A Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, revolucionou a forma como o Brasil lida com informações pessoais. Embora a sua implementação no setor privado tenha recebido atenção inicial, a sua aplicação no setor público apresenta desafios e nuances específicos que exigem a atenção de profissionais do Direito Administrativo, como defensores, procuradores, promotores, juízes e auditores. Este artigo se propõe a desmistificar a LGPD no contexto da Administração Pública, analisando seus fundamentos legais, jurisprudência relevante, e oferecendo orientações práticas para a sua efetiva implementação.
Fundamentos Legais: A LGPD e a Administração Pública
A LGPD, em seu artigo 4º, § 3º, estabelece claramente que o tratamento de dados pessoais realizado por pessoas jurídicas de direito público está sujeito à lei. Essa submissão, no entanto, é permeada pelas peculiaridades da Administração Pública, que se pauta pelos princípios da legalidade, impessoalidade, moralidade, publicidade e eficiência, previstos no artigo 37 da Constituição Federal. A tensão entre o direito à privacidade (artigo 5º, X, da CF) e o princípio da publicidade exige um delicado equilíbrio, que a LGPD busca mediar.
O Princípio da Publicidade e o Tratamento de Dados Pessoais
A Lei de Acesso à Informação (LAI), Lei nº 12.527/2011, consagra o direito de acesso à informação pública como regra, sendo o sigilo a exceção. A LGPD, por sua vez, protege os dados pessoais, exigindo consentimento ou outra base legal para o seu tratamento. A aparente contradição entre essas duas leis é resolvida pelo princípio da proporcionalidade. A LAI permite o acesso a informações públicas, mas protege os dados pessoais, salvo se o interesse público justificar a sua divulgação. O artigo 31 da LAI estabelece que informações pessoais relativas à intimidade, vida privada, honra e imagem terão seu acesso restrito, independentemente de classificação de sigilo.
A LGPD, no artigo 23, reforça essa necessidade de harmonização, estabelecendo que o tratamento de dados pessoais pelo poder público deve ser realizado "para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público". A base legal do "interesse público", portanto, se torna fundamental para a atuação da Administração Pública.
Jurisprudência e Normativas Relevantes
A jurisprudência sobre a aplicação da LGPD no setor público ainda está em desenvolvimento, mas algumas decisões e normativas já começam a delinear o cenário. A Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por zelar pela proteção de dados no Brasil, tem emitido resoluções e guias orientativos que são de fundamental importância para a Administração Pública.
Resoluções e Orientações da ANPD
A ANPD publicou a Resolução nº 4/2023, que estabelece diretrizes para a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) pela Administração Pública. O RIPD é um documento essencial para avaliar os riscos do tratamento de dados, especialmente quando este envolve dados sensíveis ou representa alto risco para os titulares. A Resolução detalha os elementos que devem compor o RIPD, garantindo a transparência e a accountability da Administração Pública.
Além disso, a ANPD tem publicado diversos guias orientativos sobre temas como tratamento de dados de crianças e adolescentes, segurança da informação e cookies, que servem como parâmetros para a atuação do poder público. A leitura atenta desses documentos é imprescindível para os profissionais que atuam na implementação da LGPD na Administração Pública.
Decisões Judiciais Relevantes
No âmbito judicial, o Supremo Tribunal Federal (STF) tem se posicionado sobre a ponderação entre o direito à privacidade e o interesse público. No julgamento da ADI 6351, o STF reafirmou a importância da proteção de dados pessoais, mesmo em contextos de emergência, como o enfrentamento da pandemia de COVID-19, ressaltando que o compartilhamento de dados entre órgãos governamentais deve observar os princípios da LGPD, em especial a finalidade, a necessidade e a transparência.
O Superior Tribunal de Justiça (STJ) também tem enfrentado questões relacionadas à LGPD. Em recente decisão, o STJ reconheceu a responsabilidade civil do Estado por vazamento de dados pessoais, ressaltando que a falha na segurança da informação configura dano moral indenizável, mesmo sem a prova de prejuízo material (dano in re ipsa). Essa decisão reforça a necessidade de a Administração Pública investir em segurança da informação e adotar medidas preventivas para evitar incidentes.
