LGPD: Lei Geral de Proteção de Dados e os impactos no setor público

Em um outro artigo aqui no blog do Instituto Tellus, já falamos sobre a privacidade em cidades inteligentes e os desafios na implementação de soluções de IoT nesse cenário. Apesar de termos dado exemplos recentes, o texto fala muito sobre como devemos olhar para essas questões e pensar no futuro. Já neste artigo, trataremos sobre algo muito mais próximo do nosso cenário atual e que vem ganhando muito destaque nos últimos anos:  a Lei Geral de Proteção de Dados (LGPD) e os seus impactos no setor público brasileiro.

Baseada no General Data Protection Regulation (GDPR), regulamento de proteção de dados da União Europeia, a Lei Geral de Proteção de Dados brasileira (Lei 13.709/18) foi aprovada em 14 de agosto de 2018, entrou em vigor em setembro de 2020 e, desde 1º de agosto de 2021, passaram a valer as sanções previstas pelo marco regulatório. 

Mas o que isso quer dizer e quais os seus efeitos no cenário público? Para entendermos melhor os impactos da LGPD no setor público, precisamos dar um passo para trás e entender o que ela representa. 

LGPD no setor público: o que é preciso saber sobre o marco regulatório

A Lei Geral de Proteção de Dados tem aplicação a qualquer pessoa, seja natural ou jurídica de direito público ou privado, que realize o tratamento de dados pessoais, online e/ou offline. Ou seja, qualquer pessoa – do âmbito público ou privado – que armazene ou trabalhe com dados pessoais (por exemplo, informações cadastrais, data de nascimento, profissão, dados de GPS, hábitos de consumo, entre outros) está sujeita à nova lei.

Mais do que isso: em linhas gerais, os titulares de dados passarão a ter maior controle sobre todo o processamento e guarda dos seus dados pessoais. Desse fato decorrem diversas obrigações para controladores  — a quem competem as decisões sobre o tratamento dos dados — e operadores — aqueles que tratam os dados de acordo com o estipulado pelos controladores.

Outro ponto da LGPD que merece atenção especial é o princípio da finalidade. Ele determina que os dados pessoais de usuários ou clientes devem ser utilizados apenas para as finalidades específicas para as quais foram coletados e que devem ter sido devidamente informadas aos titulares. 

Isso deve ser considerado juntamente com o princípio da minimização da coleta —  que estipula que somente devem ser coletados os dados mínimos necessários para que se possa atingir a finalidade — e o da retenção mínima — que determina a imediata exclusão dos dados, após atingida a finalidade pela qual eles foram coletados.

Veja 10 fatos sobre a LGPD e o seu impacto no setor público

Segundo o departamento de defesa e segurança da FIESP, existem 10 motivos para que fiquemos atentos à nova lei. Acrescentamos a eles alguns fatos sobre a LGPD no setor público. Confira!

1. Empresas de todos os setores e de todos os portes tratam dados pessoais — assim como grande parte dos órgãos públicos;
2. Todos os departamentos das empresas usualmente tratam dados pessoais, entre eles: RH (folha de ponto, por exemplo), marketing; análise de dados e TI. No setor público, o cenário não é diferente;
3. A utilização de dados pessoais pelas empresas de todos os portes é crucial para o desenvolvimento econômico e tecnológico, a inovação, a livre iniciativa e a livre concorrência. Nos serviços públicos, como já vimos anteriormente, os dados são itens essenciais para a evolução das cidades inteligentes;
4. O tratamento de dados pessoais somente poderá ser realizado se estiver em conformidade com uma das bases legais previstas na lei — e isso serve para ambos os setores, público e privado;
5. A LGPD apresenta princípios relevantes para nortear o tratamento de dados pessoais, como finalidade (propósitos legítimos), adequação (compatibilidade), necessidade (mínima coleta) e transparência — que precisam, portanto, ser respeitados também pelo setor público;
6. Os titulares de dados pessoais passam a ter os seguintes direitos: i) confirmação da existência de tratamento; (ii) acesso aos dados; (iii) correção de dados incompletos, inexatos ou desatualizados; (iv) anonimização; (v) portabilidade; (vi) eliminação; (vii) informação a respeito do compartilhamento de dados; (viii) possibilidade de receber informação sobre não fornecer o consentimento e suas consequências; (ix) revogação do consentimento;
7. Empresas devem adotar medidas de segurança, governança e boas práticas. Quanto à LGPD no setor público, os órgãos governamentais não estão isentos dessa questão — veja o exemplo do Aadhaar, o sistema de biometria indiano citado no artigo que mencionamos no início do texto);
8. Empresas deverão contar com a figura do Encarregado, responsável internamente por orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, bem como por orientar e avaliar o cumprimento da lei. O mesmo deverá ser implementado no setor público;
9. Foi criada uma Autoridade Nacional de Proteção de Dados para fiscalizar o cumprimento da lei e aplicar sanções em caso de violação;
10. A multa pelo descumprimento da lei pode chegar a R$ 50 milhões de reais. De acordo com o marco, os órgãos e as entidades públicas poderão ser punidos com todas as sanções administrativas previstas na LGPD, salvo as sanções pecuniárias.

Quer se aprofundar no assunto e entender como funciona o acesso aos Dados Abertos disponibilizados pelo governo, quais as formas de tratá-los e como utilizá-los em projetos? Confira o Tellus Podcast #2 com Thiago Buselato, professor na área de Data Science & Machine Learning: