Procuradoria e LGPD: Passo a Passo

A Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) revolucionou o tratamento de dados pessoais no Brasil, impondo um novo paradigma de privacidade e segurança da informação. Para as Procuradorias, órgãos essenciais à administração da justiça e à defesa do interesse público, a adequação à LGPD não é apenas uma obrigação legal, mas um imperativo ético e estratégico. Este artigo, voltado para profissionais do setor público, apresenta um guia passo a passo para a implementação da LGPD no âmbito das Procuradorias, abordando as nuances e desafios específicos dessa seara.

O Contexto da LGPD nas Procuradorias

A atuação das Procuradorias, sejam elas estaduais, municipais ou autárquicas, envolve o tratamento massivo de dados pessoais, muitos deles sensíveis, em diversas frentes: representação judicial, consultoria jurídica, processos administrativos disciplinares, execução fiscal, entre outras. A LGPD, ao estabelecer regras claras para a coleta, armazenamento, uso e compartilhamento de dados, exige uma revisão profunda dos processos internos e da cultura organizacional.

O artigo 4º, III, da LGPD estabelece exceções à sua aplicação para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais. No entanto, é crucial ressaltar que a atuação contenciosa e consultiva das Procuradorias, em regra, não se enquadra nessas exceções, estando, portanto, sujeitas às disposições da lei.

Além disso, a Lei nº 14.129/2021 (Lei do Governo Digital) reforça a necessidade de modernização e segurança na prestação de serviços públicos, estabelecendo princípios que convergem com a LGPD, como a transparência, a eficiência e a proteção de dados.

Passo 1: Engajamento da Alta Gestão e Criação do Comitê de Privacidade

O primeiro passo para a adequação à LGPD é o comprometimento incondicional da alta gestão da Procuradoria (Procurador-Geral, Corregedor, etc.). A implementação da lei exige recursos humanos, financeiros e tecnológicos, além de mudanças culturais que só podem ser impulsionadas com o apoio da liderança.

É recomendável a criação de um Comitê de Privacidade e Proteção de Dados, composto por representantes de diferentes áreas (tecnologia da informação, jurídica, recursos humanos, atendimento ao público). Esse comitê será responsável por coordenar o processo de adequação, elaborar políticas internas e atuar como ponto de contato com a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares dos dados.

O Encarregado pelo Tratamento de Dados Pessoais (DPO)

A nomeação do Encarregado pelo Tratamento de Dados Pessoais (DPO), conforme o artigo 41 da LGPD, é obrigatória. O DPO deve possuir conhecimentos jurídicos e técnicos sobre proteção de dados, além de autonomia para exercer suas funções. Ele será o canal de comunicação entre a Procuradoria, os titulares dos dados e a ANPD, além de orientar os servidores sobre as práticas de proteção de dados.

Passo 2: Mapeamento de Dados e Processos (Data Mapping)

O mapeamento de dados é a base de todo o processo de adequação. Consiste em identificar e documentar o ciclo de vida dos dados pessoais tratados pela Procuradoria:

1. Quais dados são coletados? (ex: nome, CPF, endereço, dados de saúde, informações financeiras).
2. Qual a finalidade da coleta? (ex: representação judicial, emissão de pareceres, gestão de recursos humanos).
3. Qual a base legal que justifica o tratamento? (ex: cumprimento de obrigação legal ou regulatória, execução de políticas públicas, exercício regular de direitos em processo judicial - art. 7º e 11 da LGPD).
4. Onde os dados são armazenados? (sistemas eletrônicos, arquivos físicos).
5. Com quem os dados são compartilhados? (outros órgãos públicos, tribunais, escritórios de advocacia contratados).
6. Qual o prazo de retenção dos dados?

O mapeamento permite identificar os riscos associados ao tratamento de dados e as medidas necessárias para mitigá-los.

Passo 3: Avaliação de Riscos e Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

Após o mapeamento, é necessário avaliar os riscos que o tratamento de dados pode gerar para os direitos e liberdades dos titulares. Essa avaliação deve considerar a natureza, o escopo, o contexto e as finalidades do tratamento.

