“Este prefácio, apesar de interessante, inútil. Alguns dados. Nem todos. Sem conclusões. Para quem me aceita são inúteis ambos. Os curiosos terão prazer em descobrir minhas conclusões, confrontando obra e dados. Para quem me rejeita trabalho perdido explicar o que, antes de ler, já não aceitou.”
Mário de Andrade. Pauliceia Desvairada. São Paulo: Casa Mayença, 1922, p. 07.
Introdução
Municípios, uma brasilidade federativa, são entes com contextos muito variados: entre Serra da Saudade, Minas Gerais, o menos habitado do Brasil, e São Paulo, a “Pauliceia Desvairada”, de Mário de Andrade, não há como serem as políticas públicas tratadas como blocos de construção HTML, já pré-fabricadas e prontas a serem implementadas pelos agentes públicos.
A proteção de dados pessoais, como direito fundamental1 a ser efetivado por todos os entes, está nesse âmbito. Sem a estruturação de ações conectadas com a realidade ou, como diria a jusfilósofa Helen Nissenbaum2, com os distintos contextos3, o que restaria seria, sem dúvidas, dados e resultados à maneira como escreveu Mário de Andrade, há 100 anos, em seu “Prefácio Interessantíssimo”, de “Pauliceia Desvairada”: “Alguns dados. Nem todos. Sem conclusões.”
São Paulo, 22/7/22
Em “Pauliceia”, a Prefeitura do Município de São Paulo, por meio do decreto municipal 59.767/204, regulamentou a aplicação da LGPD no âmbito do administração pública municipal, designando ao seu controlador geral do município a atribuição de encarregado pela proteção de dados pessoais5.
Entre as atribuições dispostas à figura do encarregado, está a de emissão de diretrizes, cogentes para os órgãos e orientativas às entidades da administração pública, que disponham sobre a elaboração de seus planos de adequação à efetividade da proteção de dados pessoais no âmbito do Poder Executivo do município6.
Em 22/7/22, a 100 metros do Theatro Municipal de São Paulo, no também centenário cruzamento entre Viaduto do Chá e Rua Líbero Badaró, o Poder Executivo do município publicou, por meio de sua controladoria geral do município, a sua instrução normativa CGM/SP 01/227, que estabelece disposições referentes ao tratamento de dados pessoais no âmbito da administração pública municipal.
A instrução normativa delimita, como um primeiro passo rumo à sua padronização do plano de adequação da prefeitura do município à efetividade da proteção de dados pessoais, a implementação de registros de operações de tratamento de dados pessoais, relatórios de impactos à proteção de dados pessoais e mapeamentos de fluxos de dados pessoais por todos os seus órgãos e entidades, o que, por sua eficácia horizontal, ou seja, por sua aplicação a todos os órgãos e entidades, otimiza, ao controle interno do município e aos seus controles externo e social, a análise de conformidade de suas políticas públicas quanto à proteção de dados pessoais.
Conforme dispõe o seu art. 14, os órgãos da administração pública municipal deverão e suas entidades poderão realizar registros de operações de tratamento de dados pessoais que contenham, materialmente: (i) a identificação dos processos ou atividades da prefeitura do municípios nos quais há o tratamento de dados pessoais; (ii) a identificação dos agentes de tratamento e do encarregado; (iii) as fases do ciclo de vida do tratamento de dados pessoais; (iv) a natureza e o escopo do tratamento de dados pessoais; (v) a finalidade do tratamento de dados pessoais; (vi) as categorias de dados pessoais tratados, inclusive com a descrição das subcategorias de dados pessoais sensíveis; (vii) o volume das operações de tratamento e das categorias de dados pessoais tratados; (viii) categorias de titulares de dados pessoais envolvidos nos tratamentos; (ix) o compartilhamento e uso compartilhado de dados pessoais, inclusive com a descrição dos agentes de tratamento com os quais os dados pessoais são compartilhados; (x) os contratos de serviços e soluções de tecnologia da informação que tratam os dados pessoais dos processos mapeados; (xi) descrições sobre eventuais transferências internacionais de dados pessoais; e (xii) medidas de segurança e de proteção de dados pessoais já adotadas a fim de mitigar os riscos à segurança da informação e aos dados pessoais tratados.
O seu art. 15, por sua vez, ao tratar da elaboração de relatórios de impacto à proteção de dados pessoais, que servirão de subsídio à elaboração de único relatório de impacto à proteção de dados pessoais dos órgãos da administração pública municipal, estabelece, materialmente, como requisitos: (i) a identificação dos agentes de tratamento e do Encarregado; (ii) a necessidade de sua elaboração ou atualização; (iii) a descrição do tratamento de dados pessoais, com base no mapeamento de dados pessoais; (iv) a natureza e o escopo do tratamento de dados pessoais; (v) o contexto e a necessidade do tratamento de dados pessoais; (vi) a finalidade do tratamento de dados pessoais; e (vii) a identificação, análise e gestão de riscos praticadas pela Prefeitura do Município com relação à segurança da informação e à proteção de dados pessoais.
Também foi estabelecida a necessidade da elaboração de programas de capacitação dos servidores da administração pública municipal que objetive a conscientização sobre os processos que se utilizam do tratamento de dados pessoais e das medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito.
Por fim, destaca-se o texto de seu art. 108, que dispõe a necessidade da aposição, em sites e em lugares visíveis ao público, como prédios públicos e praças de atendimento, das hipóteses de tratamento de dados pessoais contidas nos arts. 7º e 11 da LGPD.
As disposições da instrução normativa se inspiram, com as adaptações necessárias à realidade do município de São Paulo, em metodologia de registro das operações de tratamento de dados pessoais já utilizada pela administração pública Federal e que foi desenvolvida, principalmente, pela autoridade nacional de proteção de dados pessoais da França, a “Commission Nationale de l'Informatique et des Libertés” – CNIL9, no âmbito de sua implementação do RGPD - regulamento geral sobre proteção de dados pessoais da União Europeia, cuja sistemática está em harmonia com o que propõe, no Brasil, a LGPD.
Conclusão
Apesar de não prevista na obra de Mário de Andrade, “Pauliceia Desvairada”, a conclusão é que, por ora, está o Poder Público paulistano munido de instrumentos que, consolidados, serão aptos a elevar o seu nível de adequação à proteção de dados pessoais.
Aos leitores munícipes do entorno do Vale do Anhangabaú, os próximos passos rumo à proteção de sua vida privada, intimidade e dados pessoais poderão ser acompanhados no curso da história que se desenvolve no edifício Matarazzo, Viaduto do Chá, 15.
_____
1 BRASIL. EC 115/22. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Brasília, Diário Oficial da União, 11/2/22. Disponível aqui.
2 NISSENBAUM, Helen. Privacy in Context. Technology, Policy, and the Integrity of Social Life. Stanford, EUA: Stanford University Press, 2010, passim.
3 FALCÃO, Daniel; PEROLI, Kelvin. As novas abordagens da privacidade: contextos, tipos e dimensões. Migalhas, 30/12/21. Disponível aqui.
4 SÃO PAULO (Município). Prefeitura do município de São Paulo. Decreto municipal 59.767/20. Regulamenta a aplicação da lei Federal 13.709/18 – LGPD – no âmbito da Administração Municipal direta e indireta. São Paulo, Diário Oficial da Cidade de São Paulo, 16/9/22. Disponível aqui.
5 Art. 5º, caput, do decreto municipal 59.767/20: “Art. 5º Fica designado o Controlador Geral do Município como o encarregado da proteção de dados pessoais, para os fins do art. 41 da lei Federal 13.709/18.”
6 Art. 6º, inc. IV, do decreto municipal 59.767/20: “Art. 6º São atribuições do encarregado da proteção de dados pessoais: [...] IV – editar diretrizes para a elaboração dos planos de adequação, conforme art. 4º, inciso III deste decreto”.
7 SÃO PAULO (município). Prefeitura do município de São Paulo. Controladoria Geral do Município. Instrução Normativa CGM/SP 01/22. São Paulo, Diário Oficial da Cidade de São Paulo, 22 jul. 2022.
8 Art. 10 da instrução normativa CGM/SP 01/22: “Art. 10. As Secretarias e Subprefeituras deverão disponibilizar, em seus sítios eletrônicos e em lugares visíveis das respectivas instalações físicas, as hipóteses de tratamento de dados pessoais, nos termos do art. 11, inciso II, do Decreto Municipal 59.767/20, e do art. 2° desta Instrução Normativa, bem como fornecer instrumentos adequados para que o titular de dados pessoais manifeste o seu consentimento, quando necessário, de forma livre, informada e inequívoca, conforme o art. 5º, inciso XII, da lei Federal 13.709/18.”
9 FRANÇA. Commission Nationale de l'Informatique et des Libertés. La CNIL publie un nouveau modèle de registre simplifié. Paris, Commission Nationale de l'Informatique et des Libertés, 25/7/19. Disponível aqui.
Referências bibliográficas
1 ANDRADE, Mário de. Pauliceia Desvairada. São Paulo: Casa Mayença, 1922, p. 07.
2 BRASIL. Emenda Constitucional 115/22. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Brasília, Diário Oficial da União, 11/2/22. Disponível aqui.
3 FALCÃO, Daniel; PEROLI, Kelvin. As novas abordagens da privacidade: contextos, tipos e dimensões. Migalhas, 30/12/21. Disponível aqui.
4 FRANÇA. Commission Nationale de l'Informatique et des Libertés. La CNIL publie un nouveau modèle de registre simplifié. Paris, Commission Nationale de l'Informatique et des Libertés, 25/7/19. Disponível aqui.
5 NISSENBAUM, Helen. Privacy in Context. Technology, Policy, and the Integrity of Social Life. Stanford, EUA: Stanford University Press, 2010, passim.
6 SÃO PAULO (município). Prefeitura do município de São Paulo. Decreto municipal 59.767/20. Regulamenta a aplicação da lei Federal 13.709/18 – LGPD – no âmbito da Administração Municipal direta e indireta. São Paulo, Diário Oficial da Cidade de São Paulo, 16 set. 2022. Disponível aqui.
7 SÃO PAULO (município). Prefeitura do Município de São Paulo. Controladoria Geral do Município. Instrução Normativa CGM/SP 01/22. São Paulo, Diário Oficial da Cidade de São Paulo, 22/7/22.