A promulgação da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, impôs um novo paradigma no tratamento de dados no Brasil, com impactos significativos tanto no setor privado quanto no público. No âmbito da Administração Pública, a LGPD estabelece regras rigorosas para a coleta, armazenamento, uso e compartilhamento de dados pessoais, exigindo adaptações profundas na cultura organizacional e nos processos de trabalho.
A aplicação da LGPD no setor público, no entanto, é permeada por desafios e polêmicas, decorrentes da natureza das atividades estatais e da complexidade da legislação. Profissionais que atuam na defesa, procuradoria, promotoria, judicatura e auditoria enfrentam, frequentemente, a necessidade de interpretar e aplicar a LGPD em situações complexas, exigindo um profundo conhecimento da norma e de suas implicações.
Neste artigo, exploraremos alguns dos aspectos mais controversos da LGPD no setor público, analisando os desafios, as nuances interpretativas e as perspectivas para a atuação dos profissionais da área.
A LGPD e a Administração Pública: Um Novo Cenário
A LGPD, em seu artigo 4º, inciso III, estabelece que a lei não se aplica ao tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais. Essa exceção, no entanto, não exime a Administração Pública de observar os princípios gerais de proteção de dados, como a finalidade, a adequação, a necessidade, o livre acesso, a qualidade dos dados, a transparência, a segurança, a prevenção e a não discriminação (artigo 6º da LGPD).
A aplicação da LGPD no setor público exige, portanto, um equilíbrio entre a necessidade de tratamento de dados para o cumprimento das funções estatais e a proteção dos direitos fundamentais dos cidadãos. Essa ponderação, muitas vezes, é complexa e suscita debates acalorados.
O Princípio da Finalidade e o Compartilhamento de Dados
O princípio da finalidade (artigo 6º, inciso I) exige que o tratamento de dados pessoais seja realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. No setor público, essa exigência pode gerar conflitos, especialmente no que tange ao compartilhamento de dados entre diferentes órgãos e entidades da Administração Pública.
A LGPD permite o compartilhamento de dados pessoais no setor público para a execução de políticas públicas (artigo 26), desde que observadas as finalidades específicas e a necessidade do tratamento. No entanto, a interpretação desse dispositivo tem sido objeto de controvérsias, especialmente em relação à abrangência do conceito de "política pública" e aos limites do compartilhamento de dados entre diferentes esferas de governo.
A jurisprudência, ainda incipiente, tem buscado estabelecer parâmetros para o compartilhamento de dados no setor público, exigindo a demonstração da necessidade e da adequação da medida, bem como a observância dos princípios da finalidade e da transparência. O Tribunal de Contas da União (TCU), por exemplo, tem atuado na fiscalização do compartilhamento de dados entre órgãos públicos, exigindo a adoção de medidas de segurança e a observância dos princípios da LGPD (Acórdão nº 1.385/2021-TCU-Plenário).
A Base Legal para o Tratamento de Dados
A LGPD estabelece, em seu artigo 7º, as bases legais que autorizam o tratamento de dados pessoais. No setor público, a base legal mais comum é a "execução de políticas públicas" (inciso III), mas outras bases podem ser invocadas, como o "cumprimento de obrigação legal ou regulatória" (inciso II) e a "proteção da vida ou da incolumidade física do titular ou de terceiro" (inciso VII).
A escolha da base legal adequada é fundamental para a legalidade do tratamento de dados. No entanto, a interpretação das bases legais no setor público pode ser complexa, especialmente em relação a atividades que não se enquadram perfeitamente em nenhuma das hipóteses previstas na lei.
A Autoridade Nacional de Proteção de Dados (ANPD) tem publicado orientações sobre a interpretação das bases legais, buscando esclarecer as dúvidas e fornecer diretrizes para a atuação da Administração Pública. No entanto, a aplicação prática dessas orientações ainda é um desafio para muitos profissionais.
A Segurança da Informação e a Responsabilidade do Setor Público
A LGPD impõe à Administração Pública a obrigação de adotar medidas de segurança da informação (artigo 46) para proteger os dados pessoais contra acessos não autorizados e contra situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
A segurança da informação é um desafio constante para o setor público, que frequentemente lida com um grande volume de dados sensíveis e enfrenta restrições orçamentárias e tecnológicas. A ocorrência de incidentes de segurança, como vazamentos de dados, pode gerar graves consequências para a Administração Pública, incluindo sanções administrativas, ações judiciais e danos à imagem institucional.
A LGPD estabelece, em seu artigo 42, a responsabilidade solidária do controlador e do operador pelos danos causados em decorrência do tratamento de dados pessoais. No setor público, a definição de quem é o controlador e o operador pode ser complexa, especialmente em casos de compartilhamento de dados entre diferentes órgãos e entidades.
A Atuação do Ministério Público e da Defensoria Pública
O Ministério Público e a Defensoria Pública desempenham um papel fundamental na defesa dos direitos fundamentais dos cidadãos, incluindo a proteção de dados pessoais. A LGPD confere a essas instituições legitimidade para atuar na defesa dos titulares de dados (artigo 52, § 7º), podendo ajuizar ações civis públicas e outras medidas cabíveis para garantir o cumprimento da lei.
A atuação do Ministério Público e da Defensoria Pública na área de proteção de dados ainda é incipiente, mas tende a crescer nos próximos anos, à medida que a LGPD se consolida e os cidadãos se conscientizam de seus direitos. A capacitação dos profissionais dessas instituições é fundamental para garantir uma atuação eficaz na defesa da proteção de dados.
Orientações Práticas para a Adequação à LGPD
A adequação à LGPD é um processo contínuo que exige o comprometimento de toda a organização. Para os profissionais do setor público, algumas orientações práticas podem auxiliar nesse processo:
- Mapeamento de Dados: Realizar um mapeamento completo dos dados pessoais tratados pela organização, identificando as finalidades, as bases legais, os fluxos de dados e os riscos envolvidos.
- Adequação de Processos: Revisar e adequar os processos de trabalho para garantir a observância dos princípios da LGPD, como a minimização de dados, a transparência e a segurança da informação.
- Capacitação de Servidores: Promover a capacitação contínua dos servidores sobre a LGPD e a importância da proteção de dados pessoais.
- Nomeação de um Encarregado: Nomear um encarregado (DPO - Data Protection Officer) para atuar como canal de comunicação entre a organização, os titulares de dados e a ANPD.
- Elaboração de Políticas e Normas: Elaborar e implementar políticas de privacidade e segurança da informação, bem como normas internas para o tratamento de dados pessoais.
- Monitoramento e Auditoria: Realizar monitoramento e auditoria periódicos para verificar a eficácia das medidas de proteção de dados e identificar oportunidades de melhoria.
Conclusão
A LGPD representa um marco na proteção de dados no Brasil, com impactos profundos na Administração Pública. A aplicação da lei no setor público, no entanto, é permeada por desafios e polêmicas, exigindo dos profissionais da área um profundo conhecimento da norma e de suas implicações. A ponderação entre a necessidade de tratamento de dados para o cumprimento das funções estatais e a proteção dos direitos fundamentais dos cidadãos é um desafio constante, que exige a atuação diligente e responsável de todos os envolvidos. A adequação à LGPD é um processo contínuo que requer o comprometimento de toda a organização, visando garantir a proteção dos dados pessoais e a confiança dos cidadãos na Administração Pública.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.