A Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018 — trouxe um novo paradigma para o tratamento de dados pessoais no Brasil, impactando todos os setores, inclusive o público. Para a Defensoria Pública, a adequação à LGPD apresenta desafios peculiares, decorrentes da natureza de suas funções e da vulnerabilidade de seu público-alvo. O presente artigo visa explorar os aspectos polêmicos da aplicação da LGPD no âmbito das Defensorias Públicas, analisando os conflitos aparentes e as soluções jurídicas e práticas para garantir a proteção de dados sem comprometer o acesso à justiça.
A Defensoria Pública como Agente de Tratamento de Dados
A Defensoria Pública, no exercício de sua missão constitucional de prestar assistência jurídica integral e gratuita aos necessitados (art. 134 da Constituição Federal), realiza o tratamento de um volume expressivo de dados pessoais. Desde a coleta de informações básicas para triagem até o acesso a dados sensíveis, como informações de saúde, histórico criminal e situação socioeconômica, a Defensoria atua como controladora de dados, sujeitando-se às obrigações e penalidades previstas na LGPD.
O Princípio da Finalidade e o Acesso à Justiça
A LGPD estabelece que o tratamento de dados deve ocorrer para propósitos legítimos, específicos, explícitos e informados ao titular (art. 6º, I). No caso da Defensoria Pública, a finalidade principal é a prestação de assistência jurídica. Contudo, a amplitude dessa assistência, que engloba a defesa de direitos individuais e coletivos em diversas áreas, pode gerar dúvidas sobre a delimitação da finalidade e a necessidade de consentimento do titular.
A atuação da Defensoria Pública encontra amparo no art. 7º, III da LGPD, que autoriza o tratamento de dados pela administração pública para a execução de políticas públicas previstas em leis e regulamentos. No entanto, a aplicação desse dispositivo exige cautela, especialmente quando o tratamento envolve dados sensíveis, que demandam maior rigor e proteção.
O Desafio dos Dados Sensíveis
A LGPD define dados sensíveis como aqueles referentes à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico (art. 5º, II). A Defensoria Pública, por lidar frequentemente com pessoas em situação de vulnerabilidade, processa um volume significativo de dados sensíveis, o que exige a adoção de medidas de segurança robustas e a observância rigorosa das bases legais para o tratamento.
O art. 11 da LGPD estabelece que o tratamento de dados sensíveis somente poderá ocorrer com o consentimento específico e destacado do titular, ou sem consentimento, nas hipóteses previstas no inciso II, como o cumprimento de obrigação legal ou regulatória, a execução de políticas públicas, a proteção da vida e a tutela da saúde. A Defensoria Pública, em muitos casos, poderá se valer dessas exceções, mas a análise deve ser feita caso a caso, considerando a necessidade e a proporcionalidade do tratamento.
Aspectos Polêmicos e Desafios Práticos
A implementação da LGPD na Defensoria Pública não é isenta de controvérsias e desafios. A necessidade de conciliar a proteção de dados com a garantia do acesso à justiça exige um equilíbrio delicado e a adoção de soluções inovadoras.
A Questão do Consentimento
O consentimento é a base legal mais conhecida da LGPD, mas sua aplicação no contexto da Defensoria Pública pode ser problemática. Pessoas em situação de vulnerabilidade, muitas vezes, não têm condições de compreender plenamente as implicações do consentimento ou se sentem coagidas a fornecê-lo para obter a assistência jurídica de que necessitam.
A Defensoria Pública deve buscar alternativas ao consentimento, fundamentando o tratamento de dados em outras bases legais, como o cumprimento de obrigação legal ou a execução de políticas públicas. Quando o consentimento for imprescindível, é fundamental que seja obtido de forma clara, transparente e livre de qualquer vício, garantindo que o titular compreenda as finalidades e as consequências do tratamento.
