LGPD e advocacia pública: a Lei Geral de Proteção de Dados no Setor Público
“É preciso começar a pensar e a concretizar a adequação à Lei Geral de Proteção de Dados (LGPD), ainda mais com um governo que está se digitalizando”. O conselho é do advogado Rodrgio Berthier. Foi repassado aos participantes do 1º Congresso Brasileiro Virtual de Procuradores Municipais (CBVPM). É importante porque trouxe à tona a questão da Lei Geral de Proteção de Dados no Setor Público e levantou outra indagação: o que muda na advocacia pública com a LGPD?
Um entendimento já consolidado é este: hoje em dia, tudo se resume a dados e, muitas vezes, a dados pessoais. Essas informações individuais, que pertencem à própria pessoa exclusivamente, é a principal razão pela qual a Lei surgiu.
O interessante é entender quais conceitos a LGPD traz e como se aplica às instituições públicas, a exemplo das Procuradorias Municipais, de Estados, Autarquias e Universidades. Mas antes desses temas serem tratados, vem o entendimento do contexto que precedeu a instauração da LGPD.
Em 2011, a Lei de Acesso à Informação definiu os mecanismos, prazos e procedimentos para a entrega das informações solicitadas à administração pública pelos cidadãos. Três anos a frente (2014), o Marco Civil da Internet estabeleceu os princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Portanto, de alguma forma, as informações das pessoas já eram salvaguardadas por ambas as leis.
Enquanto o país se organizava para atender às normas, a União Europeia (UE) instaurou o Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês), em 2016. Isso sinalizou para o mundo a importância de os países disporem de regras rigorosas para a proteção da privacidade dos indivíduos.
O curioso é que o Brasil iniciou as discussões da LGPD em 2010, dois anos antes do começo das tratativas sobre o tema na União Europeia. Mas no país a Lei de Proteção só entrou em vigor em 2020, quatro anos depois de a comunidade europeia já estar sob a proteção da GDPR, que entrou em vigor em 25 de Maio de 2018.
Por fim, a LGPD baseou-se no regulamento europeu, que busca a uniformização do tema. “Sem uma lei que pense numa harmonização, sequer seria possível abranger a proteção de dados como é preciso”, afirma Berthier.
Informações amparadas pela Lei Geral de Proteção de Dados no setor público
O objetivo primordial da LGPD é garantir a qualquer pessoa o controle sobre o acesso de terceiros à sua vida privada. Portanto, cabe somente ao proprietário da informação decidir o que pode ser feito com as informações que fornece e a maneira como esses dados serão utilizados.
Sendo assim, em resumo, a Lei centra-se em realmente salvaguardar os dados pessoais. Com isso, a regulamentação busca impedir a circulação livre dessas informações. Também, que elas sejam usadas de maneira equivocada. Afinal, tornava-se comum a coleta de informações sem um explicação clara a respeito de porque eram necessárias.
Assim, não interessa qual é o dado pessoal – se sensível ou em banco de dados. Mesmo que se trate da cor da calota do carro de alguém ou do número do Registro Geral (RG), todos os dados pessoais estão protegidos pela legislação e só poderão receber algum tipo de tratamento perante a existência de uma justificativa legal para isso.
Dessa maneira, compreender como a legislação entende o que é cada dado se torna primordial:
Dado pessoal
É toda informação relacionada à pessoa natural identificada ou identificável. Por exemplo, o número do RG é uma informação identificada. Já a cor e o modelo da roupa usada na palestra do Congresso de Procuradores é identificável porque é possível identificar alguém como a pessoa de vestido preto e branco com um enfeite de pedrarias perto da gola.
Dado pessoal sensível
É o dado pessoal que referencia a origem racial ou étnica, a convicção religiosa, a opinião política, a filiação a sindicato ou a organização de caráter religioso, filosófico ou político, para citar alguns exemplos.
