegidas pelo sigilo financeiro, garantido constitucionalmente (art. 5º, inciso X), inserido na seara da proteção à intimidade das pessoas.

A corroborar essa proteção aos dados pessoais, tais como os mencionados acima (CPF, número de matrícula, data de admissão ao serviço público e margem consignável) a Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709/2018), à qual faz menção a minuta de termo aditivo (Primeiro Termo Aditivo ao Termo de Regularidade), acostada a estes autos, em sua cláusula primeira, conferiu proteção especial a eles.

 Devemos admitir, inicialmente, que a aplicabilidade da lei ainda está suspensa, nos termos de seu art. 65 […]

O dispositivo deixa claro que a lei em comento está em período de vacatio legis, de modo que sua obrigatoriedade está suspensa por enquanto. Vale destacar que o início de vigência da parte da LGPD relativa às normas que deverão ser observadas pela Administração Pública encontra-se, atualmente, previsto para 3 de maio de 2021, nos termos da Medida Provisória nº 959/2020. Porém somente a partir de 1º de agosto de 2021 estará em vigor a fiscalização do cumprimento da lei, de modo que a partir desta data, a lei apresentará vigência integral. No entanto, a partir de 3 maio de 2021, as disposições da lei já serão obrigatórias, apenas não caberá punição pela sua inobservância.

Nesse sentido, aliás, há de se considerar que, por ocasião da votação da Medida Provisória nº 959, de 2020 pelo Congresso Nacional, foi excluída norma que prorrogava a vacatio legis da maioria dos artigos da Lei Geral de Proteção de Dados – Lei Federal nº 13.709, de 14 de agosto de 2018 (LGPD), restando postergada apenas a vigência dos artigos que estabelecem sanções pelo seu descumprimento.

Portanto, as exigências da LGPD aplicam-se plenamente ao caso concreto.

De acordo com o artigo 5º, inc. X, da LGPD, considera-se

[…] tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Assim, a simples disponibilização dos dados pessoais dos servidores ao banco, ainda que somente possam ser acessados após solicitação e anuência dos servidores, é forma de tratamento de dados não obrigatória por lei ou por contrato, para a qual é indispensável o prévio consentimento do titular.

Nesse sentido, é aplicável ao caso o disposto no artigo 7º, incs. I e V, da LGPD:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

[…]

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.

Inobstante o artigo 52 da LGPD, que trata das sanções aplicáveis por descumprimento de suas normas, ainda não esteja em vigor, o seu §3º[1] deixa claro que as sanções não afastam a responsabilização dos servidores públicos pela infração às suas normas, por culpa ou dolo, nas esferas disciplinar, cível-administrativa e criminal.

Conclui-se, pois, não só que atualmente as regras da LGPD aplicam-se ao caso em análise, como também que sua eventual violação sujeita os responsáveis às penalidades cabíveis no Estatuto dos Funcionários Públicos do Município de São Paulo, na Lei de Improbidade Administrativa e na Lei de Acesso à Informação.

Outrossim, há de se ressaltar que o interesse envolvido no pleito do xxxxxxxxxxxxxxxxx não se reveste de caráter público, mas se cinge à relação prestador de serviço-cliente, atuando a Edilidade como mero colaborador tão-somente quando instado pelo servidor público interessado.

Por tal motivo, somado ao fato de que a margem consignável configura informação sigilosa e já se alinhando às regras específicas inauguradas pela LGPD, a Prefeitura do Município de São Paulo desenvolveu o “Portal do Consignado”, regulado pela Portaria Secretaria Municipal de Gestão – SG nº 94 de 4 de outubro de 2019[2], pelo qual se assegura exclusivamente ao servidor público o gerenciamento de sua margem consignável.

Assim estabelece a Portaria em alguns de seus dispositivos (destaques nossos):

Art. 12. A aferição da margem consignável é de inteira responsabilidade da consignatária, não se responsabilizando a Prefeitura do Município de São Paulo pelos riscos advindos da não efetivação do desconto.

Parágrafo único. Caberá à consignatária, sempre que entender pertinente, solicitar ao futuro consignado demonstrativo de pagamento e outros documentos que julgar necessários para a efetivação da análise da viabilidade da consignação.

[…]

Art. 14. O Sistema Eletrônico de Consignações rege a troca de informações entre a Secretaria Municipal de Gestão, órgão gestor, e as consignatárias.

  • 1º O Sistema Eletrônico registra a efetivação da consignação em folha de pagamento, sendo vedada sua utilização para registros provisórios e simulações futuras.
  • 2º O uso indevido do sistema sujeitará a consignatária às penalidades descritas nos artigos 26 e 29 do Decreto n° 58.890, de 2019.
  • 3º Será considerada como não averbada a consignação realizada sem o devido registro no Sistema Eletrônico de Consignações.
  • A visualização da margem consignável no Sistema Eletrônico de Consignações poderá ser efetuada pelo servidor no ‘Portal do Consignado’, mediante prévio cadastro de senha, podendo o servidor autorizar a visualização do valor da margem pelas entidades consignatárias.
  • 5º A margem consignável informada pelo Sistema Eletrônico de Consignações tem por base o pagamento do mês imediatamente anterior, podendo sofrer variação em decorrência da incidência de consignações compulsórias e ocorrências de folha.

Observa-se do regramento dois aspectos importantes:

  1. O interesse e a responsabilidade pela aferição da margem passível de consignação em folha de pagamento são inteiramente da instituição bancária credenciada;
  2. O acesso a qualquer documento ou informação necessária à análise da viabilidade da consignação deve ser consentido pelo servidor público, como resta expresso tanto no parágrafo único do artigo 12, como no §4º do artigo 14 da Portaria, atribuindo-se o gerenciamento da margem consignável exclusivamente ao servidor, mediante senha no “Portal do Consignado”.

Assim, ainda que consideradas as informações complementares apresentadas, tal e como requerido pelo xxxxxxxxxxxxxxxxx, não há amparo jurídico para atendimento do pleito de compartilhamento prévio de dados visando à implantação do Consignado xxxxxxxxxxxxxxxxx Digital, sendo certo que qualquer disponibilização não obrigatória de dados pessoais dos servidores públicos pela Edilidade ao banco deve ser precedida de consentimento específico, não bastando para tanto a anuência efetivada no momento da solicitação do serviço de empréstimo.

É a manifestação que se submete à elevada apreciação de V. Sa.

São Paulo, 11 de novembro de 2020.

 

Djenane Ferreira Cardoso Zanlochi

Procuradora Legislativa

OAB/SP nº 218.877

[1] Art. 52. […]

  • 3º O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.

[2] Disponível em http://legislacao.prefeitura.sp.gov.br/leis/portaria-secretaria-municipal-de-gestao-sg-94-de-4-de-outubro-de-2019. Acesso em 16/10/2020.