A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, consolidou-se como um marco normativo fundamental para a gestão de informações no Brasil, impactando de forma indelével a atuação das Procuradorias. A adequação das instituições públicas a esse arcabouço legal não é apenas uma obrigação legal, mas um imperativo para a garantia dos direitos fundamentais dos cidadãos e para a mitigação de riscos jurídicos e reputacionais. Neste artigo, exploraremos a interseção entre as Procuradorias e a LGPD, abordando as atualizações normativas, a jurisprudência relevante e as melhores práticas para a conformidade.
O Papel da Procuradoria na Adequação à LGPD
A Procuradoria, seja ela no âmbito federal, estadual ou municipal, desempenha um papel duplo no contexto da LGPD: é tanto agente de tratamento de dados (controlador ou operador, a depender da situação) quanto órgão consultivo e de representação judicial para o ente público que integra. Essa dualidade exige uma compreensão profunda da lei e a implementação de medidas robustas de governança e segurança da informação.
A Procuradoria como Agente de Tratamento
No exercício de suas funções precípuas, como a representação judicial e extrajudicial, a consultoria e o assessoramento jurídico, as Procuradorias lidam com um volume expressivo de dados pessoais, muitos deles sensíveis. A coleta, o armazenamento, o compartilhamento e a exclusão desses dados devem observar rigorosamente os princípios e as bases legais previstos na LGPD.
O artigo 7º da LGPD estabelece as hipóteses em que o tratamento de dados pessoais é permitido. Para as Procuradorias, as bases legais mais frequentes são:
- Cumprimento de obrigação legal ou regulatória pelo controlador (Art. 7º, II): Quando a coleta de dados decorre de imposição legal, como a manutenção de registros processuais.
- Execução de políticas públicas (Art. 7º, III): Para a realização de estudos, pesquisas ou ações voltadas à implementação de políticas públicas, mediante previsão legal.
- Exercício regular de direitos em processo judicial, administrativo ou arbitral (Art. 7º, VI): Base legal fundamental para a atuação contenciosa das Procuradorias, autorizando o tratamento de dados necessários para a defesa do ente público em juízo ou fora dele.
É crucial que as Procuradorias mapeiem seus processos de tratamento de dados, identificando a base legal correspondente para cada atividade. A ausência de base legal adequada configura tratamento irregular e sujeita a instituição às sanções previstas na LGPD.
A Procuradoria como Órgão Consultivo e de Representação
Além de adequar suas próprias práticas, a Procuradoria tem o dever de orientar os demais órgãos e entidades do ente público na implementação da LGPD. Isso envolve a elaboração de pareceres, a revisão de contratos e convênios para inclusão de cláusulas de proteção de dados e a representação judicial em ações que envolvam violação da LGPD.
A atuação proativa da Procuradoria na consultoria preventiva é essencial para evitar litígios e garantir a conformidade de toda a administração pública. A elaboração de guias, cartilhas e a promoção de treinamentos para os servidores são medidas eficazes para disseminar a cultura de proteção de dados.
Atualizações Normativas e Jurisprudenciais (até 2026)
A Autoridade Nacional de Proteção de Dados (ANPD) tem desempenhado um papel ativo na regulamentação da LGPD, publicando resoluções e guias orientativos que impactam diretamente a atuação das Procuradorias. É imprescindível o acompanhamento contínuo dessas publicações para garantir a atualização das práticas institucionais.
Regulamentação da ANPD
A Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que regulamenta a aplicação da LGPD para agentes de tratamento de pequeno porte, trouxe importantes flexibilizações que podem beneficiar as Procuradorias Municipais de entes de menor porte. No entanto, é fundamental avaliar cuidadosamente se a instituição se enquadra nos critérios estabelecidos na resolução.
A regulamentação sobre a dosimetria das sanções (Resolução CD/ANPD nº 4/2023) também merece destaque, pois estabelece os critérios que a ANPD utilizará para aplicar multas e outras penalidades em caso de infração à LGPD. Embora o setor público esteja sujeito a um regime sancionatório específico (Art. 52, § 3º da LGPD), que privilegia medidas corretivas e de publicização da infração em detrimento de multas pecuniárias, a dosimetria serve como parâmetro para a avaliação da gravidade da conduta e para a aplicação de outras sanções, como a suspensão do tratamento de dados.