Resumidamente, pode ser considerado dado pessoal sensível aquele com potencialidade discriminatória, ou de uso abusivo, como os que dizem respeito à saúde e orientação sexual. Para que possa ser usado, o titular deve estar ciente e consentir sobre o uso.
A utilização de dado sensível sem o conhecimento do titular só é permitida em casos muito específicos: cumprimento de obrigação legal, execução de políticas públicas, exercício regular de direitos, proteção da vida e outros.
Ainda assim, os órgãos e entidades públicas precisam dar a devida publicidade sobre a dispensa de consentimento do titular quando fizer uso dos seus dados. O meio usado para isso habitualmente é o site da instituição. Na página devem ser expostas a previsão legal autorizadora da operação, a finalidade, os procedimentos e as práticas utilizadas pelo poder público.
Dado anonimizado
É o dado que não pode ser identificado, ou seja, o que impossibilita a associação, direta ou indireta, a um indivíduo. Portanto, é o tipo de dado que torna impossível identificar o seu titular.
Banco de dados
É o conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, tanto em suporte eletrônico quanto físico.
Quando a administração pública pode tratar os dados pessoais
Ao falar de dados, é preciso falar de tratamento. Esse termo a LGPD conceitua da seguinte forma:
Toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Na administração pública, os dados dos cidadãos são usados a todo o momento, com distintas finalidades. Há que se ter somente um cuidado na sua utilização. Em síntese, a Lei Geral de Proteção de Dados impõem que as informações sejam usadas de acordo com os princípios que estabelece:
- ser realizado com um objetivo certo e determinado;
- informar a intenção de uso dos dados ao titular – que deve concordar e delimitar o objeto do tratamento;
- tratar somente os dados pertinentes, ou seja, aqueles imprescindíveis para atingir o objetivo planejado;
- informar ao titular como acessar gratuitamente os dados tratados;
- informar o período em que os dados tratados serão utilizados;
- preservar, sempre em ambiente seguro, os dados das pessoas naturais que são objeto do tratamento.
O que a LGPD muda na advocacia pública?
O setor público recebe, produz e coleta muitas informações e muitos dados. Ainda assim, segundo o advogado Rodrigo Berthier, praticamente nada se altera no poder público em função da Lei Geral de Proteção de Dados. “O setor público já atua dentro da Lei”, reitera.
De qualquer maneira, a LGPD é interessante para a administração pública porque gera mais clareza quanto às bases legais. Com isso, as instituições de todas as esferas governamentais asseguram que sua atuação prossegue em conformidade com o regramento legal do Brasil.
Nesse interim, a forma de salientar a atuação nos termos da Lei é procuradores e servidores terem ciência sobre o que determina a Lei Geral de Proteção de Dados.
Algumas Procuradorias Jurídicas optaram por elaborar um plano de adequação à LGPD no Setor Público. Dessa forma, aprofundaram o conhecimento da legislação e obtiveram maior subsídio para a atividade consultiva. Sem contar o entendimento acerca das bases legais previstas na lei e e que estão à disposição do poder público.
Principais bases legais da LGPD aplicadas ao setor público
No geral, as bases legais são o consentimento, o legítimo interesse, a execução de políticas públicas e o cumprimento de atribuições legais.
Consentimento
Exige que o indivíduo esteja ciente e de acordo com o tratamento de seus dados. Na prática, significa que o número de telefone do contribuinte somente poderá constar na base da administração pública para envio de mensagens sobre cobrança de dívida no caso de esse ter concordado com o uso do número pessoal para tal finalidade.
Nesse caso e em qualquer outro, o consentimento deve ser fornecido por escrito ou por outro meio que demonstre de forma clara e direta o desejo do titular dos dados.
Em qualquer momento em que essa vontade expressa mudar, o consentimento pode ser revogado. Essa possibilidade gera dúvidas quanto a aplicação do consentimento na administração pública. “Além disso, há o entendimento de que o consentimento não se aplica ao poder público. Sendo assim, como regra, não se pode falar em consentimento no poder público. Mas, há exceções”, explica o advogado Rodrigo Berthier.
