LGPD e Poder Público: aspectos que você precisa compreender

Muito se fala da repercussão da LeiGeral de Proteção de Dados (LGPD) sob a perspectiva da iniciativa privada. Contudo, devido à transversalidade inerente à própria lei em questão, não se deve perder de vista que sua aplicabilidade se estende a qualquer tipo de “tratamento de dados pessoais” e alcança também o Poder Público, que deve se adequar para cumprir as obrigações ali impostas. 

Tamanha é a relevância do assunto que o Capítulo IV foi inteiramente dedicado ao tratamento de dados pessoais pelo Poder Público, ainda que não tenha exaurido o tema. 

Mas porque a LGPD se destina a tutelar o tratamento de dados pessoais realizado pelos entes públicos?

Essa resposta fica fácil quando se consideram fatores como as prerrogativas e os poderes conferidos pelo ordenamento jurídico ao Estado para consecução dos fins públicos; a nítida relação assimétrica existente em relação aos indivíduos; a concentração, pelos órgãos e entidades públicas, de um imenso e diversificado banco de dados pessoais de cidadãos, incluindo-se de dados sensíveis (imagine só a quantidade de dados de saúde que foram coletados nessa época de pandemia);a essencialidade desses dados para o regular exercício de inúmeras atividades e políticas públicas; a compulsoriedade na entrega de dados pessoais pelos cidadãos (seja para atendimento em hospitais públicos; emitir carteira de motorista; cadastrar biometria para votar, entre várias outras hipóteses). 

Assim, é compreensível que haja uma maior transparência nessa coleta e processamento, com o fim de coibir potenciais violações de direitos e garantias fundamentais dos cidadãos na qualidade de titulares de dados pessoais.  

E quando a lei não se aplica?

Bem, as exceções de sua incidência foram descritas no art. 4º da LGPD e estão diretamente relacionadas à finalidade do tratamento de dados pessoais dentro de contextos específicos, destacando-se aqui o inciso III do artigo mencionado que dispõe sobre o tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

Nota-se que a regra da inaplicabilidade não se dirige a “quem” realiza o tratamento. Desse modo, ainda que uma autoridade seja competente, por exemplo, para a atividade de investigação criminal, tão somente dentro desse escopo incidirá a exceção da não aplicação da lei. Em contrapartida, tendo em conta que todos os órgãos e entes públicos tratam dados pessoais em contextos diversos do expresso acima (cujo exemplo mais óbvio refere-se ao tratamento de dados pessoais de seus próprios agentes),remanescerá, para todos os efeitos, a plena incidência da norma.  

Então quem são os destinatários da lei?

Essa resposta é extraída da leitura do artigo 23 da LGPD, que, por sua vez, nos remete à Lei de Acesso à Informação, o que demonstra a integração entre os dois diplomas legais, em um nítido caso de diálogo das fontes[2].  

Desse modo, a Lei se aplica aos órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes de Contas, e Judiciário e do Ministério Público; as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista[3] e demais entidades controladas direta ou indiretamente pela União, Estados,Distrito Federal e Municípios (art. 1º, parágrafo único da Lei nº 12.527/2011). Outrossim, a LGPD aponta que os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas de direito público. 

Os citados entes públicos terão legitimidade para tratar dados pessoais quando este tratamento estiver atrelado ao atendimento de sua finalidade pública, na persecução do interesse público, como objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, nos moldes do artigo 23, da LGPD e, desde que, no exercício de suas competências, sejam informadas as hipóteses em que realiza o  tratamento de dados pessoais, através de informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos[4]; e ainda indicar um encarregado sobre o tratamento de dados pessoais. 

Nessa linha, o permissivo legal para o tratamento de dados pessoais pelo Poder Público decorre de uma necessária interpretação sistemática da base legal prevista no artigo 7°, inciso III, da LGPD complementada pelas disposições do artigo 23 da mesma lei, cujo teor fora acima explicitado. Ademais “é de se notar que há entes públicos que não executam políticas públicas, mas cumprem atribuição ou competência constitucional, como é o caso do Poder Judiciário, do Poder Legislativo, do Ministério Público e Defensoria Pública”[5]

Além disso, a Administração Pública deve zelar fielmente pelo cumprimento dos demais princípios elencados no artigo6º (adequação, necessidade, livre acesso, qualidade dos dados, segurança, prevenção, não discriminação e responsabilização e prestação de contas), e ainda obedecer, dentre outros princípios norteadores da própria atividade administrativa, aqueles expressos no artigo 37, da Constituição Federal (legalidade, impessoalidade, moralidade, publicidade e eficiência).  

