Prática: TC e LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709/2018 — trouxe um novo paradigma para o tratamento de informações pessoais no Brasil, impactando todos os setores, inclusive o público. Os Tribunais de Contas (TCs), como órgãos de controle externo e guardiões da probidade administrativa, não estão isentos das obrigações impostas pela legislação. Pelo contrário, sua atuação exige um equilíbrio delicado entre a transparência inerente à sua função e a proteção da privacidade dos indivíduos cujos dados são tratados no âmbito de suas atividades.

Este artigo explora as implicações práticas da LGPD nos Tribunais de Contas, analisando os desafios, as obrigações e as melhores práticas para garantir a conformidade legal sem comprometer a eficácia do controle externo.

A LGPD e o Setor Público: Fundamentos e Desafios

A LGPD, em seu artigo 4º, § 1º, estabelece que a lei se aplica ao tratamento de dados pessoais realizado pelo poder público, com exceções específicas relacionadas à segurança pública, defesa nacional e investigação penal. No contexto dos TCs, a coleta, o armazenamento e a utilização de dados pessoais são inerentes às suas atribuições, desde a análise de folhas de pagamento até a fiscalização de contratos e convênios.

O principal desafio reside na conciliação entre o princípio da publicidade, basilar na administração pública (Art. 37 da Constituição Federal), e o direito fundamental à privacidade e à proteção de dados pessoais (Art. 5º, X e LXXIX, da CF). A transparência, essencial para o controle social, não pode ser um salvo-conduto para a exposição indiscriminada de dados sensíveis ou informações que não guardem relação direta com o interesse público.

O Papel do Controlador e do Operador no Âmbito dos TCs

A LGPD define as figuras do "controlador" e do "operador". O controlador é a pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (Art. 5º, VI). O operador, por sua vez, é a pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador (Art. 5º, VII).

Nos TCs, o próprio Tribunal atua como controlador em relação aos dados de seus servidores e aos dados coletados no exercício de suas funções. No entanto, quando um TC contrata uma empresa para fornecer um sistema de gestão de processos, por exemplo, essa empresa atua como operadora. A responsabilidade pela conformidade com a LGPD recai sobre ambos, exigindo atenção na formalização de contratos e na definição de responsabilidades.

A Implementação da LGPD nos Tribunais de Contas: Passos Práticos

A adequação à LGPD exige uma abordagem sistemática e contínua. Os TCs devem adotar medidas técnicas e administrativas para garantir a segurança dos dados e o cumprimento dos princípios da lei.

1. Mapeamento de Dados e Avaliação de Riscos

O primeiro passo é realizar um mapeamento abrangente de todos os dados pessoais tratados pelo TC. Isso envolve identificar:

• Quais dados são coletados (nome, CPF, endereço, dados financeiros, etc.)?
• Qual a finalidade da coleta (fiscalização, gestão de recursos humanos, etc.)?
• Qual a base legal para o tratamento (cumprimento de obrigação legal, execução de políticas públicas, etc.)?
• Onde os dados são armazenados e por quanto tempo?
• Quem tem acesso aos dados (servidores, terceirizados, etc.)?

Com base no mapeamento, é necessário realizar uma avaliação de riscos, identificando as vulnerabilidades e os impactos potenciais de um vazamento ou uso indevido de dados.

2. Definição da Base Legal para o Tratamento

A LGPD exige que todo tratamento de dados pessoais seja justificado por uma das bases legais previstas na lei (Art. 7º e Art. 11). No caso dos TCs, as bases legais mais comuns são:

• Cumprimento de obrigação legal ou regulatória pelo controlador (Art. 7º, II): A base principal para o tratamento de dados no exercício das funções constitucionais e legais dos TCs.
• Execução de políticas públicas (Art. 7º, III): Quando o tratamento de dados é necessário para a implementação de programas ou ações governamentais.
• Consentimento (Art. 7º, I): Em situações específicas, como o envio de newsletters ou a participação em eventos não obrigatórios.

É fundamental documentar a base legal utilizada para cada operação de tratamento de dados.

3. Nomeação do Encarregado pelo Tratamento de Dados (DPO)

A LGPD determina a indicação de um Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer - DPO) (Art. 41). O DPO atua como canal de comunicação entre o TC, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

O DPO deve ter conhecimento da legislação de proteção de dados e autonomia para exercer suas funções. A nomeação deve ser formal e pública, com a divulgação dos canais de contato.

