Procuradoria e LGPD: Visão do Tribunal

A adequação à Lei Geral de Proteção de Dados (LGPD) é um desafio constante para as Procuradorias, que lidam diariamente com um volume massivo de dados pessoais sensíveis em suas atuações. A complexidade dessa tarefa é evidenciada pela necessidade de conciliar a transparência pública, inerente à atividade estatal, com a proteção dos direitos fundamentais dos cidadãos. Neste artigo, exploraremos a visão dos Tribunais sobre a aplicação da LGPD no âmbito das Procuradorias, analisando os principais desafios e as orientações jurisprudenciais que norteiam essa temática.

O Papel das Procuradorias e a LGPD

As Procuradorias, como órgãos de representação judicial e extrajudicial do Estado, atuam em diversas frentes, desde a defesa do patrimônio público até a cobrança de dívidas ativas. Nessas atividades, coletam, armazenam e processam informações pessoais de cidadãos, servidores e empresas, incluindo dados sensíveis como informações de saúde, origem racial ou étnica, filiação sindical, entre outros.

A LGPD, Lei nº 13.709/2018, estabelece regras claras para o tratamento de dados pessoais, impondo obrigações rigorosas aos controladores e operadores, independentemente de serem entes públicos ou privados. As Procuradorias, na condição de controladoras de dados, devem garantir a conformidade com a lei, sob pena de sanções administrativas e responsabilização civil.

Princípios da LGPD e a Atuação das Procuradorias

A atuação das Procuradorias deve ser pautada pelos princípios da LGPD, previstos no art. 6º da lei:

• Finalidade: O tratamento de dados deve ter propósitos legítimos, específicos e explícitos, informados ao titular.
• Adequação: O tratamento deve ser compatível com as finalidades informadas, sem desvio de finalidade.
• Necessidade: O tratamento deve ser limitado ao mínimo necessário para a realização das finalidades, com abrangência dos dados pertinentes e proporcionais.
• Livre acesso: O titular tem direito de acesso fácil e gratuito aos seus dados, bem como informações sobre o tratamento.
• Qualidade dos dados: Os dados devem ser exatos, claros e atualizados.
• Transparência: O titular tem direito a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento.
• Segurança: O controlador e o operador devem adotar medidas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
• Prevenção: O controlador e o operador devem adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
• Não discriminação: O tratamento de dados não pode ser realizado para fins discriminatórios, ilícitos ou abusivos.
• Responsabilização e prestação de contas: O controlador e o operador devem demonstrar o cumprimento da lei e a adoção de medidas eficazes para garantir a proteção de dados.

Visão dos Tribunais sobre a LGPD nas Procuradorias

A jurisprudência sobre a aplicação da LGPD no setor público, e especificamente nas Procuradorias, ainda está em construção, mas já é possível identificar algumas tendências e orientações dos Tribunais.

Transparência Pública vs. Proteção de Dados

Um dos principais conflitos na aplicação da LGPD no setor público é a tensão entre a transparência pública, exigida pela Lei de Acesso à Informação (LAI - Lei nº 12.527/2011), e a proteção de dados pessoais. Os Tribunais têm buscado equilibrar esses dois princípios, reconhecendo a importância da transparência, mas impondo limites para evitar a exposição indevida de dados pessoais.

O Supremo Tribunal Federal (STF), em diversas decisões, tem reafirmado que a LAI não autoriza a divulgação indiscriminada de dados pessoais, especialmente quando se trata de informações sensíveis ou que possam causar prejuízos à intimidade e à vida privada dos cidadãos. A divulgação de dados pessoais deve ser justificada pelo interesse público e limitada ao necessário para o atendimento da finalidade pretendida.

Acesso a Dados por Órgãos de Controle

Os órgãos de controle, como o Tribunal de Contas da União (TCU) e os Tribunais de Contas Estaduais (TCEs), têm acesso amplo a informações e documentos dos órgãos públicos, incluindo dados pessoais. No entanto, o acesso a esses dados deve ser pautado pela necessidade e proporcionalidade, e os órgãos de controle devem adotar medidas de segurança para proteger as informações.