Quanto aos agentes de tratamento, a recenticidade do tema no Brasil, cumulada com a complexidade técnica da lei, tem suscitado inúmeras dúvidas de cariz conceitual, desafiando os órgãos e entidades na tentativa da conformidade. 

Nas últimas semanas fomos surpreendidos por várias atecnias cometidas por instituições públicas, devido à falta de compreensão de conceitos básicos da lei, nomeadamente, em relação ao enquadramento dos agentes de tratamento (controlador e operador).  

“Controlador Adjunto”, “Controlador Presidente de Tribunal de Justiça”, “Operador Estagiário”, “Operador nível 1,2, 3”... foram muitas as inovações!

Registre-se que essa não é uma crítica direcionada a qualquer órgão público em específico, nem se está aqui a minimizar o esforço dos profissionais envolvidos na elaboração desses Provimentos/Resoluções. 

O ponto é que, apesar de todas as confusões interpretativas no enquadramento dos agentes de tratamento, o entendimento de quanto a quem faz o que é bem simples.

Quem é o controlador?

Nos termos da legislação, é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º, VI). No caso da Administração Pública, o controlador será sempre o próprio órgão ou entidade pública em si mesmo. 

Levando em consideração que nossa lei se inspirou no GDPR - Regulamento Geral de Proteção de Dados da União Europeia e, ainda inexistentes regulamentações editadas pela Autoridade Nacional de Proteção de Dados (ANPD), é possível - com as devidas particularidades entre os diplomas legais, naquilo que eventualmente não for contrário à norma brasileira e valendo-se de cuidados metodológico - socorrer-se de alguns parâmetros interpretativos orientadores da matéria no cenário europeu.  

Exemplo disso é a Diretriz 07/2020 do Comitê Europeu para a Proteção de Dados, que tratou sobre os conceitos de “controller” e “processor” (o mesmo que controlador e operador, em inglês) no GDPR, assentando, desde logo, que esses conceitos são funcionais na medida em que objetivam alocar responsabilidades de acordo com os reais papéis das partes [6]

Quanto ao controlador, o documento elucida de forma clara que, em princípio, não há limitação quanto ao tipo de entidade que pode assumir o papel de controlador, mas, na prática, geralmente é a organização como tal, e não um indivíduo dentro da organização (como o CEO, um funcionário ou membro do conselho) que atua como controlador. 

De forma simples, o controlador é aquele que detém o poder decisório, ou seja, a quem compete determinar as finalidades (porquê) e meios do processamento (como), ressalvando-se que determinados aspectos mais práticos, não essenciais ao tratamento, podem ser deixados a cargo do operador, com base em sua expertise no assunto.  

Desse modo, descabido afirmar que o controlador é a pessoa natural que age em nome do ente público. Em verdade, é o próprio órgão ou entidade, o qual, enquanto responsável pelo tratamento dos dados pessoais, é quem deve estar apto para demonstrar o cumprimento dos princípios elencados na lei e que será devidamente responsabilizado em eventuais casos de violação de dados pessoais, inclusive pela não observância de princípios da lei ou por não adotar medidas técnicas de segurança. 

Já o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, VII). Ainda de acordo com a referida Diretriz, o operador, para além de proceder ao tratamento de dados seguindo as instruções do controlador, deve ser uma entidade separada. Em outras palavras, deve ser distinto, externo e apartado do controlador e com ele não deve se confundir.  

Nessa linha, o operador não é nem o servidor, nem o estagiário do órgão, mas sim uma pessoa (natural ou jurídica) externa contratada ou terceirizada pelo respectivo controlador com o fim de realizar tratamentos específicos de dados pessoais em nome desse.  