4. Adequação de Sistemas e Processos Internos

Os sistemas de informação e os processos internos do TC devem ser adaptados para garantir a segurança dos dados e o cumprimento dos direitos dos titulares (Art. 18). Isso inclui:

• Implementação de controles de acesso (senhas, autenticação multifator).
• Criptografia de dados sensíveis.
• Anonimização ou pseudonimização de dados quando possível.
• Estabelecimento de políticas de retenção e descarte de dados.
• Criação de procedimentos para atender às solicitações dos titulares (acesso, correção, exclusão, etc.).

5. Treinamento e Conscientização

A conformidade com a LGPD não se resume a medidas tecnológicas; a cultura organizacional é fundamental. É necessário promover treinamentos regulares para todos os servidores e colaboradores, conscientizando-os sobre a importância da proteção de dados e as responsabilidades de cada um.

Jurisprudência e Normativas Relevantes

A aplicação da LGPD no setor público ainda está em construção, mas já existem decisões e normativas que orientam a atuação dos TCs:

• Resolução ANPD nº 2/2022: Regulamenta a aplicação da LGPD para agentes de tratamento de pequeno porte, o que pode incluir alguns TCs municipais.
• Guia Orientativo para o Setor Público (ANPD): Documento elaborado pela ANPD com diretrizes e boas práticas para a adequação do setor público à LGPD.
• Decisões do TCU: O Tribunal de Contas da União (TCU) tem proferido acórdãos relevantes sobre a matéria, destacando a necessidade de adequação dos órgãos jurisdicionados à LGPD e a importância da segurança da informação.
• Jurisprudência do STF e STJ: Decisões dos tribunais superiores vêm consolidando o entendimento sobre os limites do acesso à informação e a proteção da privacidade, reforçando a necessidade de ponderação entre os princípios constitucionais.

O Equilíbrio entre Transparência e Privacidade na Prática

A atuação dos TCs exige a análise de dados sensíveis, como informações financeiras, de saúde (em casos de licenças médicas) e dados de menores (em processos de pensão). A LGPD não impede o tratamento desses dados, mas exige cautela.

O Compartilhamento de Dados entre Órgãos Públicos

O compartilhamento de dados entre órgãos públicos é essencial para a eficiência da administração e para o controle externo. A LGPD permite esse compartilhamento (Art. 26), desde que observados os princípios da lei, especialmente a finalidade, a adequação e a necessidade.

É fundamental formalizar convênios ou acordos de cooperação técnica que estabeleçam as regras para o compartilhamento, incluindo as medidas de segurança e as responsabilidades de cada órgão.

A Publicação de Decisões e Relatórios

A publicação de decisões e relatórios é um dever dos TCs. No entanto, é necessário anonimizar ou pseudonimizar os dados pessoais sempre que a identificação do titular não for essencial para o interesse público.

A divulgação de nomes de servidores em folhas de pagamento, por exemplo, é considerada lícita (princípio da publicidade e controle social), mas a publicação de endereços residenciais ou dados bancários viola a privacidade.

O Papel dos TCs na Fiscalização da LGPD

Além de se adequarem à LGPD, os TCs têm um papel fundamental na fiscalização do cumprimento da lei pelos órgãos e entidades jurisdicionados.

A verificação da conformidade com a LGPD deve ser incorporada às auditorias e inspeções realizadas pelos TCs. Os TCs podem avaliar, por exemplo:

• Se o órgão possui um DPO nomeado.
• Se realizou o mapeamento de dados.
• Se adotou medidas de segurança da informação.
• Se possui procedimentos para atender aos direitos dos titulares.

A atuação proativa dos TCs na fiscalização da LGPD contribui para a disseminação da cultura de proteção de dados no setor público.

Conclusão

A LGPD impõe desafios significativos aos Tribunais de Contas, exigindo uma mudança de paradigma na gestão de dados pessoais. A adequação à lei não é um evento pontual, mas um processo contínuo que demanda investimento em tecnologia, capacitação e mudança cultural.

O sucesso na implementação da LGPD requer um equilíbrio cuidadoso entre a transparência inerente ao controle externo e a proteção da privacidade dos cidadãos. Os TCs que adotarem uma postura proativa e responsável na gestão de dados estarão não apenas cumprindo a lei, mas também fortalecendo a confiança da sociedade em suas instituições. A atuação dos TCs como agentes indutores da conformidade com a LGPD no setor público é um passo fundamental para a construção de um Estado mais transparente, eficiente e respeitoso aos direitos fundamentais.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.