Reflexões: Poder Público e aplicação da lei geral de proteção de dados pessoais
Percebemos que não só os dados em meio digital estão vulneráveis e sujeitos aos cuidados ou termos da LGPD.
segunda-feira, 6 de setembro de 2021
Atualizado às 14:02
Com o advento da Lei Geral de Proteção de Dados Pessoais (LGPD) alguns pontos passaram a ser discutidos no âmbito daquilo que é aplicável às instituições privadas e públicas, até porque a legislação brasileira é contundente ao afirmar que: "dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado"1. Assim, entendemos não ser preciso aprofundar, para ente momento, aplicabilidade da normativa ao poder público, mas sendo ainda preciso reforçar o posicionamento, o parágrafo único do artigo 1º da LGPD assegura que as normas gerais contidas na LGPD "são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios"2.
Sendo, pois, entendível o cabimento e aplicabilidade da LGPD ao contexto público convém destacar, para esta nossa breve explanação, alguns pontos: o ambiente onde ocorrerá o tratamento dos dados pessoais, a finalidade, o consentimento3 e o armazenamento.
Acerca do ambiente, somos levados a retomar as primeiras palavras do artigo 1º da Lei - "Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais"4. Assim, quando a norma nos apresenta a expressão "inclusive nos meios digitais" destaca a necessidade de observarmos o tratamento dos dados existentes nos meios físicos, exatamente aqueles não localizados em computadores ou qualquer outra ferramenta tecnológica.
Para quem convive com a administração pública, principalmente se falarmos das municipais, localizadas nos pontos mais ermos do interior deste imenso Brasil, saberá bem informar sobre o número de procedimentos e processos que ocorrem sem a utilização de tecnologia e que, por sua vez, abarrotam armários, mesas e prateleiras com os mais variados documentos físicos e entranhados de dados pessoais, para não falar dos dados sensíveis (como o caso dos arquivos e mais arquivos gerados pelas secretarias de saúde e assistência social). Portanto, é demasiado preocupante achar que os dados pessoais a serem alvo de resguardo por parte do poder público estarão amparados com medidas de Cibersegurança, ou qualquer software moderno e/ou de elevada complexidade, quando se faz urgente observar os meios físicos e a vulnerabilidade de acesso às informações aí armazenadas.
No tocante à finalidade do tratamento, destacamos ocasiões híbridas (se assim podemos chamar) quando os servidores públicos são titulares5 de dados, em algumas circunstâncias, e controlador ou operador6 em tantas outras. Neste contexto, destacamos, por exemplo, o momento da coleta dos dados para tratamento. Muito rapidamente destacamos que o servidor público pode ser operador quando para suas atividades laborais trata dados pessoais com a finalidade de prestar o serviço público (viabilizar uma política pública), como quando coleta dados para cadastro em programas habitacionais. Este mesmo servidor é um titular de dados quando a secretaria de administração a qual esteja vinculado manipula/trata os seus dados pessoais para que o salário seja depositado em conta corrente, após um mês de serviço prestado.
Outro ponto a ser levantado está ligado ao consentimento para tratamento de dados, uma vez que muitos desavisados imaginam que a grande diferença entre a aplicabilidade da Lei Geral de Proteção de Dados Pessoais para pessoas jurídicas de direito privado e público reside na autorização para uso destas informações. Aqui, apontamos que não são poucas as circunstâncias onde a iniciativa privada pode tratar dados sem que haja consentimento do titular. Contudo, nosso objetivo é passar rápidas informações acerca da rotina pública no tocante à LGPD, assim, destacamos o artigo 23 ao apresentar que o tratamento dos dados pessoais pelo poder público "deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público"7. O artigo 7º nos traz ainda: que o tratamento de dados pessoais somente poderá ser realizado "pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres"8 Ou seja, qualquer tratamento que fuja a esta realidade será passível de reprimenda por parte da LGPD. Então, não estando o poder público tratando dados pessoais para finalidades que a própria Lei assegura, poderá estar sujeito ao tratamento de dados mediante coleta de consentimento.
Percebemos que não só os dados em meio digital estão vulneráveis e sujeitos aos cuidados ou termos da LGPD. Notamos também que a finalidade e a forma como os dados são manipulados revelam muito do impacto que a Lei exercerá no caso em concreto, somando-se, inclusive, ao modo como as informações podem e devem ser coletadas, manuseadas, se por meio de consentimento ou não. Contudo, percebemos como um ponto de extrema relevância, passando indiscutivelmente pelo ambiente em que estão sendo tratados os dados pessoais, o referente ao armazenamento das informações relacionadas as pessoas naturais.
O poder público por natureza é um grande gerador e armazenador de dados pessoais, assim, para além de todos os cuidados e reflexões aqui trazidas, destacamos a necessária atenção para os sistemas de armazenamento, quando muitos deles estão em espaços físicos e sem qualquer ingerência digital. Estamos falando, a título de exemplo, de armários sem chave ou aqueles que mesmo com alguma tranca podem ser manuseados sem muita burocracia; e ainda aqueles que estão em ambientes não reservados ao alcance de todos. Destacamos ainda os livros de controle e protocolo de entradas e saídas de documentos, onde, por não poucas ocasiões, são coletados nome e CPF dos titulares envolvidos com a demanda. Lembramos dos inúmeros processos sobre as mesas e birôs onde diversas informações ficam visíveis, sem qualquer cuidado ou protocolo de pseudo-anonimização, sem falar nas inúmeras pessoas que podem manusear tais dados sem que haja qualquer procedimento de concessão de autorização para tanto.
Indiscutivelmente, não temos a intenção de esgotar o tema, mas alimentar a mente dos leitores com estímulos para que se perceba o quão vulnerável está o poder público e as pessoas neste cenário inseridas. Principalmente quando o contexto apreciado se refere aos procedimentos em que dados pessoais tratados estão no universo físico, ou quando não estão sendo usados para atendimento da finalidade pública ou alcance do interesse público exclusivamente, ou, ainda, no tocante ao descuidado com o armazenamento e acondicionamento de informações que possam identificar pessoas naturais.
______________
1 LGPD - Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios. Disponível em : clique aqui. Acesso em 03 de set. de 2021.
2 LGPD - Disponível em: clique aqui. Acesso em 03 de set. de 2021.
3 LGPD - Art. 5º Para os fins desta Lei, considera-se: XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Disponível em : clique aqui. Acesso em 03 de set. de 2021.
4 LGPD - Disponível em: clique aqui. Acesso em 03 de set. de 2021.
5 LGPD - Art. 5º Para os fins desta Lei, considera-se: V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Disponível em: clique aqui. Acesso em 03 de set. de 2021.
6 Art. 5º Para os fins desta Lei, considera-se: VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; IX - agentes de tratamento: o controlador e o operador. Disponível em : clique aqui. Acesso em 03 de set. de 2021.
7 LGPD - Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público... Disponível em : clique aqui. Acesso em 03 de set. de 2021.
8 LGPD - Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
(...)
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei. Disponível em: clique aqui. Acesso em 03 de set. de 2021.