Execução de políticas públicas
A Lei Geral de Proteção de Dados no setor público autoriza os órgãos da administração pública a tratar e compartilhar os dados pessoais para a execução de políticas públicas, sem a necessidade de consentimento dos titulares. Contudo, isso não desobriga a administração de fornecer ao titular dos dados informações claras e inequívocas sobre a base legal para o tratamento desses dados, a finalidade e os procedimentos utilizados ao longo do ciclo de vida do dado dentro da administração pública.
Dessa forma, a LGPD busca equilibrar a eficiência, por meio do compartilhamento de dados, com a proteção à privacidade e à segurança dos titulares de dados pessoais.
Cumprimento de atribuições legais
À administração pública é garantido tratar os dados para o cumprimento de atribuições legais. Essa base legal evita que a LGPD cause conflito com outros instrumentos normativos vigentes no ordenamento jurídico brasileiro. Ainda, possibilita a dispensa da solicitação do consentimento.
Exercício regular de direitos
A intenção dessa base legal é garantir o direito de produção de provas de uma parte em face da outra, ainda que não exista o consentimento do titular do dado. Dessa maneira, a Lei assegura os preceitos constitucionais da ampla defesa e do contraditório. Tanto que o exercício regular de direitos atende aos processos judicial, administrativo ou arbitral.
Legítimo interesse
O legítimo interesse é a base legal a qual se recorre quando não há outra base aplicável ao caso. Para o seu uso é necessário identificar um interesse inequivocamente legítimo, demonstrar que o tratamento de dados é necessário para atingir um objetivo e cuidar para não violar nenhum dispositivo legal ou direito do titular dos dados.
LGPD prevê penalidades distintas para o setor público
A responsabilização do poder público por violação das normas de proteção de dados pessoais é distinta da aplicada à iniciativa privada. Mesmo assim, mantém-se a obrigatoriedade de a administração pública submeter-se à Autoridade Nacional de Proteção de Dados (ANPD).
A ANPD é responsável por assegurar a mais ampla e correta observância da LGPD no Brasil. Portanto, tem como maior atribuição garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos. No Artigo 55-J da Lei constam as principais competências da Autoridade de Proteção e no site oficial do órgão há mais informações sobre a ANPD.
Embora se fale muito no caráter punitivo, a Autoridade Nacional também está instituída para orientar sobre a adoção de padrões e boas práticas, com o objetivo de apoiar os órgãos governamentais, como as Procuradorias Jurídicas, para atuar preventivamente.
Ao investir recursos humanos e tempo para preparar a Procuradoria e operacionalizar a atividade consultiva, a administração pública previne situações que podem porventura ser objeto de contestação e ainda aumenta a segurança em torno da questão dos dados pessoais.
Contudo, permanece a possibilidade de ocorrer uma infração que fira os direitos do titular de dados pessoais. Nesse caso, há a obrigação de reparação e de haver um controlador, um operador e um encarregado do tratamento dos dados pessoais para determinar sobre quem deverá recair tal obrigação.
As figuras do controlador, operador e encarregado do tratamento de dados pessoais estão previstas na LGPD. Cada vez que é preciso intermediar o contato entre um titular de dados, a Procuradoria Jurídica e a Autoridade Nacional, uma dessas figuras é acionada.
Em resumo, a Lei Geral de Proteção de Dados no setor público, para aqueles que atuam com a devida
cautela e adotam as medidas viáveis e disponíveis, não deve causar temor e nem impossibilitar a atuação dos órgãos da administração pública. Pelo contrário. A atenção às regras de proteção de dados vigentes resguarda o serviço público das possíveis responsabilizações.
