O governo tem se tornado cada vez mais digital, vem desenvolvendo os mais variados aplicativos voltados ao acesso a sistemas gerenciados por si. O país tem buscado avançar também em setores relacionados à inteligência artificial e internet das coisas (IOT).
Ao ser incluída no escopo da LGPD, a administração pública tem obrigação de adequar-se e investir em segurança, o que muitas vezes é negligenciado. Também é necessário evitar a comercialização de dados pessoais para fins diferentes daqueles aos quais foram coletados.
Hoje o governo disponibiliza diversas plataformas acessíveis por meio de sites ou aplicativos, que nos possibilita verificar, por exemplo, os extratos de INSS e FGTS, verificar o reembolso de créditos de notas fiscais, dentre outros.
QUANDO O SETOR PÚBLICO PODE TRATAR OS DADOS?
A base de legitimidade para o tratamento de dados pessoais por parte dos setores público e privado é inteiramente distinta. Tanto é que a Lei Geral de Proteção de Dados dedica um capítulo com nove artigos (Capítulo IV) exclusivamente para abordar o tema de tratamento de dados pessoais pelo Setor Público.
No setor público o tratamento de dados pessoais, via de regra, não se inicia a partir de uma decisão voluntária do titular, mas sim em decorrência das exigências do próprio pacto social: conhecer seus cidadãos é, para o Estado, pré-requisito para o próprio desempenho de suas finalidades públicas.
A aplicação da Lei Geral de Proteção de Dados Pessoais envolve tanto dados dos próprios servidores e demais contratados, isto é, dados corporativos como os dados do público externo com o qual o órgão se relaciona.
O principal permissivo para o tratamento de dados pessoais pela Administração Pública está no artigo 7º, III:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta lei;
Sem dúvida a execução de políticas públicas é melhor justificativa para que os entes públicos realize qualquer tipo de tratamento de dados, pois este é um conceito muito amplo e dá margem para a manipulação dos dados pessoais, partindo da premissa que é inerente ao Estado a consecução de políticas públicas.
Outro requisito está no art.23 da Lei, que é o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público (princípio da supremacia do interesse público).
QUANDO A LGPD NÃO SE APLICA?
O artigo 4º afasta a incidência da LGPD quando o tratamento de dados pessoais for realizado para fins exclusivos de:
a) segurança pública;
d) atividades de investigação e repressão de infrações penais.
SANÇÕES A QUE A ADMINISTRAÇÃO PÚBLICA SE SUBMETE
As sanções administrativas a que se submetem os entes públicos são mais brandas do que aquelas a que se submetem os entes privados e estão estabelecidas no §3º do artigo 52, sendo elas:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração.
Mesmo sem a previsão de multa para os entes públicos, sanções como o bloqueio dos dados pessoais podem causar grande impacto em sua atuação. E mais, além da LGPD, o setor público se submete à lei de Improbidade Administrativa, ao Estatuto do Servidor Público e à Lei de Acesso à Informação.
Já há discussão no sentindo que a desconformidade com a LGPD pode ensejar ato de improbidade administrativa, a que estariam sujeitos os prefeitos e demais servidores.
É certo que a administração pública necessita investir em três pilares:
- Pessoas: é primordial desenvolver a cultura de proteção de dados, conscientizando os servidores sobre a importância em estar e permanecer em conformidade com a lei;
- Tecnologia: para instituir uma política forte de segurança em TI, com atenção ainda maior para que as aplicações que tratam com dados pessoais estejam seguras desde a concepção;
- Processos: para entender todo o fluxo do tratamento de dados e identificar os riscos inerentes ao tratamento é preciso mapear, revisar procedimentos e ajustar documentos.
Nossa área de Direito Digital fica à disposição para assessorar os entes públicos nas questões relacionadas à proteção de dados.
Paula Melina Firmiano Tudisco é advogada, possui expertise em Direito Digital e atua no Núcleo de Direito Digital do escritório Küster Machado.
