Com a promulgação da Lei Geral de Proteção de Dados (LGPD), o tratamento de dados pessoais pelo Poder Público tornou-se um tópico de extrema relevância e complexidade, trazendo muitas dúvidas para servidores e agentes públicos. Este artigo busca fornecer um guia completo e detalhado, abordando desde as bases legais até os princípios e requisitos de transparência e segurança que envolvem o tratamento de dados pessoais pelo Poder Público. Através deste conteúdo, você poderá aprofundar seu conhecimento e fortalecer sua atuação como especialista em LGPD.
Bases Legais para o Tratamento de Dados pelo Poder Público
Consentimento
No âmbito do Poder Público, a utilização do consentimento como base legal para o tratamento de dados pessoais é limitada. Em muitas situações, o tratamento é necessário para o cumprimento de obrigações legais, não sendo adequado depender do consentimento do titular. No entanto, quando utilizado, deve-se garantir que o titular tenha a possibilidade real de autorizar ou não o tratamento, sem que de sua manifestação de vontade resultem restrições significativas à sua condição jurídica ou ao exercício de direitos fundamentais.
Legítimo Interesse
A aplicação do legítimo interesse no setor público, da mesma forma que ocorre com o consentimento, também é mais limitada. Esta base legal não é apropriada para tratamentos compulsórios ou obrigatórios decorrentes de lei e do exercício de prerrogativas estatais típicas. Contudo, pode ser utilizada quando o tratamento não for compulsório e houver uma ponderação equilibrada entre os interesses do controlador e os direitos dos titulares.
Cumprimento de Obrigação Legal ou Regulatória
Esta base legal é amplamente utilizada pelo Poder Público e aplica-se em dois contextos: normas de conduta e normas de organização. As normas de conduta referem-se a regras que estabelecem comportamentos específicos, em geral
estabelecendo um fato ou uma hipótese legal, com uma possível consequência jurídica em caso de descumprimento (como, por exemplo, a divulgação da agenda de compromissos públicos de autoridades), enquanto as normas de organização estruturam órgãos e entidades públicas, definindo suas competências e atribuições. Estas são parte essencial
do exercício de prerrogativas estatais típicas, uma vez que necessário para viabilizar a própria execução das atribuições, competências e finalidades públicas da entidade ou do órgão público.
O tratamento de dados pessoais no setor público deverá ser realizado “com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”, observando-se o interesse público e o atendimento da finalidade pública do controlador.
Execução de Políticas Públicas
O tratamento de dados pessoais para a execução de políticas públicas é essencial para o funcionamento da administração pública. Esta base legal permite que órgãos e entidades dos três Poderes e entes federativos, inclusive das Cortes de Contas e do Ministério Público, tratem dados com o objetivo de implementar programas e ações governamentais.
O conceito de política pública deve ser interpretado de forma ampla, de modo a abranger qualquer programa ou ação governamental, definido em instrumento formal, isto é, lei, regulamento ou ajuste contratual, cujo conteúdo inclua, em regra, objetivos, metas, prazos e meios de execução.
Princípios do Tratamento de Dados Pessoais pelo Poder Público
Finalidade e Adequação
O tratamento de dados pelo Poder Público deve observar os princípios da finalidade e adequação, garantindo que o tratamento de dados pessoais seja realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Ainda, no âmbito do setor público, o tratamento de dados pessoais deve atender a uma finalidade pública, que seja:
- Legítima: ou seja, lícita e compatível com o ordenamento jurídico, além de amparada em uma base legal, que autorize o tratamento;
- Específica: de maneira que a partir da finalidade seja possível delimitar o escopo do tratamento e estabelecer as garantias necessárias para a proteção dos dados pessoais;
- Explícita: isto é, expressa de uma maneira clara e precisa; e
- Informada, isto é, disponibilizada em linguagem simples e de fácil compreensão e acesso ao titular dos dados.
Necessidade
A coleta de dados deve ser limitada ao mínimo necessário para a realização dos objetivos públicos. Evitar a coleta indiscriminada é uma medida essencial para proteger os direitos dos titulares.