O Superior Tribunal de Justiça (STJ) tem reconhecido o direito dos órgãos de controle de acessar dados pessoais para o exercício de suas funções, mas tem exigido que o acesso seja justificado e limitado ao necessário para a investigação ou fiscalização. Além disso, o STJ tem determinado que os órgãos de controle adotem medidas de segurança para evitar o vazamento ou o uso indevido de dados pessoais.

Compartilhamento de Dados entre Órgãos Públicos

O compartilhamento de dados pessoais entre órgãos públicos é uma prática comum e necessária para a prestação de serviços públicos de forma eficiente. A LGPD permite o compartilhamento de dados entre órgãos públicos, desde que seja realizado para o atendimento de finalidades específicas de execução de políticas públicas, com previsão legal ou regulamentar.

Os Tribunais têm acompanhado de perto o compartilhamento de dados entre órgãos públicos, exigindo que sejam observados os princípios da LGPD, especialmente a finalidade, a necessidade e a transparência. O STF, em recente decisão, suspendeu o compartilhamento de dados de usuários de serviços de telecomunicações com o Instituto Brasileiro de Geografia e Estatística (IBGE), por considerar que a medida violava a proteção de dados pessoais e não apresentava justificativa adequada.

Orientações Práticas para as Procuradorias

Diante dos desafios e das orientações jurisprudenciais, as Procuradorias devem adotar medidas práticas para garantir a conformidade com a LGPD e mitigar os riscos de sanções e responsabilização:

1. Mapeamento de Dados: Identificar todos os fluxos de dados pessoais tratados pela Procuradoria, desde a coleta até o descarte, classificando os dados por tipo, finalidade, base legal e nível de sensibilidade.
2. Avaliação de Riscos: Realizar uma avaliação de riscos para identificar as vulnerabilidades e os potenciais impactos à proteção de dados pessoais, priorizando a adoção de medidas de segurança para os dados mais sensíveis e com maior risco de vazamento ou uso indevido.
3. Elaboração de Políticas e Normativas Internas: Desenvolver políticas de privacidade e segurança da informação claras e acessíveis a todos os servidores, estabelecendo regras para a coleta, uso, armazenamento, compartilhamento e descarte de dados pessoais.
4. Treinamento e Capacitação: Promover treinamentos e capacitações regulares para os servidores sobre a LGPD e as políticas internas de proteção de dados, conscientizando-os sobre a importância da proteção de dados e as consequências do descumprimento da lei.
5. Nomeação do Encarregado pelo Tratamento de Dados Pessoais (DPO): Designar um DPO responsável por orientar a Procuradoria sobre as obrigações da LGPD, atuar como canal de comunicação com os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD), e monitorar a conformidade com a lei.
6. Implementação de Medidas Técnicas e Administrativas: Adotar medidas de segurança técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, perdas, alterações, vazamentos ou usos indevidos. Isso inclui controle de acesso, criptografia, backup, monitoramento de redes e sistemas, e procedimentos de resposta a incidentes de segurança.
7. Gestão de Fornecedores e Operadores: Estabelecer contratos rigorosos com fornecedores e operadores que tratam dados pessoais em nome da Procuradoria, exigindo garantias de conformidade com a LGPD e a adoção de medidas de segurança adequadas.
8. Atendimento aos Direitos dos Titulares: Implementar procedimentos eficientes para atender às solicitações dos titulares de dados, como acesso, correção, anonimização, bloqueio ou eliminação de dados, portabilidade, e informações sobre o compartilhamento de dados.

Conclusão

A adequação à LGPD é um processo contínuo e desafiador para as Procuradorias, exigindo uma mudança cultural e a adoção de medidas técnicas, administrativas e jurídicas. A visão dos Tribunais sobre a aplicação da lei no setor público, buscando equilibrar a transparência com a proteção de dados, serve como um guia importante para as Procuradorias na implementação de suas políticas e práticas de proteção de dados. A conformidade com a LGPD não apenas garante a proteção dos direitos fundamentais dos cidadãos, mas também fortalece a confiança da sociedade nas instituições públicas e contribui para a eficiência e a segurança da atuação estatal.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.