INTRODUÇÃO
A lei 13.709/18, denominada como Lei Geral de Proteção de Dados – LGPD, foi publicada no dia 14 de agosto de 2018. Trata-se de norma que marcou a disciplina geral sobre Privacidade e Proteção de Dados no Brasil, sendo um claro fruto da evolução desta área desde a década de 1970 na União Europeia, com o Land de Hesse (na Alemanha, em 1970), Convenção 108 (na França, em 1981), até se chegar ao General Data Protection Regulation – GDPR EU 2016/679 (LIMBERGER, 2007, p. 86-92).
A LGPD inicia seu conteúdo deixando claro o objetivo como sistema de proteção aos direitos fundamentais de liberdade, de privacidade e do livre desenvolvimento da personalidade da pessoa natural, todos revestindo o núcleo pétreo da dignidade da pessoa humana, fundamento da República Federativa do Brasil (art. 3º, III, da CRFB/88). Seguindo esse marco normativo geral, houve o processo de constitucionalização do direito à proteção de dados, elevando-o a direito fundamental expressamente previsto na Constituição Federal, em seu art. 5º, inciso LXXIX, através da Emenda Constitucional 115/22.
Não há dúvidas quanto à inspiração no GDPR para a elaboração da Lei n. 13.709/2018. No entanto, não há como se desvencilhar do fato de que a matéria possui um terreno de preparação na União Europeia de quase 50 (cinquenta) anos de evolução, cenário totalmente oposto do Brasil. Evidentemente, a dificuldade de implementação seria clara, desde sua publicação, o que ensejou, inclusive, prorrogação da vacatio legis, para a devida adequação dos destinatários da norma, especialmente quanto às sanções aplicáveis. O cenário brasileiro de maturidade quanto à conformidade à LGPD ainda é precário, principalmente quando o destinatário avaliado se trata do Setor Público.
Ao se falar em Setor Público, não se pode olvidar que se trata do maior controlador de dados pessoais no Brasil, seja a análise feita em seu aspecto quantitativo ou qualitativo. Isso porque a relação diuturna do cidadão com o Poder Público, através dos 5.570 municípios brasileiros, requer o tratamento contínuo de dados pessoais, o que ocasiona um quantitativo gigantesco em comparação ao Setor Privado. E, de forma ainda mais delicada, em termos qualitativos, é o Setor Público o maior detentor de dados relativos à saúde, etnia, raça, orientação sexual, dados genéticos, todos de natureza sensível. Em contrapartida, ao contrário do Setor Privado, o investimento significativo em Segurança da Informação e em Consultoria e Assessoria Jurídica especializada na área de Privacidade e Proteção de Dados não ocupa, infelizmente, a maior prioridade do Setor Público.
Esse cenário de contrapontos em que de um lado se tem uma grande necessidade de adequação e conformidade do Setor Público à LGPD em razão de sua figura como grande controlador de dados pessoais e, de outro, sua maturidade de implementação extremamente precária, gera o que se verifica atualmente como o maior concentrador de incidentes de privacidade no Brasil, especialmente quanto a dados sensíveis de saúde. Reflexo desta situação é a análise dos 10 (dez) processos administrativos sancionatórios instaurados pela Autoridade Nacional de Proteção de Dados – ANPD, sendo 8 (oito) correspondentes a entidades do Setor Público (ANPD, 2023).
O próprio Tribunal de Contas do Estado do Rio de Janeiro, em acórdão prolatado em 30 de janeiro de 2023, divulgou estudo importantíssimo identificando que de 91 (noventa e um) municípios jurisdicionados, apenas uma prefeitura apresentou nível intermediário de maturidade de adequação à LGPD. Assim, 74 (setenta e quatro) prefeituras (81%) apresentaram nível de maturidade inexpressivo e 16 (dezesseis) em nível de maturidade inicial.
OBRIGATORIEDADE DE APLICAÇÃO AOS ENTES PÚBLICOS E A COMPLEXIDADE DO TRATAMENTO
A Lei Geral de Proteção de Dados, de maneira expressa, dispõe sobre a obrigatoriedade de sua observação pelo Setor Público (art. 1º, parágrafo único). Ademais, em seu art. 3º reforça a sua obrigatoriedade quanto à extensão da aplicação tanto às pessoas de direito público quanto privado.
Se não bastasse, a LGPD dedicou todo o Capítulo IV (arts. 23 ao 32) para dispor com exclusividade sobre o tratamento de dados pessoais pelo Poder Público. No bojo de seu conteúdo, faz remissão ao art. 1º da lei 12.527/11 (Lei de Acesso à Informação), para discriminar quais são as pessoas jurídicas de direito público sujeitas ao seu regramento. Com a breve análise deste dispositivo da lei 12.527/11, é possível verificar o leque de entidades sujeitas à LGPD, com as especificidades ditadas neste capítulo: a) órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo e Judiciário, Cortes de Contas e do Ministério Público; b) autarquias, fundações públicas, empresas públicas, sociedades de economia mista e demais entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios.
Inclusive, a própria LGPD elenca tratamento dos serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, sujeitos ao mesmo regramento das entidades de direito público. Aqui, a equiparação decorre da natureza dos dados envolvidos neste tipo de tratamento, muitas vezes ligados a registros civis (nascimento, casamento e óbito) e outros relacionados a privacidade de relações jurídicas civis ou comerciais dos cidadãos.
Nesse sentido, não há qualquer dúvida sobre a aplicação do regramento estatuído pela LGPD às entidades do Poder Público. Neste ponto específico, a LGPD emerge com a inovação de tratamento específico e direto ao Setor Público, diferentemente do que faz o GDPR na União Europeia, que não possui dispositivo específico direcionado ao tratamento de dados pelo Setor Público. A GDPR, em que pese seja mais denso e abrangente, confere tratamento sem especificação quanto ao controlador de dados.
Indubitável a obrigação que paira sobre o Setor Público brasileiro no que tange sua adequação e conformidade à LGPD e, considerando a publicação da norma no ano de 2018, está se completando 05 (cinco) anos de existência, sem que o Setor Público tenha se adequado de forma minimamente eficiente, seja a nível municipal, estadual ou federal.
O art. 23 da LGPD apregoa que o tratamento de dados pessoais realizado pelo Poder Público “deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”.
Nesse ponto em especial, não é possível desvincular a conceituação trazida pela LGPD do que se tem como ordem normativa no direito pátrio em relação ao direcionamento da atividade administrativa ou, mais especificamente, do ato administrativo. Conforme o art. 23 da LGPD, o tratamento deve ter como fim a persecução do interesse público, o qual é explanado por Celso Antônio Bandeira de Mello (2015, p. 55-56) no seguinte sentido:
É que, na verdade, o interesse público, o interesse do todo, do conjunto social, nada mais é que a dimensão pública dos interesses individuais, ou seja, dos interesses de cada indivíduo enquanto partícipe da Sociedade (entificada juridicamente no Estado), nisto se abrigando também o depósito intertemporal destes mesmos interesses, vale dizer, já agora, encarados eles em sua continuidade histórica, tendo em vista a sucessividade das gerações de seus nacionais. [...] Donde, o interesse público deve ser conceituado como o interesse resultante do conjunto dos interesses que os indivíduos pessoalmente têm quando considerados em sua qualidade de membros da Sociedade e pelo simples fato de o serem.
Vale destacar que o interesse público, no caso de tratamento de dados pessoais, deve ser buscado em conjunto com dois importantes outros princípios dispostos na própria LGPD, especificamente em seu art. 6º, incisos I (finalidade) e III (necessidade). Ora, alcançar o interesse público deve partir do pressuposto de que somente se trata dado pessoal que seja necessário a atender a finalidade pública para o qual foi coletado.
Um dos principais pontos a se observar quanto à adequação de qualquer entidade, pública ou privada, à LGPD, é a base legal que subsidia o tratamento de dados pessoais. A LGPD elenca esses requisitos-bases em seu art. 7º (dados pessoais) e 11 (dados pessoais sensíveis). Não se trata do propósito deste trabalho a análise de cada uma dessas hipóteses. No entanto, há que se observar que a Administração Pública possui uma atuação diferenciada da vislumbrada no setor privado, que é a atividade administrativa do Estado ao gerir os interesses públicos (res publica) através da prestação de serviço público e organização interna, tendo como destinatária última a própria sociedade.
Como dito alhures, não obstantes as demais bases legais previstas na LGPD, as de principal utilização pelo Setor Público são as previstas no art. 7º, incisos I (consentimento), II (cumprimento de obrigação legal ou regulatória do controlador), III (execução de políticas públicas) e IX (legítimo interesse do controlador) e art. 11, inciso II, alíneas “a”, “b”, “e” e “f”. Mais uma vez, ressalta-se que esse rol não exclui situações que devem ser tratadas caso a caso na Administração Pública e que possam se encaixar em outras bases legais.
Evidentemente, as bases legais em que há a dispensa do consentimento do titular de dados pessoais decorrem das “pedras de toque” do regime jurídico-administrativo, expressão esta utilizada pelo exímio professor Celso Antônio Bandeira de Mello (2015, p. 76) para se referir aos princípios da Supremacia do Interesse Público sobre o Privado e da Indisponibilidade dos Interesses Públicos pela Administração.
O princípio da Supremacia do Interesse Público sobre o Privado deve ser visto, na visão de Carvalho Filho, nos seguintes moldes:
As atividades administrativas são desenvolvidas pelo Estado para benefício da coletividade. Mesmo quando age em vista de algum interesse estatal imediato, o fim último de sua atuação deve ser voltado para o interesse público. E se, como visto, não estiver presente esse objetivo, a atuação estará inquinada de desvio de finalidade. Desse modo, não é o indivíduo em si o destinatário da atividade administrativa, mas sim o grupo social num todo. Saindo da era do individualismo exacerbado, o Estado passou a caracterizar-se como o Welfare State (Estado/bem-estar), dedicado a atender ao interesse público. Logicamente, as relações sociais vão ensejar, em determinados momentos, um conflito entre o interesse público e o interesse privado, mas, ocorrendo esse conflito, há de prevalecer o interesse público (CARVALHO FILHO, 2015, p. 34).
Em continuidade a esses ensinamentos, Celso Antônio Bandeira de Mello preceitua sobre o princípio da Indisponibilidade do Interesse Público:
A indisponibilidade dos interesses públicos significa que, sendo interesses qualificados como próprios da coletividade - internos ao setor público, não se encontram à livre disposição de quem quer que seja, por inapropriáveis. O próprio órgão administrativo que os representa não tem disponibilidade sobre eles, no sentido de que lhe incumbe apenas curá-los - o que é também um dever – na estrita conformidade do que predispuser a intentio legis (DE MELLO, 2015, p. 60-62).
Assim, não restam dúvidas acerca da congruência necessária entre as operações de tratamento de dados pessoais e o respeito à persecução do interesse público envolvido quando a figura do controlador equivale a um ente da Administração Pública.
O tratamento de dados pessoais pelo Setor Público deve ser visto como um dos mais complexos, haja vista a diversidade de dados coletados no dia a dia da relação cidadão-Estado. A nível municipal, a título de exemplo, dados relacionados à saúde durante atendimentos nas unidades de pronto atendimento, postos de saúde, hospitais públicos, são direcionados às Secretarias de Saúde e detém um nível de sensibilidade crítico. Além destes, há que se fazer referência clara a dados de crianças e adolescentes envolvidos no sistema de educação municipal e estadual, que também requerem um zelo redobrado quanto aos métodos e mecanismos de proteção.
Nesse diapasão, é de extrema relevância a observação de que a inexigibilidade de consentimento em muitas ou, talvez, na maioria dos casos de tratamento de dados pelo Poder Público, não o exime de forma alguma quanto a todas as demais obrigações previstas no sistema de Privacidade e Proteção de Dados instituído pela LGPD. Esta é, inclusive, uma enorme confusão expressada por alguns dirigentes públicos ou mesmo de profissionais jurídicos que os assessoram. Veja-se que o próprio diploma legal, no bojo do art. 7º, §6º, foi cristalino ao prever que “a eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular”.
