Compliance: LGPD no Setor Público

A implementação da Lei Geral de Proteção de Dados (LGPD) no setor público representa um marco na modernização da Administração Pública brasileira. A necessidade de adequação às normas de proteção de dados não se limita à mitigação de riscos, mas constitui um passo fundamental para o aprimoramento da governança, a garantia de transparência e o fortalecimento da confiança da sociedade nas instituições estatais. Este artigo abordará os desafios e as melhores práticas para a conformidade com a LGPD no âmbito do Direito Administrativo Público, com foco em profissionais que atuam em carreiras jurídicas e de controle.

A LGPD e o Setor Público: Fundamentos e Desafios

A LGPD, Lei nº 13.709/2018, instituiu um novo paradigma no tratamento de dados pessoais no Brasil, com impactos diretos sobre o setor público. A Administração Pública, em suas diversas esferas, detém um volume massivo de dados de cidadãos, o que a torna um ator central no cenário de proteção de dados. A adequação à LGPD exige uma mudança cultural profunda, passando por uma revisão de processos, sistemas e normas internas.

A Titularidade e o Consentimento

A LGPD estabelece o princípio de que o titular dos dados é o dono de suas informações, e o tratamento desses dados deve ser feito de forma transparente, com o consentimento livre, informado e inequívoco do titular, salvo em casos específicos previstos em lei. No setor público, o consentimento é frequentemente dispensado quando o tratamento for necessário para a execução de políticas públicas, para o cumprimento de obrigação legal ou regulatória, ou para a execução de contratos nos quais o titular seja parte. No entanto, a dispensa do consentimento não afasta a obrigação da Administração Pública de observar os demais princípios da LGPD, como a finalidade, a adequação, a necessidade, o livre acesso, a qualidade dos dados, a transparência, a segurança, a prevenção, a não discriminação e a responsabilização e prestação de contas.

A Figura do Encarregado de Proteção de Dados (DPO)

A LGPD exige a nomeação de um Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer - DPO) em cada órgão ou entidade da Administração Pública. O DPO é o profissional responsável por atuar como canal de comunicação entre o controlador (o órgão público), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). A escolha do DPO deve recair sobre um profissional com conhecimentos em proteção de dados e com autonomia para exercer suas funções de forma isenta.

O Papel da ANPD e as Sanções Administrativas

A ANPD é a autarquia responsável por zelar pela proteção de dados pessoais no Brasil, editar normas, fiscalizar e aplicar sanções em caso de descumprimento da LGPD. As sanções previstas na lei variam desde advertência até multa simples ou diária, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, além da possibilidade de publicização da infração, bloqueio ou eliminação dos dados pessoais a que se refere a infração, suspensão parcial do funcionamento do banco de dados a que se refere a infração, suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração, ou proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

A Responsabilidade do Agente Público

É importante ressaltar que a responsabilidade por infrações à LGPD no setor público recai sobre o órgão ou entidade (controlador) e não sobre o agente público (operador), salvo se este agir com dolo ou culpa grave, ou se descumprir as instruções do controlador. O agente público, no entanto, pode responder por improbidade administrativa, caso a infração à LGPD caracterize enriquecimento ilícito, prejuízo ao erário ou violação aos princípios da Administração Pública.

O Compliance em Proteção de Dados no Setor Público

A implementação de um programa de compliance em proteção de dados no setor público é um processo contínuo e que exige o comprometimento da alta gestão. O programa deve contemplar as seguintes etapas.

Mapeamento e Avaliação de Riscos

O primeiro passo é realizar um mapeamento completo de todos os processos que envolvem o tratamento de dados pessoais no órgão ou entidade. A partir do mapeamento, deve-se realizar uma avaliação de riscos, identificando as vulnerabilidades e as potenciais consequências de um incidente de segurança.

Adequação de Processos e Sistemas

Com base na avaliação de riscos, devem ser implementadas medidas técnicas e administrativas para mitigar os riscos e garantir a segurança dos dados. Isso inclui a adequação de processos, a implementação de controles de acesso, a criptografia de dados, a adoção de políticas de segurança da informação e a revisão de contratos com fornecedores.

Treinamento e Conscientização

A capacitação dos servidores públicos é fundamental para o sucesso do programa de compliance. É necessário promover treinamentos regulares sobre a LGPD, os princípios de proteção de dados, as políticas internas de segurança da informação e as responsabilidades de cada servidor.