Exemplificando: imaginemos uma situação hipotética na qual um determinado Ministério Público necessite contratar um provedor de serviços de nuvem, tão somente para armazenamento de dados oriundos de seu departamento de recursos humanos, setor que, por excelência, trata grande número de dados pessoais. Nesse caso, o controlador é o próprio MP que contratou o serviço e o operador é a empresa de nuvem que procederá ao tratamento seguindo às ordens daquele quanto a quais dados pessoais tratar, sobre quais indivíduos, por quanto tempo, a quem incumbirá acessar tais dados, dentre outras questões. 

Agora, pensemos em outra situação.Tomando por base a confusão conceitual criada em torno dos agentes de tratamento, consistente na personificação dos mesmos, imaginemos uma violação à legislação de proteção de dados pessoais que causou dano patrimonial e moral a um titular. E esse fato ocorreu no âmbito de algum Tribunal de Justiça do país, no qual o controlador é o Presidente desse TJ e os operadores são os estagiários. Pois bem. Haverá responsabilidade solidária entre o presidente e o estagiário se a hipótese do caso concreto incorrer nas situações do parágrafo 1º, do artigo 42, da lei? E se o estagiário reparar o dano ao titular, ele terá direito de regresso contra o presidente deste tribunal? A nosso ver, parecem que ambas as situações são completamente desarraozadas, sendo insustentável admitir as interpretações que muitas instituições têm dado à legislação.  

No mais, vale ressaltar que quando da contratação entre controlador e operador, os contratos e convênios deverão respeitar as regras atinentes aos contratos administrativos, detalhando pormenorizadamente as finalidades do tratamento, o objeto da contratação, inserindo cláusulas de confidencialidade, indicando as responsabilidades do contratado no caso de incidente, os planos de resposta a incidentes, o prazo do tratamento, a eliminação dos dados após o fim do contrato, a adoção de boas práticas e medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, além de eventuais normas complementares a serem editadas pela ANPD. 

Ainda são muitos os desafios a serem superados em matéria de proteção de dados no Brasil, principalmente porque o país ainda está em vias de amadurecendo da cultura de proteção de dados pessoais. Muitos pontos nebulosos ainda pairam sobre as cabeças dos profissionais envolvidos, seja no setor privado ou público. Nosso anseio é que, em breve, a ANPD venha efetivamente a estabelecer normas complementares para a devida aplicação da norma e elaborar diretrizes para a Política Nacional deProteção de Dados Pessoais e da Privacidade, de modo a permitir a plena capacidade do Poder Público em sua jornada de adequação à lei.

 [1] Toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

[2] A LGPD irá coexistir e deverá se harmonizar, no que for cabível, com as outras regulamentações já vigentes, dentre elas a Lei de Acesso à Informação (Lei nº 12.527/2011), sobretudo quando ambas as legislações visam garantir aos cidadãos maior transparência da atividade do Poder Público, ora assegurando-lhe a ampla acessibilidade a dados públicos, resguardado o direito à intimidade e à vida privada e as hipóteses legais de sigilo, ora permitindo-lhe um maior controle nas operações de tratamento dos dados pessoais que lhes dizem respeito.

[3] Vale a ressalva de que as empresas estatais apenas terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público quando estiverem operacionalizando políticas públicas e no âmbito da execução destas (art. 24, parágrafo único, da LGPD).

[4] Para tanto, o Poder Público necessitará, dentro de seus respectivos âmbitos institucionais, preparar deforma e técnica e jurídica os agentes de seus quadros para, dentro dos prazos dispostos na lei, operacionalizar o recebimento dos requerimentos do titular e respondê-los tempestivamente.

[5] MALDONADO, Viviane Nóbrega; BLUM, Renato Opice, coordenadores - LGPD: Lei Geral de Proteção de Dados comentada [livro eletrônico],2. ed. rev., atual. e ampl. – São Paulo: Thomson Reuters Brasil, 2020.

[6] “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”. Disponível em: https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdfAcesso em 13.10.2020.

____________________________________________________________________________________________________________________________________

Você sabia que a Nextlaw Academy oferece um extenso portfólio de cursos em proteção de dados? Confira aqui.

Blog Post escrito por:
Caroline Vivas