Proteção de dados pessoais na administração pública municipal

Migalhas de IA e Proteção de Dados

"Este prefácio, apesar de interessante, inútil. Alguns dados. Nem todos. Sem conclusões. Para quem me aceita são inúteis ambos. Os curiosos terão prazer em descobrir minhas conclusões, confrontando obra e dados. Para quem me rejeita trabalho perdido explicar o que, antes de ler, já não aceitou."
Mário de Andrade. Pauliceia Desvairada. São Paulo: Casa Mayença, 1922, p. 07.

Introdução

Municípios, uma brasilidade federativa, são entes com contextos muito variados: entre Serra da Saudade, Minas Gerais, o menos habitado do Brasil, e São Paulo, a "Pauliceia Desvairada", de Mário de Andrade, não há como serem as políticas públicas tratadas como blocos de construção HTML, já pré-fabricadas e prontas a serem implementadas pelos agentes públicos.

A proteção de dados pessoais, como direito fundamental¹ a ser efetivado por todos os entes, está nesse âmbito. Sem a estruturação de ações conectadas com a realidade ou, como diria a jusfilósofa Helen Nissenbaum², com os distintos contextos³, o que restaria seria, sem dúvidas, dados e resultados à maneira como escreveu Mário de Andrade, há 100 anos, em seu "Prefácio Interessantíssimo", de "Pauliceia Desvairada": "Alguns dados. Nem todos. Sem conclusões."

São Paulo, 22/7/22

Em "Pauliceia", a Prefeitura do Município de São Paulo, por meio do decreto municipal 59.767/20⁴, regulamentou a aplicação da LGPD no âmbito do administração pública municipal, designando ao seu controlador geral do município a atribuição de encarregado pela proteção de dados pessoais⁵.

Entre as atribuições dispostas à figura do encarregado, está a de emissão de diretrizes, cogentes para os órgãos e orientativas às entidades da administração pública, que disponham sobre a elaboração de seus planos de adequação à efetividade da proteção de dados pessoais no âmbito do Poder Executivo do município⁶.

Em 22/7/22, a 100 metros do Theatro Municipal de São Paulo, no também centenário cruzamento entre Viaduto do Chá e Rua Líbero Badaró, o Poder Executivo do município publicou, por meio de sua controladoria geral do município, a sua instrução normativa CGM/SP 01/22⁷, que estabelece disposições referentes ao tratamento de dados pessoais no âmbito da administração pública municipal.

A instrução normativa delimita, como um primeiro passo rumo à sua padronização do plano de adequação da prefeitura do município à efetividade da proteção de dados pessoais, a implementação de registros de operações de tratamento de dados pessoais, relatórios de impactos à proteção de dados pessoais e mapeamentos de fluxos de dados pessoais por todos os seus órgãos e entidades, o que, por sua eficácia horizontal, ou seja, por sua aplicação a todos os órgãos e entidades, otimiza, ao controle interno do município e aos seus controles externo e social, a análise de conformidade de suas políticas públicas quanto à proteção de dados pessoais.

Conforme dispõe o seu art. 14, os órgãos da administração pública municipal deverão e suas entidades poderão realizar registros de operações de tratamento de dados pessoais que contenham, materialmente: (i) a identificação dos processos ou atividades da prefeitura do municípios nos quais há o tratamento de dados pessoais; (ii) a identificação dos agentes de tratamento e do encarregado; (iii) as fases do ciclo de vida do tratamento de dados pessoais; (iv) a natureza e o escopo do tratamento de dados pessoais; (v) a finalidade do tratamento de dados pessoais; (vi) as categorias de dados pessoais tratados, inclusive com a descrição das subcategorias de dados pessoais sensíveis; (vii) o volume das operações de tratamento e das categorias de dados pessoais tratados; (viii) categorias de titulares de dados pessoais envolvidos nos tratamentos; (ix) o compartilhamento e uso compartilhado de dados pessoais, inclusive com a descrição dos agentes de tratamento com os quais os dados pessoais são compartilhados; (x) os contratos de serviços e soluções de tecnologia da informação que tratam os dados pessoais dos processos mapeados; (xi) descrições sobre eventuais transferências internacionais de dados pessoais; e (xii) medidas de segurança e de proteção de dados pessoais já adotadas a fim de mitigar os riscos à segurança da informação e aos dados pessoais tratados.

O seu art. 15, por sua vez, ao tratar da elaboração de relatórios de impacto à proteção de dados pessoais, que servirão de subsídio à elaboração de único relatório de impacto à proteção de dados pessoais dos órgãos da administração pública municipal, estabelece, materialmente, como requisitos: (i) a identificação dos agentes de tratamento e do Encarregado; (ii) a necessidade de sua elaboração ou atualização; (iii) a descrição do tratamento de dados pessoais, com base no mapeamento de dados pessoais; (iv) a natureza e o escopo do tratamento de dados pessoais; (v) o contexto e a necessidade do tratamento de dados pessoais; (vi) a finalidade do tratamento de dados pessoais; e (vii) a identificação, análise e gestão de riscos praticadas pela Prefeitura do Município com relação à segurança da informação e à proteção de dados pessoais.

Também foi estabelecida a necessidade da elaboração de programas de capacitação dos servidores da administração pública municipal que objetive a conscientização sobre os processos que se utilizam do tratamento de dados pessoais e das medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito.

Por fim, destaca-se o texto de seu art. 10⁸, que dispõe a necessidade da aposição, em sites e em lugares visíveis ao público, como prédios públicos e praças de atendimento, das hipóteses de tratamento de dados pessoais contidas nos arts. 7º e 11 da LGPD.