No que se refere a esse princípio, entidades e órgãos públicos devem verificar se as informações habitualmente coletadas dos cidadãos – como cópias de documentos de identidade ou dados solicitados em formulários padrão – são, de fato, necessárias para as finalidades pretendidas, não sendo aceitável a prática de coleta indiscriminada de dados pessoais, especialmente daqueles para os quais não foi identificada uma finalidade específica e legítima para o tratamento.
Exemplo da aplicação deste princípio ocorre quando se constata que dados como estado civil e endereço residencial de contratantes num processo licitatório não sejam necessários para a identificação dos responsáveis pela contratação e para viabilizar o exercício do controle social sobre a atividade do órgão público. Assim, a fim de limitar o tratamento
ao mínimo necessário para a realização de suas finalidades, o ideal é não coletar esses tipos de dados
Transparência e Livre Acesso
A transparência é um princípio fundamental da LGPD. Órgãos públicos devem assegurar que os titulares tenham acesso fácil e compreensível às informações sobre o tratamento de seus dados pessoais.
Assim, enquanto o princípio da transparência impõe obrigações gerais que requerem uma postura ativa do agente de tratamento, o qual deve disponibilizar as informações exigidas pela lei independentemente de solicitação do titular, o princípio do livre acesso, por sua vez, enfatiza a necessidade de que o agente de tratamento ofereça mecanismos eficazes para que o titular possa solicitar e obter, de forma facilitada e gratuita, determinadas informações sobre o tratamento de seus dados pessoais.
Compartilhamento de Dados Pessoais pelo Poder Público
O compartilhamento de dados pessoais é a operação de tratamento em que órgãos e entidades públicas concedem permissão de acesso ou transferem uma base de dados pessoais a outro ente público ou a entidades privadas, com o objetivo de atender a uma finalidade pública.
Formalização e Registro
O compartilhamento de dados entre entidades públicas deve ser formalizado e devidamente registrado em contratos, convênios ou instrumentos firmados entre as partes ou lastreados em decisões administrativas devidamente expedidas, garantindo a rastreabilidade e a conformidade com a LGPD, em atenção às normas gerais que regem os procedimentos administrativos e, também, em atenção à obrigatoriedade de registro das operações de tratamento.
Objeto e Finalidade
Os dados compartilhados devem ter um objeto claro e uma finalidade específica, com a indicação precisa, por exemplo, de qual iniciativa, ação ou programa será executado ou, ainda, de qual atribuição legal será cumprida mediante o compartilhamento dos dados pessoais, alinhados às competências legais das entidades envolvidas.
Ademais, em qualquer hipótese, deve ser avaliada a compatibilidade entre a finalidade original da coleta e a finalidade do compartilhamento dos dados.
Base Legal
A base legal para o compartilhamento deve ser claramente definida e documentada no ato que autoriza ou formaliza o compartilhamento, assegurando a legalidade do processo.
Duração do Tratamento
É importante que o tratamento de dados pessoais seja um processo com duração definida, inclusive para possibilitar reavaliação periódica do instrumento que autorizou o compartilhamento. Assim, os dados devem ser mantidos apenas pelo período necessário para o cumprimento das finalidades estabelecidas, sendo eliminados após o término desse prazo.
Transparência e Direitos dos Titulares
Os atos que regulamentam e autorizam o compartilhamento de dados pessoais devem prever maneiras de cumprir o princípio da transparência, assegurando a disponibilização de informações claras, precisas e acessíveis aos titulares sobre a realização do compartilhamento e como exercer seus direitos.
Uma prática recomendada é divulgar essas informações nas páginas eletrônicas dos órgãos e entidades responsáveis.
Prevenção e Segurança
Órgãos públicos devem adotar medidas técnicas e administrativas eficazes para garantir a segurança dos dados pessoais, prevenindo acessos não autorizados e outros incidentes de segurança. Tais medidas organizacionais, além de previstas nos atos que regem e autorizam o compartilhamento dos dados, devem ser proporcionais aos riscos às liberdades civis e aos direitos fundamentais dos cidadãos envolvidos no caso concreto.
