A LGPD - Lei de Geral de Proteção de Dados Pessoais é, sem dúvida, uma das maiores novidades em termos de desafio para toda a administração pública em todos os níveis federativos. Este desafio se torna ainda mais intenso em relação aos entes municipais, visto que, em muitos casos, não possuem estrutura de tecnologia da informação, de pessoal e, principalmente, de mapeamento e gerenciamento de processos de trabalho.
Tais premissas são muito relevantes para um correto projeto de adequação e já demandam, por si só, um gasto de energia e atenção relevantes dos órgãos. Não fosse só isso, a LGPD estabelece obrigações especiais para a administração pública.
O motivo é relativamente simples: a administração pública, de regra, coleta dados pessoais por cumprimento de obrigação legal. Ou seja, o titular dos dados não tem opção de não fornecer os seus dados para a administração. Além disso, o volume de dados que a administração trata tende a ser muito superior ao da imensa maioria das instituições do setor privado.
Assim, o desafio da administração pública é muito maior e o potencial de dano em caso de eventual uso ilícito de dados pode ser incalculável. Neste ponto, a matriz de risco da administração pública é, correntemente, bem mais delicada do que a da maioria das instituições privadas.
Não fosse tudo isso, a administração ainda precisa conciliar a LGPD com a LAI - Lei de Acesso à Informação. As normas em questão, no que tange aos aspectos especialmente destinados à administração pública, parecem impor um paradoxo: a LAI determina que as informações sejam o mais disponíveis e abertas quanto possível; a LGPD determina a minimização, anonimização e tratamento restrito dos dados.
Ou seja, a primeira impressão é a de que as normas são diretamente conflitantes e determinam que a administração pública proceda de forma paradoxal, ora expondo dados e ora restringindo dados. Entretanto, este conflito é aparente e não real.
Obviamente, superar este conflito exige a compreensão e introjeção das duas normas na cultura da administração. Não basta concluir que as normas são compatíveis sem que se proceda de forma estruturada, com a organização dos processos de trabalho, instituição dos mapeamentos e matrizes de processos e riscos, elaboração de políticas de proteção de dados, nomeação de Encarregado de Proteção de Dados e treinamento constante de pessoal.
Há um trabalho a ser executado, mas a administração não está diante de um obstáculo instransponível para a correta e integral aplicação das duas normas. É preciso destacar que as normas em questão já se relacionam desde o texto, o que evidencia o chamamento ao gestor público para a sua conciliação.
A LGPD, a partir do seu art. 23, quando trata da proteção de dados no âmbito da administração pública, faz menção expressa à LAI por cinco vezes. Ou seja, o legislador, ao instituir a LGPD tinha pleno conhecimento da sua interface com a LAI e a necessidade de conciliação das duas normas.
Por sua vez, a LAI, muito anterior à LGPD, e aparentemente por mera coincidência, menciona regramento de acesso à informação para casos em que a administração armazene “informação pessoal” também por cinco vezes. E em todas estas oportunidades, há uma diferenciação de tratamento do acesso à informação, nos termos da LAI, para os dados pessoais.
Apenas a título ilustrativo, a LAI conceitua “informação pessoal” de forma praticamente idêntica à conceituação de dado pessoal pela LGPD. Veja-se:
LAI: “Art. 4º Para os efeitos desta Lei, considera-se: (...) IV: informação pessoal: aquela relacionada à pessoa natural identificada ou identificável;”
LGPD: “Art. 5º Para os fins desta Lei, considera-se: I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;”
É possível concluir que a LGPD constitui um novo desafio para a administração pública, assim como o foi em relação à LAI. Entretanto, não há qualquer antagonismo neste novo desafio e a administração não foi chamada a executar algo que está fora do seu alcance.
Obviamente que não se pretende afirmar que a conciliação entre as duas leis é tarefa simples, mas que é possível e necessária. A questão é de organização, planejamento e treinamento, principalmente em relação aos entes municipais que trabalham com escassez de recursos e pessoal.
