A entrada em vigor da Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) trouxe consigo um novo paradigma para a gestão da informação no Brasil, impactando de forma indelével todos os setores, incluindo o poder público. As Defensorias Públicas, como instituições essenciais à função jurisdicional do Estado, não fogem à regra e encontram-se no epicentro desse processo de adequação, deparando-se com desafios singulares em virtude da natureza sensível dos dados que manipulam.
O presente artigo, voltado a defensores, procuradores, promotores, juízes e demais profissionais do setor público, propõe-se a analisar os aspectos práticos da implementação da LGPD no âmbito das Defensorias Públicas, fornecendo orientações, fundamentação legal e jurisprudencial relevantes, com foco na garantia da proteção dos direitos dos assistidos, sem prejuízo da efetividade da prestação do serviço público.
A Natureza Sensível dos Dados nas Defensorias Públicas
As Defensorias Públicas, por sua vocação constitucional de prestar assistência jurídica integral e gratuita aos necessitados (art. 134 da CF/88), lidam cotidianamente com um volume expressivo de dados pessoais, muitos dos quais classificados como sensíveis pela LGPD.
O artigo 5º, inciso II, da Lei nº 13.709/2018 define como dado pessoal sensível aquele que revela origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
No contexto das Defensorias Públicas, o tratamento desses dados sensíveis é inerente à própria atividade, seja na análise da hipossuficiência econômica do assistido, seja na instrução de processos judiciais ou extrajudiciais, envolvendo questões de família, saúde, infância e juventude, entre outras. A vulnerabilidade dos assistidos, muitas vezes em situação de extrema fragilidade social, impõe à Defensoria Pública um dever redobrado de zelo e cautela na proteção de suas informações pessoais.
Fundamentação Legal e Normativa para a Adequação
A adequação das Defensorias Públicas à LGPD não se resume a um mero cumprimento formal da lei, mas sim a um imperativo ético e legal, que exige a adoção de medidas técnicas e administrativas robustas para garantir a segurança e a privacidade dos dados tratados.
A LGPD, em seu artigo 23, estabelece que o tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei de Acesso à Informação (Lei nº 12.527/2011) deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
No caso das Defensorias Públicas, essa finalidade pública traduz-se na garantia do acesso à justiça aos vulneráveis. O tratamento de dados pessoais é, portanto, indispensável para o cumprimento dessa missão institucional, encontrando amparo legal no artigo 7º, inciso III, da LGPD, que autoriza o tratamento de dados pessoais pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
No entanto, essa autorização legal não exime as Defensorias Públicas de observarem os princípios gerais da LGPD, previstos no artigo 6º, tais como a finalidade, a adequação, a necessidade, o livre acesso, a qualidade dos dados, a transparência, a segurança, a prevenção, a não discriminação e a responsabilização e prestação de contas.
O Papel do Encarregado pelo Tratamento de Dados Pessoais
A figura do encarregado pelo tratamento de dados pessoais (DPO - Data Protection Officer), prevista no artigo 41 da LGPD, assume um papel crucial na implementação da lei no âmbito das Defensorias Públicas. O DPO atua como um elo entre a instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
As atribuições do encarregado incluem, entre outras, aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, receber comunicações da autoridade nacional e adotar providências, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (art. 41, § 2º, da LGPD).
A designação de um encarregado qualificado e com autonomia para o exercício de suas funções é fundamental para o sucesso do programa de adequação à LGPD. É recomendável que a escolha recaia sobre um servidor com conhecimentos em proteção de dados, segurança da informação e legislação pertinente.
Orientações Práticas para a Adequação
A adequação à LGPD é um processo contínuo e dinâmico, que exige a adoção de medidas em diversas frentes. A seguir, apresentamos algumas orientações práticas para as Defensorias Públicas.
Mapeamento de Dados e Avaliação de Riscos
O primeiro passo para a adequação é o mapeamento de todos os processos que envolvem o tratamento de dados pessoais na instituição. Isso inclui identificar quais dados são coletados, a finalidade da coleta, a base legal para o tratamento, o tempo de retenção, com quem os dados são compartilhados e as medidas de segurança adotadas.
Com base nesse mapeamento, deve ser realizada uma avaliação de riscos, identificando as vulnerabilidades e as possíveis consequências de um incidente de segurança. A partir dessa análise, devem ser implementadas medidas mitigatórias para reduzir os riscos a níveis aceitáveis.
Política de Privacidade e Termos de Uso
A Defensoria Pública deve elaborar uma política de privacidade clara, concisa e acessível, informando aos assistidos sobre como seus dados são tratados, quais os seus direitos e como exercê-los. A política de privacidade deve estar disponível no site da instituição e em outros canais de comunicação.
Além disso, é importante revisar e atualizar os termos de uso dos sistemas e plataformas digitais utilizados pela Defensoria Pública, garantindo que estejam em conformidade com a LGPD.
Capacitação e Conscientização
A capacitação e a conscientização dos servidores e colaboradores são essenciais para a efetividade do programa de adequação. É importante promover treinamentos sobre a LGPD, a política de privacidade da instituição e as boas práticas em segurança da informação. A cultura da proteção de dados deve permear todos os níveis da instituição.
Gestão de Incidentes de Segurança
A Defensoria Pública deve estabelecer um plano de resposta a incidentes de segurança, definindo os procedimentos a serem adotados em caso de vazamento, perda, alteração ou acesso não autorizado a dados pessoais. O plano deve incluir a comunicação à ANPD e aos titulares dos dados, conforme previsto no artigo 48 da LGPD.
Jurisprudência e Normativas Relevantes
A jurisprudência sobre a aplicação da LGPD no setor público ainda está em construção, mas já é possível identificar algumas decisões relevantes. O Supremo Tribunal Federal (STF), por exemplo, no julgamento da ADI 6387, reconheceu o direito fundamental à proteção de dados pessoais, consolidando a importância da LGPD.
O Conselho Nacional de Justiça (CNJ) e o Conselho Nacional do Ministério Público (CNMP) têm editado resoluções e recomendações com o objetivo de orientar os tribunais e os Ministérios Públicos na adequação à LGPD. As Defensorias Públicas podem utilizar essas normativas como referência para o desenvolvimento de seus próprios programas de adequação.
A Autoridade Nacional de Proteção de Dados (ANPD) também tem publicado guias e orientações sobre a aplicação da LGPD, que devem ser acompanhados de perto pelas Defensorias Públicas. A Resolução CD/ANPD nº 18/2024, por exemplo, estabelece diretrizes para a elaboração de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), ferramenta essencial para a avaliação de riscos em projetos que envolvem o tratamento de dados sensíveis.
Conclusão
A adequação das Defensorias Públicas à LGPD é um desafio complexo, mas imprescindível para a garantia dos direitos dos assistidos e para a consolidação da confiança da sociedade na instituição. A adoção de medidas técnicas e administrativas adequadas, aliada à capacitação dos servidores e à construção de uma cultura de proteção de dados, permitirá que a Defensoria Pública cumpra sua missão constitucional com segurança, transparência e respeito à privacidade dos cidadãos. O constante acompanhamento da evolução legislativa, jurisprudencial e das orientações da ANPD é fundamental para manter a instituição em conformidade com as exigências da LGPD.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.