top of page
Foto do escritorThomaz Drumond

LGPD E A ADMINISTRAÇÃO PÚBLICA: ALGUNS DESAFIOS


RESUMO: O artigo traça breve histórico sobre a legislação da proteção de dados pessoais no mundo e demonstra como a assimilação da necessidade da proteção de dados passa, primeiro, por uma mudança cultural na percepção da privacidade. Revela também alguns institutos próprios da proteção de dados e principais desafios que são e ainda serão enfrentados na implantação da LGPD no setor público.


Palavras-chave: Proteção de dados, LGPD, desafios, setor público. Cultura de privacidade.



1. INTRODUÇÃO


Vivemos na sociedade hiperconectada, com uma circulação inimaginável de dados pessoais. Hoje, a informação é o elemento principal para desenvolvimento social e econômico, razão pela qual são utilizados termos como “sociedade da informação” e “economia da informação” para qualificar o momento coletivo em que vivemos.

Os países europeus já se preocupam com a proteção de dados pessoais há décadas, sendo a lei de Hesse, na Alemanha, de 1970, a primeira legislação para a proteção de dados pessoais. O Brasil lançou luzes específicas ao tema somente por volta dos anos 2010, culminando os estudos na promulgação da Lei n. 13.709/2018, com vigência a partir 2020, que tem como objetivo dispor sobre o tratamento de dados pessoais por pessoas naturais ou por pessoas jurídicas de direito público ou privado, além de pretender proteger os direitos fundamentais de privacidade e o livre desenvolvimento da pessoa natural.

Embora tenha havido relevante evolução doutrinária e jurisprudencial, passados quase dois anos desde o início da vigência muito ainda há de ser feito para que a população brasileira compreenda a necessidade de uma virada cultural para a efetiva proteção de dados, inclusive nas questões mais comezinhas.

É urgente, também, que o Poder Público assimile a necessidade de proteção de dados e que estimule de uma nova forma de tratar os dados pessoais. E, quando se diz Poder Público, devemos nos lembrar que a administração pública é uma ficção formada por pessoas naturais, em cargos e funções públicas, sendo estes agentes os protagonistas dessa mudança cultural, especialmente porque também possuem a missão de proteger dados pessoais dos cidadãos, de forma proativa. Afinal, é o Estado, lato sensu, quem detém um dos maiores – senão o maior – banco de dados pessoais dos cidadão que residem no Brasil, catalogados em órgãos públicos e delegatários, literalmente, desde o nascimento até a morte dos destinatários da norma: a pessoa natural.

Lado outro, não se pode ignorar que estes mesmos agente públicos têm o dever de atuar com a maior transparência e publicidade possíveis. Então, surgem diariamente aparentes e verdadeiros conflitos que geram insegurança sobre como conferir proteção aos dados, ao tempo em que a publicidade também merece prestígio.

A implantação das regras e princípios da LGPD ao setor público já é um desafio porque se trata da “imposição” de uma nova cultura aos milhões de servidores públicos, investimento na conformidade por milhares de órgãos públicos, com reformulação de sistemas, processos e procedimentos, novas contratações com a natural burocracia e revisão dos próprios contratos. Some-se a isso o necessário cuidado com dados sensíveis como as informações de saúde e demais dados pessoais tratados pela Administração.

Justamente por tais motivos é que os desafios de se atender aos ditames da Lei Geral de Proteção de Dados Pessoais elevam-se sobremaneira ao pensamos na sua aplicação ao Poder Público.


2. BREVE HISTÓRICO


O estudo da proteção de dados pessoais revela conceitos e institutos que lhe são próprios ou assuem maior relevância, a exemplo de termos como autodeterminação informativa ou assimetria informacional. O estudo das origens e fontes materiais da proteção de dados no mundo é crucial para melhor entendimento das peculiaridades do tema, servirá de suporte para assimilação dos conceitos, e será útil à compreensão da necessidade de um choque de cultura para que a lei de proteção de dados pessoais não se torne uma mera “folha de papel”.

Há duas fontes legislativas principais a serem destacadas: as origens europeia e americana da legislação de proteção de dados. Foi na Alemanha a primeira legislação local de proteção de dados (Lei de Hesse, de 1970), ocorrendo somente em 1977 a edição de uma lei federal sobre o tema, a Bundesdatenchutzgesetz. Em 1973, a Suécia editou o Data Legen 289 (Datalog). Nos Estados Unidos, surgiu o Privacy Act (Lei da Privacidade) em 1974. Estas lei são conhecidas como integrantes da primeira geração das normas protetivas de dados conforme detalha a doutrina. Danilo Doneda contextualiza o momento de criação destas leis:


 Estas leis propunham-se a regular um cenário no qual centros de tratamento de dados, de grande porte, concentrariam a coleta e a gestão dos dados pessoais. O núcleo destas leis era a concessão de autorizações para a criação destes bancos de dados e do seu controle a posteriori por órgãos públicos. Estas leis também enfatizavam o controle do uso de informações pessoais pelo Estado e pelas suas estruturas administrativas, que eram o destinatário principal (se não os únicos) destas normas. Esta primeira geração de leis segue aproximadamente até a Bundesdatenschutzgesetz, a lei federal da República Federativa da Alemanha sobre proteção de dados pessoais, de 1977.