Assim, não é porque o consentimento não é exigido em diversas situações em que o Estado atua como controlador de dados pessoais, é que este se vê desobrigado a se adequar a todo o multidisciplinar sistema de Privacidade e Proteção de Dados. Vale dizer, a supremacia do interesse público sobre o privado, nessa situação, não é “carta branca” conferida aos entes da Administração Pública para que o tratamento seja realizado de forma indevida. Muito pelo contrário, como se verá a seguir, cumpre ao Estado um dever objetivo de cuidado redobrado quanto ao tratamento de dados que realiza, visto que sua atividade administrativa é, naturalmente, sujeita a riscos direcionados aos cidadãos administrados.
SANÇÕES E RESPONSABILIDADE CIVIL NO SETOR PÚBLICO
O legislador, com o fito de reprimir as condutas violadoras da Privacidade e Proteção de Dados, em especial os ditames da Lei Geral de Proteção de Dados, dispôs no art. 52 do diploma legal as sanções administrativas sob as quais estão sujeitos os agentes de tratamento de dados. Ao mencionar agentes de tratamento de dados, a lei faz referência tanto ao controlador quanto ao operador de dados pessoais (art. 42, LGPD).
Quanto às sanções administrativas, dita o art. 52 da LGPD:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
VII - (VETADO);
VIII - (VETADO);
IX - (VETADO).
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Ocorre que, ao verificar a aplicação destas sanções direcionadas ao Poder Público, é possível extrair algumas especificidades, haja vista que nem todas as sanções são a ele aplicáveis. No §3º deste mesmo dispositivo é há a previsão de que as sanções de multa simples e multa diária não são aplicáveis ao Setor Público. Além disso, por decorrência do Princípio da Continuidade do Serviço Público, também é possível concluir que a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados merece cautela quanto a sua aplicação, haja vista que a interrupção na prestação do serviço público só poderia ocorrer em raríssimas exceções, como as previstas na lei 8.987/1995 (art. 6º, §3º).
Nesse sentido, a gama de sanções administrativas sujeitas a aplicação pela Autoridade Nacional de Proteção de Dados ao Setor Público padece das mencionadas restrições. No entanto, ao se verificar que a implementação das medidas e respeito aos princípios estabelecidos na LGPD se trata de uma obrigação legal destinada a todas as pessoas jurídicas de direito público, além daquelas equiparadas pela lei, não se pode olvidar que a ausência de sua implementação, concorrendo para a ocorrência de incidentes de privacidade, não possa ser reprimida por outros mecanismos.
A própria LGPD, em seu art. 52, §3º, estabelece que a aplicação das sanções nela previstas não prejudica a aplicação de medidas e sanções previstas na Lei de Improbidade Administrativa (Lei 8.429/92) e na Lei de Acesso à Informação (Lei 12.527/11). Com base nessa disposição, depreende-se que os dirigentes das entidades públicas, bem como qualquer outro operador a elas subordinados, poderão estar sujeitos às sanções previstas por eventual condenação por improbidade administrativa, tais como a multa civil, perda de valores, suspensão dos direitos políticos, perda da função pública, a depender do enquadramento do ilícito praticado.
Quanto à forma de responsabilidade civil adotada pela LGPD, esta traz em seu conteúdo alguns elementos que evidenciam uma responsabilidade pautada na culpa presumida. A título de exemplo se verifica a possibilidade de inversão do ônus da prova prevista no art. 42, §2º e nas causas de exclusão da responsabilidade previstas no art. 43. Na teoria da culpa presumida, um campo intermediário entre a responsabilidade subjetiva e a objetiva, incumbe ao causador do dano a prova de que não gerou o dano mencionado pela vítima. Veja-se que não há aqui a imputação da responsabilidade com a exclusão do elemento volitivo da culpa, mas apenas uma inversão de ordem prática para a comprovação desta. É o que leciona CAVALIERI FILHO (2003, p. 59):
Sem se abandonar, portanto, a teoria da culpa, consegue-se, por via de uma presunção, um efeito prático próximo ao da teoria objetiva. O causador do dano, até prova em contrário, presume-se culpado; mas, por se tratar de presunção relativa – juris tantum -, pode elidir essa presunção provando que não teve culpa. Autores e profissionais do Direito referem-se constantemente à culpa presumida como se se tratasse de responsabilidade objetiva. Convém, então, enfatizar este ponto: a culpa presumida não se afastou do sistema da responsabilidade subjetiva, pelo que admite discutir amplamente a culpa do causador do dano.