A saber, as sanções aplicáveis ao setor público são:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- publicização da infração, após confirmação de sua ocorrência;
- bloqueio dos dados pessoais objeto da infração, até ocorrer regularização;
- eliminação dos dados pessoais objeto da infração;
- suspensão parcial do funcionamento do banco de dados objeto da infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais objeto da infração pelo período máximo de seis meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Essas sanções não inviabilizam a aplicação das demais penalidades previstas nos respectivos estatutos e normativas dos servidores em caso de violação do regime disciplinar ou conduta inapropriada.
As únicas circunstâncias em que é possível não haver responsabilização é quando:
- não tiver havido tratamento algum de dados pessoais;
- houve tratamento nos estritos limites da legislação de proteção de dados;
- o dano decorreu de culpa exclusiva de terceiro ou da vítima, ou seja, o titular dos dados pessoais.
O papel dos agentes de tratamento de dados no cumprimento da LGPD
Garantir que se cumpram as determinações da LGPD é responsabilidade dos agentes de tratamento de dados pessoais: controlador, operador e encarregado de dados. Pela Lei, cada um tem as suas próprias funções.
Controlador
Ao controlador competem as decisões referentes ao tratamento de dados pessoais. Obter o consentimento, conferir se os requisitos para o tratamento dos dados estão sendo respeitados e emitir os relatórios necessário são algumas das suas atribuições. Junto com o operador, faz a indicação para o cargo de encarregado pelo tratamento dos dados.
Operador
O operador, por sua vez, atua conforme as instruções do controlador. Em conjunto, são considerados os responsáveis por manter o registro das atividades de tratamento de dados e orientar o encarregado para mediar a comunicação entre controlador, titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Encarregado do tratamento de dados pessoais
Em suma, o encarregado de dados é designado como Data Protection Officer (DPO), cargo em evidência desde que se começou a falar em Lei Geral de Proteção de Dados em função do que representa para a rotina do setor público e privado.
Apesar da importância, a LGPD não define se o encarregado deve ser servidor do órgão público ou agente externo. A única recomendação da Autoridade Nacional de Proteção de Dados é para que a indicação seja feita por intermédio de ato formal, ou seja, por ato administrativo, no caso do setor público.
Algumas Procuradorias Jurídicas optaram por formar equipes de apoio para o encarregado. Tal suporte às diversas tarefas que envolvem a proteção de dados contribui para que haja melhor compreensão sobre os aspectos jurídicos e até questões de ordem técnica relacionadas a sistemas de automação e gestão de processos, por exemplo.
Maneiras de manter a segurança e a integridade dos dados pessoais
A LGPD exige que se garanta ao máximo a segurança e a integridade dos dados pessoais. Isso está explícito nos parâmetros para coleta, tratamento e armazenamento das informações que impõem aos negócios privados e ao setor público.
Nesse sentido, para assegurar que as medidas planejadas realmente protegerão os dados, alguns questionamentos não podem deixar de ser respondidos:
- quais são os mecanismos de controle disponíveis para a aplicação da política interna de proteção?
- O profissional para conduzir este processo é realmente qualificado para a função?
- O que está sendo feito para minimizar os atuais pontos de fragilidade?
Uma variação dessas mesmas perguntas pode servir para a contratação de uma solução para agilizar o trabalho nas Procuradorias Jurídicas. Isto porque transitam muitos dados de pessoas naturais pelos sistemas que auxiliam na gestão e automação de processos. Sendo assim, deve haver um compromisso com a manutenção da privacidade desses dados.
Significa que as ferramentas desenvolvidas ou escolhidas para colaborar com o dia a dia da Procuradoria Jurídica e outros órgãos do Executivo devem dispor de configurações e opções suficientes para garantir a segurança na utilização dos dados.
