As adequações e regras da LGPD no Setor Público

Desde que foi sancionada, a Lei Geral de Proteção de Dados Pessoais (LGPD) têm gerado dúvidas e discussões de como ela impactará os setores públicos e privados. Desde que publicamos o texto “LGPD: Lei Geral de Proteção de Dados e os impactos no setor público” muita coisa também foi atualizada na situação da lei. Por causa das dúvidas e necessidades de adequação dos setores, ela já foi adiada mais de uma vez e, mesmo assim, ainda geram perguntas. Quem será impactado? Como posso me adequar? Neste novo texto, atualizamos alguns pontos da LGPD e respondemos algumas dúvidas sobre a nova lei, que estava prevista para entrar em vigor em agosto deste ano, foi adiada para 3 de maio de 2021. Embora o adiamento já esteja em vigor, a Medida Provisória 959/2020 vale até que seja analisada pelo Congresso, que pode ou não aprová-la e convertê-la em lei.

Para entendermos melhor os impactos da LGPD, precisamos voltar um pouco e entender o que ela significa. Baseada no General Data Protection Regulation (GDPR), regulamento de proteção de dados da União Europeia, e aprovada em 14 de agosto de 2018, a Lei Geral de Proteção de Dados brasileira (Lei 13.709/18) tem aplicação a qualquer pessoa, seja natural ou jurídica de direito público ou privado que realize o tratamento de dados pessoais, online e/ou offline. Ou seja, qualquer pessoa – do âmbito público ou privado – que armazene ou trabalhe com dados pessoais (por exemplo, dados cadastrais, data de nascimento, profissão, dados de GPS, hábitos de consumo, entre outros) está sujeita a nova lei. Mais do que isso. Em linhas gerais, os titulares de dados passarão a ter maior controle sobre todo o processamento dos seus dados pessoais, do que decorrem diversas obrigações para controladores (a quem competem as decisões sobre o tratamento dos dados) e operadores (aqueles que tratam os dados de acordo com o estipulado pelos controladores).

Uma das principais mudanças trazidas pela LGPD é a obrigatoriedade da solicitação do consentimento para a obtenção e utilização de quaisquer dados pessoais, ou seja, aqueles que quiserem coletar algum dado pessoal (nome, CPF, e-mail, etc.) serão obrigados a perguntar para ao titular dos dados se ele consente na obtenção e na utilização dos mesmos. Isso dá ao titular a autonomia de fornecer ou não as suas informações e ter mais controle sobre a sua privacidade. No momento em que o controlador solicita os dados para o titular, também é necessário que ele comunique, de forma explícita, qual a finalidade dessa ação (este é um ponto importante é que, em redes sociais, praticamente nunca se fez). Com isso, os termos de uso devem ser disponibilizados em linguagem simples e de fácil entendimento.

As adequações e regras da LGPD no Setor Público

LGPD no setor público: Os impactos e as adequações necessárias

Do mesmo jeito que o setor privado, todo o setor público terá que passar por adaptações para a coleta e uso de dados. A legislação determina que o consentimento seja solicitado sempre que for necessário o compartilhamento para:

  • contratos de fornecedores de produtos e serviços;
  • aplicação de políticas públicas;
  • proteção da vida e tutela de saúde;
  • proteção de crédito e dentre outras situações.

Um dos primeiros passos, e que já vem sendo adotado em muitas empresas, é a adoção e revisão de todos os processos que envolvam dados pessoais, aplicando uma política de governança para tratamento dessas informações em conformidade com a legislação. Para isso, os gestores públicos terão que contar com o apoio de equipes de Tecnologia da Informação (TI) para adequarem processos como um todo.

A parte mais complexa será a adequação de sistemas e plataformas existentes. Para aquelas que ainda serão desenvolvidas ou lançadas, a implementação de regras e processos segundo a LGPD será mais fácil. Basta que, como foi dito anteriormente, a plataforma sinalize ao titular dos dados quem, onde e quando utilizará aquelas informações fornecidas.

Segundo o Serviço Federal de Processamento de Dados (Serpro), “então, como começar o processo de avaliação dos impactos, no caso específico do setor público? Primeiramente, [será necessário] entendermos quem somos legalmente. (…) Determinar qual a natureza jurídica do ente e em qual interesse age – se no interesse público e em sua finalidade, ou em regime concorrencial – é o primeiro passo para identificar como lei a ele se aplicará.”

De acordo com Rodrigo Guynemer, analista de Garantia da Qualidade, na Secretaria de Tecnologia da Informação e Comunicação Social (STIC), do Ministério Público do Rio de Janeiro (MPRJ), “estamos todos cientes de que exigências são enormes, e as multas pesadíssimas [a multa pelo descumprimento da lei pode chegar a R$ 50 milhões de reais]. Dito isto, para os impactados é preciso trabalhar logo no que foi aprovado; enquanto para os que decidem os rumos, é preciso mais celeridade e bom senso legislativo. Vivemos um momento em que nitidamente precisamos ser capazes de fortalecer o processo de inovação, a partir do estabelecimento de controles mínimos de segurança, que obviamente dependem de regras claras e bem definidas.”

Por fim, vale ressaltar três artigos da LGPD. Os artigos 25, 26 e 27 da lei descrevem como e quando pode/deve ocorrer o compartilhamento dos dados pessoais geridos pelo setor público. O primeiro item exige que “tais dados sejam mantidos em formato interoperável [capacidade de um sistema de se comunicar de forma transparente com outro sistema] quando forem utilizados para a obtenção de políticas públicas, prestação de serviços públicos, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; descentralização e disseminação do acesso à informação, evitando assim que o mesmo dado necessite ser coletado várias vezes para diversos órgãos diferentes. Entretanto, a justificante finalidade específica é imprescindível sempre que houver necessidade de compartilhamento dos dados pessoais para a consecução de alguma política pública.”

Já o artigo 26 trata sobre a vedação ao compartilhamento dos dados em posse da Administração Pública com entidades privadas, exceto nos casos em que a transferência se faça necessária com o fim específico e determinado de execução descentralizada da atividade pública. Em termos práticos, isso significa que a gestão pública não pode repassar os dados, por exemplo, para um servidor de terceiros.

O artigo 27, por sua vez, reforça o principal tópico da lei. Ele determina que, em regra, deve existir consentimento do proprietário dos dados para que eles possam ser compartilhados entre a Administração Pública e algum ente privado (salvo algumas exceções específicas, presente no art. 26 da lei). A MP 869 também alterou a redação do artigo 27 retirando a necessidade de informar o compartilhamento à Autoridade Nacional de Proteção de Dados como originalmente previsto.