Desafios na Implementação da LGPD no Setor Público
A implementação da LGPD na Administração Pública apresenta desafios complexos, que vão desde a cultura organizacional até a falta de recursos financeiros e tecnológicos. A mudança de paradigma, de uma cultura de "posse" da informação para uma cultura de "gestão responsável" dos dados, exige um esforço contínuo de conscientização e treinamento dos servidores públicos.
O Encarregado pelo Tratamento de Dados Pessoais (DPO)
O artigo 23, III, da LGPD exige que a Administração Pública indique um Encarregado pelo Tratamento de Dados Pessoais (DPO). O DPO atua como canal de comunicação entre a instituição, os titulares dos dados e a ANPD, além de ser responsável por orientar os servidores sobre as práticas de proteção de dados. A escolha do DPO deve recair sobre profissional com conhecimento em proteção de dados e que goze de autonomia para exercer suas funções. No setor público, a acumulação de funções e a falta de recursos muitas vezes dificultam a atuação eficaz do DPO.
Segurança da Informação e Incidentes de Segurança
A Administração Pública trata um volume colossal de dados pessoais, muitos deles sensíveis, como informações de saúde, dados fiscais e registros criminais. A segurança da informação é, portanto, um pilar fundamental da implementação da LGPD. O artigo 46 da LGPD exige a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. A comunicação de incidentes de segurança à ANPD e aos titulares dos dados, prevista no artigo 48, é outra obrigação que exige procedimentos claros e eficientes.
Orientações Práticas para Profissionais do Setor Público
Para os profissionais que atuam no setor público, a implementação da LGPD exige uma abordagem proativa e multidisciplinar. A seguir, algumas orientações práticas:
- Mapeamento de Dados: O primeiro passo para a adequação à LGPD é o mapeamento de todos os processos que envolvem o tratamento de dados pessoais. É necessário identificar quais dados são coletados, qual a finalidade da coleta, a base legal que justifica o tratamento, com quem os dados são compartilhados e o prazo de retenção.
- Elaboração do RIPD: Em projetos que envolvam alto risco para os titulares dos dados, a elaboração do Relatório de Impacto à Proteção de Dados Pessoais é obrigatória. O RIPD deve ser elaborado na fase de concepção do projeto (privacy by design) e atualizado periodicamente.
- Revisão de Contratos e Convênios: Todos os contratos e convênios que envolvem o tratamento de dados pessoais devem ser revisados para incluir cláusulas de proteção de dados, garantindo que os parceiros também observem as regras da LGPD.
- Treinamento e Conscientização: A capacitação contínua dos servidores públicos é essencial para a criação de uma cultura de proteção de dados. Os treinamentos devem abordar os princípios da LGPD, as bases legais para o tratamento, os direitos dos titulares e as medidas de segurança da informação.
- Políticas de Privacidade e Transparência: A Administração Pública deve publicar políticas de privacidade claras e acessíveis, informando aos cidadãos como seus dados são tratados. A transparência é um princípio fundamental da LGPD (artigo 6º, VI) e contribui para o fortalecimento da confiança na Administração Pública.
Conclusão
A implementação da LGPD no setor público é um processo complexo e contínuo, que exige o comprometimento de gestores e servidores. A harmonização entre o direito à privacidade e o princípio da publicidade, a necessidade de investimentos em segurança da informação e a mudança da cultura organizacional são desafios que devem ser superados para que a Administração Pública cumpra seu papel de proteger os dados dos cidadãos. O conhecimento profundo da legislação, da jurisprudência e das normativas da ANPD é fundamental para os profissionais do Direito Administrativo que atuam na defesa do interesse público e na garantia dos direitos fundamentais. A busca pela adequação não é apenas uma obrigação legal, mas um imperativo ético e um passo fundamental para a construção de um Estado mais transparente, eficiente e respeitoso com a privacidade de seus cidadãos.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.