O governo tem se tornado cada vez mais digital, vem desenvolvendo os mais variados aplicativos voltados ao acesso a sistemas gerenciados por si. O país tem buscado avançar também em setores relacionados à inteligência artificial e internet das coisas (IOT).
Mas será que a Administração Pública está se preparando para a chegada da Lei Geral de Proteção de Dados?
Ao ser incluída no escopo da LGPD, a administração pública tem obrigação de adequar-se e investir em segurança, o que muitas vezes é negligenciado. Também é necessário evitar a comercialização de dados pessoais para fins diferentes daqueles aos quais foram coletados.
Hoje o governo disponibiliza diversas plataformas acessíveis por meio de sites ou aplicativos, que nos possibilita verificar os extratos de INSS e FGTS, verificar o reembolso de créditos de notas fiscais, dentre outros.
Em um estudo conduzido pelo InternetLab, constatou-se que o poder público não vem adotando boas práticas de segurança e proteção de dados pessoais no desenvolvimento de vários aplicativos, considerando que solicitam uma permissão demasiadamente abrangente para acesso aos dados do cidadão, como por exemplo, a localização GPS e não esclarecem para qual finalidade específica deve ser concedida essa permissão ou qual a política pública que está vinculada à coleta daquele dado ou ainda a base legal que permite tal procedimento.
A LGPD, bem como as melhores práticas de segurança da informação, recomendam que seja solicitada a permissão específica, respeitada a sua finalidade e que seja coletado o mínimo de dados possíveis (art.6º, I e III/LGPD).
QUANDO O SETOR PÚBLICO PODE TRATAR OS DADOS?
A base de legitimidade para o tratamento de dados pessoais por parte dos setores público e privado é inteiramente distinta. Tanto é que a Lei Geral de Proteção de Dados dedica um capítulo com nove artigos (Capítulo IV) exclusivamente para abordar o tema de tratamento de dados pessoais pelo Setor Público.
No setor público o tratamento de dados pessoais, via de regra, não se inicia a partir de uma decisão voluntária do titular, mas sim em decorrência das exigências do próprio pacto social: conhecer seus cidadãos é, para o Estado, pré-requisito para o próprio desempenho de suas finalidades públicas.
A aplicação da Lei Geral de Proteção de Dados Pessoais envolve tanto dados dos próprios servidores e demais contratados, isto é, dados corporativos como os dados do público externo com o qual o órgão se relaciona.
Com a LGPD os cidadãos poderão contatar a administração pública para exercerem os direitos que lhe são conferidos pela LGPD, tais como o direito de acesso a dados, retificação e eliminação deles, entre outros.
O principal permissivo para o tratamento de dados pessoais pela Administração Pública está no artigo 7º, III:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta lei;
Sem dúvida a execução de políticas públicas é melhor justificativa para que os entes públicos realize qualquer tipo de tratamento de dados, pois este é um conceito muito amplo e dá margem para a manipulação dos dados pessoais, partindo da premissa que é inerente ao Estado a consecução de políticas públicas.
Outro requisito está no art.23 da Lei, que é o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público (princípio da supremacia do interesse público).
QUANDO A LGPD NÃO SE APLICA?
O artigo 4º afasta a incidência da LGPD quando o tratamento de dados pessoais for realizado para fins exclusivos de:
- Segurança pública;
- defesa nacional;
- Segurança do Estado; ou
- Atividades de investigação e repressão de infrações penais.
SANÇÕES A QUE A ADMINISTRAÇÃO PÚBLICA SE SUBMETE
As sanções administrativas a que se submetem os entes públicos são mais brandas do que aquelas a que se submetem os entes privados e estão estabelecidas no §3º do artigo 52, sendo elas:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração.
Mesmo sem a previsão de multa para os entes públicos, sanções como o bloqueio dos dados pessoais podem causar grande impacto em sua atuação. E mais, além da LGPD o setor público se submete à lei de Improbidade Administrativa, ao Estatuto do Servidor Público e à Lei de Acesso à Informação.
Já há representantes do Ministério Público que defendem que a desconformidade com a LGPD pode ensejar ato de improbidade administrativa, a que estariam sujeitos os prefeitos e demais servidores.
É certo que a administração pública necessita investir em três pilares:
- Pessoas: é primordial desenvolver a cultura de proteção de dados, conscientizando os servidores sobre a importância em estar e permanecer em conformidade com a lei;
- Tecnologia: para instituir uma política forte de segurança em TI, com atenção ainda maior para que as aplicações que tratam com dados pessoais estejam seguras desde a concepção;
- Processos: para entender todo o fluxo do tratamento de dados e identificar os riscos inerentes ao tratamento é preciso mapear.
Nossa área de Relações e Negócios Digitais fica à disposição para auxiliar pessoas físicas e jurídicas a resguardar seus direitos e estabelecer programas de Compliance Digital.