É necessário destacar a situação em que envolva a relação consumerista, haja vista a previsão de responsabilidade objetiva prevista no Código de Defesa do Consumidor, em seus artigos 12 e 14. Assim, nos casos em que o titular de dados e o controlador estejam inseridos em uma relação de consumo, a responsabilidade decorrente de dano causado ao titular deve ser de ordem objetiva, sendo desnecessária a comprovação da culpa do controlador.
Ao adentrar no campo da responsabilidade civil decorrente de violações à LGPD, mais uma vez o Setor Público merece tratamento diferenciado, eis que se trata da Administração Pública, a qual se sujeita a regime diferenciado neste campo.
Em se tratando de Administração Pública, inafastável é o reconhecimento de que sua responsabilidade decorre da Teoria do Risco Administrativo, adotada no direito pátrio como fundamento de ordem política e jurídica. Em decorrência desta teoria e de todo o regramento, inclusive em sede constitucional (art. 37, §6º, CF), adota-se a responsabilidade objetiva do Estado no que tange a atos da Administração Pública. O professor Carvalho Filho muito bem trata do fundamento dessa responsabilidade, que decorre da própria atividade administrativa:
Esses fundamentos vieram à tona na medida em que se tornou plenamente perceptível que o Estado tem maior poder e mais sensíveis prerrogativas do que o administrado. É realmente o sujeito jurídica, política e economicamente mais poderoso. O indivíduo, ao contrário, tem posição de subordinação, mesmo que protegido por inúmeras normas do ordenamento jurídico. Sendo assim, não seria justo que, diante de prejuízos oriundos da atividade estatal, tivesse ele que se empenhar demasiadamente para conquistar o direito à reparação dos danos.
Vale dizer, portanto, que a Administração Pública, no exercício de suas atividades, é objetivamente responsável pelos danos que causar aos administrados/cidadãos. Assim, independente de comprovação de dolo ou culpa por parte do ente causador do dano, bastando que haja um ato praticado, um resultado e o nexo causal. Esta é a regra máxima para a responsabilidade civil no âmbito do Setor Público. A título de exemplo, o Tribunal de Justiça de São Paulo já se manifestou em um caso que tratou de disponibilização de dados pessoais sensíveis:
APELAÇÕES CÍVEIS. DANOS MORAIS. DANOS MATERIAIS. DIVULGAÇÃO DE PRONTUÁRIO MÉDICO. HIV. Dados médicos do autor disponibilizados ao público no site da prefeitura mediante a simples inserção de seu CPF e sua data de nascimento, informações essas de fácil acesso. Ausência de senha de acesso que torna a informação, na prática, pública. O vazamento do prontuário médico do requerente (fls. 31/35), ao indicar ser ele portador do vírus do HIV, gerou situação embaraçosa e degradante no ambiente de trabalho. A responsabilidade civil objetiva exige apenas a ocorrência do dano, a existência de nexo causal entre a conduta e este dano e a ausência de culpa excludente da vítima (art. 37, § 6º CF). O sigilo dos dados pessoais ganha contornos cada vez mais sensíveis, sendo matéria cada dia mais regulada na seara legislativa. Eventuais vazamentos de dados particulares são evidentes fatos geradores de danos, seja de ordem moral ou material, e o legislador tende a protegê-los, especialmente quando digam respeito aos direitos de personalidade. Art. 5º, X, Constituição Federal, art. 42 da Lei nº 13.709/2018 (LGPD) e art. 4º da Lei 13.787/2018. Danos morais configurados. Quantum indenizatório majorado. Danos materiais não configurados. Ausência de prova de nexo de causalidade entre a exposição dos dados médicos e a efetiva demissão do autor. Honorários advocatícios readequados. Recurso do autor parcialmente provido. Recurso do réu desprovido. (TJSP; Apelação Cível 1016844-03.2020.8.26.0068; Relator (a): Heloísa Mimessi; Órgão Julgador: 5ª Câmara de Direito Público; Foro de Barueri - Vara da Fazenda Pública; Data do Julgamento: 05/07/2021; Data de Registro: 07/07/2021)
Portanto, nos casos em que haja um ente público na condição de controlador/operador, eventual dano causado ao titular de dado pessoal deve ser reparado com observação à responsabilidade objetiva. Nesse sentido, não há qualquer necessidade de comprovação de culpa ou dolo na conduta, bastando que haja um nexo causal entre aquela e o dano causado. Esse é, portanto, mais um motivo pelo qual a implementação e adequação do Setor Público à LGPD deve ser vista como prioridade na gestão pública e não de forma secundária como tem ocorrido em grande parte da Administração Pública brasileira.
