A proteção de dados pessoais tornou-se uma pauta central no cenário jurídico global, e o Brasil não é exceção. Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709/2018 —, o tratamento de dados pessoais passou a ser regulado por princípios e diretrizes rigorosos, impactando diretamente todos os setores da sociedade, incluindo o setor público. No contexto das Defensorias Públicas, a adequação à LGPD não é apenas uma obrigação legal, mas um imperativo ético e constitucional, considerando a natureza sensível das informações tratadas e a vulnerabilidade do público atendido.
Este artigo tem como objetivo fornecer um guia prático e fundamentado para a implementação da LGPD nas Defensorias Públicas, abordando os principais desafios, as bases legais aplicáveis e as melhores práticas para garantir a proteção dos dados dos assistidos e a conformidade institucional.
O Papel das Defensorias Públicas e a LGPD
A Defensoria Pública, instituição essencial à função jurisdicional do Estado (art. 134, CF/88), tem como missão a orientação jurídica, a promoção dos direitos humanos e a defesa, em todos os graus, judicial e extrajudicial, dos direitos individuais e coletivos, de forma integral e gratuita, aos necessitados. Para cumprir essa missão, as Defensorias Públicas coletam e tratam um volume expressivo de dados pessoais, muitos deles sensíveis, como informações sobre saúde, origem racial ou étnica, opiniões políticas, filiação sindical, entre outros (art. 5º, II, LGPD).
A LGPD, por sua vez, estabelece que o tratamento de dados pessoais pelo poder público deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público (art. 23, caput). No caso das Defensorias Públicas, a finalidade pública é clara: garantir o acesso à justiça aos vulneráveis.
No entanto, a garantia do acesso à justiça não pode prescindir do respeito à privacidade e à proteção de dados dos assistidos. A LGPD exige que o tratamento de dados seja realizado com base em fundamentos legais específicos, com transparência e segurança, mitigando os riscos de vazamentos e uso indevido das informações.
Fundamentos Legais para o Tratamento de Dados nas Defensorias Públicas
O tratamento de dados pessoais pelas Defensorias Públicas encontra respaldo em diversas bases legais previstas na LGPD. É fundamental que cada operação de tratamento seja enquadrada na base legal adequada, garantindo a licitude da atividade.
Cumprimento de Obrigação Legal ou Regulatória
A base legal do cumprimento de obrigação legal ou regulatória (art. 7º, II, e art. 11, II, 'a', LGPD) é frequentemente utilizada pelas Defensorias Públicas. O tratamento de dados é necessário para o cumprimento das obrigações impostas pela Lei Complementar nº 80/1994 (Lei Orgânica da Defensoria Pública) e pelas leis estaduais que organizam as Defensorias Públicas nos estados.
Por exemplo, a coleta de dados para a comprovação da hipossuficiência econômica do assistido (art. 5º, LXXIV, CF/88) é uma obrigação legal que justifica o tratamento de dados pessoais, incluindo informações financeiras e patrimoniais.
Execução de Políticas Públicas
O tratamento de dados pessoais pelo poder público para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres (art. 7º, III, LGPD) também é uma base legal relevante para as Defensorias Públicas.
As Defensorias Públicas frequentemente participam de projetos e programas governamentais voltados para a promoção dos direitos humanos e a assistência social, o que pode envolver o tratamento de dados pessoais para a execução dessas políticas.
Exercício Regular de Direitos
A base legal do exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI, e art. 11, II, 'd', LGPD) é essencial para a atuação finalística das Defensorias Públicas. O tratamento de dados pessoais dos assistidos, bem como de outras partes envolvidas no processo, é necessário para a defesa dos direitos em juízo ou fora dele.
Essa base legal abrange a coleta, o armazenamento e o compartilhamento de dados com o Poder Judiciário, o Ministério Público e outras instituições essenciais à justiça.
Proteção da Vida ou da Incolumidade Física
Em situações excepcionais, a base legal da proteção da vida ou da incolumidade física do titular ou de terceiro (art. 7º, VII, e art. 11, II, 'e', LGPD) pode ser invocada. Isso pode ocorrer, por exemplo, em casos de violência doméstica, em que a Defensoria Pública precisa tratar dados sensíveis para garantir a segurança da vítima.
Consentimento
O consentimento do titular (art. 7º, I, e art. 11, I, LGPD) deve ser utilizado com cautela pelas Defensorias Públicas. Em regra, o tratamento de dados para o cumprimento de obrigações legais, a execução de políticas públicas ou o exercício regular de direitos dispensa o consentimento. O uso do consentimento como base legal principal pode gerar insegurança jurídica, pois o titular pode revogá-lo a qualquer momento (art. 8º, § 5º, LGPD), o que poderia inviabilizar a prestação da assistência jurídica.
O consentimento deve ser reservado para situações específicas, como o uso de imagem do assistido para fins de divulgação institucional, desde que não haja outra base legal aplicável e o consentimento seja livre, informado e inequívoco.
Tratamento de Dados Sensíveis
O tratamento de dados sensíveis (art. 5º, II, LGPD) exige um nível de proteção ainda maior. As Defensorias Públicas frequentemente tratam dados sobre saúde, orientação sexual, origem racial, entre outros, especialmente em casos envolvendo direitos humanos, direito de família e direito penal.
