A Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709/2018 — representou um marco fundamental no cenário jurídico brasileiro, estabelecendo normas rigorosas para o tratamento de dados pessoais. Embora a lei tenha sido inicialmente percebida como um desafio para o setor privado, sua aplicação no setor público é igualmente crucial, exigindo uma adaptação complexa e profunda das estruturas e processos da Administração Pública. Este artigo explora as nuances da implementação da LGPD no setor público, com foco em governança, fundamentação legal, jurisprudência relevante e orientações práticas para os profissionais da área.
A LGPD e a Administração Pública: Uma Abordagem Integrada
A LGPD, em seu artigo 4º, reconhece a especificidade do setor público, estabelecendo que o tratamento de dados pessoais realizado pela Administração Pública deve ser regido por regras específicas, sempre em consonância com os princípios da lei. Essa previsão legal não significa uma isenção das obrigações da LGPD, mas sim uma adaptação às peculiaridades da gestão pública, que lida com um volume massivo de dados sensíveis e necessita de um equilíbrio entre a proteção da privacidade e o interesse público.
A governança de dados no setor público, portanto, não se resume a uma mera adequação técnica. Trata-se de uma mudança cultural profunda, que exige a integração da proteção de dados nas políticas públicas, nos processos administrativos e na cultura organizacional. A implementação eficaz da LGPD demanda a participação de diversos atores, desde os gestores públicos até os servidores que lidam diretamente com os dados, passando por profissionais do direito, tecnologia da informação e segurança da informação.
Fundamentação Legal: Os Pilares da Proteção de Dados no Setor Público
A LGPD estabelece os princípios gerais que devem nortear o tratamento de dados pessoais, como finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas (art. 6º). No contexto da Administração Pública, esses princípios devem ser interpretados em conjunto com os princípios constitucionais da administração pública, como legalidade, impessoalidade, moralidade, publicidade e eficiência (art. 37 da CF/88).
Além da LGPD, outras normas legais e infralegais são relevantes para a governança de dados no setor público. A Lei de Acesso à Informação (LAI) — Lei nº 12.527/2011 — garante o direito de acesso a informações públicas, mas estabelece exceções para informações pessoais, que devem ser protegidas (art. 31). A Lei do Governo Digital — Lei nº 14.129/2021 — dispõe sobre a prestação digital de serviços públicos, estabelecendo regras para a interoperabilidade de dados e a segurança da informação.
Jurisprudência e Normativas: O Papel da ANPD e do Judiciário
A Autoridade Nacional de Proteção de Dados (ANPD) desempenha um papel fundamental na orientação e fiscalização do cumprimento da LGPD. A ANPD tem emitido diversas resoluções e guias orientativos sobre a aplicação da lei no setor público, como a Resolução CD/ANPD nº 2/2022, que aprova o Regulamento de Aplicação da LGPD no Setor Público. Essas normativas fornecem diretrizes claras para a adequação da Administração Pública à lei.
O Poder Judiciário também tem sido instado a se manifestar sobre a aplicação da LGPD no setor público. O Supremo Tribunal Federal (STF), por exemplo, já reconheceu a proteção de dados pessoais como um direito fundamental autônomo, em consonância com a jurisprudência internacional (ADI 6387). A jurisprudência tem se consolidado no sentido de que a Administração Pública deve observar os princípios da LGPD em todas as suas atividades, sob pena de responsabilização civil, administrativa e criminal.
Orientações Práticas para a Governança de Dados no Setor Público
A implementação da LGPD no setor público exige uma abordagem estruturada e contínua. As seguintes orientações práticas podem auxiliar os profissionais da área nesse processo.
1. Mapeamento e Classificação de Dados
O primeiro passo é identificar e mapear todos os dados pessoais tratados pela organização, classificando-os de acordo com a sua sensibilidade e a finalidade do tratamento. É fundamental compreender quais dados são coletados, como são utilizados, onde são armazenados e com quem são compartilhados.
2. Definição de Políticas e Procedimentos
A organização deve elaborar e implementar políticas e procedimentos claros para o tratamento de dados pessoais, em conformidade com a LGPD e as normativas da ANPD. Essas políticas devem abranger desde a coleta até o descarte dos dados, estabelecendo regras para o acesso, uso, compartilhamento e segurança da informação.
3. Nomeação do Encarregado pelo Tratamento de Dados Pessoais (DPO)
A nomeação de um DPO é obrigatória para a Administração Pública, de acordo com o artigo 41 da LGPD. O DPO é o responsável por orientar a organização sobre o cumprimento da lei, atuar como canal de comunicação com os titulares dos dados e a ANPD, e monitorar a conformidade com as normas de proteção de dados.
4. Treinamento e Conscientização
É essencial promover o treinamento e a conscientização de todos os servidores sobre a importância da proteção de dados e as regras da LGPD. A cultura de proteção de dados deve ser disseminada em todos os níveis da organização, para que cada indivíduo compreenda o seu papel na garantia da privacidade.
5. Avaliação de Impacto sobre a Proteção de Dados (AIPD)
A realização de uma AIPD é recomendada sempre que o tratamento de dados apresentar um alto risco para os direitos e liberdades dos titulares. A AIPD é um processo que visa identificar, avaliar e mitigar os riscos associados ao tratamento de dados, garantindo que as medidas de segurança sejam adequadas e proporcionais.
6. Monitoramento e Auditoria
A governança de dados é um processo contínuo, que exige monitoramento e auditoria regulares para garantir a conformidade com a LGPD. A organização deve estabelecer mecanismos para avaliar a eficácia das políticas e procedimentos, identificar falhas e implementar melhorias.
A LGPD e a Inteligência Artificial no Setor Público
A utilização de inteligência artificial (IA) pela Administração Pública apresenta novos desafios para a proteção de dados. A IA pode ser utilizada para automatizar processos, analisar grandes volumes de dados e tomar decisões, mas também pode gerar riscos de discriminação, viés e violação da privacidade. A LGPD, em seu artigo 20, estabelece o direito dos titulares de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais. A Administração Pública deve garantir a transparência e a explicabilidade dos algoritmos utilizados, bem como a possibilidade de intervenção humana em decisões que afetem os direitos dos cidadãos.
Conclusão
A implementação da LGPD no setor público é um desafio complexo, mas essencial para garantir a proteção da privacidade e a confiança dos cidadãos na Administração Pública. A governança de dados deve ser encarada como um pilar fundamental da gestão pública, exigindo a adoção de medidas técnicas, organizacionais e jurídicas adequadas. O cumprimento da LGPD não é apenas uma obrigação legal, mas também uma oportunidade para aprimorar a eficiência, a transparência e a qualidade dos serviços públicos. A colaboração entre os diversos atores envolvidos, a constante atualização sobre as normativas e a jurisprudência, e o investimento em capacitação são essenciais para o sucesso dessa jornada.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.