LGPD no Setor Público: para Advogados

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, trouxe um novo paradigma para o tratamento de dados pessoais no Brasil, impactando significativamente o setor público. A adaptação a essa legislação não é apenas uma obrigação legal, mas um imperativo ético e de transparência para a Administração Pública, que detém um volume massivo de informações sensíveis dos cidadãos. Para os profissionais do direito que atuam no setor público — defensores, procuradores, promotores, juízes e auditores —, o domínio da LGPD é essencial para garantir a legalidade das ações estatais e a proteção dos direitos fundamentais.

Este artigo explora os principais desafios e as melhores práticas para a implementação da LGPD no setor público, com foco nas necessidades e responsabilidades dos advogados públicos.

A LGPD e o Setor Público: Fundamentos Legais

A LGPD estabelece princípios, direitos e deveres relacionados ao tratamento de dados pessoais, aplicáveis a pessoas físicas e jurídicas de direito público e privado. No âmbito do setor público, a aplicação da lei é regida por regras específicas, considerando a natureza das atividades estatais e o interesse público envolvido.

O Capítulo IV da LGPD, especialmente os artigos 23 a 30, detalha as normas aplicáveis ao Poder Público. O art. 23 estabelece que o tratamento de dados pessoais pelas pessoas jurídicas de direito público deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Princípios Norteadores

A atuação do Estado deve ser pautada pelos princípios elencados no art. 6º da LGPD, com destaque para:

• Finalidade: O tratamento de dados deve ter propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
• Adequação: A compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
• Necessidade: A limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
• Livre Acesso: A garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
• Qualidade dos Dados: A garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
• Transparência: A garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
• Segurança: A utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
• Prevenção: A adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
• Não Discriminação: A impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
• Responsabilização e Prestação de Contas: A demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Bases Legais para o Tratamento de Dados no Setor Público

Diferentemente do setor privado, onde o consentimento é frequentemente a base legal principal, o setor público atua predominantemente com base em outras hipóteses previstas no art. 7º da LGPD. As mais relevantes para a Administração Pública são:

• Cumprimento de Obrigação Legal ou Regulatória (art. 7º, II): Quando o tratamento é exigido por lei ou regulamento. Ex: coleta de dados para o Imposto de Renda.
• Execução de Políticas Públicas (art. 7º, III): Quando o tratamento é necessário para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. Ex: programas de assistência social, saúde pública, educação.
• Estudos por Órgão de Pesquisa (art. 7º, IV): Garantida, sempre que possível, a anonimização dos dados pessoais.
• Exercício Regular de Direitos (art. 7º, VI): Em processo judicial, administrativo ou arbitral.
• Proteção da Vida ou Incolumidade Física (art. 7º, VII): Do titular ou de terceiro.
• Tutela da Saúde (art. 7º, VIII): Exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

O consentimento (art. 7º, I) deve ser utilizado com cautela no setor público, pois a relação entre o Estado e o cidadão é frequentemente assimétrica, o que pode comprometer a validade do consentimento (livre, inequívoco e informado).

Desafios na Implementação da LGPD no Setor Público

A implementação da LGPD na Administração Pública apresenta desafios complexos, exigindo uma mudança cultural e estrutural significativa.

1. Mapeamento e Inventário de Dados

A primeira etapa crucial é identificar quais dados pessoais são tratados, por que, como, onde estão armazenados e com quem são compartilhados. O setor público possui sistemas legados, bases de dados fragmentadas e processos muitas vezes não documentados, o que torna o mapeamento um esforço monumental. A elaboração do Registro de Operações de Tratamento de Dados Pessoais (ROPA), previsto no art. 37 da LGPD, é fundamental.

2. Compartilhamento de Dados entre Órgãos Públicos

O compartilhamento de dados entre diferentes órgãos e entidades públicas é essencial para a eficiência da Administração e a execução de políticas públicas integradas. No entanto, o art. 26 da LGPD estabelece regras estritas para esse compartilhamento.

O compartilhamento deve atender a finalidades específicas de execução de políticas públicas e atribuição legal, devendo ser objeto de comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados, ressalvadas as hipóteses de dispensa previstas na lei. A interoperabilidade de sistemas deve ser acompanhada de rigorosas medidas de segurança e controle de acesso.