Posteriormente, uma segunda geração de leis surgiu, a exemplo da Informatique et Libertés, em 1978, na França, que deixou de focar nos bancos de dados informatizados e na tecnologia e passou a lançar luzes na privacidade e proteção de dados como uma liberdade negativa. Percebeu-se que o uso e o fluxo de informações pessoais se tornaram requisitos para o exercício de liberdades junto ao Estado e junto aos particulares, ou seja, o trânsitos dos dados pessoais se tornou indispensável para a mera convivência em sociedade.

Uma terceira geração também é considerada, a partir da legislação criada nos anos 1980 com foco evolução da proteção do cidadão e sua liberdade de fornecimento ou não de dados, momento em que iniciam-se as discussões sobre a liberdade de uso dos dados a partir da autodeterminação informativa.

Nesse momento, o pioneirismo alemão na proteção de dados é mais uma vez revelado pelo famoso julgamento da Lei do Censo (Volkszählungsurteil), em 15.12.1983, pelo Tribunal Constitucional Alemão, diante de um contexto de abundante coleta de dados, conforme as lições de Rony Vainzof:


 Referida decisão foi paradigmática, inclusive internacionalmente, pois estabeleceu um marco mundial da proteção de dados pessoais, consagrando o conceito, ora fundamento da LGPD, da autodeterminação informativa, conforme trecho extraído do julgado germânico: “aquele que, com segurança suficiente, não pode vislumbrar quais informações pessoais a si relacionadas existem em áreas determinadas de seu meio social, e aquele que não pode estimar em certa medida qual o conhecimento que um possível interlocutor tenha da sua pessoa, pode ter sua liberdade consideravelmente tolhida”.


Mais recentemente, foi promulgado o Regulamento 2016/679 (General Data Protection Regulation - GDPR), ou Regulamento Geral de Proteção de Dados, em tradução livre, um importantíssimo instrumento que demonstra a evolução do tema na União Europeia, trazendo maior segurança jurídica às interpretações sobre a temática. Trouxe à lume a tutela da privacidade do cidadão em cenário mundial, penalidades, além de prever hipóteses legais para tratamento lícito dos dados pessoais.

Inspirada na GDPR, o Brasil publicou em agosto de 2018 a Lei n. 13.709/2018, chamada de Lei Geral de Proteção de Dados Pessoais (LGPD). Na verdade, as discussões sobre a criação de uma lei protetiva no país teve início por volta de 2010, e houve aceleração do debate e votação da legislação por várias razões, dentre elas a necessidade de criação da lei como requisito para transferência internacional de dados pessoais, e a exigência para que o Brasil pudesse atender a um dos requisitos da tutela desses dados para pleitear ingresso na Organização para a Cooperação e Desenvolvimento Econômico (OCDE), entidade da qual o Brasil há anos tenta ser membro.



3. CULTURA, FUNDAMENTOS E principiologia

3.1 Proteção de dados no Brasil: mais do que um dever legal, uma questão cultural


A doutrina já defendia que o direito à proteção de dados pessoais seria direito fundamental inserido dentre os direitos da personalidade, extraídos do direito à privacidade, liberdade de consciência e à honra, expressos na Constituição Federal no art. 5º, VI e X. Em 2020, o Supremo Tribunal Federal reconheceu a autonomia dos direitos à proteção de dados e à autodeterminação informativa no histórico julgamento da ADI 6393, de Relatoria da ministra Rosa Weber. Em fevereiro de 2020, a Emenda Constitucional 115/2022 inseriu o inciso LXXIX no art. 5º, dispondo que “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.

Porém, muito além das normas jurídicas, é necessário que o cidadão perceba que os nossos dados, e das demais pessoas à nossa volta, merecem um comportamento ativo de proteção. Segundo o art. 5º, I, da LGPD, dado pessoal é a informação relacionada a pessoa natural identificada ou identificável. Tudo que identifica uma pessoa, ou possa, de alguma forma até mesmo indireta, identifica-la. Além do nome ou número de documento de identidade ou CPF, abrange quaisquer outras informações como e-mail, números de registros em quaisquer outros órgãos, informações sobre saúde e doenças, vida sexual, genética, biometria etc.

Há uma aparente sensação de banalização dos dados, os quais são entregues a terceiros sem quaisquer critério ou sendo crítico de qual será seu uso, provavelmente porque já seriam públicos.

Andriei Gutierrez é preciso em suas lições sobre o tema:

 E aqui identifico dois grandes desafios. O primeiro diz respeito a uma mudança cultural, de maior conscientização sobre a importância da privacidade e dos riscos associados à manutenção de comportamentos não preventivos. Caso o leitor tenha se identificado aqui, sim, refiro-me à maneira como damos nossos dados, fazemos cadastros em lojas e farmácias, aceitamos que coletem e tratem nossas informações sem ao menos perguntar qual a finalidade e se tantos dados são necessários para tal. A maneira como interagimos nas redes sociais etc. O titular do dado é e deve ser o primeiro pilar de proteção à privacidade. Campanhas públicas, de comunicação e iniciativas de educação com a população sobre o tema são, sem dúvidas, um campo necessário de atuação. A Autoridade teria um papel fundamental de órgão ativo de promoção de iniciativas e parcerias com entidades da sociedade civil e do setor privado nessa área.