Monitoramento e Auditoria

O programa de compliance deve ser monitorado continuamente para garantir a sua eficácia. É recomendável a realização de auditorias periódicas para verificar o cumprimento das normas e identificar oportunidades de melhoria.

A LGPD e as Carreiras Jurídicas e de Controle

As carreiras jurídicas e de controle (defensores, procuradores, promotores, juízes, auditores) desempenham um papel crucial na implementação e fiscalização da LGPD no setor público.

O Papel da Defensoria Pública

A Defensoria Pública atua na defesa dos direitos dos cidadãos, inclusive no que diz respeito à proteção de seus dados pessoais. A instituição pode atuar tanto na esfera judicial, propondo ações civis públicas ou ações individuais, quanto na esfera extrajudicial, mediando conflitos e buscando soluções consensuais.

O Papel do Ministério Público

O Ministério Público tem a função de zelar pela observância da lei e dos princípios da Administração Pública. O órgão pode atuar na fiscalização do cumprimento da LGPD pelos órgãos e entidades públicas, instaurando inquéritos civis, propondo ações civis públicas e recomendando a adoção de medidas corretivas.

O Papel do Poder Judiciário

O Poder Judiciário é responsável por julgar as ações que envolvem a proteção de dados pessoais, garantindo o cumprimento da LGPD e a reparação de danos causados aos titulares dos dados.

O Papel dos Tribunais de Contas

Os Tribunais de Contas atuam na fiscalização da aplicação dos recursos públicos e na avaliação da gestão administrativa. No âmbito da LGPD, os Tribunais de Contas podem auditar os programas de compliance em proteção de dados dos órgãos e entidades públicas, verificando a regularidade e a eficiência da gestão.

Jurisprudência e Normativas Relevantes

A jurisprudência sobre a LGPD no setor público ainda está em formação, mas já existem decisões importantes que consolidam o entendimento sobre a aplicação da lei. O Supremo Tribunal Federal (STF), por exemplo, já reconheceu a proteção de dados pessoais como um direito fundamental (ADI 6387). A ANPD, por sua vez, tem editado diversas resoluções e guias orientativos que detalham as obrigações da Administração Pública, como a Resolução CD/ANPD nº 1/2021, que aprova o Regulamento de Fiscalização e Aplicação de Sanções da ANPD, e o Guia Orientativo de Segurança da Informação para Agentes de Tratamento de Pequeno Porte.

Orientações Práticas para a Conformidade

Para garantir a conformidade com a LGPD, os profissionais do setor público devem observar as seguintes orientações práticas:

• Conhecer a LGPD: É fundamental ter um conhecimento aprofundado da lei, dos princípios de proteção de dados e das obrigações da Administração Pública.
• Mapear os Processos: Identifique todos os processos que envolvem o tratamento de dados pessoais no seu órgão ou entidade.
• Avaliar os Riscos: Realize uma avaliação de riscos para identificar as vulnerabilidades e as potenciais consequências de um incidente de segurança.
• Implementar Medidas de Segurança: Adote medidas técnicas e administrativas para garantir a segurança dos dados, como controle de acesso, criptografia e políticas de segurança da informação.
• Revisar Contratos: Revise os contratos com fornecedores para garantir que eles também estejam em conformidade com a LGPD.
• Treinar a Equipe: Promova treinamentos regulares para os servidores públicos sobre a LGPD e as políticas internas de segurança da informação.
• Nomear o DPO: Nomeie um Encarregado pelo Tratamento de Dados Pessoais (DPO) com conhecimentos em proteção de dados e com autonomia para exercer suas funções.
• Monitorar e Auditar: Monitore continuamente o programa de compliance e realize auditorias periódicas para verificar o cumprimento das normas.

Conclusão

A LGPD não é apenas uma obrigação legal, mas uma oportunidade para a Administração Pública aprimorar a sua governança, garantir a transparência e fortalecer a confiança da sociedade. A implementação de um programa de compliance em proteção de dados exige um esforço conjunto de todos os servidores públicos, com o apoio da alta gestão e a atuação diligente das carreiras jurídicas e de controle. A conformidade com a LGPD é um processo contínuo que exige adaptação às novas tecnologias e às mudanças na legislação, mas que traz benefícios inestimáveis para a Administração Pública e para os cidadãos.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.