Ementa: DIREITO CONSTITUCIONAL. DIREITOS FUNDAMENTAIS À PRIVACIDADE E AO LIVRE DESENVOLVIMENTO DA PERSONALIDADE. TRATAMENTO DE DADOS PESSOAIS PELO ESTADO BRASILEIRO. COMPARTILHAMENTO DE DADOS PESSOAIS ENTRE ÓRGÃOS E ENTIDADES DA ADMINISTRAÇÃO PÚBLICA FEDERAL. ADI E ADPF CONHECIDAS E, NO MÉRITO, JULGADAS PARCIALMENTE PROCEDENTES. INTERPRETAÇÃO CONFORME À CONSTITUIÇÃO. DECLARAÇÃO DE INCONSTITUCIONALIDADE COM EFEITOS FUTUROS. 1. A Ação Direta de Inconstitucionalidade é cabível para impugnação do Decreto 10.046/2019, uma vez que o ato normativo não se esgota na simples regulamentação da Lei de Acesso à Informação e da Lei Geral de Proteção de Dados Pessoais, mas inova na ordem jurídica com a criação do Cadastro Base do Cidadão e do Comitê Central de Governança de Dados. A Arguição de Descumprimento de Preceito Fundamental é cabível para impugnar o ato do poder público tendente à lesão de preceitos fundamentais, qual seja, o compartilhamento de dados da Carteira Nacional de Habilitação entre o SERPRO e a ABIN, ante a inexistência de outras ações aptas a resolver a controvérsia constitucional de forma geral, definitiva e imediata. 2. No julgamento da Ação Direta de Inconstitucionalidade 6.387, Rel. Min. Rosa Weber, o Supremo Tribunal Federal reconheceu a existência de um direito fundamental autônomo à proteção de dados pessoais e à autodeterminação informacional. A Emenda Constitucional 115, de 10 de fevereiro de 2022, positivou esse direito fundamental no art. 5º, inciso LXXIX, da Constituição Federal. 3. O tratamento de dados pessoais pelo Estado é essencial para a prestação de serviços públicos. Todavia, diferentemente do que assevera o ente público, a discussão sobre a privacidade nas relações com a Administração Estatal não deve partir de uma visão dicotômica que coloque o interesse público como bem jurídico a ser tutelado de forma totalmente distinta e em confronto com o valor constitucional da privacidade e proteção de dados pessoais. 4. Interpretação conforme à Constituição para subtrair do campo semântico da norma eventuais aplicações ou interpretações que conflitem com o direito fundamental à proteção de dados pessoais. O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública, pressupõe: a) eleição de propósitos legítimos, específicos e explícitos para o tratamento de dados (art. 6º, inciso I, da Lei 13.709/2018); b) compatibilidade do tratamento com as finalidades informadas (art. 6º, inciso II); c) limitação do compartilhamento ao mínimo necessário para o atendimento da finalidade informada (art. 6º, inciso III); bem como o cumprimento integral dos requisitos, garantias e procedimentos estabelecidos na Lei Geral de Proteção de Dados, no que for compatível com o setor público. 5. O compartilhamento de dados pessoais entre órgãos públicos pressupõe rigorosa observância do art. 23, inciso I, da Lei 13.709/2018, que determina seja dada a devida publicidade às hipóteses em que cada entidade governamental compartilha ou tem acesso a banco de dados pessoais, “fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos”. 6. O compartilhamento de informações pessoais em atividades de inteligência deve observar a adoção de medidas proporcionais e estritamente necessárias ao atendimento do interesse público; a instauração de procedimento administrativo formal, acompanhado de prévia e exaustiva motivação, para permitir o controle de legalidade pelo Poder Judiciário; a utilização de sistemas eletrônicos de segurança e de registro de acesso, inclusive para efeito de responsabilização em caso de abuso; e a observância dos princípios gerais de proteção e dos direitos do titular previstos na LGPD, no que for compatível com o exercício dessa função estatal. 7. O acesso ao Cadastro Base do Cidadão deve observar mecanismos rigorosos de controle, condicionando o compartilhamento e tratamento dos dados pessoais à comprovação de propósitos legítimos, específicos e explícitos por parte dos órgãos e entidades do Poder Público. A inclusão de novos dados na base integradora e a escolha de bases temáticas que comporão o Cadastro Base do Cidadão devem ser precedidas de justificativas formais, prévias e minudentes, cabendo ainda a observância de medidas de segurança compatíveis com os princípios de proteção da Lei Geral de Proteção de Dados Pessoais, inclusive a criação de sistema eletrônico de registro de acesso, para fins de responsabilização em caso de abuso. 8. O tratamento de dados pessoais promovido por órgãos públicos que viole parâmetros legais e constitucionais, inclusive o dever de publicidade fora das hipóteses constitucionais de sigilo, importará a responsabilidade civil do Estado pelos danos suportados pelos particulares, associada ao exercício do direito de regresso contra os servidores e agentes políticos responsáveis pelo ato ilícito, em caso de dolo ou culpa. 9. Declaração de inconstitucionalidade, com efeitos pro futuro, do art. 22 do Decreto 10.046/2019. O Comitê Central de Governança de Dados deve ter composição independente, plural e aberta à participação efetiva de representantes de outras instituições democráticas, não apenas dos representantes da Administração Pública federal. Ademais, seus integrantes devem gozar de garantias mínimas contra influências indevidas. (ADI 6649, Relator(a): GILMAR MENDES, Tribunal Pleno, julgado em 15/09/2022, PROCESSO ELETRÔNICO DJe-s/n DIVULG 16-06-2023 PUBLIC 19-06-2023)