Dissertando sobre o poder público, o autor complementa sobre a necessidade de mudança cultural também neste setor:


Outro grande desafio diz respeito à mudança de cultura corporativa e organizacional. Não é difícil identificar que há pouquíssimo grau de preocupação ou cuidado com segurança e governança da informação nas organizações brasileiras – e incluo aqui também o Poder Público. A mudança dessa cultura corporativa deve ser um aspecto primordial para a futura ANPD. Diferentemente de países europeus que têm suas leis de proteção de dados pessoais que remontam décadas, nossas organizações ainda precisam ser educadas, reorganizadas e treinadas para trabalhar sob novos critérios. Caso contrário, teremos uma lei inócua e sem eficácia ou uma autoridade extremamente punitiva e, assim, prejudicial ao desenvolvimento das tão necessárias inovações baseadas em dados que o País necessita e que os consumidores almejam.


É fundamental a implantação de uma cultura de privacidade. Assim como ocorre nas implantações de programas de compliance, não bastam apenas adequações formais para que a corporação possa dizer que se adequou à legislação. É por isso que se percebe que a efetividade de um programa de conformidade depende do comprometimento da alta administração (tone at the top), um envolvimento e exemplo dos cargos mais altos daquela empresa ou instituição.

O mesmo se aplica à assimilação da LGDP. Não bastam cartazes na parede indicando textos legais ou orientações setorizadas sobre a indispensabilidade de cumprimento das normas de proteção de dados. Mais do que isso, é imprescindível o amadurecimento e compreensão da necessidade de uma atuação ativa na proteção dos dados nos cargos que tratem de dados pessoais, desde a mais alta instância nos órgãos públicos. Como será explicitado mais à frente, este novo comportamento perpassa por cuidados simples como o desligamento de monitores quando o servidor sair de uma sala para evitar a exibição dados pessoais próprios ou de terceiros na tela. Ou, ainda, fechar autos de processos administrativos físicos e guarda-los na gaveta, quando possuir dados pessoais sensíveis – os quais merecem maior proteção ainda – como os relacionados à saúde, evitando que terceiros tenham acesso em proativa proteção dos dados pessoais dos cidadãos.

Este é, sem dúvida, o primeiro desafio a ser vencido.


3.2. Autodeterminação informativa e o livre desenvolvimento da pessoa natural.


A autodeterminação informativa é um princípio expresso na no art. 2º, II da LGPD, e pode ser conceituado como o poder do indivíduo em saber, com precisão, como e quais seus dados pessoais estão sendo utilizados e com quais finalidades e, diante de tais informações, poder decidir sobre fornecê-los, interromper seu fornecimento, solicitar a interrupção do uso dos dados, ou até mesmo solicitar exclusão completa. Historicamente, embora já se tivesse notícia de sua conceituação no direito norte-americano, foi no paradigmático Julgamento do Censo pelo Tribunal Constitucional Alemão em 1983 que houve seu destaque e reconhecimento de sua autonomia.

Trata-se de um direito da personalidade que compreende a liberdade de o indivíduo em ter controle sobre suas informações pessoais e a possibilidade de uma tomada decisão sobre o destino dos dados. Assim como outras liberdades, a liberdade deste controle de seus dados deve ser “entendida como possibilidade de definir o próprio destino – é o atributo essencial da condição humana, que nos une e iguala numa empreitada coletiva”.

O livre desenvolvimento da pessoa natural tem estrita relação com a autodeterminação informativa, na medida em que o ser humano deve ter o controle de seus dados e de sua exposição, inclusive de sua filosofia de vida, questões políticas e sexualidade, em uma tutela da dignidade humana. Dessa forma, torna-se possível “a construção da individualidade e o livre desenvolvimento da personalidade sem a pressão de mecanismos de controle social.”

Nas palavras de Bruno Bioni:


A LGPD internaliza tal orientação constitucional. As suas disposições preliminares enunciam que a disciplina da proteção de dados pessoais tem como objetivo proteger os direitos fundamentais e o livre desenvolvimento da personalidade (art. 1º), repetindo-os como um dos seus fundamentos ao lado do desenvolvimento econômico-tecnológico e da inovação (art. 2º). A LGPD estabelece, portanto, uma dialética normativa de conciliação entre todos esses elementos.

O principal vetor para alcançar tal objetivo é franquear ao cidadão controle sobre seus dados pessoais. Essa estratégia vai além do consentimento do titular dos dados, pelo qual ele autorizaria o seu uso. Tão importante quanto esse elemento volitivo é assegurar que o fluxo informacional atenda às suas legítimas expectativas e, sobretudo, não seja corrosivo ao livre desenvolvimento da sua personalidade.



Estes são dois dos principais fundamentos elencados no art. 2º da LGPD, a partir dos quais se originam uma miríade de direitos ao cidadão, especialmente destacados nos artigos 17 e 18 da lei.


3.3. Identificação do Setor Público


O art. 1º da LGPD dispõe acerca de sua aplicação para tratamento de dados por pessoa jurídica de direito público ou privado. O parágrafo único do art. 1º transparece de início a aplicação ao setor público ao dispor que “as normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.”

O art. 23 esclarece que o tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público (...).

