A Lei Geral de Proteção de Dados – Lei nº 13.709/2018 (LGPD) versa apenas e tão somente sobre o tratamento de dados pessoais e dados pessoais sensíveis. Andressa Carvalho da Silva argumenta, no artigo “LGPD e o microssistema de proteção de dados”, que “já havia leis que abrangiam os temas privacidade e proteção de dados; no entanto, a LGPD veio para consolidar um microssistema de tratamento desses dados: quem, como, quando, onde, porque, com que fim podem ser usados esses dados”. É inequívoco que a Administração Pública possui sob sua guarda uma infinidade de dados pessoais que foram coletados de forma indiscriminada ao longo dos anos.
O legislador entendeu a importância dos dados pessoais, sensíveis ou não, para que a Administração Pública consiga atingir sua missão, uma vez que definiu um Capítulo dedicado ao tratamento de dados pessoais pelo Poder Público. Contudo, esse tratamento deve seguir regras, para que os direitos dos titulares sejam respeitados. Por exemplo, o caput do art. 23, que define que o tratamento de dados pessoais pelas pessoas jurídicas de direito público, “deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”. Via de regra, optava-se por elevar ao máximo a coleta de dados, mesmo sem avaliar a real necessidade desses dados para se atingir a finalidade pública ou para executar suas competências e atribuições legais, como previsto no caput do art. 23 da LGPD.
Indo além, as diversas entidades e órgãos públicos compartilham dados pessoais, formalizados (ou não) por algum instrumento jurídico. Tal possibilidade está prevista no art. 26, mas restringindo esse compartilhamento para o caso de necessidade para o atingimento das finalidades previstas na execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6° da Lei, vedando a transferência a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, com algumas poucas exceções previstas no seu art. 26, § 1º.
Atenta às especificidades do setor público, a Autoridade Nacional de Proteção de Dados (ANPD) lançou em janeiro o Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público. O guia busca esclarecer diversas dúvidas dos gestores públicos na implementação da Lei, especialmente pela necessidade de compatibilização entre o exercício de prerrogativas estatais típicas e os princípios, regras e direitos estabelecidos na LGPD. O guia orientativo aborda quatro aspectos principais:
1) as bases legais mais comuns para respaldar o tratamento de dados pelo poder público;
2) os princípios mais aderentes às peculiaridades do setor público;
3) orientações acerca do compartilhamento de dados pessoais pelo Poder Público;
4) cuidados na divulgação de dados pessoais.
Neste artigo, abordaremos a questão do compartilhamento de dados pessoais, explorando as orientações e cuidados que o gestor público deve tomar em relação ao tema.
Compartilhando dados em consonância com a LGPD
O guia define que compartilhamento de dados é a “operação de tratamento pela qual órgãos e entidades públicos conferem permissão de acesso ou transferem uma base de dados pessoais a outro ente público ou a entidades privadas visando ao atendimento de uma finalidade pública”. O art. 5º, em seu inciso XVI, define o termo “uso compartilhado de dados”.
Não há dúvida de que o compartilhamento de dados é importante para o atingimento dos objetivos institucionais de muitos órgãos e entidades do Poder Público. A própria LGPD consagra essa necessidade, uma vez que define no art. 25 que os dados devem ser mantidos em formato “interoperável e estruturado para o uso compartilhado”.
Assim, a LGPD, em seu art. 7º, inciso III, autoriza o tratamento e compartilhamento de dados pessoais pela administração pública, quando os dados são “necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei”. Assim, desde que com o fito de executar políticas públicas4, poderá o poder público proceder com o compartilhamento de dados necessários, observado o Capítulo IV da Lei Geral de Proteção de Dados.