A jurisprudência tem se debruçado sobre o tema. O Supremo Tribunal Federal (STF), no julgamento da ADI 6649 e da ADPF 695, que questionavam o compartilhamento de dados entre órgãos federais (Decreto nº 10.046/2019), fixou tese no sentido de que o compartilhamento de dados pessoais entre órgãos públicos deve observar os princípios da LGPD, especialmente a finalidade, a adequação e a necessidade, além de exigir transparência e mecanismos de controle.

3. Compartilhamento com o Setor Privado

O compartilhamento de dados pessoais pelo Poder Público com entidades privadas é vedado (art. 26, §1º), exceto nas seguintes hipóteses:

• Execução descentralizada de atividade pública que exija a transferência.
• Dados acessíveis publicamente.
• Previsão legal ou transferência amparada em contratos, convênios ou instrumentos congêneres.
• Prevenção de fraudes e irregularidades, ou proteção e segurança do titular.

Quando o compartilhamento ocorrer, a entidade privada deverá observar as regras da LGPD e os princípios da Administração Pública.

4. Nomeação do Encarregado pelo Tratamento de Dados Pessoais (DPO)

O art. 39 da LGPD determina que o operador (neste caso, o órgão público) deverá indicar um encarregado pelo tratamento de dados pessoais. O encarregado (DPO - Data Protection Officer) é a ponte entre o órgão público, os titulares dos dados e a ANPD.

Para os advogados públicos, atuar como encarregado ou assessorá-lo é um desafio. O encarregado deve ter autonomia, conhecimento técnico-jurídico sobre proteção de dados e capacidade de interlocução com diferentes áreas do órgão. A ANPD, por meio da Resolução CD/ANPD nº 2/2022, estabeleceu regras para a indicação do encarregado, flexibilizando a obrigação para agentes de tratamento de pequeno porte, o que pode se aplicar a alguns municípios.

5. Segurança da Informação

O setor público é alvo frequente de ataques cibernéticos. O art. 46 da LGPD exige a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. A implementação de políticas de segurança da informação (PSI), controles de acesso, criptografia, backups e planos de resposta a incidentes são essenciais.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (vazamento de dados), o art. 48 obriga a comunicação à ANPD e aos titulares. A atuação rápida e transparente do órgão, orientada pelos advogados públicos, é fundamental para mitigar os danos e as sanções.

6. Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

O art. 38 da LGPD prevê que a ANPD poderá determinar a elaboração de RIPD, inclusive para o setor público. O RIPD é um documento que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. O advogado público tem papel crucial na elaboração e revisão do RIPD, garantindo a conformidade legal e a proteção dos direitos dos titulares.

Orientações Práticas para Advogados Públicos

A adaptação à LGPD exige uma atuação proativa dos advogados públicos. Algumas orientações práticas incluem:

1. Capacitação Contínua: Manter-se atualizado sobre a legislação, doutrina, jurisprudência e normativas da ANPD. A área de proteção de dados é dinâmica e em constante evolução.
2. Participação em Comitês Multidisciplinares: A LGPD não é apenas um problema jurídico. A implementação exige o trabalho conjunto de profissionais de TI, segurança da informação, gestão de processos e comunicação. O advogado público deve integrar e, muitas vezes, liderar esses comitês.
3. Revisão de Contratos e Convênios: Revisar todos os instrumentos jurídicos que envolvam o tratamento de dados pessoais, incluindo cláusulas de proteção de dados, obrigações das partes, responsabilidades em caso de incidentes e auditorias.
4. Apoio na Elaboração de Políticas Internas: Auxiliar na criação de Políticas de Privacidade, Termos de Uso, Políticas de Segurança da Informação e Planos de Resposta a Incidentes.
5. Atendimento aos Direitos dos Titulares: Estabelecer fluxos claros e eficientes para o atendimento às requisições dos titulares (acesso, correção, anonimização, bloqueio, eliminação, portabilidade), previstos no art. 18 da LGPD.
6. Atuação Preventiva: Identificar riscos e propor soluções antes que os problemas ocorram. A advocacia preventiva é a melhor forma de evitar sanções e danos à imagem da instituição.

Conclusão

A LGPD representa um marco na proteção de dados no Brasil, impondo ao setor público o dever de tratar as informações dos cidadãos com responsabilidade, transparência e segurança. Para os advogados públicos, a lei traz novos desafios e a necessidade de aprimoramento constante. A atuação proativa, multidisciplinar e focada na prevenção é fundamental para garantir a conformidade da Administração Pública e a proteção dos direitos fundamentais dos titulares de dados, consolidando a confiança do cidadão no Estado. A jornada da adequação é contínua e exige o engajamento de todos os atores envolvidos.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.