Assim consta do parágrafo único do mesmo artigo:

Parágrafo único. Subordinam-se ao regime desta Lei:

I - os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público;


II - as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios.


Devemos rememorar que as referidas pessoas jurídicas, a depender da atividade exercida, poderão se enquadrar em regime de prestação de serviço público ou em atividade concorrencial nos termos do art. 173 da Constituição Federal, razão pela qual estas poderão, eventualmente, ter o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, conforme relembra Angela Mario Rosso:


Fazemos aqui uma importante ressalva ao enquadramento de algumas entidades referidas no inciso II, Parágrafo Único da LAI, pois, estas, devido a sua natureza jurídica deverão transitar entre os capítulos II e IV da LGPD a depender da atividade que desempenham ao tratar os dados. Em outras palavras, a finalidade a que está vinculado determinado tratamento dos dados pessoais - se em regime de mercado, concorrencial, ou se para a consecução de políticas públicas - é que determinará se o ente deve atender aos requisitos exigidos para o setor privado ou para o setor público previstos na LGPD. Esta é a prescrição do art. 24 da LGPD ao determinar que empresas públicas e sociedades de economia mista por estarem sob a égide de um regime especial (ou misto) deverão se adequar a depender do caso concreto: se atuarem de acordo com os requisitos do art. 173, CF4 - explorando atividade econômica - devem atuar em conformidade com Capítulo II da LGPD; já nos casos em que a finalidade do tratamento for a persecução do interesse público deverão atender o Capítulo IV.



As hipóteses autorizativas de tratamento de dados constam no art. 7º da LGPD. No caso do setor público, o inciso III prevê que o tratamento de dados pela administração pública somente será lícito se tiver como objetivo o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. Trata-se de requisito umbilicalmente ligado aos 2 (dois) outros previstos no art. 23 da mesma lei, atendimento de sua finalidade pública, na persecução do interesse público" e "com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público".



3.4. Relação assimétrica entre poder público e cidadão


O enorme acervo de dados pessoais detidos pelo pela administração pública, aliado a seu poder de império para realizar as politicas públicas, revela uma relação assimétrica de poder que o Estado detém sobre o cidadão, que merece ter sua vulnerabilidade reconhecida. É natural que o Poder Público contenha em seu acervo um enorme banco de dados sobre os cidadãos colhidos desde o nascimento e até mesmo após o óbito, como informações sobre saúde, educação, gastos, informações colhidas em wi-fi público ou até mesmo geolocalização em aplicativos de celular.

Essa relação assimétrica mereceu especial cuidado da LGPD quando dispôs especificamente sobre o Poder Público na LGPD, a fim de tentar reequilibrar a relação e arrefecer a voracidade da coleta de dados com normas específicas.


4. ALGUNS DESAFIOS


Sem pretensão de esgotar o tema, neste ponto serão abordadas algumas situações desafiadores para adoção ou implantação pelo Poder Público, especialmente em razão da quantidade de dados envolvidos, do elevado número de pessoas e de diferentes contextos, além das peculiaridades existentes em razão da necessidade de adoção respeito de outras obrigações legais.


4.1. O Encarregado no setor público


Um dos mais importantes personagens e protagonistas na aplicação e conformidade com a LGPD é o Encarregado (ou Data Protection Officer – DPO), conceituado no art. 5º, VIII, da lei, como “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”, podendo ser pessoa natural ou jurídica.

Originalmente, a redação previa a exigência de o encarregado ser “pessoa natural, indicada pelo controlador”, tendo sido o texto legal modificado “pessoa indicada pelo controlador” (MP 869 de 2018) e, mais recentemente, consolidando o dispositivo em “pessoa indicada pelo controlador e operador” (Lei n. 13.853 de 2019).Tal mudança permitiu que o Encarregado fosse pessoa natural ou jurídica. Todavia, a atribuição da função de encarregado de dados à pessoa jurídica deve ser analisada com bastante prudência em razão das peculiaridades do tema quanto ao setor público, o que não é objeto deste estudo.

Muito mais do que mero canal de comunicação entre o controlador e a ANPD, o art. 41, § 2º, da LEI prevê que o Encarregado tem funções como (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, (ii) receber comunicações da autoridade nacional e adotar providências, (iii) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, e (iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Embora o setor privado já tenha logrado êxito em estabelecer alguns padrões e formas de implantação da figura do Encarregado, inclusive com a comum contrataçãp de empresas especializadas, não há como realizar mera cópia desse sistema no poder público. Se as dificuldades do setor privado são tamanhas, muito maiores são as do Poder Público em razão de todo o contexto apresentado até aqui.

Como bem apontado por Rodrigo Dias de Pinho Gomes e Rafael A. F. Zanatta, a administração pública não pode simplesmente terceirizar tal serviço ou paralisar suas atividades para adequar-se à LGPD, ampliando a dificuldade:


Há ainda um desafio adicional na jornada de adequação à LGPD: todas as tarefas acima elencadas devem ser coordenadas em pleno funcionamento e operação das atividades desenvolvidas pelo agente de tratamento, algo que o jargão popular denomina "trocar o pneu com o carro andando". Ora, não se espera que uma organização, pública ou privada, simplesmente interrompa as suas atividades para se dedicar exclusivamente ao projeto de adequação.


