Orientação: Procuradoria e LGPD

A Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018 - inaugurou um novo paradigma no tratamento de dados pessoais no Brasil, exigindo de todos os agentes de tratamento, sejam públicos ou privados, a adequação de suas práticas. As procuradorias, enquanto órgãos de representação judicial e consultoria jurídica de entes públicos, não estão alheias a essa realidade. A complexidade de suas funções, que envolve o acesso e o processamento de um volume expressivo de informações, frequentemente de natureza sensível, impõe desafios singulares na implementação da LGPD. Este artigo tem por objetivo apresentar um panorama sobre a aplicação da LGPD no âmbito das procuradorias, delineando os principais desafios, as obrigações legais e as melhores práticas para assegurar a conformidade.

A LGPD e o Setor Público: Um Desafio para as Procuradorias

O tratamento de dados pessoais pelo poder público está sujeito às regras gerais da LGPD, com algumas especificidades previstas no Capítulo IV da lei. O artigo 23 da LGPD estabelece que o tratamento de dados pessoais pelas pessoas jurídicas de direito público deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Para as procuradorias, essa finalidade se traduz na defesa dos interesses do ente público, seja em juízo ou fora dele, e na prestação de consultoria jurídica. O desafio reside em conciliar essa missão institucional com a proteção da privacidade e dos dados pessoais dos cidadãos, dos servidores públicos e de terceiros cujos dados são tratados no exercício dessas funções.

O Papel das Procuradorias como Controladoras e Operadoras de Dados

As procuradorias podem atuar tanto como controladoras quanto como operadoras de dados, dependendo do contexto. Como controladoras, definem a finalidade e os meios do tratamento de dados em suas atividades fins, como a gestão de processos judiciais e a emissão de pareceres. Como operadoras, atuam em nome do ente público, processando dados de acordo com as instruções recebidas, como na gestão de folhas de pagamento de servidores, por exemplo.

Essa dupla função exige uma análise criteriosa de cada atividade de tratamento, a fim de identificar o papel da procuradoria e as obrigações correspondentes. A clareza nessa distinção é fundamental para a elaboração de contratos de prestação de serviços com terceiros, a definição de responsabilidades e a implementação de medidas de segurança adequadas.

Bases Legais para o Tratamento de Dados nas Procuradorias

A LGPD estabelece dez bases legais que autorizam o tratamento de dados pessoais (artigo 7º). Para as procuradorias, as bases legais mais relevantes são:

1. Cumprimento de obrigação legal ou regulatória pelo controlador (inciso II): Quando a procuradoria trata dados para cumprir uma lei ou regulamento, como a Lei de Acesso à Informação (LAI) ou as regras de transparência pública.
2. Execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres (inciso III): Quando o tratamento de dados é necessário para a implementação de políticas públicas, como a concessão de benefícios sociais.
3. Exercício regular de direitos em processo judicial, administrativo ou arbitral (inciso VI): Essa é a base legal mais comum para as atividades fins das procuradorias, autorizando o tratamento de dados para a defesa do ente público em juízo ou em processos administrativos.
4. Legítimo interesse do controlador ou de terceiro (inciso IX): Essa base legal pode ser utilizada em situações específicas, desde que não prevaleçam os direitos e liberdades fundamentais do titular. É importante ressaltar que o legítimo interesse não pode ser utilizado como base legal para o tratamento de dados por órgãos públicos no exercício de suas competências (artigo 23, § 4º).

O Tratamento de Dados Sensíveis

O tratamento de dados sensíveis (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico) exige cuidados redobrados, pois a LGPD estabelece bases legais mais restritas para o seu tratamento (artigo 11).

No contexto das procuradorias, o tratamento de dados sensíveis pode ocorrer, por exemplo, em processos judiciais que envolvem questões de saúde ou discriminação. Nesses casos, a base legal mais comum será o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral (inciso II, alínea d).