MULTIDISCIPLINARIEDADE DO PROCESSO DE ADEQUAÇÃO
Como mencionado no início deste trabalho, a publicação da LGPD já ingressa no final do seu primeiro quinquênio. Diferentemente do que se observa no direito europeu, o qual possui um histórico de mais de 50 (cinquenta) anos de disciplina relativa à Privacidade e Proteção de Dados, o Brasil ainda enfrenta diversos percalços, não só de natureza normativa, mas principalmente relacionados à estrutura física e computacional, cultura organizacional e dificuldade em priorização da Segurança da Informação nas entidades, sejam elas públicas ou privadas.
Nesse ponto, cabe trazer à baila o caráter multidisciplinar de um processo de implementação e adequação de uma entidade à LGPD. A efetiva implementação desta legislação não é tarefa exclusiva de um corpo jurídico, o processo é absolutamente mais amplo. Há a necessidade de congruência de, no mínimo, três pilares de atuação, quais sejam: Segurança da Informação, Direito e Gestão de Processos.
Um erro muito comum praticado por pessoas jurídicas que buscam a adequação é ter a falsa percepção que a simples criação ou revisão documental relacionada à Privacidade e Proteção de Dados, tais como Políticas de Privacidade, Código de Privacidade, Termos de Uso, entre outros, seja suficiente. A própria LGPD traz um capítulo completo (arts. 46 a 51) acerca da necessidade de instituição de Programa de Governança em Privacidade, além de estabelecer determinações que requerem a existência de mecanismos e boas-práticas ligadas à Segurança da Informação.
Sendo assim, indissociável é a necessidade de conhecimentos técnicos relacionados à Segurança da Informação, mormente no processo de mapeamento de dados e gestão de riscos. A própria confecção de um Relatório de Impacto à Proteção de Dados (art. 38 da LGPD) efetivamente técnico e coerente requer a aplicação de conhecimentos direcionados à Tecnologia de Informação, especialmente quanto a Segurança da Informação.
Ora, as normas da família ISO/IEC 27000 são de aplicação obrigatória no que diz respeito à implementação de um Sistema de Gestão da Segurança da Informação, especialmente a ISO/IEC 27001 (Requisitos de Sistema de Gestão da Segurança da Informação) e ISO/IEC 27005 (Gestão de Riscos de Segurança a Informação). Somente com base no conhecimento técnico no campo da Tecnologia da Informação é possível fazer a gestão das vulnerabilidades de ambiente físico e digital de uma entidade, além de analisar e implementar métodos e processos específicos como mecanismos de mitigação de riscos.
Vazamentos de dados ou acessos indevidos a dados pessoais muitas vezes decorrem de vulnerabilidades técnicas de Segurança da Informação, tais como a inexistência ou desatualização de firewall, inexistência de antivírus e antimalware, ausência de métodos de controle de acesso como criptografia, autenticação multifator, inexistência ou precariedade de backup de dados. Esse tipo de incidente, como regra, não é mitigado com a simples criação de uma Política de Privacidade ou Termos de Uso, por exemplo, é necessário todo um trabalho técnico especializado, bem como softwares e hardwares indispensáveis à segurança da entidade.
