domingo, 19 de setembro de 2021

MIGALHAS DE PESO

fechar

Cadastre-se para receber o informativo gratuitamente

  1. Home >
  2. De Peso >
  3. O tratamento de dados pessoais pelo Poder Público

O tratamento de dados pessoais pelo Poder Público

É permitido o uso compartilhado de dados pelo Poder Público, desde que tenha por objetivo atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas.

quarta-feira, 10 de abril de 2019

1 Introdução

 

A lei 13.709/18, conhecida como Lei Geral de Proteção de Dados - LGPD,  representa grande avanço na proteção de dados pessoais e privacidade no Brasil, regulamentando a forma com que tais informações são coletadas e tratadas e dispondo sobre os direitos de seus titulares. A lei tem aplicação multissetorial e extraterritorial, isto é, aplica-se aos setores público e privado, e tem eficácia além dos limites geográficos do país.

 

Em relação ao tratamento de dados pessoais pelo poder público, a LGPD possui um capítulo todo dedicado ao tema. Ainda que a lei confira à Administração Pública o mesmo tratamento dispensado à iniciativa privada, há algumas peculiaridades no que concerne à proteção de dados pessoais pelo poder público, como seguem.

 

 A quem se aplica a lei: o caput do art. 23 da LGPD remete ao parágrafo único do art. 1° da lei 12.527/11 (Lei de Acesso à Informação) para dispor que subordinam-se ao regime da lei:

 

I - os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, do Judiciário e do Ministério Público; e 

 

II - as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios. 

 

 Requisitos para o tratamento de dados pessoais: a Administração Pública poderá tratar e compartilhar os dados necessários à execução de políticas públicas previstas em lei e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, independentemente do consentimento do titular dos dados.

 

Nesse contexto, o tratamento de dados pessoais pelos órgãos e entidades do Poder Público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público e com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

 

(i) sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sites;

 

(i) seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais.  

 

A figura do encarregado é a pessoa1, física ou jurídica, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional. Ele é o responsável por realizar o tratamento dos dados pessoais segundo as informações fornecidas pelo controlador, sendo sua atribuição, dentre outras,  orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

 

Ressalte-se que a LGPD não se aplica ao tratamento de dados pessoais realizados exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação ou repressão de infrações penais.

 

 Serviços notariais e de registro: os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas acima referidas, e deverão fornecer à Administração Pública o acesso eletrônicos aos dados. 

 

 Empresas públicas e sociedades de economia mista: a LGPD confere tratamento diferenciado às empresas públicas e sociedades de economia mista de acordo com sua natureza jurídica.

 

Se atuam em regime de concorrência, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares. Se operacionalizam políticas públicas, e no âmbito de sua execução, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público.

 

 Compartilhamento de dados: os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

 

É permitido o uso compartilhado de dados pelo Poder Público, desde que tenha por objetivo atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6° da lei.

 

Originalmente, o Poder Público apenas poderia compartilhar dados com entidades privadas em caso de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado; e nos casos em que os dados forem acessíveis publicamente.

 

Com a edição da Medida Provisória 869/18, o Poder Público também poderá compartilhar dados com entidades privadas se for indicado um encarregado; quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou na hipótese de a transferência dos dados objetivar a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados.

 

 Transferência internacional de dados: a transferência internacional de dados é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD. Para tanto, os órgãos e entidades do Poder Público poderão requerer à autoridade nacional a avaliação do nível de proteção a dados pessoais conferidos pelo país ou organismo internacional.

 

Dentre outras hipóteses, também é permitida a transferência internacional de dados quando necessária à cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução; quando a transferência resultar em compromisso assumido em acordo de cooperação internacional, ou quando for necessária para a execução de política pública ou atribuição legal do serviço público.

 

 Responsabilidade: em caso de infração à LGPD pelas entidades e órgãos públicos, a autoridade nacional poderá encaminhar informe com as medidas cabíveis para fazer cessar a violação.

 

A autoridade nacional também poderá requerer aos agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público. 

 

Ainda, a LGPD prevê a responsabilidade dos agentes de tratamento pelo ressarcimento dos danos causados aos titulares de dados em razão do exercício de atividade de tratamento de dados pessoais.

 

A responsabilidade do operador será solidária quando descumprir as obrigações da lei ou quando não tiver seguido as instruções lícitas do controlador. A responsabilidade do controlador será solidária se estiver diretamente envolvido no tratamento do qual decorreram danos aos titulares dos dados.

 

A LGPD traz três excludentes de responsabilidade dos agentes de tratamento: se provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído; se, apesar de realizado, provarem que não houve violação à legislação de proteção de dados; ou que o dano decorre de culpa exclusiva do titular dos dados ou de terceiro.    

 

 Penalidades: em relação às entidades e órgãos públicos, podem ser aplicadas as sanções de advertência, publicização da infração, bloqueio ou eliminação dos dados pessoais a que se refere a infração, sem prejuízo das sanções previstas no Estatuto do Servidor Público Federal, na lei de Improbidade Administrativa e na lei de acesso à informação.

 

 Órgão regulador: um dos pontos mais importantes da lei é a criação da Autoridade Nacional de Proteção de Dados (ANPD), entidade pública autônoma e independente responsável por fiscalizar e aplicar sanções em caso de violação da lei. Inicialmente vetada por Michel Temer, a ANPD foi criada pela Medida Provisória 869 no apagar das luzes de 2018, e integra a Presidência da República.

 

Por fim, anote-se que a MP 869/18 alterou o prazo de vacatio legis para 24 meses, prazo limite para que as entidades e órgãos públicos se adequem à lei. Esse prazo se justifica diante das várias medidas que as entidades terão que adotar e da necessidade de solicitação de orçamento para implementar a política de dados de acordo com a lei.

 

No mais, é importante destacar que a LGPD tornou obrigatória a observância dos princípios Privacy By Design e Privacy By Default, pelos quais as entidades devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais desde a fase de concepção do produto ou do serviço até a sua execução.  

 

Portanto, a LGPD representa uma garantia da segurança dos dados pessoais dos cidadãos, ao passo que contribui para o aprimoramento dos serviços e das políticas públicas.

_______

1  A MP 869/18 alterou o inc. VIII do art. 5°, que originalmente previa que o encarregado era a pessoa natural.

_______

*Natália Bertolo Bonfim é advogada e mestre em Direito Econômico e Financeiro pela USP.

Atualizado em: 9/4/2019 09:08