O Compartilhamento de Dados com Outros Órgãos
A Defensoria Pública, no exercício de suas funções, frequentemente necessita compartilhar dados com outros órgãos públicos, como o Ministério Público, o Poder Judiciário e órgãos de assistência social. O compartilhamento de dados deve ser pautado pelos princípios da finalidade, necessidade e transparência, e observar as regras estabelecidas na LGPD.
O art. 26 da LGPD prevê que o uso compartilhado de dados pessoais pelo poder público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas. A Defensoria Pública deve estabelecer protocolos e instrumentos jurídicos, como convênios e termos de cooperação, para regulamentar o compartilhamento de dados e garantir a segurança e a privacidade das informações.
A Segurança da Informação
A proteção de dados pessoais exige a implementação de medidas técnicas e administrativas de segurança aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 46 da LGPD). A Defensoria Pública, por tratar de dados sensíveis e vulneráveis, deve investir em infraestrutura de tecnologia da informação, capacitação de servidores e adoção de políticas de segurança da informação rigorosas.
A implementação de controles de acesso, criptografia, backups e planos de resposta a incidentes de segurança são essenciais para mitigar os riscos e garantir a integridade e a confidencialidade dos dados.
Orientações Práticas para a Adequação
A adequação à LGPD é um processo contínuo que exige planejamento, investimento e mudança de cultura organizacional. A Defensoria Pública deve adotar um conjunto de medidas para garantir o cumprimento da lei e a proteção dos dados de seus assistidos.
Mapeamento de Dados e Inventário
O primeiro passo para a adequação é conhecer o ciclo de vida dos dados na instituição. A Defensoria Pública deve realizar um mapeamento detalhado de todos os processos de trabalho que envolvem o tratamento de dados pessoais, identificando as finalidades, as bases legais, os prazos de retenção e as medidas de segurança aplicadas. O resultado desse mapeamento deve ser consolidado em um inventário de dados, que servirá de base para a elaboração de políticas e procedimentos.
Nomeação do Encarregado pelo Tratamento de Dados Pessoais (DPO)
A LGPD exige a nomeação de um Encarregado pelo Tratamento de Dados Pessoais (DPO) para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) (art. 41). A Defensoria Pública deve designar um profissional qualificado para exercer essa função, dotando-o de autonomia e recursos necessários para o desempenho de suas atribuições.
Elaboração de Políticas de Privacidade e Termos de Uso
A transparência é um princípio fundamental da LGPD (art. 6º, VI). A Defensoria Pública deve elaborar e disponibilizar políticas de privacidade claras e acessíveis, informando aos assistidos sobre o tratamento de seus dados, as finalidades, os direitos dos titulares e os canais de contato com o DPO. Os termos de uso de sistemas e plataformas digitais também devem ser revisados e adequados à LGPD.
Capacitação de Servidores e Membros
A cultura de proteção de dados deve ser disseminada em toda a instituição. A Defensoria Pública deve promover a capacitação contínua de seus servidores e membros sobre os princípios e regras da LGPD, as melhores práticas de segurança da informação e os procedimentos para o atendimento aos direitos dos titulares.
Revisão de Contratos e Convênios
A Defensoria Pública deve revisar todos os contratos e convênios que envolvam o tratamento de dados pessoais, inserindo cláusulas que garantam o cumprimento da LGPD pelas partes envolvidas. É fundamental exigir que os prestadores de serviços e parceiros adotem medidas de segurança adequadas e se responsabilizem por eventuais incidentes de segurança.
Conclusão
A adequação da Defensoria Pública à LGPD é um desafio complexo, que exige a conciliação entre a proteção de dados e a garantia do acesso à justiça. A adoção de medidas técnicas, administrativas e jurídicas adequadas, aliada a uma mudança de cultura organizacional, é fundamental para garantir o cumprimento da lei e a proteção dos direitos dos assistidos. A Defensoria Pública, como instituição essencial à função jurisdicional do Estado, deve ser exemplo na proteção de dados, demonstrando que é possível garantir a privacidade e a segurança da informação sem comprometer a efetividade da assistência jurídica integral e gratuita.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.