Em situações de alto risco, como o tratamento de dados sensíveis em larga escala (ex: dados de saúde de servidores para concessão de benefícios), a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é obrigatória (art. 38 da LGPD). O RIPD documenta os riscos identificados e as medidas adotadas para mitigá-los, demonstrando a conformidade da Procuradoria com a lei.

Passo 4: Adequação Jurídica e Normativa

A adequação jurídica envolve a revisão de contratos, convênios, editais de licitação e normativas internas para garantir que contenham cláusulas específicas sobre proteção de dados.

Revisão de Contratos e Convênios

É fundamental que os contratos com fornecedores (ex: empresas de TI, escritórios de advocacia) estabeleçam as obrigações de cada parte em relação à proteção de dados, incluindo a responsabilização em caso de incidentes de segurança.

Políticas Internas

A Procuradoria deve elaborar e implementar políticas internas claras e acessíveis aos servidores e ao público externo, como:

• Política de Privacidade: Informa aos titulares como seus dados são tratados.
• Política de Segurança da Informação: Estabelece as regras para o uso seguro dos sistemas e recursos tecnológicos.
• Política de Retenção e Descarte de Dados: Define os prazos e procedimentos para o armazenamento e eliminação segura dos dados.

Passo 5: Implementação de Medidas de Segurança Técnicas e Administrativas

O artigo 46 da LGPD exige a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Medidas Técnicas

• Controle de acesso aos sistemas e arquivos físicos (senhas fortes, autenticação de dois fatores, biometria).
• Criptografia de dados em trânsito e em repouso.
• Backup regular e seguro dos dados.
• Monitoramento de redes e sistemas para detecção de anomalias.
• Atualização constante de softwares e sistemas operacionais.

Medidas Administrativas

• Treinamento e conscientização dos servidores sobre a LGPD e as políticas internas.
• Estabelecimento de procedimentos para o atendimento aos direitos dos titulares (acesso, retificação, exclusão, etc.).
• Criação de um plano de resposta a incidentes de segurança, definindo as ações a serem tomadas em caso de vazamento de dados.

Passo 6: Atendimento aos Direitos dos Titulares

A LGPD garante aos titulares diversos direitos em relação aos seus dados pessoais (art. 18), como a confirmação da existência de tratamento, o acesso aos dados, a correção de dados incompletos, inexatos ou desatualizados, e a eliminação de dados tratados com o consentimento do titular.

A Procuradoria deve estabelecer um canal de comunicação claro e eficiente (ex: formulário online, e-mail específico) para que os titulares possam exercer seus direitos, garantindo um atendimento célere e transparente, observando os prazos legais e as normativas da ANPD.

Passo 7: Monitoramento Contínuo e Melhoria

A adequação à LGPD não é um projeto com início, meio e fim, mas um processo contínuo de adaptação e melhoria. A Procuradoria deve realizar auditorias periódicas para verificar a eficácia das medidas implementadas, atualizar o mapeamento de dados sempre que houver mudanças nos processos ou sistemas e acompanhar as normativas e orientações da ANPD e a evolução da jurisprudência.

O Papel da ANPD e a Jurisprudência

A ANPD, órgão responsável por zelar, implementar e fiscalizar o cumprimento da LGPD, tem emitido diversas resoluções e guias orientativos que devem ser acompanhados de perto pelas Procuradorias. A jurisprudência dos tribunais também tem se consolidado no sentido de exigir o estrito cumprimento da lei por parte da Administração Pública, com a aplicação de sanções em casos de descumprimento, ressaltando que, para o setor público, as sanções administrativas (art. 52 da LGPD) não incluem multas pecuniárias, mas podem envolver advertências, publicização da infração e até mesmo a suspensão do funcionamento do banco de dados.

Conclusão

A implementação da LGPD nas Procuradorias é um desafio complexo que exige uma abordagem multidisciplinar e o engajamento de toda a instituição. Ao seguir este passo a passo, as Procuradorias não apenas se adequam à legislação, mas também fortalecem a segurança da informação, aumentam a transparência de suas ações e reforçam a confiança da sociedade na atuação do Estado. A proteção de dados pessoais, mais do que uma obrigação legal, é um pilar fundamental para a construção de uma Administração Pública moderna, eficiente e respeitadora dos direitos fundamentais dos cidadãos.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.