LGPD no Setor Público: Análise Completa

O advento da Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018) representou um marco paradigmático na tutela da privacidade e no tratamento de informações pessoais no Brasil. Inicialmente, a percepção predominante focava na incidência da lei sobre o setor privado. Contudo, a aplicação da LGPD ao setor público é igualmente rigorosa e demanda uma adaptação complexa, com implicações diretas na atuação de defensores, procuradores, promotores, juízes e auditores. Este artigo analisa de forma abrangente os desafios, as obrigações e as nuances da LGPD no âmbito da Administração Pública.

A necessidade de harmonizar a transparência pública, princípio basilar do Estado Democrático de Direito, com a proteção de dados pessoais, constitui o principal desafio na implementação da LGPD no setor público. A lei não visa obstar o acesso à informação, mas sim regular o tratamento de dados, garantindo que seja realizado com finalidade lícita, necessidade, adequação e transparência, mitigando riscos de incidentes de segurança e violações de direitos.

O Escopo da LGPD no Setor Público

A LGPD, em seu artigo 1º, estabelece que a lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

O Capítulo IV da LGPD (Dos Dados Pessoais pelo Poder Público) estabelece regras específicas para a Administração Pública, delineando os parâmetros para o tratamento de dados.

A Regra de Ouro: Tratamento para o Cumprimento de Políticas Públicas

O artigo 23 da LGPD dispõe que o tratamento de dados pessoais pelas pessoas jurídicas de direito público deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Isso significa que a Administração Pública, ao contrário do setor privado, não necessita, via de regra, do consentimento do titular para o tratamento de dados, desde que este esteja amparado na execução de políticas públicas ou no cumprimento de obrigações legais (art. 7º, incisos II e III).

O Princípio da Transparência Ativa

A LGPD reforça o princípio da transparência ativa, exigindo que o Poder Público disponibilize informações claras, precisas e facilmente acessíveis sobre o tratamento de dados pessoais. O artigo 23, § 1º, determina que sejam fornecidas informações sobre:

• A previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução da política pública;
• Os dados pessoais tratados;
• Os agentes de tratamento envolvidos;
• As bases legais que autorizam o tratamento;
• Os direitos dos titulares e os canais para o seu exercício;
• As medidas de segurança adotadas para proteger os dados.

Essa transparência não se confunde com a divulgação indiscriminada de dados pessoais. A Administração deve realizar uma avaliação criteriosa para garantir que a divulgação não viole a privacidade e a intimidade dos titulares, observando o princípio da minimização (art. 6º, inciso III).

Compartilhamento de Dados no Setor Público

O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública é um tema sensível e regulado de forma específica pela LGPD.

A Regra Geral: Compartilhamento para a Execução de Políticas Públicas

O artigo 26 da LGPD estabelece que o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei.

Exceções à Regra do Consentimento

O compartilhamento de dados pessoais entre órgãos e entidades da Administração Pública pode ocorrer sem o consentimento do titular nas seguintes hipóteses (art. 26, § 1º):

• Para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
• Quando os dados forem acessíveis publicamente, desde que o tratamento seja realizado de acordo com a finalidade para a qual foram tornados públicos (art. 7º, § 4º).

Compartilhamento com o Setor Privado

O compartilhamento de dados pessoais do Poder Público com entidades privadas é vedado (art. 26, § 1º, inciso III), salvo nas seguintes hipóteses (art. 26, § 1º, alíneas 'a' a 'e'):

• Para a execução descentralizada de atividade pública que exija a transferência;
• Para o acesso a dados públicos, desde que a entidade privada observe os princípios da LGPD;
• Para a realização de estudos por órgão de pesquisa (art. 7º, inciso IV);
• Para a proteção da vida ou da incolumidade física do titular ou de terceiro (art. 7º, inciso VII);
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, inciso VI).

O Encarregado pelo Tratamento de Dados Pessoais (DPO) no Setor Público

A nomeação de um Encarregado pelo Tratamento de Dados Pessoais (DPO) é obrigatória para a Administração Pública (art. 23, § 3º). O DPO atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Atribuições do DPO

As atribuições do DPO no setor público incluem, entre outras:

• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• Receber comunicações da ANPD e adotar providências;
• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

A Independência do DPO

Para exercer suas funções de forma eficaz, o DPO no setor público deve gozar de independência e autonomia. A ANPD, em suas orientações (como o Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e do Encarregado), recomenda que o DPO não acumule funções que possam gerar conflito de interesses e que tenha acesso direto à alta gestão do órgão ou entidade.

Sanções e Responsabilidade no Setor Público

A LGPD prevê sanções administrativas aplicáveis pela ANPD aos órgãos e entidades da Administração Pública em caso de descumprimento da lei (art. 52). As sanções variam desde advertência até multas, que podem chegar a 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

No caso do setor público, as sanções pecuniárias (multas) não são aplicáveis aos órgãos e entidades da Administração Direta (art. 52, § 3º). No entanto, a ANPD pode aplicar outras sanções, como:

• Advertência;
• Publicização da infração;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração.

Responsabilidade Civil e Administrativa

A aplicação das sanções administrativas pela ANPD não exclui a responsabilidade civil, administrativa e penal dos agentes públicos envolvidos em violações à LGPD. O artigo 42 da lei estabelece que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Orientações Práticas para a Adequação

A adequação à LGPD no setor público exige um esforço contínuo e multidisciplinar. Algumas orientações práticas para os órgãos e entidades incluem:

• Mapeamento de Dados: Identificar todos os processos que envolvem o tratamento de dados pessoais, mapeando as fontes, as finalidades, as bases legais, os fluxos e os locais de armazenamento.
• Nomeação do DPO: Designar um Encarregado pelo Tratamento de Dados Pessoais (DPO) com conhecimento técnico e jurídico adequado.
• Revisão de Contratos e Convênios: Adequar os contratos, convênios e instrumentos congêneres às exigências da LGPD, incluindo cláusulas sobre proteção de dados e responsabilidades.
• Treinamento e Conscientização: Promover a capacitação e a conscientização dos servidores e colaboradores sobre a importância da proteção de dados e as obrigações da LGPD.
• Implementação de Medidas de Segurança: Adotar medidas técnicas e administrativas de segurança para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 46).
• Criação de Canais de Atendimento: Estabelecer canais eficientes para o atendimento às solicitações dos titulares de dados (art. 18).
• Elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD): Elaborar o RIPD quando o tratamento de dados pessoais puder gerar riscos às liberdades civis e aos direitos fundamentais (art. 38).

Conclusão

A LGPD impõe à Administração Pública o dever de garantir a proteção de dados pessoais, sem prejuízo da transparência e da eficiência na execução de políticas públicas. A adequação à lei exige uma mudança cultural e a implementação de processos e controles rigorosos, com o objetivo de assegurar o respeito à privacidade e aos direitos fundamentais dos cidadãos, fortalecendo a confiança na atuação do Estado. O desafio é complexo, mas a conformidade com a LGPD é um imperativo ético e legal para a construção de uma Administração Pública moderna, transparente e responsável.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.