Nesse contexto, o primeiro entrave é identificar, no setor público, quem poderá ser o encarregado de dados. E mais, se será apenas um por cada ente político, ou um para a administração direta e outro para cada pessoa jurídica da administração indireta. Há, ainda, dúvidas sobre a composição singular ou colegiada.

No artigo precitado, Rodrigo Dias de Pinho Gomes e Rafael A. F. Zanatta apontam exemplos no país que refletem a heterogeneidade das soluções adotadas. Segundo os autores, o Ministério Público do Estado de São Paulo nomeou seu Ouvidor como encarregado, conforme Resolução 1.299/2021. Por outro lado, revelam que alguns órgãos adotaram estruturas colegiadas, como a Defensoria Pública do Rio de Janeiro e do Tribunal de Justiça de Santa Catarina.

No Tribunal de Justiça de São Paulo, há notícia em seu site indicando que a função de Encarregado será também realizada por órgão colegiado, composto por 5 magistrados entre juízes e desembargadores. O Tribunal de Contas de União também atribuiu tal função para a Ouvidoria em sua PORTARIA-TCU Nº 142, de 25 de setembro de 2020. No site da Procuradoria Geral do Estado de Santa Catarina também consta uma procuradora do Estado exercendo a função de Encarregada, de forma singular.

Como bem rememora Fabrício da Mota Alves, fato é que a indicação de um Encarregado é condição inafastável para o tratamento de dados conforme se verifica da leitura do caput do art. 23 e do inciso III, cumulado com o art. 41 da LGPD:


Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:


III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei; e


(...)


Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.


O autor aponta outras importantes questões desafiadoras ao Poder Público ao indicar quem assumir a função de encarregado como:

  1. requisitos e habilidades recomendáveis para o exercício da função, como conhecimentos da legislação protetiva de dados, boa comunicação e relacionamento interpessoal;

  2. Necessidade ou não de o encarregado ser escolhido dentre servidores em desempenho de cargos com estabilidade, diante da necessidade de certa independência, o que dificultaria o exercício por servidores demissíveis ad nutum;

  3. Possíveis conflitos de interesse;

  4. Indicação de um mesmo DPO para vários órgãos públicos

  5. Dedicação exclusiva;

  6. Atribuições, limites administrativos e desvio de função


Certamente, embora seja possível prever os inúmeros desafios da implantação e operacionalização desta função, somente na prática será perceberemos qual o melhor modelo a ser adotado em cada ente.


4.2. Tela Limpa/Mesa Limpa



Uma conduta diretamente ligada à assimilação da cultura de privacidade é a adoção da chamada política tela limpa e mesa lima. Essa política, baseada na ISO 27001, constitui a adoção de boas práticas de segurança para proteger informações pessoais que transitam fisicamente por mesas ou digitalmente por telas de computador ou outro recurso tecnológico.

Aplicando-se à proteção de dados pessoais, a ideia é que nenhuma informação que seja considerada dado pessoal pode ter sua manipulação descuidada a ponto de que terceiros, que não atuem no tratamento, tenham acesso indevido àqueles dados. Ou seja, são boas práticas para que ativamente haja um controle dos dados tratados, em simples condutas para que, por exemplo, uma saída rápida da área de trabalho agente público não permita o acesso indevido a dados pessoais.

No setor público, é fácil vislumbrar exemplos. No cotidiano de quem trabalha com saúde, é rotineiro que haja computadores em área internas ou de acesso ao público com telas expostas e de fácil visualização. O mesmo pode ocorrer com documentos de prontuário ou fichas de atendimento, que acidentalmente podem ficar expostas a terceiros. Em caso de breve saída do servidor do posto de trabalho, eleva-se sobremaneira o risco de aqueles dados pessoais ficarem desprotegidos.

A política de mesa limpa e tela limpa preceitua condutas proativas de proteção de dados pessoais para minimizar riscos de vazamentos de dados, especialmente os sensíveis. Existem algumas condutas simples que devem ser adotadas, tais como: não deixar à mostra monitores ao manipular dados pessoais; não deixar crachás à mesa; guardar documentos e processos físicos em gavetas com trancas, sem deixa-los na mesa; uso de senhas em computadores para bloqueio de tela ao sair do posto de trabalho; não deixar senhas em anotações na mesa ou no monitor (ou em adesivos post it); restrição de impressões e às exportações de bancos de dados; evitar o uso de papel e rascunhos que contenham dados pessoais, devendo ser descartados de imediato; descarte de informações tomadas e prestadas em reuniões e que possam acarretar risco de vazamento; ao sair por curtos períodos ou ao final do expediente, guardar todos os papeis que possam acarretar riscos de exposições de dados pessoais, desligando a tela e o computador, se for o caso.

Muitos servidores podem encarar as condutas como desnecessárias ou exageradas. Todavia, com treinamentos e assimilação de uma cultura de privacidade, tais rotinas terão implantação de forma natural e menos desafiadora.


4.3. O Estado como contratante. O Estado como prestador de serviços. Dados escolares e benefícios sociais, dentre outros.


Com o exposto até o momento, se torna mais fácil perceber que a administração pública em sua voraz coleta de dados, necessários para exercer seu mister e políticas pública, encontra inúmeros desafios na busca pela conformidade com a lei de proteção de dados pessoais. Em cunhos práticos, podemos antever a necessidade de o Estado, enquanto contratante, readequar os contratos em licitações, editais, o método de armazenamento desses dados etc.