A LGPD estabelece bases legais específicas para o tratamento de dados sensíveis (art. 11). No caso das Defensorias Públicas, o tratamento desses dados é frequentemente justificado pelo cumprimento de obrigação legal ou regulatória (art. 11, II, 'a'), pelo exercício regular de direitos (art. 11, II, 'd') ou pela proteção da vida ou da incolumidade física (art. 11, II, 'e').
É fundamental que o tratamento de dados sensíveis seja estritamente necessário para o atendimento da finalidade pública e que sejam adotadas medidas de segurança robustas para proteger essas informações contra acessos não autorizados e vazamentos.
Compartilhamento de Dados pelo Poder Público
O compartilhamento de dados pessoais pelo poder público é regulado pelo art. 26 da LGPD e pelo Decreto nº 10.046/2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal.
As Defensorias Públicas frequentemente compartilham dados com outras instituições públicas, como o Poder Judiciário, o Ministério Público, a Polícia Civil, entre outras, para a execução de suas atribuições legais. O compartilhamento deve ser realizado de forma transparente e segura, observando os princípios da finalidade, da necessidade e da adequação.
É recomendável a celebração de convênios ou acordos de cooperação técnica para formalizar o compartilhamento de dados, estabelecendo as responsabilidades de cada parte e as medidas de segurança a serem adotadas.
Jurisprudência e Normativas Relevantes
A jurisprudência brasileira vem consolidando o entendimento sobre a aplicação da LGPD no setor público. O Supremo Tribunal Federal (STF), no julgamento da ADI 6387 (caso da Medida Provisória nº 954/2020), reafirmou a importância da proteção de dados pessoais como direito fundamental, destacando a necessidade de observância dos princípios da finalidade, da necessidade e da proporcionalidade no compartilhamento de dados pelo poder público.
O Conselho Nacional de Justiça (CNJ) tem editado diversas normativas para orientar o Poder Judiciário na adequação à LGPD, como a Recomendação nº 73/2020 e a Resolução nº 363/2021. Embora não se apliquem diretamente às Defensorias Públicas, essas normativas servem como parâmetro e boa prática.
O Conselho Nacional das Defensoras e Defensores Públicos-Gerais (CONDEGE) tem promovido discussões e elaborado diretrizes para auxiliar as Defensorias Públicas na implementação da LGPD, buscando uniformizar as práticas e garantir a conformidade institucional.
Orientações Práticas para Implementação da LGPD nas Defensorias Públicas
A adequação à LGPD é um processo contínuo que exige o engajamento de toda a instituição. A seguir, apresentamos algumas orientações práticas para a implementação da LGPD nas Defensorias Públicas.
1. Mapeamento de Dados
O primeiro passo é realizar um mapeamento detalhado de todos os processos de trabalho que envolvem o tratamento de dados pessoais. É necessário identificar quais dados são coletados, a finalidade do tratamento, a base legal aplicável, com quem os dados são compartilhados e o prazo de retenção.
2. Nomeação do Encarregado pelo Tratamento de Dados Pessoais (DPO)
A LGPD exige a nomeação de um encarregado pelo tratamento de dados pessoais (art. 39), que será o canal de comunicação entre a Defensoria Pública, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O DPO deve ter autonomia e conhecimento técnico para orientar a instituição sobre as melhores práticas de proteção de dados.
3. Elaboração de Políticas de Privacidade e Termos de Uso
As Defensorias Públicas devem elaborar políticas de privacidade claras e acessíveis, informando aos assistidos sobre como seus dados são tratados, quais são seus direitos e como exercê-los. As políticas devem ser disponibilizadas nos sites institucionais e nos locais de atendimento presencial.
4. Revisão de Contratos e Convênios
É necessário revisar os contratos com fornecedores e os convênios com outras instituições públicas para incluir cláusulas de proteção de dados, estabelecendo as responsabilidades das partes e as medidas de segurança a serem adotadas.
5. Adoção de Medidas de Segurança da Informação
As Defensorias Públicas devem implementar medidas técnicas e administrativas robustas para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 46, LGPD). Isso inclui controle de acesso, criptografia, backup, treinamento de servidores e membros, e elaboração de um plano de resposta a incidentes.
6. Atendimento aos Direitos dos Titulares
A LGPD garante aos titulares diversos direitos, como o acesso aos dados, a correção de dados incompletos ou inexatos, a anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos, e a revogação do consentimento (art. 18). As Defensorias Públicas devem estabelecer canais e procedimentos ágeis para atender às solicitações dos titulares.
7. Treinamento e Conscientização
A mudança cultural é fundamental para o sucesso da implementação da LGPD. Todos os membros, servidores, estagiários e colaboradores devem ser treinados e conscientizados sobre a importância da proteção de dados pessoais e sobre as regras da LGPD.
Conclusão
A adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) é um desafio complexo, mas imprescindível para as Defensorias Públicas. A proteção de dados não deve ser vista como um obstáculo à prestação da assistência jurídica, mas como um elemento essencial para a garantia dos direitos fundamentais dos assistidos e para o fortalecimento da confiança na instituição. A implementação de um programa de governança em privacidade robusto, pautado na transparência, na segurança e no respeito aos direitos dos titulares, é fundamental para que as Defensorias Públicas cumpram sua missão constitucional de forma ética, responsável e em conformidade com a legislação vigente.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.