A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, trouxe um novo paradigma para o tratamento de dados pessoais no Brasil, impactando tanto o setor privado quanto o público. No âmbito da Administração Pública, a LGPD impõe desafios singulares, exigindo a harmonização entre a proteção da privacidade e o princípio da publicidade, inerente à atuação estatal. A visão dos Tribunais de Contas e do Poder Judiciário tem sido fundamental para delinear os contornos dessa adequação, estabelecendo diretrizes e balizas para a atuação dos órgãos públicos.
Neste artigo, exploraremos a visão do Tribunal sobre a aplicação da LGPD no setor público, com foco nas principais orientações, decisões e normativas que norteiam a atuação dos profissionais que lidam com a matéria.
A LGPD e a Administração Pública: Harmonizando Princípios
A LGPD, em seu Capítulo IV, dedica-se especificamente ao tratamento de dados pessoais pelo Poder Público. O art. 23 estabelece que o tratamento de dados pessoais pelas pessoas jurídicas de direito público deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
Essa diretriz impõe um desafio: compatibilizar a proteção de dados com o princípio da publicidade, consagrado no art. 37 da Constituição Federal e regulamentado pela Lei de Acesso à Informação (LAI), Lei nº 12.527/2011. A LAI garante o direito de acesso a informações públicas, enquanto a LGPD visa proteger a privacidade e os dados pessoais. A harmonização desses princípios exige uma análise criteriosa, buscando o equilíbrio entre a transparência da gestão pública e a proteção dos dados dos cidadãos.
A Visão dos Tribunais de Contas
Os Tribunais de Contas têm desempenhado um papel crucial na orientação e fiscalização da adequação dos órgãos públicos à LGPD. Através de auditorias, pareceres e resoluções, os Tribunais têm estabelecido diretrizes para a implementação de medidas de segurança, a nomeação de encarregados pelo tratamento de dados pessoais (DPO) e a elaboração de políticas de privacidade.
O Tribunal de Contas da União (TCU), por exemplo, em diversas decisões, tem ressaltado a importância da implementação de programas de governança em privacidade e proteção de dados. Em acórdãos recentes, o TCU tem determinado aos órgãos públicos que realizem o mapeamento de seus processos que envolvem o tratamento de dados pessoais, identifiquem os riscos e implementem medidas de mitigação.
O TCU também tem enfatizado a necessidade de capacitação dos servidores públicos em relação à LGPD, bem como a importância da transparência na comunicação com os titulares dos dados. A disponibilização de canais de atendimento para o exercício dos direitos dos titulares, como o direito de acesso, retificação e exclusão de dados, é uma exigência que tem sido frequentemente cobrada pelos Tribunais de Contas.
O Papel do Poder Judiciário
O Poder Judiciário, por sua vez, tem sido demandado para dirimir conflitos envolvendo a aplicação da LGPD no setor público. A jurisprudência tem se consolidado no sentido de reconhecer a responsabilidade civil do Estado por danos causados a titulares de dados pessoais em decorrência de vazamentos ou incidentes de segurança.
O Superior Tribunal de Justiça (STJ) tem firmado o entendimento de que a responsabilidade do Estado, nesses casos, é objetiva, prescindindo da comprovação de culpa. A demonstração do dano e do nexo de causalidade entre a conduta do agente público e o dano sofrido pelo titular dos dados é suficiente para ensejar a responsabilização.
O STJ também tem se manifestado sobre a possibilidade de compartilhamento de dados pessoais entre órgãos públicos. Em decisões recentes, o Tribunal tem admitido o compartilhamento, desde que observados os requisitos da LGPD, como a finalidade pública, o interesse público e a necessidade de execução de políticas públicas.
Orientações Práticas para Profissionais do Setor Público
A adequação à LGPD exige um esforço contínuo e multidisciplinar por parte dos órgãos públicos. Para os profissionais que atuam na área jurídica e de controle, algumas orientações práticas são fundamentais:
- Mapeamento de Processos: É essencial realizar o mapeamento detalhado de todos os processos que envolvem o tratamento de dados pessoais, identificando a base legal, a finalidade, os agentes envolvidos e os riscos associados.
- Nomeação de Encarregado (DPO): A nomeação de um DPO é obrigatória para os órgãos públicos. O DPO deve atuar como canal de comunicação entre o órgão, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
- Elaboração de Políticas e Normativos Internos: É necessário elaborar políticas de privacidade, termos de uso, procedimentos para atendimento aos direitos dos titulares e planos de resposta a incidentes de segurança.
- Capacitação dos Servidores: A conscientização e o treinamento contínuo dos servidores públicos são fundamentais para garantir a conformidade com a LGPD.
- Revisão de Contratos e Convênios: É preciso revisar os contratos e convênios que envolvem o tratamento de dados pessoais, inserindo cláusulas específicas sobre proteção de dados e responsabilidade das partes.
- Acompanhamento da Jurisprudência e Normativas: É fundamental manter-se atualizado sobre a jurisprudência dos Tribunais Superiores e as resoluções da ANPD, a fim de adequar as práticas do órgão às orientações mais recentes.
Legislação Relevante e Atualizada (até 2026)
- Lei Geral de Proteção de Dados Pessoais (LGPD) - Lei nº 13.709/2018: Estabelece os princípios, direitos e deveres relacionados ao tratamento de dados pessoais no Brasil.
- Lei de Acesso à Informação (LAI) - Lei nº 12.527/2011: Regula o direito de acesso a informações públicas, estabelecendo os procedimentos e as exceções.
- Constituição Federal de 1988: Consagra os princípios da publicidade (art. 37) e da proteção da intimidade e da vida privada (art. 5º, X).
- Resoluções da Autoridade Nacional de Proteção de Dados (ANPD): A ANPD tem editado diversas resoluções para regulamentar a LGPD, como a Resolução CD/ANPD nº 2/2022, que aprova o Regulamento de Aplicação da LGPD para agentes de tratamento de pequeno porte.
- Jurisprudência do TCU e do STJ: As decisões dos Tribunais Superiores têm papel fundamental na interpretação e aplicação da LGPD no setor público.
Conclusão
A adequação à LGPD no setor público é um processo complexo que exige a harmonização entre a proteção da privacidade e o princípio da publicidade. A visão dos Tribunais de Contas e do Poder Judiciário tem sido fundamental para estabelecer diretrizes e balizas para a atuação dos órgãos públicos, orientando a implementação de medidas de segurança, a nomeação de DPOs e a elaboração de políticas de privacidade. Para os profissionais que atuam na área jurídica e de controle, é essencial o acompanhamento constante da jurisprudência e das normativas da ANPD, a fim de garantir a conformidade dos órgãos públicos com a LGPD e mitigar os riscos de responsabilização. O compromisso com a proteção de dados pessoais é um pilar fundamental da gestão pública moderna, que deve pautar-se pela transparência, ética e respeito aos direitos dos cidadãos.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.