As disposições da instrução normativa se inspiram, com as adaptações necessárias à realidade do município de São Paulo, em metodologia de registro das operações de tratamento de dados pessoais já utilizada pela administração pública Federal e que foi desenvolvida, principalmente, pela autoridade nacional de proteção de dados pessoais da França, a "Commission Nationale de l'Informatique et des Libertés" - CNIL⁹, no âmbito de sua implementação do RGPD - regulamento geral sobre proteção de dados pessoais da União Europeia, cuja sistemática está em harmonia com o que propõe, no Brasil, a LGPD.

Conclusão

Apesar de não prevista na obra de Mário de Andrade, "Pauliceia Desvairada", a conclusão é que, por ora, está o Poder Público paulistano munido de instrumentos que, consolidados, serão aptos a elevar o seu nível de adequação à proteção de dados pessoais.

Aos leitores munícipes do entorno do Vale do Anhangabaú, os próximos passos rumo à proteção de sua vida privada, intimidade e dados pessoais poderão ser acompanhados no curso da história que se desenvolve no edifício Matarazzo, Viaduto do Chá, 15.

_____

1 BRASIL. EC 115/22. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Brasília, Diário Oficial da União, 11/2/22. Disponível aqui.

2 NISSENBAUM, Helen. Privacy in Context. Technology, Policy, and the Integrity of Social Life. Stanford, EUA: Stanford University Press, 2010, passim.

3 FALCÃO, Daniel; PEROLI, Kelvin. As novas abordagens da privacidade: contextos, tipos e dimensões. Migalhas, 30/12/21. Disponível aqui.

4 SÃO PAULO (Município). Prefeitura do município de São Paulo. Decreto municipal 59.767/20. Regulamenta a aplicação da lei Federal 13.709/18 - LGPD - no âmbito da Administração Municipal direta e indireta. São Paulo, Diário Oficial da Cidade de São Paulo, 16/9/22. Disponível aqui.

5 Art. 5º, caput, do decreto municipal 59.767/20: "Art. 5º Fica designado o Controlador Geral do Município como o encarregado da proteção de dados pessoais, para os fins do art. 41 da lei Federal 13.709/18."

6 Art. 6º, inc. IV, do decreto municipal 59.767/20: "Art. 6º São atribuições do encarregado da proteção de dados pessoais: [...] IV - editar diretrizes para a elaboração dos planos de adequação, conforme art. 4º, inciso III deste decreto".

7 SÃO PAULO (município). Prefeitura do município de São Paulo. Controladoria Geral do Município. Instrução Normativa CGM/SP 01/22. São Paulo, Diário Oficial da Cidade de São Paulo, 22 jul. 2022.

8 Art. 10 da instrução normativa CGM/SP 01/22: "Art. 10. As Secretarias e Subprefeituras deverão disponibilizar, em seus sítios eletrônicos e em lugares visíveis das respectivas instalações físicas, as hipóteses de tratamento de dados pessoais, nos termos do art. 11, inciso II, do Decreto Municipal 59.767/20, e do art. 2° desta Instrução Normativa, bem como fornecer instrumentos adequados para que o titular de dados pessoais manifeste o seu consentimento, quando necessário, de forma livre, informada e inequívoca, conforme o art. 5º, inciso XII, da lei Federal 13.709/18."

9 FRANÇA. Commission Nationale de l'Informatique et des Libertés. La CNIL publie un nouveau modèle de registre simplifié. Paris, Commission Nationale de l'Informatique et des Libertés, 25/7/19. Disponível aqui.

Referências bibliográficas

1 ANDRADE, Mário de. Pauliceia Desvairada. São Paulo: Casa Mayença, 1922, p. 07.

2 BRASIL. Emenda Constitucional 115/22. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Brasília, Diário Oficial da União, 11/2/22. Disponível aqui.

3 FALCÃO, Daniel; PEROLI, Kelvin. As novas abordagens da privacidade: contextos, tipos e dimensões. Migalhas, 30/12/21. Disponível aqui.

4 FRANÇA. Commission Nationale de l'Informatique et des Libertés. La CNIL publie un nouveau modèle de registre simplifié. Paris, Commission Nationale de l'Informatique et des Libertés, 25/7/19. Disponível aqui.

5 NISSENBAUM, Helen. Privacy in Context. Technology, Policy, and the Integrity of Social Life. Stanford, EUA: Stanford University Press, 2010, passim.

6 SÃO PAULO (município). Prefeitura do município de São Paulo. Decreto municipal 59.767/20. Regulamenta a aplicação da lei Federal 13.709/18 - LGPD - no âmbito da Administração Municipal direta e indireta. São Paulo, Diário Oficial da Cidade de São Paulo, 16 set. 2022. Disponível aqui.

7 SÃO PAULO (município). Prefeitura do Município de São Paulo. Controladoria Geral do Município. Instrução Normativa CGM/SP 01/22. São Paulo, Diário Oficial da Cidade de São Paulo, 22/7/22.

COORDENAÇÃO

Cintia Rosa Pereira de Lima , professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados - IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira , professora doutora da Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP - CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Evandro Eduardo Seron Ruiz , professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados - IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo - PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil - IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca , professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.

outras edições

APOIADORES

FOMENTADORES

COLUNAS

Migalhas de IA e Proteção de Dados

São Paulo, 22 de julho de 2022: As novas abordagens da proteção de dados pessoais no âmbito da administração pública municipal