Procuradoria e LGPD: na Prática Forense

A Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018 - trouxe um novo paradigma para a gestão da informação no Brasil, impactando todos os setores da sociedade, inclusive o Poder Público. Para as Procuradorias, a implementação da LGPD na prática forense apresenta desafios singulares, exigindo uma profunda adaptação de processos, rotinas e cultura organizacional. Este artigo explora as nuances da aplicação da LGPD no âmbito das Procuradorias, abordando os principais desafios, as obrigações legais, as implicações na prática forense e as melhores práticas para garantir a conformidade.

Desafios Iniciais e a Necessidade de Adequação

A implementação da LGPD nas Procuradorias exige uma mudança de cultura, passando da visão de que os dados são apenas informações para a compreensão de que são ativos valiosos e, sobretudo, direitos fundamentais dos cidadãos. A adequação à LGPD não se resume à adoção de medidas técnicas de segurança, mas envolve uma revisão abrangente de processos, políticas e procedimentos, desde a coleta até o descarte dos dados.

Um dos principais desafios é a identificação e o mapeamento de todos os dados pessoais tratados pela Procuradoria. Isso inclui dados de servidores, estagiários, terceirizados, fornecedores, cidadãos e partes envolvidas em processos judiciais e administrativos. O mapeamento deve detalhar a finalidade do tratamento, a base legal, o tempo de retenção, as medidas de segurança adotadas e os responsáveis pelo tratamento.

A criação de um inventário de dados é fundamental para a governança de dados e para a demonstração da conformidade com a LGPD. O inventário deve ser atualizado periodicamente e estar acessível a todos os servidores envolvidos no tratamento de dados.

Obrigações Legais e Princípios da LGPD

A LGPD estabelece um conjunto de princípios que devem nortear o tratamento de dados pessoais, como a finalidade, a adequação, a necessidade, o livre acesso, a qualidade dos dados, a transparência, a segurança, a prevenção, a não discriminação e a responsabilização e prestação de contas.

Para as Procuradorias, a observância desses princípios é crucial. A finalidade do tratamento deve ser específica e informada ao titular dos dados. A adequação e a necessidade exigem que o tratamento seja compatível com a finalidade e limitado ao mínimo necessário. O livre acesso garante ao titular o direito de consultar seus dados e obter informações sobre o tratamento. A qualidade dos dados assegura que as informações sejam precisas e atualizadas. A transparência exige que o tratamento seja claro e acessível. A segurança e a prevenção impõem a adoção de medidas técnicas e administrativas para proteger os dados contra acessos não autorizados e situações acidentais ou ilícitas. A não discriminação proíbe o tratamento de dados para fins discriminatórios ilícitos ou abusivos. A responsabilização e prestação de contas exige que o controlador (a Procuradoria) demonstre a adoção de medidas eficazes para garantir a conformidade com a LGPD.

Além dos princípios, a LGPD estabelece bases legais para o tratamento de dados pessoais. Para o Poder Público, a principal base legal é a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. No entanto, é importante ressaltar que a utilização dessa base legal deve ser devidamente justificada e documentada.

Impactos na Prática Forense

A LGPD tem impactos significativos na prática forense das Procuradorias. A coleta, o armazenamento e o compartilhamento de dados pessoais em processos judiciais e administrativos devem observar os princípios e as bases legais da LGPD.

Na elaboração de peças processuais, os procuradores devem ter cuidado para não incluir dados pessoais desnecessários ou sensíveis, a menos que sejam estritamente relevantes para o caso. A utilização de pseudonimização ou anonimização de dados pode ser uma alternativa para proteger a privacidade das partes envolvidas, sempre que possível.

O acesso a processos judiciais e administrativos também deve ser restrito aos profissionais que necessitam das informações para o desempenho de suas funções. A implementação de sistemas de controle de acesso e de registro de atividades (logs) é fundamental para garantir a segurança dos dados e a rastreabilidade das ações.

O compartilhamento de dados pessoais com outros órgãos públicos ou com entidades privadas deve ser precedido de uma análise rigorosa da base legal e da finalidade do compartilhamento. A celebração de convênios ou termos de cooperação técnica pode ser necessária para formalizar o compartilhamento e estabelecer as responsabilidades de cada parte.

A Figura do Encarregado pelo Tratamento de Dados (DPO)

A LGPD exige a nomeação de um Encarregado pelo Tratamento de Dados Pessoais (DPO), que será o canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Nas Procuradorias, a nomeação de um DPO é fundamental para garantir a governança de dados e a conformidade com a LGPD. O DPO deve ter autonomia e independência para exercer suas funções, que incluem a orientação dos servidores, o recebimento de reclamações e comunicações dos titulares dos dados, a comunicação com a ANPD e o monitoramento da conformidade com a LGPD.

A escolha do DPO deve recair sobre um profissional com conhecimentos jurídicos e técnicos sobre proteção de dados. A capacitação contínua do DPO e dos demais servidores envolvidos no tratamento de dados é essencial para o sucesso da implementação da LGPD.

Medidas de Segurança e Prevenção de Incidentes

A adoção de medidas de segurança técnicas e administrativas é uma obrigação imposta pela LGPD para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas.

As Procuradorias devem implementar políticas de segurança da informação, que incluam a classificação da informação, o controle de acesso, a gestão de senhas, a criptografia de dados, o backup e a recuperação de desastres.

A realização de auditorias periódicas e testes de vulnerabilidade é fundamental para identificar e corrigir eventuais falhas de segurança. A elaboração de um plano de resposta a incidentes de segurança é essencial para minimizar os danos em caso de vazamento de dados ou de outras violações da LGPD.

O Papel da ANPD e as Sanções Administrativas

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por zelar, implementar e fiscalizar o cumprimento da LGPD. A ANPD tem competência para aplicar sanções administrativas em caso de infração à LGPD, que podem variar de advertência a multas de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração.

Para o Poder Público, as sanções administrativas podem incluir advertência, publicização da infração, bloqueio dos dados pessoais a que se refere a infração até a sua regularização, eliminação dos dados pessoais a que se refere a infração e suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.

A atuação proativa das Procuradorias na implementação da LGPD é fundamental para evitar a aplicação de sanções administrativas e para garantir a proteção dos dados pessoais dos cidadãos.

Conclusão

A implementação da LGPD nas Procuradorias é um processo complexo que exige um esforço contínuo de adaptação e aprimoramento. A mudança de cultura organizacional, o mapeamento de dados, a observância dos princípios e bases legais, a adoção de medidas de segurança e a nomeação de um DPO são passos fundamentais para garantir a conformidade com a LGPD e a proteção dos dados pessoais. A atuação proativa das Procuradorias na proteção de dados não apenas evita sanções administrativas, mas também fortalece a confiança dos cidadãos nas instituições públicas e contribui para a construção de uma sociedade mais justa e transparente.

Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.