Jurisprudência Relevante
Os tribunais brasileiros têm consolidado o entendimento sobre a aplicação da LGPD no setor público. O Superior Tribunal de Justiça (STJ), por exemplo, tem reiterado a necessidade de proteção de dados sensíveis em processos judiciais, determinando o segredo de justiça em casos que envolvam informações médicas, fiscais ou familiares (ex:).
A jurisprudência também tem se debruçado sobre a responsabilização civil do Estado por vazamento de dados. O entendimento majoritário é de que a responsabilidade é objetiva, nos termos do artigo 37, § 6º da Constituição Federal, cabendo ao ente público demonstrar a culpa exclusiva da vítima, fato de terceiro ou força maior para eximir-se do dever de indenizar.
Orientações Práticas para a Conformidade
A adequação à LGPD é um processo contínuo que exige o comprometimento da alta gestão e o envolvimento de todos os servidores. Abaixo, elencamos algumas orientações práticas para as Procuradorias.
Mapeamento de Dados e Avaliação de Impacto
O primeiro passo para a conformidade é o mapeamento de todos os processos que envolvem o tratamento de dados pessoais. É necessário identificar quais dados são coletados, a finalidade do tratamento, a base legal, o tempo de retenção e com quem os dados são compartilhados.
Para processos que envolvam alto risco aos direitos e liberdades dos titulares, como o tratamento de dados sensíveis em larga escala, a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é obrigatória (Art. 38 da LGPD). O RIPD deve descrever os processos de tratamento, avaliar os riscos e propor medidas de mitigação.
Nomeação do Encarregado pelo Tratamento de Dados Pessoais (DPO)
A nomeação do Encarregado pelo Tratamento de Dados Pessoais (DPO) é uma obrigação legal para o setor público (Art. 39 da LGPD). O DPO atua como canal de comunicação entre a instituição, os titulares dos dados e a ANPD, além de orientar os servidores sobre as práticas de proteção de dados.
O DPO deve ter autonomia técnica e acesso direto à alta gestão da Procuradoria. É recomendável que a nomeação recaia sobre um servidor com conhecimento multidisciplinar, englobando aspectos jurídicos, de segurança da informação e de gestão pública.
Implementação de Medidas de Segurança da Informação
A LGPD exige a implementação de medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (Art. 46).
As Procuradorias devem investir em soluções de segurança da informação, como firewalls, criptografia, controle de acesso e sistemas de detecção de intrusão. Além disso, é fundamental estabelecer políticas de segurança da informação, com regras claras sobre o uso de equipamentos corporativos, senhas e acesso a sistemas.
Gestão de Incidentes de Segurança
Apesar de todas as medidas preventivas, incidentes de segurança podem ocorrer. A LGPD estabelece a obrigação de comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (Art. 48).
A Procuradoria deve ter um plano de resposta a incidentes, com procedimentos claros para a identificação, contenção, erradicação e recuperação do incidente, bem como para a comunicação às autoridades competentes e aos titulares afetados.
Revisão de Contratos e Convênios
Todos os contratos e convênios celebrados pela Procuradoria que envolvam o compartilhamento de dados pessoais devem ser revisados para inclusão de cláusulas de proteção de dados. Essas cláusulas devem estabelecer as obrigações das partes em relação ao tratamento dos dados, as medidas de segurança a serem adotadas e as responsabilidades em caso de incidente de segurança.
Conclusão
A LGPD impõe desafios significativos para as Procuradorias, exigindo uma mudança de cultura organizacional e a implementação de medidas robustas de governança e segurança da informação. A adequação à lei é um processo contínuo, que demanda atualização constante frente às inovações normativas e jurisprudenciais. Ao assumir o protagonismo na implementação da LGPD, as Procuradorias não apenas garantem a conformidade legal do ente público, mas também fortalecem a confiança da sociedade na administração pública e asseguram a proteção dos direitos fundamentais dos cidadãos.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.