A Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) trouxe uma mudança de paradigma na forma como dados pessoais são coletados, tratados e armazenados no Brasil. Para as Defensorias Públicas, essa legislação impõe desafios singulares, dada a natureza do serviço prestado: o acesso à justiça para a população hipossuficiente, que frequentemente envolve o tratamento de dados sensíveis e a necessidade de compartilhamento de informações com diversos órgãos e instituições.
Este artigo tem como objetivo analisar a intersecção entre a atuação das Defensorias Públicas e a LGPD, com foco na jurisprudência do Superior Tribunal de Justiça (STJ), fornecendo orientações práticas para a conformidade das instituições.
A Defensoria Pública como Agente de Tratamento de Dados
A Defensoria Pública atua como controladora de dados pessoais, definindo as finalidades e os meios de tratamento das informações coletadas de seus assistidos, servidores e colaboradores (art. 5º, VI, da LGPD). O tratamento desses dados deve observar os princípios da LGPD, especialmente a finalidade, a adequação, a necessidade, o livre acesso, a qualidade dos dados, a transparência, a segurança, a prevenção, a não discriminação e a responsabilização e prestação de contas (art. 6º da LGPD).
Tratamento de Dados Sensíveis
As Defensorias Públicas frequentemente lidam com dados sensíveis, como informações sobre saúde, origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, dados genéticos ou biométricos, quando vinculados a uma pessoa natural (art. 5º, II, da LGPD). O tratamento de dados sensíveis exige maior rigor e proteção, sendo permitido apenas em situações específicas, como para o cumprimento de obrigação legal ou regulatória pelo controlador, para a proteção da vida ou da incolumidade física do titular ou de terceiro, ou para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (art. 11, II, da LGPD).
A Jurisprudência do STJ e a LGPD nas Defensorias Públicas
O Superior Tribunal de Justiça (STJ) tem desempenhado um papel fundamental na interpretação e aplicação da LGPD, consolidando entendimentos que impactam diretamente a atuação das Defensorias Públicas.
Compartilhamento de Dados com Outras Instituições
O compartilhamento de dados pessoais entre órgãos públicos é uma realidade na atuação da Defensoria Pública, muitas vezes necessário para a prestação de assistência jurídica integral e gratuita. O STJ tem se posicionado sobre os limites e requisitos para esse compartilhamento, enfatizando a necessidade de previsão legal, finalidade específica e consentimento do titular, quando exigido.
Em julgamento recente, o STJ destacou que o compartilhamento de dados pessoais entre órgãos públicos sem o consentimento do titular só é permitido se houver expressa previsão legal e finalidade específica, compatível com as atribuições do órgão receptor. A decisão reforça a importância de convênios e acordos de cooperação bem definidos, que estabeleçam as regras para o compartilhamento de dados, garantindo a transparência e a segurança das informações.
Acesso a Dados por Terceiros
A LGPD garante ao titular o direito de acesso aos seus dados pessoais (art. 18, II, da LGPD). O STJ tem se debruçado sobre a amplitude desse direito, especialmente em casos envolvendo o acesso a dados por terceiros.
No julgamento do RMS 61.343/RJ, o STJ firmou o entendimento de que o acesso a dados pessoais por terceiros, mesmo em processos judiciais, deve ser restrito e justificado, observando os princípios da necessidade e da proporcionalidade. A decisão destaca que a proteção de dados pessoais não é um direito absoluto, mas deve ser ponderada com outros direitos e interesses legítimos, como o direito à prova e o acesso à justiça.
Orientações Práticas para as Defensorias Públicas
Para garantir a conformidade com a LGPD e mitigar riscos legais, as Defensorias Públicas devem adotar medidas proativas, implementando um programa de governança em privacidade e proteção de dados.
Mapeamento de Dados
O primeiro passo para a conformidade é o mapeamento de todos os dados pessoais tratados pela Defensoria Pública, identificando as fontes de coleta, as finalidades do tratamento, os prazos de retenção e as bases legais que justificam o tratamento (art. 7º e 11 da LGPD).
Políticas e Procedimentos
A Defensoria Pública deve elaborar e implementar políticas e procedimentos claros e acessíveis sobre privacidade e proteção de dados, incluindo política de privacidade, política de segurança da informação, procedimentos para atendimento aos direitos dos titulares (art. 18 da LGPD) e procedimentos para resposta a incidentes de segurança (art. 48 da LGPD).
Treinamento e Conscientização
É fundamental capacitar os defensores, servidores e colaboradores sobre a LGPD e as políticas internas da instituição. O treinamento deve abordar conceitos básicos de proteção de dados, princípios da LGPD, direitos dos titulares, medidas de segurança da informação e procedimentos para resposta a incidentes de segurança.
Segurança da Informação
A Defensoria Pública deve adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 46 da LGPD).
Encarregado pelo Tratamento de Dados Pessoais (DPO)
A nomeação de um Encarregado pelo Tratamento de Dados Pessoais (DPO) é obrigatória para as Defensorias Públicas (art. 41 da LGPD). O DPO é responsável por atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
A LGPD e a Atuação da Defensoria Pública no Futuro
A LGPD é uma legislação em constante evolução, e a jurisprudência do STJ e de outros tribunais continuará a moldar a sua aplicação. As Defensorias Públicas devem acompanhar atentamente as atualizações normativas e jurisprudenciais, adaptando seus processos e políticas para garantir a conformidade com a lei e a proteção dos dados pessoais de seus assistidos.
A legislação atualizada até 2026, incluindo eventuais resoluções e regulamentos da ANPD, trará novos desafios e oportunidades para as Defensorias Públicas. A adequação à LGPD não deve ser vista apenas como uma obrigação legal, mas como uma oportunidade para aprimorar a governança da instituição, fortalecer a confiança dos assistidos e garantir a prestação de um serviço público de qualidade, com respeito à privacidade e à proteção de dados.
Conclusão
A LGPD impõe desafios significativos para as Defensorias Públicas, que lidam com dados sensíveis e informações confidenciais de pessoas em situação de vulnerabilidade. A jurisprudência do STJ tem fornecido orientações importantes para a interpretação e aplicação da lei, destacando a necessidade de observar os princípios da LGPD, especialmente a finalidade, a necessidade e a proporcionalidade. Para garantir a conformidade com a LGPD e mitigar riscos legais, as Defensorias Públicas devem adotar medidas proativas, implementando um programa de governança em privacidade e proteção de dados, com foco no mapeamento de dados, elaboração de políticas e procedimentos, treinamento e conscientização, segurança da informação e nomeação de um DPO. O acompanhamento das atualizações normativas e jurisprudenciais é fundamental para garantir a proteção dos dados pessoais e a prestação de um serviço público de excelência.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.