Outros Requisitos
Além da segurança, devem ser observados requisitos adicionais, como a realização de avaliações de impacto à proteção de dados pessoais, as quais podem auxiliar a motivação da decisão a ser proferida pela autoridade competente e a implementação de boas práticas de governança.
Divulgação de Dados Pessoais pelo Poder Público
O tratamento de dados pessoais pelo Poder Público, incluindo a divulgação pública de dados, deve observar as normas que garantem a proteção integral dos dados pessoais, a autodeterminação informativa e o respeito à privacidade dos titulares durante todo o ciclo do tratamento.
Proteção de Dados Sensíveis
Os dados pessoais sensíveis estão sujeitos a uma proteção jurídica especial. Portanto, é necessário adotar maior cautela ao tratar esses dados, especialmente quando se trata da divulgação de resultados de estudos em saúde pública.
Princípios de Finalidade, Adequação e Necessidade
Os princípios da finalidade, adequação e necessidade impõem limites claros ao tratamento de dados pessoais. As entidades e órgãos públicos devem verificar se as informações coletadas são adequadas e necessárias para os objetivos propostos. A coleta indiscriminada de dados deve ser evitada, preferindo-se a dispensa da coleta ou a eliminação das informações quando não forem essenciais.
Medidas de Mitigação de Risco
Quando a eliminação dos dados não é possível, podem ser adotadas medidas de mitigação de risco, fortalecendo a segurança na divulgação dos dados pessoais e diminuindo o potencial lesivo aos direitos dos titulares. Essas medidas podem ser descritas em um relatório de impacto à proteção de dados pessoais, que inclui a descrição dos processos de tratamento, riscos, salvaguardas e mecanismos de mitigação de risco.
Limitação da Divulgação
Uma possível salvaguarda é a limitação da divulgação aos dados estritamente necessários para alcançar os objetivos legítimos específicos, com a divulgação de remuneração individualizada de servidores públicos sem a apresentação completa de números como o CPF e a matrícula do servidor, por exemplo.
Contexto e Expectativas dos Titulares
O contexto e as expectativas legítimas dos titulares também são relevantes. Um exemplo é a divulgação de informações pessoais dos servidores, a qual se submete ao escrutínio da sociedade como uma decorrência natural do exercício da atividade pública. Conforme decidido pelo STF, “a remuneração dos agentes públicos constitui informação de interesse coletivo ou geral”, aplicando-se o princípio constitucional da publicidade administrativa, que permite o controle da atividade estatal pelos cidadãos, atuenuando-se os riscos pessoais decorrentes da divulgação com a proibição de se revelar o endereço residencial, CPF e RG de cada servidor.
Medidas Técnicas e Administrativas
Em atenção aos princípios de segurança, prevenção, responsabilização e prestação de contas, órgãos e entidades públicas devem adotar medidas técnicas e administrativas eficazes para comprovar a observância das normas de proteção de dados pessoais. Constitui boa prática realizar o tratamento de dados pessoais considerando a natureza, escopo, finalidade, probabilidade e gravidade dos riscos e benefícios decorrentes do tratamento. Sempre que possível, os dados pessoais devem ser pseudonimizados ou anonimizados.
Garantia de Direitos aos Titulares
Finalmente, a transparência no tratamento de dados e a garantia efetiva dos direitos dos titulares são fundamentais para diminuir o uso indevido de dados pessoais. A possibilidade de os titulares apresentarem requerimentos aos órgãos públicos, relatando eventuais violações a seus direitos, pode viabilizar a correção de erros e a implementação de medidas como a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD, por exemplo.
Conclusão
O tratamento de dados pessoais pelo Poder Público é um desafio complexo que requer atenção a diversos aspectos legais e técnicos. Compreender as bases legais, princípios e requisitos de transparência e segurança é fundamental para garantir a conformidade com a LGPD e a proteção dos direitos dos titulares. Utilizar softwares especializados e contar com consultoria de profissionais experientes são passos essenciais para uma gestão eficiente e segura dos dados públicos.
Para mais informações sobre LGPD, recomendamos visitar o site da Autoridade Nacional de Proteção de Dados (ANPD) e acompanhar as atualizações legislativas e orientações específicas.
Referências:
