Guia: Procuradoria e LGPD

A Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018 — representou um marco regulatório fundamental no Brasil, estabelecendo regras claras para o tratamento de dados pessoais. Para as procuradorias, órgãos essenciais à justiça e responsáveis pela defesa do interesse público, a adequação à LGPD não é apenas uma obrigação legal, mas um imperativo ético e de governança. Este guia detalha os principais desafios, as obrigações e as melhores práticas para a implementação da LGPD no âmbito das procuradorias, considerando a legislação atualizada até 2026.

O Papel das Procuradorias na Era da Proteção de Dados

As procuradorias, sejam federais, estaduais ou municipais, lidam diariamente com um volume colossal de dados pessoais, muitos deles sensíveis. Desde informações de servidores públicos até dados de cidadãos envolvidos em litígios, a gestão adequada dessas informações é crucial para a garantia dos direitos fundamentais à privacidade e à intimidade, previstos no art. 5º, X, da Constituição Federal.

A LGPD, em seu art. 23, estabelece que o tratamento de dados pessoais pelas pessoas jurídicas de direito público deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. Essa premissa impõe às procuradorias o desafio de conciliar a eficiência da atuação estatal com a rigorosa proteção dos dados sob sua custódia.

Fundamentação Legal e Normativas Relevantes

A adequação das procuradorias à LGPD exige a observância de um arcabouço normativo que vai além da própria lei. Destacam-se:

• Lei nº 13.709/2018 (LGPD): Especialmente o Capítulo IV, que trata do tratamento de dados pessoais pelo Poder Público (arts. 23 a 30).
• Lei nº 12.527/2011 (Lei de Acesso à Informação - LAI): A LGPD não revoga a LAI, mas a complementa. O art. 31 da LAI já previa a proteção de informações pessoais, estabelecendo que o acesso a essas informações deve respeitar a intimidade, a vida privada, a honra e a imagem das pessoas. O desafio é equilibrar a transparência (LAI) com a privacidade (LGPD).
• Resoluções do Conselho Nacional do Ministério Público (CNMP) e do Conselho Nacional de Justiça (CNJ): Embora não sejam aplicáveis a todas as procuradorias, essas resoluções (como a Resolução CNJ nº 363/2021) servem como importantes balizas e parâmetros de boas práticas para a adequação do setor público.
• Orientações da Autoridade Nacional de Proteção de Dados (ANPD): A ANPD tem publicado guias e resoluções específicas para o setor público, que devem ser acompanhadas de perto pelas procuradorias, especialmente no que tange ao compartilhamento de dados e à segurança da informação.

O Desafio do Compartilhamento de Dados

O art. 26 da LGPD trata do uso compartilhado de dados pelo Poder Público. O compartilhamento de dados pessoais entre órgãos públicos, ou entre o Poder Público e entes privados, deve ser realizado de forma transparente e amparado em bases legais adequadas, como o cumprimento de obrigação legal (art. 7º, II) ou a execução de políticas públicas (art. 7º, III).

A jurisprudência, notadamente o Supremo Tribunal Federal (STF), tem se posicionado no sentido de que o compartilhamento de dados pelo Poder Público não é absoluto e deve respeitar os princípios da finalidade, necessidade e adequação. A ADI 6649 e a ADPF 695, que julgaram a constitucionalidade do Decreto nº 10.046/2019 (Cadastro Base do Cidadão), estabeleceram parâmetros importantes para o compartilhamento de dados governamentais, reforçando a necessidade de transparência, controle e segurança.

Passos Práticos para a Adequação nas Procuradorias

A implementação da LGPD em uma procuradoria é um projeto complexo que exige o engajamento da alta gestão e a colaboração de todos os setores. A seguir, detalhamos os passos fundamentais para essa adequação.

1. Engajamento da Alta Gestão e Criação do Comitê de Privacidade

O primeiro passo é garantir o patrocínio da alta gestão (Procurador-Geral, Corregedor-Geral, etc.). A criação de um Comitê de Privacidade, multidisciplinar (envolvendo as áreas jurídica, de tecnologia da informação, recursos humanos e corregedoria), é essencial para conduzir o processo de adequação.

2. Nomeação do Encarregado pelo Tratamento de Dados Pessoais (DPO)

O art. 23, III, c/c o art. 39 da LGPD, exige a nomeação de um Encarregado (DPO) pelas pessoas jurídicas de direito público. O Encarregado nas procuradorias deve possuir conhecimento jurídico e técnico adequado para atuar como canal de comunicação entre a instituição, os titulares de dados e a ANPD.