Para que o compartilhamento seja feito em consonância com os regramentos da LGPD, o guia destaca alguns pontos que devem ser observados pelos entes públicos:
Formalização e registro, por meio de processo administrativo, com todos os documentos, incluindo análise técnica e jurídica, com a exposição de motivos para o compartilhamento, demonstrando a aderência à LGPD. O ajuste deverá ser feito por meio de ato formal entre os agentes de tratamento que farão o compartilhamento de dados. Caso o compartilhamento seja uma ação recorrente, recomenda-se, a adoção de um ato normativo interno — portarias e instruções normativas — que dariam o devido formalismo, padronização e celeridade a essas operações, definindo competências, procedimentos, prazos e requisitos essenciais a serem observados nos processos de compartilhamento de dados;
Objetivo e finalidade, definindo claramente nos atos de formalização, quem é a outra entidade que irá receber os dados, para qual finalidade específica, indicando a iniciativa, ação ou programa que será executado ou a atribuição legal do ente público que será cumprida com o compartilhamento, bem como a definição de quais dados serão objeto de compartilhamento, limitando-os ao “estritamente necessário para as finalidades do tratamento”, atendendo ao princípio da necessidade;
Base legal, uma vez que a LGPD define que os dados pessoais só podem ser tratados em consonância com pelo menos uma das hipóteses legais previstas no art. 7º. As hipóteses – ou bases – legais, portanto, são presunções autorizativas para que um agente de tratamento, público ou privado, possa realizar operações com dados pessoais, como a coleta, classificação, utilização, acesso, transmissão, processamento, armazenamento, eliminação, transferência, dentre outras;
Duração do tratamento, uma vez que o tratamento de dados pessoais deve ter um prazo definido, ao final do qual, os dados pessoais devem ser eliminados, salvo para os casos previstos no art. 16 da LGPD. Assim, o “instrumento que autoriza ou formaliza o compartilhamento deve estabelecer, de forma expressa, o período de duração do uso compartilhado dos dados, além de esclarecer, conforme o caso, se há a possibilidade de conservação ou se os dados devem ser eliminados após o término do tratamento”.
Transparência e direitos dos titulares, para atendimento ao princípio da transparência (art. 6º, VI) – informações sobre o compartilhamento de forma clara, precisa e de fácil acesso, inclusive para que o titular possa exercer seus direitos previstos no art. 18 – e ao previsto no art. 23, inciso I5, disponibilizando as informações no site da instituição;
Prevenção e segurança, medidas técnicas e administrativas para proteção dos dados pessoais, conforme art. 6º, VII e 46 da LGPD.
Compartilhamento entre entes públicos e setor privado, observando o previsto no art. 26, § 1º6 e no art. 27 da LGPD;
Relatório de Impacto à Proteção de Dados Pessoais, documento definido no art. 5º, inciso XVII, que deve ser elaborado de acordo com o art. 388 como forma de subsidiar a decisão da autoridade competente para autorização ou não do compartilhamento contendo, pelo menos a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados;
Funções e responsabilidades dos agentes de tratamento envolvidos no uso compartilhado de dados pessoais, detalhando no instrumento do item (1) as instruções e as condições que devem ser observadas pelo operador ao realizar o tratamento dos dados pessoais, conforme art. 39 da LGPD.
A árdua jornada rumo à LGPD
A adequação à LGPD não é uma tarefa simples: é, de fato, uma jornada. A ANPD, ciente de suas atribuições pedagógicas e de divulgação de boas práticas, tem trabalhado na elaboração de guias orientativos para esclarecer questões recorrentes sobre a interpretação da LGPD, de forma não vinculativa. Nesse sentido, o Guia Tratamento de Dados Pessoais pelo Poder Público – vem em momento oportuno para servir como uma bússola para o processo de conformidade com a lei para os órgãos e entidades públicas. O mais importante é que todos busquem um comportamento digital cada vez mais seguro e alinhado à LGPD, de forma que os direitos dos titulares de dados pessoais sejam sempre respeitados.
Este artigo foi produzido por Fabio Correa Xavier, Diretor do Departamento de Tecnologia da Informação do TCESP, Mestre em Ciência da Computação, Professor e colunista da MIT Technology Review Brasil.