A Lei Geral de Proteção de Dados — Lei nº 13.709/2018 — não fez exceção para dados utilizados em processos ambientais. E, no entanto, a grande maioria das consultorias e empresas ambientais ainda trata laudos técnicos, relatórios de monitoramento e formulários de licenciamento como se a LGPD não existisse.
O problema é concreto. Laudos de PGRSS contêm nome completo, CPF e CRM de médicos responsáveis. Relatórios de outorga de água mencionam propriedades rurais com nome de proprietários. Cadastros de geradores perigosos incluem dados de sócios e responsáveis técnicos. Processos de EIA-RIMA têm dados de comunidades afetadas — com nomes, endereços, atividades econômicas.
Tudo isso é dado pessoal, sujeito à LGPD.
O que é dado pessoal para fins da LGPD
O art. 5º, I, da Lei 13.709/2018 define dado pessoal como qualquer informação relacionada a pessoa natural identificada ou identificável. A definição é ampla por deliberação — o legislador não queria que interpretações restritivas excluíssem categorias de dados.
No contexto ambiental, são dados pessoais:
- Nome, CPF, CRM, CREA, CAU de responsáveis técnicos em laudos e planos
- Dados de proprietários rurais em processos de outorga, CAR e licenciamento
- Informações de moradores em áreas de influência de EIA-RIMA
- Dados de trabalhadores em PGR, PCMSO e laudos de insalubridade
- Contatos de representantes de comunidades em processos participativos
- Dados biométricos ou de saúde coletados em programas de monitoramento ocupacional
Os dados de saúde têm proteção reforçada. O art. 11 da LGPD classifica dados referentes à saúde como dados sensíveis, sujeitos a regime mais restritivo de tratamento.
As bases legais aplicáveis ao tratamento ambiental
A LGPD prevê dez hipóteses de tratamento legítimo de dados pessoais no art. 7º. As mais relevantes para o contexto ambiental:
Art. 7º, II — Cumprimento de obrigação legal ou regulatória
Quando o tratamento de dados é exigido por lei ou regulamento ambiental, a empresa não precisa de consentimento do titular. A elaboração de PGRS com identificação do responsável técnico, por exemplo, é obrigação legal — o tratamento dos dados do profissional é legítimo sob essa base.
Art. 7º, III — Execução de políticas públicas
Aplica-se principalmente a órgãos públicos no exercício de suas funções de licenciamento e fiscalização. Para empresas privadas que atuam como prestadoras de serviço público ambiental, pode ser aplicável.
Art. 7º, VI — Exercício regular de direitos em processo judicial, administrativo ou arbitral
Laudos e relatórios utilizados em defesas administrativas ou judiciais se enquadram aqui. A empresa pode tratar dados necessários para se defender sem consentimento prévio do titular.
Art. 7º, IX — Interesse legítimo do controlador
É a base mais flexível — e também a mais exigente em termos de documentação. Para utilizá-la, a empresa precisa demonstrar que o interesse é legítimo, que é necessário para a finalidade, e que não prejudica indevidamente os direitos dos titulares.
O que as consultorias precisam fazer
Para a consultoria ambiental que coleta, processa e transmite dados de clientes e de terceiros identificados nos laudos, a LGPD impõe obrigações específicas:
1. Identificar o papel: controlador ou operador?
O art. 5º, VI e VII, distingue o controlador (quem decide sobre o tratamento) do operador (quem trata em nome do controlador). A consultoria que coleta dados por conta própria é controladora. A consultoria que processa dados fornecidos pelo cliente é operadora. Os papéis têm implicações diferentes de responsabilidade.
2. Mapeamento de dados
Todo tratamento de dado pessoal deve ser mapeado: qual dado, de quem, para qual finalidade, com quem é compartilhado, por quanto tempo é retido. Esse mapeamento é obrigatório para demonstrar conformidade — e é o primeiro documento exigido pela ANPD em uma fiscalização.
3. Contratos com clientes devem refletir os papéis
O contrato de prestação de serviço ambiental precisa definir quem é controlador e quem é operador, e o que cada um pode fazer com os dados. Consultorias que recebem dados de clientes sem cláusula de proteção de dados correm o risco de ser responsabilizadas conjuntamente por violações.
4. Retenção e descarte
Laudos e relatórios com dados pessoais não podem ser mantidos indefinidamente. O art. 16 da LGPD prevê que os dados devem ser eliminados após o término do tratamento. Para dados ambientais, o prazo de retenção deve considerar o prazo prescricional das infrações relacionadas — o que pode ser longo — mas não indefinido.
O que os órgãos ambientais fazem com os dados
Os processos de licenciamento ambiental são, em sua maioria, processos públicos. O princípio da publicidade administrativa (art. 37, caput, da Constituição Federal) impõe que esses processos sejam acessíveis — mas o direito de acesso à informação não elimina a proteção de dados pessoais.
O Decreto nº 10.046/2019, que regulamenta o compartilhamento de dados no âmbito federal, prevê que dados pessoais compartilhados entre órgãos devem respeitar a LGPD. Isso significa que o IBAMA, ao compartilhar dados de um processo de licenciamento com o MP ou com outro órgão, deve garantir que o compartilhamento está amparado em base legal.
Para a empresa, isso tem implicação prática: dados fornecidos ao órgão ambiental em processo de licenciamento podem circular entre órgãos — e isso é legal. Mas o órgão não pode usar esses dados para finalidade completamente distinta da que motivou a coleta.
Sanções da LGPD e como se aplicam ao setor ambiental
A ANPD — Autoridade Nacional de Proteção de Dados — pode aplicar sanções de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. As sanções são progressivas: do aviso à multa, passando por publicização da infração, bloqueio e eliminação de dados.
O setor ambiental ainda não viu sanções específicas por violações de dados em contexto ambiental — mas a inexistência de precedente não significa inexistência de risco. O mapeamento de dados e a adequação contratual são medidas preventivas com custo baixo em comparação com a exposição potencial.
O que fazer para começar a adequação
Para empresas e consultorias que atuam no setor ambiental:
- Mapear quais dados pessoais aparecem nos documentos que você elabora ou recebe
- Identificar a base legal para cada tratamento — obrigação legal, interesse legítimo, consentimento
- Revisar contratos com clientes para incluir cláusulas de proteção de dados e definição de papéis
- Definir prazo de retenção para cada categoria de dado
- Implementar medidas de segurança — controle de acesso aos laudos, criptografia de arquivos com dados sensíveis
- Nomear Encarregado de Proteção de Dados (DPO) se o volume de dados pessoais for significativo
Conclusão: LGPD e direito ambiental já se cruzam
A intersecção entre LGPD e direito ambiental não é hipotética. Ela está nos laudos que são elaborados hoje, nos formulários que são preenchidos e nos dados que são compartilhados com órgãos fiscalizadores.
Ignorar essa intersecção é assumir um risco desnecessário. A adequação não exige transformação radical do processo de trabalho — exige mapeamento cuidadoso, ajuste contratual e uma política interna de retenção e descarte de dados.
Em um setor em que a conformidade com normas ambientais já é exigente, adicionar a conformidade com a LGPD ao check-list parece um fardo a mais. Mas o gestor que enfrenta uma fiscalização da ANPD simultânea a uma autuação do IBAMA entende rapidamente que é mais fácil — e mais barato — prevenir.