LGPD na Administração Pública
A Lei Federal n. 13.709, de 14 de agosto de 2018 (Lei Geral de Proteçãode Dados – LGPD), dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, devendo ser observada pela União, Estados, Distrito Federal e Municípios, ou seja, ela regula o tratamento de dados pessoais feito por pessoa jurídica de direito público ou privado, aí incluídos a Administração direta e indireta, inclusive fundações, empresas públicas e sociedades de economia mista.
Não pode haver nenhuma dúvida que o setor público precisa estar em compliance com a LGPD, mais do que estar em compliance, este setor deve dar exemplo para a iniciativa privada.
Não será algo tão complexo - com certeza vai exigir apoio de consultorias especializadas, que de preferência já tenham algum tipo de experiência, mesmo considerando que a Lei é muito nova, ou seja, foi promulgada em agosto de 2018, porém, entrou em vigor em setembro de 2020.
O setor público, considerando municípios (sem entrar nas esferas estaduais e federais) trata e armazena dados pessoais de centenas de milhares de cidadãos, desta forma se torna essencial que instituições públicas promovam proteção e zelo de todas as informações pessoais sob sua responsabilidade.
Os desafios do setor público para se adequar à LGPD não são poucos, mas busco aqui fazer uma redação para simplificar o entendimento da Lei – para toda coleta e tratamento de dados pessoais das pessoas de um município (por exemplo), deverá a instituição pública se ater aos pilares da LGPD, ou seja: mapear os dados pessoais coletados, ter uma finalidade para uso destes dados, ter bases legais que justifiquem determinado tratamento e tomar iniciativas técnicas para proteger estes dados pessoais.
Com certeza os gestores públicos já tomam medidas de segurança para proteger os dados armazenados em sistemas internos das Prefeituras, Câmaras Legislativas e Autarquias Municipais – agora será o momento de olhar para estes processos, documentá-los, verificar riscos, identificar compartilhamentos, implementar um programa de gestão e governança destes processos que utilizam dados pessoais.
Deverá ocorrer um mapeamento de todos os processos que tratam dados pessoais, entendendo que vínculos com portais de transparências, ONG’s, regulamentações, pessoas em cargo público, servidores, fornecedores, ou seja, todas estas entidades devem ser consideradas.
Nestes levantamentos deveremos identificar dados sensíveis, dados de menores de idade, dados de biometria (fotos por exemplo) – isto será importante para implementar controles de segurança mais inteligentes para dados que são sensíveis frente à classificação da Lei.
As instituições públicas deverão ainda estar preparadas para atender todos os direitos dos cidadãos que tenham seus dados pessoais tratados e armazenados – a Lei determina um prazo razoável para que as instituições públicas atendam os direitos dos titulares de dados pessoais – para ficar em um exemplo simples, o cidadão tem o DIREITO de saber quais dados pessoais estão armazenados nos sistemas da instituição pública – este direito poderá (e deve) ser exercido por todos nós enquanto proprietários de nossos dados pessoais.
A Instituição Pública deverá estabelecer uma pessoa para ser o DPO ou ‘Encarregadodos Dados’ que terá a função de ser o canal de comunicação entre a entidade pública, o cidadão e a ANPD (Agência Nacional de Proteção de Dados Pessoais) - além disso, terá a função de aceitar as requisições dos titulares, responder à ANPD, orientar os servidores, promover conscientização e conhecimento sobre a LGPD.
A LGPD já está em vigor, no entanto, muitas organizações públicas não iniciaram o planejamento de orçamento – será muito importante estabelecer as iniciativas para compliance LGPD o quanto antes.
Um bom caminho para obter o compliance com a LGPD é criar um padrão para as entidades que estão envolvidas em uma região ou município, pois assim se buscará qualidade do serviço prestado, proteção e privacidade dos dados pessoais dos cidadãos – deve-se buscar atuar de forma multidisciplinar, envolvendo equipe jurídica, equipes de tecnologia, controle e administração.
Na Administração Pública, é recomendável que sejam firmados termos de confidencialidade com todos os servidores/empregados públicos e contratados que tiverem acesso a sistemas de TI que tratam bases de dados pessoais ou no qual estejam inseridas informações de acesso restrito, a fim de garantir maior segurança quanto à confidencialidade.
Sanções Aplicáveis
No tocante à fiscalização e às sanções administrativas, deve-se compatibilizar o que dispõe a referida Lei com o regime do serviço público.
Nos termos do §3º do art. 52, “o disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembrode 2011”.
Dessa forma, são aplicáveis ao Poder Público as seguintes sanções:
a) advertência, com indicação de prazo para adoção de medidas corretivas;
b) publicização da infração após devidamente apurada e confirmada a sua ocorrência;
c) bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
d) eliminação dos dados pessoais a que se refere a infração;
e) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
f) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
g) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Gilberto Bedeschi
Consultor Especialista LGPD
Belo Horizonte – MG