1 Introdução
A lei 13.709/18, conhecida como Lei Geral de Proteção de Dados – LGPD, representa grande avanço na proteção de dados pessoais e privacidade no Brasil, regulamentando a forma com que tais informações são coletadas e tratadas e dispondo sobre os direitos de seus titulares. A lei tem aplicação multissetorial e extraterritorial, isto é, aplica-se aos setores público e privado, e tem eficácia além dos limites geográficos do país.
Em relação ao tratamento de dados pessoais pelo poder público, a LGPD possui um capítulo todo dedicado ao tema. Ainda que a lei confira à Administração Pública o mesmo tratamento dispensado à iniciativa privada, há algumas peculiaridades no que concerne à proteção de dados pessoais pelo poder público, como seguem.
• A quem se aplica a lei: o caput do art. 23 da LGPD remete ao parágrafo único do art. 1° da lei 12.527/11 (Lei de Acesso à Informação) para dispor que subordinam-se ao regime da lei:
I - os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, do Judiciário e do Ministério Público; e
II - as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios.
• Requisitos para o tratamento de dados pessoais: a Administração Pública poderá tratar e compartilhar os dados necessários à execução de políticas públicas previstas em lei e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, independentemente do consentimento do titular dos dados.
Nesse contexto, o tratamento de dados pessoais pelos órgãos e entidades do Poder Público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público e com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
(i) sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sites;
(i) seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais.
A figura do encarregado é a pessoa1, física ou jurídica, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional. Ele é o responsável por realizar o tratamento dos dados pessoais segundo as informações fornecidas pelo controlador, sendo sua atribuição, dentre outras, orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
Ressalte-se que a LGPD não se aplica ao tratamento de dados pessoais realizados exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação ou repressão de infrações penais.
• Serviços notariais e de registro: os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas acima referidas, e deverão fornecer à Administração Pública o acesso eletrônicos aos dados.
• Empresas públicas e sociedades de economia mista: a LGPD confere tratamento diferenciado às empresas públicas e sociedades de economia mista de acordo com sua natureza jurídica.
Se atuam em regime de concorrência, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares. Se operacionalizam políticas públicas, e no âmbito de sua execução, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público.
• Compartilhamento de dados: os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
É permitido o uso compartilhado de dados pelo Poder Público, desde que tenha por objetivo atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6° da lei.
Originalmente, o Poder Público apenas poderia compartilhar dados com entidades privadas em caso de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado; e nos casos em que os dados forem acessíveis publicamente.
Com a edição da Medida Provisória 869/18, o Poder Público também poderá compartilhar dados com entidades privadas se for indicado um encarregado; quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou na hipótese de a transferência dos dados objetivar a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados.
• Transferência internacional de dados: a transferência internacional de dados é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD. Para tanto, os órgãos e entidades do Poder Público poderão requerer à autoridade nacional a avaliação do nível de proteção a dados pessoais conferidos pelo país ou organismo internacional.
Dentre outras hipóteses, também é permitida a transferência internacional de dados quando necessária à cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução; quando a transferência resultar em compromisso assumido em acordo de cooperação internacional, ou quando for necessária para a execução de política pública ou atribuição legal do serviço público.
• Responsabilidade: em caso de infração à LGPD pelas entidades e órgãos públicos, a autoridade nacional poderá encaminhar informe com as medidas cabíveis para fazer cessar a violação.
A autoridade nacional também poderá requerer aos agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.
Ainda, a LGPD prevê a responsabilidade dos agentes de tratamento pelo ressarcimento dos danos causados aos titulares de dados em razão do exercício de atividade de tratamento de dados pessoais.
A responsabilidade do operador será solidária quando descumprir as obrigações da lei ou quando não tiver seguido as instruções lícitas do controlador. A responsabilidade do controlador será solidária se estiver diretamente envolvido no tratamento do qual decorreram danos aos titulares dos dados.
A LGPD traz três excludentes de responsabilidade dos agentes de tratamento: se provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído; se, apesar de realizado, provarem que não houve violação à legislação de proteção de dados; ou que o dano decorre de culpa exclusiva do titular dos dados ou de terceiro.
• Penalidades: em relação às entidades e órgãos públicos, podem ser aplicadas as sanções de advertência, publicização da infração, bloqueio ou eliminação dos dados pessoais a que se refere a infração, sem prejuízo das sanções previstas no Estatuto do Servidor Público Federal, na lei de Improbidade Administrativa e na lei de acesso à informação.
• Órgão regulador: um dos pontos mais importantes da lei é a criação da Autoridade Nacional de Proteção de Dados (ANPD), entidade pública autônoma e independente responsável por fiscalizar e aplicar sanções em caso de violação da lei. Inicialmente vetada por Michel Temer, a ANPD foi criada pela Medida Provisória 869 no apagar das luzes de 2018, e integra a Presidência da República.
Por fim, anote-se que a MP 869/18 alterou o prazo de vacatio legis para 24 meses, prazo limite para que as entidades e órgãos públicos se adequem à lei. Esse prazo se justifica diante das várias medidas que as entidades terão que adotar e da necessidade de solicitação de orçamento para implementar a política de dados de acordo com a lei.
No mais, é importante destacar que a LGPD tornou obrigatória a observância dos princípios Privacy By Design e Privacy By Default, pelos quais as entidades devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais desde a fase de concepção do produto ou do serviço até a sua execução.
Portanto, a LGPD representa uma garantia da segurança dos dados pessoais dos cidadãos, ao passo que contribui para o aprimoramento dos serviços e das políticas públicas.
_______
1 A MP 869/18 alterou o inc. VIII do art. 5°, que originalmente previa que o encarregado era a pessoa natural.
_______
*Natália Bertolo Bonfim é advogada e mestre em Direito Econômico e Financeiro pela USP.