A Autoridade Nacional de Proteção de Dados (ANPD), em 03 de janeiro de 2022, publicou um guia orientativo referente ao tratamento de dados pessoais pelo Poder Público, com a finalidade de auxiliar as entidades e órgãos públicos na adequação e implementação da Lei Geral de Proteção de Dados (LGPD), quando se trata da execução de políticas e prestação de serviços públicos.
O guia estabelece parâmetros, formas de conduta e traz recomendações ao Poder Público para a realização do tratamento e comercialização de dados pessoais, objetivando conferir segurança jurídica às operações.
A importância da cartilha está vinculada ao fato de que a Lei Geral de Proteção de Dados, dedicou um capítulo exclusivo ao tratamento de dados pessoais pelo Poder Público (capítulo IV1), aplicando-se a todos os entes da administração direta e indireta da União, dos Estados, dos Municípios e do Distrito Federal, inclusive suas Cortes de Contas, Ministérios Públicos e entidades privadas sem fins lucrativos que recebam recursos públicos, com intuito de trazer equilíbrio entre o acesso à informação e a proteção dos dados pessoais do titular sob tutela da administração pública.
Com relação ao acesso à informação, a transparência dos dados coletados pelo Poder Público possui previsão constitucional (art. 5º, inciso XXXIII e art. 37, § 3º, inciso II), com regulação através da Lei de Acesso à Informação, lei 12.527/11, que limita a vedação de fornecimento de dados pessoais pelo Poder Público.
Neste cenário, se fez necessária a conciliação entre o princípio da transparência e o princípio da privacidade (incluindo-se, neste caso, os dados pessoais). Por esta razão, a ANPD, elaborou o guia que esclarece o grau de incidente da LGPD e a aplicação de seus conceitos ao setor público, além de aclarar a relação entre as normas de proteção de dados pessoais e o acesso à informação pública.
O Guia inicia trazendo uma breve exposição sobre as novas regras trazidas pela LGPD, além do conceito de Poder Público e as competências da Autoridade Nacional de Proteção de Dados. Em seguida, são apresentadas orientações sobre as bases legais mais comuns para o tratamento de dados pessoais, previstas no art. 7º da LGPD, e os princípios aplicáveis às entidades e órgão públicos.
Sobre as bases legais, as mais utilizadas para o tratamento de dados pelo Poder Público, são as previstas nos incisos II e III, do artigo 7º da referida lei, quais sejam: cumprimento de obrigação legal ou regulatória e execução de políticas públicas. Isso porque, as atividades da administração são baseadas no princípio da legalidade, além do interesse público, não obstante a possibilidade de se enquadrar o tratamento de dados pessoais nas outras hipóteses previstas em Lei, como o consentimento, todavia, de forma mais cautelosa.
No que tange aos princípios elencados no guia, merece atenção especial os princípios da finalidade, adequação e transparência.
Segundo os princípios da finalidade e adequação o tratamento de dados pessoais deve ser realizado para “propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades2”. Além disso, no âmbito do setor público, acrescenta-se que o tratamento deve atender uma “finalidade pública”, na busca do interesse público, com objetivo de cumprir as atribuições legais das entidades, consoante disposição do art. 23, caput, da LGPD3.
Portanto, o tratamento de dados pessoais pelo Poder Público deve estar associado a uma finalidade pública legítima, específica, explícita e informada (através de uma linguagem simples e de fácil compreensão).
Com relação ao princípio da transparência a LGPD prevê o dever de publicidade em relação aos tratamentos realizados pelo Poder Público. Assim, as entidades e órgãos públicos devem fornecer informações claras, precisas e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades (art. 23, I, LGPD)4.
Reafirmando a importância da publicidade no setor público, o art. 25 da referida Lei prevê também a obrigatoriedade de manter os dados pessoais “em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral”5, sem, no entanto, deixar de observar os princípios que asseguram a proteção dos dados pessoais e a privacidade dos titulares.
Na parte final do guia, são abordadas as formas de compartilhamento e a divulgação de dados pessoais pelo Poder Público, ressaltando que as práticas devem atender finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas (art. 26, LGPD).
Sobre a temática, deve-se ponderar que eventual transferência de dados pessoais para entidades privadas, somente será permitida nas seguintes hipóteses: (i) em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado; (ii) nos casos em que os dados forem acessíveis publicamente; (iii) quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos semelhantes; ou (iv) na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades (art. 26, § 1º, LGPD).
Por fim, os anexos I e II da cartilha trazem recomendações para os agentes de tratamento, tais como: (i) elaboração de relatórios de impacto no caso de eventuais vazamentos de dados; (ii) elaboração de medidas de prevenção e segurança; (iii) limitação da divulgação dos dados pessoais, focando apenas nos dados estritamente necessários; (iv) elaboração de estudos para verificar se há formas de atingir a finalidade almejada sem o tratamento de dados pessoais; (v) divulgação das informações pertinentes na plataforma das entidades responsáveis; (vi) definição de responsabilidades e de procedimentos relativos ao atendimento de solicitações de titulares, dentre outros.
Objetivo do guia, portanto, é assegurar celeridade e eficiência na execução de políticas públicas e prestação de serviços públicos garantindo a proteção dos dados pessoais dos titulares e respeito à privacidade, além de auxiliar na adequação às normas relativas ao tratamento de dados pessoais, evitando as sanções aplicadas pela ANPD.
1 BRASIL, Lei 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Acesso em: 07 de abril de 2022.
2 Autoridade Nacional de Proteção de Dados. Guia Orientativo: Tratamento de Dados Pessoais pelo Poder Público. Versão 1.0. Jan 2022. P. 12. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf. Acesso em 07 de abril de 2022.
3 BRASIL, Lei 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Acesso em: 07 de abril de 2022.
4 BRASIL, Lei 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm. Acesso em: 07 de abril de 2022.
5 Ibidem.