Da mesma forma, no cotidiano da prestação de serviços inúmeros dados transitam pelas mãos de servidores públicos, devendo ser redobrada a atenção quando se tratarem de dados sensíveis. O mesmo tratamento de dados pode ocorrer nos casos de transferência de dados pessoais sob tutela da Administração Pública para empresas privadas nos casos de execução descentralizada da atividade pública, conforme art. 26, § 1º, I e V, da LGPD. Disso se extrai que o particular que contrata com o ente público para prestar serviços sujeita-se aos ditames da LGPD independentemente da precariedade ou do tipo de vínculo assumido.

Para além, uma imensidão de dados encontram-se catalogados nos bancos de dados que controlam dados escolares e de benefícios sociais à população, ou até mesmo os dados tutelados pelo Sistema Único de Saúde, notavelmente sensíveis e que precisam ter cuidado especial.


4.4 LGPD vs. Lei de Acesso à informação


Um dos maiores desafios é a compatibilização entre as restrições impostas pela LGPD e o dever de transparência e publicidade no setor público. Em outras palavras, vemos que há aparente conflito entre a intimidade e a publicidade, embate que não é novo no direito brasileiro.

Sem maiores digressões sobre o tema, que merece um trabalho próprio para seu adequado desenvolvimento, é preciso defender a compatibilidade das normas em razão de atuarem em campos complementares.

De um lado, a Lei de Acesso à Informação (LAI - Lei n. 12.527 de 2011) dispõe em seu art. 3º os procedimentos nela previstos “destinam-se a assegurar o direito fundamental de acesso à informação e devem ser executados em conformidade com os princípios básicos da administração pública”, indicando em seus incisos as diretrizes as seguintes diretrizes a serem seguidas como a (i) observância da publicidade como preceito geral e do sigilo como exceção, e a (ii) divulgação de informações de interesse público, independentemente de solicitações.

Por outro lado, o art. 2º da LGPD trouxe como fundamentos no art. 2º o respeito à privacidade, inviolabilidade da intimidade, da honra e da imagem.

Logo se percebe que a LGPD parece restringir os limites da Lei de Acesso à Informação, expondo a lei protetiva em seu art. 23 que o tratamento de dados pessoais pelo Poder Público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.

Nas palavras de Fernando Augusto Martins Canhadas, seriam estes os requisitos para que as pessoas de direito publico estejam autorizadas a tratar os dados pessoais sem desatender à Lei de Acesso à informação, “sempre levando em consideração a finalidade pública e a persecução do interesse público envoltos no contexto de transparência administrativa”.

Ou seja, a publicidade deve ser a regra, limitada apenas em casos em que o fornecimento os dados pessoais não sejam indispensáveis para se atingir a finalidade da transparência. Isso não quer dizer que haja uma restrição total à publicidade em casos em que existam dados pessoais restritos, mas apenas a adequação à “quantidade” de informação fornecida, ou métodos de sua apresentação.

A partir do estudo de julgamentos no Supremo Tribunal Federal de casos que tratavam acerca divulgação das remunerações dos servidores públicos, o Fernando Canhadas aperfeiçoou, a partir do método de sopesamento de Robert Alexy, 3 passos para se avaliar conflitos entre a LAI e a LGPD, a partir do caso prático dos vencimentos dos servidores em que se apura a existência de colisão entre princípios:

1º Passo: A verificação da adequação da medida protetiva da transparência em face da LGPD; a partir de uma mera relação de nexo, verificar-se-á se a medida atende a finalidade de publicizar as despesas públicas.


2º Passo: A verificação da necessidade da medida de divulgação de vencimentos; havendo mais de uma medida a ser tomada para a transparência, deve-se optar pela mais eficiente e menos restritiva de direitos fundamentais. Sendo a única, deve ser a escolhida.


3º Passo: A verificação proporcionalidade em sentido estrito na divulgação dos vencimentos: a transparência proibida; verificação se a vantagem da medida adotada (eficácia) supera a desvantagem sofrida pelos demais direitos (restrição).


Embora o citado autor defenda o acerto das decisões à época, reflete que:


fosse a mesma questão reapresentada ao Poder Judiciário agora, já sob a égide da LGPD, provavelmente teríamos um resultado diferente. Não no sentido de se afastar a obrigatoriedade de divulgação de vencimentos, mas no sentido de se impor medida mitigatória da restrição à intimidade, qual seja, a determinação para que não se mencione o nome do funcionário público atrelado á informação de valores recebidos.


Há várias outras situações em que a compatibilidade de publicidade é obtida sem violar direitos individuais. A título de exemplo, é possível se obter a partir da LAI as informações de quantos alunos em tal escola possuem determinada idade, ou estão matriculados e repetiram de ano. Todavia, a informação precisa de seus nomes e demais dados de identificação parecem violar a lei protetiva de dados na medida em que ultrapassam a necessidade, salvo se for medida justificada para alguma medida individual ou alguma política prevista nos termos do art. 23 da LGPD.