O norte principal a se ter para esta tarefa é na finalidade do dado solicitado, no interesse público envolvido, na necessidade em sentido estrito do dado, na ponderação entre os riscos de acesso à informação e os riscos do sigilo da informação e, principalmente, da existência ou não de previsão legal expressa sobre casos determinados. As situações expressamente previstas na norma não podem ser ignoradas, pois tratam de exceções legais que não abrem margem para interpretações extensivas (como nos casos dos dados de saúde e educação).
Por sua vez, o maior desafio se encontra nos dados que não possuem tratamento legal expresso, mas apenas genérico, e que impõe a aplicação simultânea das duas normas. A principal situação a enfrentar se refere aos documentos públicos que evidenciam gastos que podem ser questionados por qualquer um do povo, mas que embarcam, em quantidade razoável ou intensa, a identificação e transcrição de dados pessoais tanto de agentes públicos como de agentes privados.
Tais situações já têm sido apresentadas para discussão perante o Judiciário, ao argumento de que a administração pública tem usado a LGPD como subterfúgio para negar acesso à informação que estaria resguardada pela LAI. Estes fatos, normalmente, quando levados ao Judiciário, já são representados como violações legais por parte da administração, o que pode gerar custos financeiros, desgastes com órgãos de controle e questionamentos quanto ao gestor.
No atual contexto, percebe-se que a administração pública já foi informada por veículos oficiais acerca do que lhe será exigido. Os órgãos de controle, como Tribunais de Contas, Poder Judiciário, Ministério Público e, principalmente, a Autoridade Nacional de Proteção de Dados (ANPD) já se vêm se pronunciando sobre o seu entendimento a respeito desta conciliação.
Recentemente, a ANPD editou norma específica de adequação à LGPD para a administração pública, constituindo o norte do que será considerado como boas práticas na administração pública para fins de mitigação ou desoneração de responsabilidade do gestor em casos de incidentes de dados. Por sua vez, o TJ/MG e o TJ/RS têm se mostrado proeminentes na instituição da LGPD no seu próprio âmbito.
Desta forma, estes Tribunais se posicionam sobre o que será considerado como prática lícita e aceitável em termos de proteção de dados, tendo como parâmetro as próprias práticas destes tribunais. O Ministério Público do Distrito Federal e Territórios também tem se mostrado proativo quanto à aplicação da lei, de modo a entregar diretrizes de como o MP atuará.
Por fim, observa-se um movimento de adequação interna inicial dos tribunais de contas. O TCE/MG, recentemente, adquiriu sistema integrado de gestão de processos para a adequação à Lei Geral de Proteção de Dados, evidenciando a sua preocupação com a aplicação efetiva da norma. Uma vez implantado, o TCE fatalmente exigirá dos entes que fiscaliza a apresentação de boas práticas no que tange aos processos de prestação de contas e fiscalização de políticas públicas executadas.
Assim, o cenário é de consolidação desta transição e de exigência cada vez maior de adequação da administração pública à LGPD e, obviamente, a sua conciliação com a LAI. As duas normas visam a agregar transparência e responsabilidade da administração pública em relação às informações que trata no curso da execução de suas políticas públicas e atos administrativos em geral.
Cabe ao gestor público, assim como o foi em relação à LAI, assimilar as novas responsabilidades e promover atos necessários à conciliação dos dois diplomas legais. O contexto já dá conta de que o ambiente permite iniciar as investidas de exigência da administração, principalmente daquelas que ainda não possuem programa de integridade sequer instalado.
E, considerada a coexistência das duas normas, é preciso ter muita atenção para evitar que uma norma seja utilizada para violar a outra – seja pela disponibilização indevida de dados pessoais, seja pela restrição de acesso às informações que deveriam ser públicas. Em qualquer situação, o preparo prévio da administração é o elemento fundamental para criar um ambiente favorável para a própria administração e evitar que a LGPD se torne um problema institucional e sim uma ferramenta de desenvolvimento eficiente da gestão pública.