3. Mapeamento de Dados (Data Mapping)

O mapeamento de dados é o coração do projeto de adequação. Consiste em identificar todos os processos internos que envolvem o tratamento de dados pessoais. Para cada processo, é necessário responder a perguntas como:

• Quais dados são coletados?
• Qual a finalidade da coleta?
• Qual a base legal que justifica o tratamento (art. 7º e art. 11 da LGPD)?
• Onde os dados são armazenados e por quanto tempo?
• Com quem os dados são compartilhados?

Este mapeamento resultará no Registro das Operações de Tratamento de Dados Pessoais (ROPA), exigido pelo art. 37 da LGPD.

4. Análise de Riscos e Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

Com o mapeamento concluído, é necessário avaliar os riscos associados a cada operação de tratamento. Para operações que apresentam alto risco à privacidade e aos direitos dos titulares, especialmente aquelas envolvendo dados sensíveis ou decisões automatizadas, é obrigatória a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), conforme o art. 38 da LGPD. O RIPD deve descrever os processos, avaliar a necessidade e proporcionalidade do tratamento, identificar os riscos e propor medidas mitigadoras.

5. Revisão de Contratos, Convênios e Normativos Internos

As procuradorias devem revisar todos os seus contratos administrativos, convênios e acordos de cooperação técnica para incluir cláusulas específicas sobre proteção de dados, definindo as responsabilidades das partes (controlador e operador). Da mesma forma, os normativos internos, como portarias e resoluções, devem ser adequados às diretrizes da LGPD.

6. Implementação de Medidas de Segurança da Informação

O art. 46 da LGPD exige a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Nas procuradorias, isso inclui a implementação de controles de acesso rigorosos (autenticação de dois fatores, gestão de perfis), criptografia de dados (em repouso e em trânsito), firewalls, sistemas de prevenção de perda de dados (DLP) e rotinas de backup. Além disso, é fundamental a elaboração de um Plano de Resposta a Incidentes de Segurança.

7. Treinamento e Conscientização

A tecnologia por si só não garante a conformidade. É essencial investir em programas contínuos de treinamento e conscientização para todos os membros e servidores da procuradoria. O objetivo é criar uma cultura de privacidade, onde cada indivíduo compreenda a importância da proteção de dados e o seu papel na mitigação de riscos.

8. Gestão dos Direitos dos Titulares

A LGPD garante aos titulares de dados (cidadãos, servidores, etc.) uma série de direitos, como acesso, correção, anonimização, portabilidade e eliminação (art. 18). As procuradorias devem estabelecer processos claros e canais de comunicação eficientes para receber, analisar e responder às requisições dos titulares dentro dos prazos legais. A transparência ativa, através da publicação de Políticas de Privacidade claras e acessíveis nos portais institucionais, é fundamental.

Desafios Específicos nas Procuradorias

As procuradorias enfrentam desafios particulares na implementação da LGPD:

• Processos Judiciais e Sigilo Profissional: O tratamento de dados pessoais no âmbito de processos judiciais e a necessidade de preservar o sigilo profissional (prerrogativa dos procuradores) exigem um cuidado especial para garantir a proteção dos dados sem comprometer a atuação jurídica.
• Integração de Sistemas Legados: Muitas procuradorias utilizam sistemas de informação antigos (legados) que não foram concebidos com as premissas de privacidade desde a concepção (Privacy by Design). A adequação desses sistemas pode ser complexa e onerosa.
• Gestão de Documentos Físicos: Embora o processo eletrônico seja a regra, as procuradorias ainda lidam com um volume significativo de documentos físicos (arquivos inativos, inquéritos, etc.). A segurança e o controle de acesso a esses documentos devem ser rigorosos.

Conclusão

A conformidade com a LGPD não é um projeto com data de término, mas um processo contínuo de adaptação e melhoria. Para as procuradorias, a proteção de dados pessoais é uma demonstração de respeito aos direitos fundamentais e um pilar essencial para a construção de uma governança pública moderna, transparente e confiável. A implementação eficaz das medidas descritas neste guia garantirá não apenas a adequação legal, mas também o fortalecimento da segurança institucional e a preservação do interesse público.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.