Desafios na Implementação da LGPD nas Procuradorias

A implementação da LGPD nas procuradorias apresenta desafios complexos, que vão além da mera adequação jurídica. Alguns dos principais desafios incluem:

• Mapeamento de Dados: A identificação e o mapeamento de todos os processos de tratamento de dados realizados pela procuradoria, incluindo a origem dos dados, a finalidade do tratamento, as bases legais, o tempo de retenção e as medidas de segurança aplicadas.
• Gestão de Processos Judiciais: A adequação dos sistemas de gestão de processos judiciais para garantir a segurança dos dados pessoais, o controle de acesso e o registro das atividades de tratamento. A publicidade dos processos judiciais, regra geral no sistema jurídico brasileiro (artigo 5º, LX, da Constituição Federal e artigo 189 do Código de Processo Civil), deve ser compatibilizada com a proteção de dados pessoais, especialmente nos casos de segredo de justiça.
• Compartilhamento de Dados: O compartilhamento de dados pessoais com outros órgãos públicos, com o Poder Judiciário e com terceiros, como peritos e assistentes técnicos, deve ser realizado de forma segura e transparente, com base em instrumentos jurídicos adequados (artigos 26 e 27 da LGPD).
• Atendimento aos Direitos dos Titulares: A criação de canais de comunicação e procedimentos para atender às solicitações dos titulares de dados, como o acesso, a correção, a exclusão e a portabilidade dos dados (artigos 17 a 22 da LGPD).
• Segurança da Informação: A implementação de medidas técnicas e administrativas de segurança para proteger os dados pessoais contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (artigo 46 da LGPD).

Orientações Práticas para a Conformidade

Para superar os desafios e alcançar a conformidade com a LGPD, as procuradorias devem adotar uma abordagem proativa e sistemática, que inclua:

1. Nomeação de um Encarregado pelo Tratamento de Dados Pessoais (DPO): O artigo 41 da LGPD exige a nomeação de um DPO, que será responsável por orientar a procuradoria sobre a aplicação da lei, atuar como canal de comunicação com os titulares dos dados e com a Autoridade Nacional de Proteção de Dados (ANPD).
2. Elaboração de um Programa de Governança em Privacidade: O programa de governança deve estabelecer as políticas, os procedimentos e as diretrizes para o tratamento de dados pessoais na procuradoria, incluindo a gestão de riscos, a resposta a incidentes de segurança e o treinamento dos servidores (artigo 50, § 2º, da LGPD).
3. Realização de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD): O RIPD é uma ferramenta fundamental para avaliar os riscos de um tratamento de dados e definir as medidas de mitigação adequadas. A ANPD pode solicitar o RIPD em casos de tratamento de dados sensíveis ou de alto risco (artigo 38 da LGPD).
4. Revisão de Contratos e Instrumentos Jurídicos: Os contratos de prestação de serviços, os convênios e os termos de cooperação técnica devem ser revisados para incluir cláusulas sobre a proteção de dados pessoais, definindo as responsabilidades das partes e as medidas de segurança exigidas.
5. Treinamento e Conscientização dos Servidores: A capacitação dos servidores é essencial para garantir a efetividade do programa de governança em privacidade. Os servidores devem estar cientes de suas responsabilidades e das regras para o tratamento de dados pessoais no exercício de suas funções.

Conclusão

A conformidade com a LGPD não é um projeto com início, meio e fim, mas um processo contínuo de adaptação e aprimoramento. Para as procuradorias, a proteção de dados pessoais deve ser integrada à sua cultura institucional, permeando todas as suas atividades e processos. A adoção de medidas de segurança adequadas, a transparência no tratamento de dados e o respeito aos direitos dos titulares são fundamentais para garantir a confiança da sociedade e o pleno exercício das funções constitucionais das procuradorias. A jurisprudência e as normativas da ANPD, em constante evolução, devem ser acompanhadas de perto para garantir a atualização das práticas e a mitigação de riscos jurídicos e reputacionais.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.