Migalhas de Peso

O tratamento de dados pessoais pelo Poder Público

É permitido o uso compartilhado de dados pelo Poder Público, desde que tenha por objetivo atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas.

10/4/2019

1 Introdução

 

A lei 13.709/18, conhecida como Lei Geral de Proteção de Dados – LGPD,  representa grande avanço na proteção de dados pessoais e privacidade no Brasil, regulamentando a forma com que tais informações são coletadas e tratadas e dispondo sobre os direitos de seus titulares. A lei tem aplicação multissetorial e extraterritorial, isto é, aplica-se aos setores público e privado, e tem eficácia além dos limites geográficos do país.

 

Em relação ao tratamento de dados pessoais pelo poder público, a LGPD possui um capítulo todo dedicado ao tema. Ainda que a lei confira à Administração Pública o mesmo tratamento dispensado à iniciativa privada, há algumas peculiaridades no que concerne à proteção de dados pessoais pelo poder público, como seguem.

 

• A quem se aplica a lei: o caput do art. 23 da LGPD remete ao parágrafo único do art. 1° da lei 12.527/11 (Lei de Acesso à Informação) para dispor que subordinam-se ao regime da lei:

 

I - os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, do Judiciário e do Ministério Público; e 

 

II - as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios. 

 

• Requisitos para o tratamento de dados pessoais: a Administração Pública poderá tratar e compartilhar os dados necessários à execução de políticas públicas previstas em lei e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, independentemente do consentimento do titular dos dados.

 

Nesse contexto, o tratamento de dados pessoais pelos órgãos e entidades do Poder Público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público e com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

 

(i) sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sites;

 

(i) seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais.  

 

A figura do encarregado é a pessoa1, física ou jurídica, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional. Ele é o responsável por realizar o tratamento dos dados pessoais segundo as informações fornecidas pelo controlador, sendo sua atribuição, dentre outras,  orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.

 

Ressalte-se que a LGPD não se aplica ao tratamento de dados pessoais realizados exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação ou repressão de infrações penais.

 

• Serviços notariais e de registro: os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas acima referidas, e deverão fornecer à Administração Pública o acesso eletrônicos aos dados. 

 

• Empresas públicas e sociedades de economia mista: a LGPD confere tratamento diferenciado às empresas públicas e sociedades de economia mista de acordo com sua natureza jurídica.

 

Se atuam em regime de concorrência, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares. Se operacionalizam políticas públicas, e no âmbito de sua execução, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público.

 

• Compartilhamento de dados: os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

 

É permitido o uso compartilhado de dados pelo Poder Público, desde que tenha por objetivo atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6° da lei.

 

Originalmente, o Poder Público apenas poderia compartilhar dados com entidades privadas em caso de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado; e nos casos em que os dados forem acessíveis publicamente.

 

Com a edição da Medida Provisória 869/18, o Poder Público também poderá compartilhar dados com entidades privadas se for indicado um encarregado; quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou na hipótese de a transferência dos dados objetivar a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados.

 

• Transferência internacional de dados: a transferência internacional de dados é permitida para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD. Para tanto, os órgãos e entidades do Poder Público poderão requerer à autoridade nacional a avaliação do nível de proteção a dados pessoais conferidos pelo país ou organismo internacional.

 

Dentre outras hipóteses, também é permitida a transferência internacional de dados quando necessária à cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução; quando a transferência resultar em compromisso assumido em acordo de cooperação internacional, ou quando for necessária para a execução de política pública ou atribuição legal do serviço público.

 

• Responsabilidade: em caso de infração à LGPD pelas entidades e órgãos públicos, a autoridade nacional poderá encaminhar informe com as medidas cabíveis para fazer cessar a violação.

 

A autoridade nacional também poderá requerer aos agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público. 

 

Ainda, a LGPD prevê a responsabilidade dos agentes de tratamento pelo ressarcimento dos danos causados aos titulares de dados em razão do exercício de atividade de tratamento de dados pessoais.

 

A responsabilidade do operador será solidária quando descumprir as obrigações da lei ou quando não tiver seguido as instruções lícitas do controlador. A responsabilidade do controlador será solidária se estiver diretamente envolvido no tratamento do qual decorreram danos aos titulares dos dados.

 

A LGPD traz três excludentes de responsabilidade dos agentes de tratamento: se provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído; se, apesar de realizado, provarem que não houve violação à legislação de proteção de dados; ou que o dano decorre de culpa exclusiva do titular dos dados ou de terceiro.    

 

• Penalidades: em relação às entidades e órgãos públicos, podem ser aplicadas as sanções de advertência, publicização da infração, bloqueio ou eliminação dos dados pessoais a que se refere a infração, sem prejuízo das sanções previstas no Estatuto do Servidor Público Federal, na lei de Improbidade Administrativa e na lei de acesso à informação.

 

• Órgão regulador: um dos pontos mais importantes da lei é a criação da Autoridade Nacional de Proteção de Dados (ANPD), entidade pública autônoma e independente responsável por fiscalizar e aplicar sanções em caso de violação da lei. Inicialmente vetada por Michel Temer, a ANPD foi criada pela Medida Provisória 869 no apagar das luzes de 2018, e integra a Presidência da República.

 

Por fim, anote-se que a MP 869/18 alterou o prazo de vacatio legis para 24 meses, prazo limite para que as entidades e órgãos públicos se adequem à lei. Esse prazo se justifica diante das várias medidas que as entidades terão que adotar e da necessidade de solicitação de orçamento para implementar a política de dados de acordo com a lei.

 

No mais, é importante destacar que a LGPD tornou obrigatória a observância dos princípios Privacy By Design e Privacy By Default, pelos quais as entidades devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais desde a fase de concepção do produto ou do serviço até a sua execução.  

 

Portanto, a LGPD representa uma garantia da segurança dos dados pessoais dos cidadãos, ao passo que contribui para o aprimoramento dos serviços e das políticas públicas.

_______

1  A MP 869/18 alterou o inc. VIII do art. 5°, que originalmente previa que o encarregado era a pessoa natural.

_______

*Natália Bertolo Bonfim é advogada e mestre em Direito Econômico e Financeiro pela USP.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

Tema 1348 do STF: Imunidade do ITBI nas holdings e seus impactos

4/11/2024

É constitucional a proposta de “só preto pode falar”?

5/11/2024

Direito ao distrato em casos de atraso na obra: O que diz a lei

4/11/2024

Seria o vínculo trabalhista a única forma de proteção social?

4/11/2024

Os contratos de distribuição e seus aspectos jurídicos em mercados regulados: O setor farmacêutico

4/11/2024