A Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018 — transformou a maneira como organizações tratam informações pessoais no Brasil. No setor público, a adequação à lei apresenta desafios únicos, dada a natureza da Administração Pública e a necessidade de equilibrar a proteção de dados com a transparência e o interesse público. Este artigo explora as nuances da aplicação da LGPD no setor público, oferecendo insights e orientações práticas para profissionais que atuam nesse contexto, como defensores, procuradores, promotores, juízes e auditores.
Fundamentos da LGPD no Setor Público
A LGPD estabelece regras claras sobre o tratamento de dados pessoais, abrangendo coleta, armazenamento, processamento, compartilhamento e descarte. O setor público, como controlador de um vasto volume de dados de cidadãos, está sujeito a essas regras, com algumas especificidades. A lei reconhece a necessidade de tratamento de dados para a execução de políticas públicas, mas impõe limites e exige transparência e segurança.
O Papel do Setor Público como Controlador de Dados
O setor público, em suas diversas esferas e órgãos, atua como controlador de dados pessoais em inúmeras situações. Desde a emissão de documentos até a prestação de serviços de saúde e educação, a Administração Pública coleta e processa informações sensíveis. A LGPD exige que o controlador defina a finalidade, a base legal e as medidas de segurança adequadas para o tratamento de dados, garantindo a proteção dos direitos dos titulares.
Bases Legais para o Tratamento de Dados no Setor Público
A LGPD prevê bases legais específicas para o tratamento de dados pelo setor público. A principal delas é a execução de políticas públicas (art. 7º, III, e art. 11, II, 'b'). Isso significa que a Administração Pública pode tratar dados pessoais quando necessário para a formulação, implementação ou avaliação de políticas públicas, desde que haja previsão legal e finalidade legítima. Outras bases legais relevantes incluem o cumprimento de obrigação legal ou regulatória (art. 7º, II) e o exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI).
Desafios e Especificidades da LGPD no Setor Público
A aplicação da LGPD no setor público enfrenta desafios particulares, decorrentes da complexidade da Administração Pública e da necessidade de compatibilizar a proteção de dados com princípios como a publicidade e a transparência.
O Princípio da Transparência e o Acesso à Informação
A Lei de Acesso à Informação (LAI) — Lei nº 12.527/2011 — garante o direito de acesso a informações públicas, promovendo a transparência e o controle social. A LGPD, por sua vez, protege os dados pessoais. O desafio é encontrar o equilíbrio entre esses dois direitos. A LGPD não revoga a LAI, mas estabelece que o acesso a dados pessoais deve ser restrito, salvo em casos de interesse público justificado e com a devida anonimização ou pseudonimização, quando possível.
Compartilhamento de Dados entre Órgãos Públicos
O compartilhamento de dados entre órgãos públicos é essencial para a eficiência da Administração e a prestação de serviços integrados. A LGPD permite esse compartilhamento, desde que haja base legal e finalidade específica, e que sejam adotadas medidas de segurança adequadas. O Decreto nº 10.046/2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal, estabelece diretrizes e procedimentos para essa prática.
Responsabilidade e Sanções no Setor Público
A LGPD prevê sanções administrativas para o descumprimento de suas disposições, que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). No entanto, a aplicação de multas ao setor público é tema de debate, considerando que os recursos públicos têm destinação específica e que a penalização poderia prejudicar a prestação de serviços essenciais. A ANPD tem adotado uma postura orientativa e educativa em relação ao setor público, priorizando a adequação e a correção de irregularidades.
Adequação à LGPD no Setor Público: Um Guia Prático
A adequação à LGPD no setor público exige um esforço contínuo e a adoção de medidas técnicas e organizacionais. A seguir, apresentamos um guia prático com as principais etapas desse processo.
Mapeamento de Dados e Avaliação de Riscos
O primeiro passo para a adequação é o mapeamento de todos os dados pessoais tratados pelo órgão público, identificando a finalidade, a base legal, os fluxos de dados e os riscos envolvidos. A avaliação de riscos deve considerar a probabilidade e o impacto de incidentes de segurança, orientando a adoção de medidas mitigatórias.
Nomeação do Encarregado pelo Tratamento de Dados (DPO)
A LGPD exige a nomeação de um Encarregado pelo Tratamento de Dados Pessoais (DPO), que atua como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. No setor público, o DPO deve ser um servidor público com conhecimento da legislação e das atividades do órgão, capaz de orientar e monitorar a conformidade com a LGPD.
Elaboração de Políticas e Procedimentos
O órgão público deve elaborar e implementar políticas de privacidade e segurança da informação, definindo regras claras para o tratamento de dados, o acesso a sistemas, o compartilhamento de informações e a resposta a incidentes de segurança. Essas políticas devem ser comunicadas a todos os servidores e periodicamente revisadas.
Treinamento e Conscientização
A adequação à LGPD exige uma mudança de cultura organizacional. É fundamental investir em treinamento e conscientização dos servidores públicos, para que compreendam a importância da proteção de dados e adotem práticas seguras no seu dia a dia.
Atendimento aos Direitos dos Titulares
A LGPD garante aos titulares dos dados uma série de direitos, como o acesso, a correção, a exclusão e a portabilidade de seus dados. O órgão público deve estabelecer canais de comunicação e procedimentos eficientes para atender a essas solicitações, garantindo a transparência e o respeito aos direitos dos cidadãos.
Jurisprudência e Normativas Relevantes
A interpretação e a aplicação da LGPD no setor público têm sido objeto de decisões judiciais e normativas da ANPD. É importante acompanhar a evolução da jurisprudência e das orientações da autoridade supervisora para garantir a conformidade com a lei.
Decisões Judiciais e Entendimentos do TCU
O Tribunal de Contas da União (TCU) tem desempenhado um papel importante na fiscalização da adequação do setor público à LGPD. Em diversas decisões, o TCU tem ressaltado a importância do mapeamento de dados, da nomeação do DPO e da adoção de medidas de segurança, além de orientar os órgãos públicos sobre a necessidade de compatibilizar a proteção de dados com a transparência e o acesso à informação.
Resoluções e Guias da ANPD
A ANPD tem publicado resoluções e guias orientativos para auxiliar o setor público na adequação à LGPD. Destacam-se o Guia Orientativo para Definição dos Agentes de Tratamento de Dados Pessoais e o Encarregado, e o Guia Orientativo sobre a Aplicação da LGPD por Agentes de Tratamento no Âmbito do Poder Público.
Conclusão
A adequação à LGPD no setor público é um processo complexo e contínuo, que exige planejamento, investimento e mudança de cultura. A proteção de dados pessoais é um direito fundamental, e a Administração Pública tem o dever de garantir a segurança e a privacidade das informações dos cidadãos. Ao adotar as medidas adequadas e acompanhar a evolução da legislação e da jurisprudência, os órgãos públicos podem garantir a conformidade com a LGPD e fortalecer a confiança da sociedade na Administração Pública.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.