Lado outro, nada impede que, com base na própria LGPD, em tutela de seus próprios direitos, os pais dos mesmos alunos obtenham informações pessoais sobre seus dados, notas, e demais informações pessoais. São situações complementares, com interesses e tutelas diferentes.

Na área da saúde parece haver a mesma situação. O sigilo aos prontuários e a vedação de acesso às informações sensíveis por terceiros não são afastados pela LAI, mas com base nesta lei podem ser requeridas informações para fins estatísticos ou outra questão autorizada, a fim de eventual controle social, e sem que haja a individualização ou que aquela informação identifique ou torne identificável a pessoa titular dos dados, afastando-se a violação a dados pessoais sensíveis, por exemplo.

Atingir este meio termo talvez seja o maior desafio neste conflito.


4.5 Privacy by Design e Privacy By Default


O termo Privacy by Desing (PbD), também chamado de Privacidade na Concepção, é expressão cunhada pela canadense Ann Cavoukian a partir da percepção de que o aumento desenfreado da coleta de dados não seria contido por simples edição de leis, sendo indispensável estimular que as empresas e instituições criassem produtos e condutas focados na privacidade desde sua concepção. Em outras palavras, a privacidade deve ser o ponto de partida da concepção de qualquer produto ou serviço.

Aliado ao conceito de Privacy by Design também surge a ideia do Privacy by Default, partindo-se o princípio de que o maior nível de restrição de coleta de dados deve ser padrão e automático em todos os projetos desenvolvidos. Sobre o tema, os ensinamentos de Cíntia Rosa Pereira Lima e Bruno Ricardo Bioni:


Nesse caso em específico, considera-se que o próprio produto ou serviço deve ser arquitetado de forma condizente a proteger as informações pessoais de seus usuários. Vale dizer que a privacy by default é, apenas, um dos diversos tipos de abordagem propiciadas pelo privacy by design, a qual consiste como, a própria terminologia induz, em considerar a privacidade como um elemento condutor na fase de projeção e desenvolvimento de produtos e serviços. Anonimização das informações pessoais, sistemas de notificação em torno de bases de dados, auditorias e muitas outras práticas são exemplos de como a tecnologia em sua fase de concepção pode ser coerente com a proteção da privacidade dos usuários. […]. Especificamente, por meio de uma tradução literal do termo default, as aplicações deveriam ter um padrão que, automaticamente, implementaria tal proteção.


Foi inspirada nesta ideia que Ann Cavoukian publicou em 2009 o artigo “Privacy by Design: The 7 Foundational Principles – Implementation and Mapping of Fair Information Practices” , contendo 7 princípios fundantes do Privacy by Design, em tradução livre:


1. Proativo, e não reativo; preventivo, e não corretivo;

2. Privacidade como padrão;

3. Privacidade incorporada ao design;

4. Funcionalidade total

5. Segurança de ponta a ponta e proteção durante todo o ciclo de vida dos dados

6. Visibilidade e transparência

7. Respeito pela privacidade do usuário


Diante desse quadro, percebe-se que a Administração Pública precisa se reinventar, realizar novos métodos, processos, procedimentos e reformulação de sistemas, além de focar na privacidade quando realizar a produção ou contratação de novos softwares de computador para realizar seu propósito.


4.6. Base Legada


As bases legadas constituem os bancos de dados existentes e constituídos antes da edição da Lei Geral de Proteção de Dados e, por tal motivo, estão potencialmente em desacordo com a legislação protetiva.

O fato de o art. 5º, X, da LGPD conceituar tratamento como “tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”, faz com que a lei protetiva tenha incidência inclusive sobre os bancos de dados antigos, o que é um enorme desafio para o poder público a eventual correção de todo esse arquivo do passado.

Pensando nisso, a LGPD trata no art. 63 que “a autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, consideradas a complexidade das operações de tratamento e a natureza dos dados.”

Ou seja, sendo detentor de um dos maiores banco de dados do país, controlndo informações dos cidadãos há décadas, e de alguns, quiçá, há séculos, não há dúvidas emerge enorme desafio para tratar tais dados de forma protetiva, de modo a readequar seus bancos de dados antigos.


4.7. Implantação em pequenos municípios.


Embora o art. 55-J, XVIII, da LGPD, preveja procedimentos simplificados e diferenciados para as microempresas e empresas de pequeno porte e, também, para as startups ou empresas inovadoras, mediante normatização da Autoridade Nacional de Proteção de Dados (ANPD), não há tal previsão expressa para municípios de pequeno porte.

Os pequenos municípios, por terem em regra os menores orçamentos e não deterem em seus quadros profissionais qualificados de tecnologia de informação, são os que possuem maiores dificuldade na busca pela conformidade pela LGPD.

Em razão das peculiaridades da implantação da norma junto ao Poder Público, conforme arts. 23 e seguintes, não seria simples a mera a aplicação análoga de preceitos simplificados e diferenciados das microempresas e as de pequeno porte, dificultando uma cópia de procedimentos ou simples adaptação do privado para o público.

Talvez, seja este um dos maiores desafios para que o país tenha sucesso na aplicação da LGPD nos mais capilarizados municípios.


5. CONCLUSÃO


Sem a pretensão de esgotar o tema, este artigo pretendeu trazer um breve esboço histórico das leis de proteção de dados no mundo, suas origens e a forma como a assimilação de uma cultura de privacidade é fundamental para que a legislação protetiva tenha eficácia e sucesso, trazendo um equilíbrio em uma sociedade em que a assimetria e voracidade de coleta de dados é tamanha, especialmente pelo Poder Público.