Portanto, o processo de levantamento do inventário de dados pessoais, mapeamento do seu fluxo, identificação de vulnerabilidades e gestão de riscos, criação e revisão documental, treinamentos e capacitações de encarregados e operadores de dados, todas essas etapas requerem a atuação multidisciplinar a fim de garantir a efetiva proteção de dados pessoais.
CONSIDERAÇÕES FINAIS
O campo da Privacidade de Proteção de Dados no Brasil ainda é terreno fértil para inúmeras regulamentações e desenvolvimento da maturidade da disciplina. O histórico brasileiro, em que pese já trazer em seu bojo outras normas como a Lei de Acesso à Informação (Lei 12.527/11) e até mesmo o Marco Civil da Internet (Lei 12.965/14) como bases anteriores à LGPD ainda assim não se aproxima da densidade de desenvolvimento já existente na União Europeia desde a década de 1970.
No entanto, tal premissa não deve servir de fundamento ao Setor Público brasileiro como escusa de adequação à LGPD. Inúmeros e crescentes são os casos de incidentes de privacidade que tem como raiz controladores públicos, haja vista a indescritível quantidade de dados pessoais que permeia a relação cidadão-Estado. A responsabilização dos dirigentes de entidades públicas resistentes à adequação é medida impositiva, sob pena de se criar um cenário caótico de irregularidades.
Por fim, para a devida adequação, imperiosa é a ação multidisciplinar para todo o processo a ser realizado em um Entidade Pública, devendo haver a participação de profissionais jurídicos, da Segurança da Informação e gestores de processo. Isso porque maquiar uma efetiva implementação apenas com criação de modelos documentais é dar “carta branca” a acidentes de privacidade, tal como vem ocorrido no Setor Público do Brasil.
____________
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. ANPD divulga lista de processos sancionatórios. Portal “Gov.br”. 23 mar. 2023. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-divulga-lista-de-processos-sancionatorios. Acesso em: 08 mai. 2023.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). [S. l.], 2018. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 2 maio 2023.
CARVALHO FILHO, José dos Santos. Manual de Direito Administrativo. 28ª ed. São Paulo: Atlas, 2015.
CAVALIERI FILHO, Sérgio. Programa de Responsabilidade Civil. 5. ed. São Paulo: Malheiros, 2003.
DE MELLO, Celso Antônio Bandeira. Curso de Direito Administrativo. 32ª ed. São Paulo: Malheiros, 2015.
FALEIROS JUNIOR, José Luiz de Moura; LONGHI, João Victor Rozatti; MARTINS, Guilherme Magalhães (coord.). Comentários à Lei Geral de Proteção de Dados Pessoais. Indaiatuba: Foco, 2022.
LIMBERGER, Têmis. Direito à intimidade na era da informática: a necessidade de proteção dos dados pessoais. Porto Alegre: Livraria do Advogado, 2007.
SÃO PAULO. Tribunal de Justiça do Estado de São Paulo (5ª Câmara de Direito Público). Apelação Cível 1016844-03.2020.8.26.0068. Apelações Cíveis. Danos Morais. Danos Materiais. Divulgação de Prontuário Médico. HIV. Relator (a): Heloísa Mimessi; Órgão Julgador: 5ª Câmara de Direito Público; Foro de Barueri - Vara da Fazenda Pública; Data do Julgamento: 05/07/2021; Data de Registro: 07/07/2021.
TRIBUNAL DE CONTAS DO ESTADO DO RIO DE JANEIRO. LGPD: TCE aponta risco à privacidade de dados pessoais processados pelos municípios jurisdicionados. 19 abr. 2023. Disponível em:https://www.tcerj.tc.br/portalnovo/noticia/tce_aponta_risco_a_privacidade_de_dados_pessoais_processados_pelos_municipios_jurisdicionados. Acesso em: 05 mai. 2023.