Nessa parte específica, muitas das soluções tecnológicas disponíveis atualmente, desenvolvidas de acordo com as melhores práticas de cyber security (segurança cibernética), á salvaguardam toda e qualquer informação de possíveis vulnerabilidades. Os sistemas que suportam a gestão de dados, a exemplo do Sistema de Automação da Justiça para Procuradorias (SAJ Procuradorias), reforçam com isso a proteção das informações que transitam e são armazenadas na solução. Tal precaução, somada à agilidade para gerenciar as informações, até já alterou o ponto de vista em Procuradorias, a ponto de as instituições optarem pela digitalização do acervo físico.
Aliás, é da ciência de todos que a Lei Geral de Proteção de Dados determina que não importa o formato dos dados pessoais. Tanto os digitais quanto os físicos têm de ser salvaguardados conforme estabelecem suas normas. Desta maneira, Procuradorias com acervos físicos têm não apenas que confirmar o plano de segurança daquilo que está digitalizado, como elaborar um plano para manter os dados físicos seguros. É praticamente um trabalho duplo para atender a mesma situação.
Nesse contexto, a digitalização talvez se consolide como mais um avanço orquestrado pelo advento da Lei de Proteção. Afinal, dispor do suporte de um sistema preparado para garantir a segurança da informação é uma forma de estar em conformidade com a Lei e, por conseguinte, dispor de outros benefícios, como mobilidade.
O SAJ, por exemplo, possibilita o acesso remoto. Dentro dos preceitos da Lei, a prática – até certo ponto convencionada – de salvar informações em um dispositivo móvel, com um pen drive, para levar as informações de dentro do órgão público para poder finalizar o trabalho em casa, é contrária às normas. Da mesma forma, armazenar as informações em redes compartilhadas e de acesso irrestrito as deixa suscetíveis a um uso indevido, apesar da boa-fé.
Assim, um sistema de automação que reúne todos os dados, os categoriza conforme a demanda da Procuradoria Jurídica, os protege com o que há de mais inovador em termos de cyber security, e ainda tem a facilidade de ser acessado de qualquer lugar, no momento que for preciso, figura como uma solução eficiente perante os anseios instituídos pela Lei Geral de Proteção de Dados.
7 materiais para estudar a Lei Geral de Proteção de Dados no Setor Público
Muitos profissionais do segmento de Justiça dedicaram muito do seu tempo ao estudo da LGPD no setor público. Na Advocacia-Geral do Estado de Minas Gerais (AGE-MG) a matéria resultou no Manual de Interpretação da Lei Geral de Proteção de Dados. Já na prefeitura de João Pessoa (PB), movimentou o Conselho de Transparência a realizar a palestra online sobre Os Desafios da Aplicação da Lei Geral de Proteção de Dados nos Arquivos Públicos.
Por esse mesmo caminho seguiu a Ordem dos Advogados do Brasil no Rio Grande do Sul (OAB/RS). A entidade realizou um webinar sobre a Implementação da LGPD na Administração Pública para esclarecer as dúvidas e informar os interessados a respeito do assunto.
Com um propósito semelhante, a Procuradoria-Geral do Estado de Santa Catarina (PGE/SC) optou por fazer um Seminário para abordar as noções básicas e aspectos jurídicos da Lei Geral de Proteção de Dados. As palestras foram transmitidas pelo YouTube no primeiro e no segundo dia do evento e ficaram disponíveis na rede de vídeos.
Na Escola Nacional de Administração Pública (ENAP) há dois cursos gratuitos sendo oferecidos para aprofundamento na LGPD: Introdução à lei brasileira de proteção de dados pessoais e Proteção de dados pessoais no setor público.
Como forma de contribuir e orientar gestores públicos sobre alguns dos impactos da legislação em rotinas e políticas públicas, a Procuradoria-Geral do Município (PGM) de Porto Alegre (RS) e o Tribunal de Contas do Estado do Rio Grande do Sul (TCE-RS) editaram o eBook Lei Geral de Proteção de Dados e o Poder Público. A publicação reúne 13 artigos que apresentam desde noções básicas sobre a proteção de dados no poder público, até análises sobre a relação da LGPD com a Lei de Acesso à Informação e reflexões sobre seus impactos em projetos de cidades inteligentes e utilização de novas tecnologias, como o reconhecimento facial.