Pretendeu-se trazer alguns dos conceitos fundamentais do tema, como a Autodeterminação informativa e o livre desenvolvimento da pessoa natural, que são protagonistas e informam todos os demais princípios e fundamentos da LGDP.

Por fim, foram traçados alguns dos desafios que têm sido enfrentados pelo setor público no país, a fim de lançar luzes ao debate e demonstrar que a implantação da LGPD na administração pública é bastante peculiar, não sendo suficiente que se usem modelos próprios do setor privado.

Este trabalho realiza as seguintes propostas: (i) que as Procuradorias Estaduais, que ainda não adotaram, analisem a possibilidade de indicar um encarregado para o próprio órgão, com conhecimento sobre proteção de dados pessoais e bom relacionamento com a alta administração; (ii) que adotem providências para divulgar a cultura de privacidade no ente estadual, em todos os órgãos, além da divulgação de boas práticas como a de Mesa Limpa/Tela Limpa.



REFERÊNCIAS BIBLIOGRÁFICAS


ALVES, Fabrício da Mota. Estruturação do cargo de DPO em entes públicos. In: BLUM, Renato Opice; VAINZOF, Rony; MORAES, Henrique Fabretti (Coords.). Data Protection Officer (Encarregado): teoria e prática de acordo com a LGPD e o GDPR. São Paulo: Thomson Reuters Brasil, 2020, p. 523-544.

BINENMOJM, Gustavo. Liberdade igual: o que é e por que importa. Rio de Janeiro: História Real, 2020.

BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.


CANHADAS, Fernando Augusto Martins. A Lei de Acesso à Informação e a Lei Geral de Proteção de Dados: a transparência proibida. In: DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes. LGPD & administração pública: uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020. p. 425-442.


DRUMOND, Thomaz Carneiro. A exigência do compliance e programa de integridade - Migalhas. Disponível em: <https://www.migalhas.com.br/depeso/341840/a-exigencia-do-compliance-e-programa-de-integridade>.


DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 2ª ed. São Paulo: Thomson Reuters, 2019.


GOMES, Rodrigo Dias de Pinho; ZANATTA, Rafael A. F. Notas sobre o encarregado de dados no setor público - Migalhas. Disponível em: <https://www.migalhas.com.br/depeso/348961/notas-sobre-o-encarregado-de-dados-no-setor-publico>. Acesso em: 2 jun. 2022.


GUTIERREZ, Andriei, Da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. In: MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. 3. ed. São Paulo: Thomson Reuters Brasil, 2021. p. 438.


JIMENE, Camila do Vale. Capítulo VII, Da Segurança e das Boas Práticas. In: MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. 3. ed. São Paulo: Thomson Reuters Brasil, 2021.


LIMA, Cíntia Rosa Pereira. BIONI, Bruno Ricardo. A proteção dos dados pessoais na fase de coleta: apontamentos sobre a adjetivação do consentimento implementada pelo artigo 7, incisos VIII e IX do Marco Civil da Internet a partir da human computes interaction e da privacy by default. In: LUCCA, Newton de; SIMÃO FILHO, Adalberto; LIMA, Cíntia Pereira de (Coord.). Direito & Internet III: Marco Civil da Internet: Lei n. 12.965/2014. São Paulo: Ed. Quartier Latin, 2015. t. I.


MARTINS, Ricardo Marcondes. Lei Geral de Proteção de Dados Pessoais e direito administrativo: questões polêmicas. In: DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes. LGPD & administração pública: uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020. p. 17-31.


POLIDO, Fabricio Bertini Pasquot. Ingresso do Brasil na OCDE e padrões em matéria digital. Disponível em: <https://www.conjur.com.br/2022-mar-07/polido-ingresso-brasil-ocde-padroes-conformidade>. Acesso em: 3 jun. 2022.


Portarias instituem órgão Encarregado pelo Tratamento de Dados Pessoais do PJ de São Paulo e sua composição. Disponível em: <https://www.tjsp.jus.br/Noticias/Noticia?codigoNoticia=10946>. Acesso em: 5 jun. 2022.


ROSSO, Angela Maria. LGPD e setor público: aspectos gerais e desafios - Migalhas. Disponível em: <https://www.migalhas.com.br/depeso/300585/lgpd-e-setor-publico--aspectos-gerais-e-desafios>. Acesso em: 3 jun. 2022.


SCHRAMM, Fernanda Santos. A responsabilidade dos terceiros contratados pela administração pública pelo manuseio de dados pessoais. In: DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes. LGPD & administração pública: uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020. p. 789-803.


TEIXEIRA, Tarcisio; ARMELIN, Ruth Maria Guerreiro da Fonseca. Lei geral de proteção de dados pessoais: comentada artigo por artigo. 2. ed. Salvador: JusPODIVM, 2020.


VAINZOF, Rony, Capítulo I – Disposições Preliminares. In: MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. 3. ed. São Paulo: Thomson Reuters Brasil, 202. p. 21-184.


3 visualizações0 comentário

Posts recentes

Ver tudo

Comments


bottom of page