Implantação da Lei Geral de Proteção de Dados no setor público
Aplicar a Lei Geral no âmbito da Administração Municipal e Estadual suscitou muitas dúvidas, de fato, e também originou diferentes modelos para implantação da LGPD no setor público.
A Prefeitura de São Paulo (SP), por exemplo, antecipou-se à entrada em vigor das sanções administrativas da LGPD em 2021 e regulamentou a aplicação da Lei Geral no âmbito da Administração Municipal direta e indireta a partir do Decreto Municipal nº 59.767, de setembro de 2020.
A prefeitura de Fortaleza (CE) mantém um espaço específico para a LGPD no Portal da Transparência da cidade. Dessa forma, as pessoas têm acesso facilitado às principais informações, como aquelas sobre os encarregados de dados em cada instituição municipal, relacionadas à Política de Governança em Privacidade de Dados, ao canal para solicitação de informações e outros materiais de apoio.
Nessa mesma linha, a página da capital do Paraná (Curitiba) na internet mantém públicas as informações de contato do Encarregado Geral de Proteção de Dados e as orientações a respeito de como abrir uma requisição para exercer os direitos de titular de dados pessoais.
São todos exemplos de boas práticas na esfera municipal que podem servir de base a outros municípios. Para os Estados, um norte interessante é o Decreto Estadual nº 41.238, do Estado da Paraíba (PB), com data de 7 de maio de 2021. O texto prevê a criação do Conselho Gestor de Proteção de Dados Pessoais (CGPDP), do Comitê Executivo de Proteção de Dados Pessoais (CEPDP) e contém definições sobre os Encarregados pelo tratamento dos dados pessoais (DPO).
Os decretos são instrumentos essenciais para a regulamentação da Lei de Proteção de Dados em âmbito local, pois guiam a implementação da legislação. Em Estados em que as normas já se estabeleceram, como em Minas Gerais, a adequação foi feita em etapas. Na primeira delas, foram compostos os grupos de trabalho e definidas as ações orientadas, com atribuição de funções e indicação de encarregados para o tratamento dos dados pessoais. Depois, foram estabelecidas a metodologia de pesquisa sobre o nível de percepção dos servidores em relação ao assunto e proposto de cronograma para o planejamento dos trabalhos e alinhamento com a alta administração. Na terceira fase, foi feito o mapeamento de processos, documentos normativos e o inventário dos dados pessoais tratados nas instituições estaduais.
Conclusão
Embora a Lei Geral de Proteção de Dados não ocasione uma grande mudança na forma como o setor público se comporta em relação aos dados dos cidadãos, é necessário que esse atue conforme a Lei e promova os ajustes necessários para atender completamente às normas regulatórias.
“Não seria possível e nem admissível o poder público não passar pela regulação, principalmente porque é o grande mediador de dados das pessoas”, corrobora o advogado Rodrigo Berthier.
Sendo assim, as bases legais devem ser identificadas com precisão por todos os servidores e pelas Procuradorias Jurídicas, pois o uso incorreto de uma base legal pode acarretar em consequências indesejadas.
Para a administração pública, como já se pôde observar, isso implica não apenas no dever de se cumprir o que determina a regulamentação, como também em se abster de realizar operações lesivas ou excessivamente perigosas para a segurança dos dados pessoais dos cidadãos. Ainda, requer uma atuação proativa no sentido de criar mecanismos que garantam a proteção dos dados diante do risco existente nas operações de tratamento.
Portanto, o cultivo de boas práticas se torna, por fim, a melhor conduta para que a Lei Geral de Proteção de Dados no setor público seja de fato um instrumento que garanta os direitos fundamentais de liberdade, privacidade e livre formação da personalidade individual.