A APLICAÇÃO DA LGPD NO PODER PÚBLICO
Se de um lado a LGPD é uma necessidade no setor privado, por outro, a LGPD no Poder Público, pode ser uma pedra no sapato dos gestores.
Todavia, o que se tem percebido é uma certa inércia por parte do governo, em todas as esferas. Isto mesmo, o governo que deveria ter sido o primeiro a cumprir com as suas obrigações basicamente não se movimentou.
A razão desse comodismo, por parte dos órgãos públicos, ainda é algo que carece de uma explicação, vez que em função da sua necessidade e obrigatoriedade, o legislador tratou de contemplar um capítulo inteiro da Lei com disposições acerca deste tratamento de dados específico, alterando significativamente o ambiente de segurança da informação na esfera da Administração Pública, em todos os entes federativos.
Fato é que, a partir desta nova legislação, cada agente público passou a ser peça fundamental na criação de um ambiente adequado de proteção de dados pessoais no país.
Entretanto, o que se percebe é que, especialmente na esfera municipal, ainda não houve grande movimentação para o compliance com a Lei por parte dos seus gestores, sendo crucial a adequação aos fundamentos e princípios elencados pela LGPD, o que não é tarefa simples, vez que envolve o governo que é responsável diretamente por uma infinidade de dados pessoais dos cidadãos.
Para se ter uma ideia, recentemente, houve um vazamento de grandes proporções no Governo Federal que ainda está sendo investigado, em que foram expostos dados pessoais de mais de 243 milhões de brasileiros3.
Com algumas pequenas especificidades, a LGPD prevê que o Poder Público adote basicamente os mesmos procedimentos de adequação que o setor privado, baseando-se nos princípios que norteiam a Administração Pública, tais como: a legalidade, a impessoalidade, a moralidade, a publicidade e a eficiência. Todavia, no âmbito da Administração Pública, o exercício de direitos pelos titulares de dados deve ser devidamente harmonizado com os ditames da Lei de Acesso à Informação – LAI, a fim de se evitar eventuais problemas judiciais.
BASE LEGAL DA lGPD NO PODER PÚBLICO
Já, do ponto de vista das hipóteses de tratamento de dados pessoais, a grande parte dos dados utilizados pela Administração Pública deverá se dar pela utilização de quatro bases de tratamento presentes na LGPD:
i) a base legal prevista no inciso II do art. 7o;
ii) a base legal da alínea “a” do inciso II do art. 11, ou seja, para o cumprimento das atribuições legais do próprio ente público;
iii) a base legal prevista no art. 7o, inciso III; ou
iv) a base legal prevista na alínea “b” do inciso II do art. 11, que se refere à execução de políticas públicas.
Embora a LGPD não proíba o tratamento pela Administração Pública utilizando-se das demais bases legais permitidas pela legislação, é importante observar o Considerando 43 do RGPD, que é a legislação europeia de proteção de dados que embasa a LGPD, o qual proíbe de forma explícita a utilização da base legal do legítimo interesse pelo Poder Público, tendo em vista a posição de vulnerabilidade do titular de dados pessoais perante o Estado.
Outrossim, o tratamento com base no consentimento também deve ser observado com cautela pelo Poder Público, vez que só poderia ser realizado quando a relação entre o cidadão e o Estado pudesse ser considerada facultativa. Isto quer dizer que a recusa do cidadão em consentir não poderia prejudicar, de forma alguma, o seu acesso a bens e serviços públicos.
Neste sentido, quando analisado o art. 14 da LGPD, que diz respeito ao consentimento dos pais e responsáveis quanto ao tratamento de dados de crianças, espera-se haver um pronunciamento por parte da ANPD a respeito deste assunto.
Também é interessante verificar o art. 52 desta Lei, que regula de forma específica as sanções que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD). A norma é expressa, em seu §3o do art. 52, no sentido de que estas sanções poderão ser aplicadas às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei no 8.112/90, na Lei no 8.429/92, e na Lei no 12.527/11.
Destarte, há referência expressa ao Estatuto do Servidor Público Federal, à Lei de Acesso à Informação (LAI) e à Lei de Improbidade Administrativa (LIA), estando certo de que a responsabilidade pela violação aos ditames da LGPD no Poder Público ecoa para além das suas previsões sancionatórias específicas.
Vale lembrar que os atos de improbidade administrativa são divididos em atos que gerem enriquecimento ilícito ao agente ou a terceiro a ele relacionado (art. 9o da LIA), atos que gerem prejuízo ao erário (art. 10 da LIA) e atos que atentarem contra os princípios da Administração Pública (art. 11 da LIA).
Para ilustrar melhor as situações que podem gerar este tipo de problema, tome o exemplo de um servidor público da Secretaria de Saúde de um pequeno município que, buscando atingir a pessoa com a qual tenha criado inimizade, no último pleito eleitoral ocorrido na cidade, torne público um dado pessoal sensível a ela pertencente, objetivando atingir a sua honra perante os cidadãos daquela região.
Deste modo, o servidor público age em violação clara e manifesta à Lei Geral de Proteção de Dados, gerando à Prefeitura Municipal dever de responder perante a ANPD. Entretanto, perante a própria Prefeitura, este agente público deverá responder a um procedimento administrativo, além de responder pela prática de ato de improbidade administrativa nos termos do art. 11 da LIA.
Além disto, caso o vitimado pela conduta do servidor público ingresse em juízo contra a Prefeitura, obtendo êxito na demanda, a conduta do agente violador passará a causar um efetivo e concreto dano ao Erário municipal, podendo o servidor passar a ser enquadrado como infrator do artigo 10 da LIA.
Ainda, partindo-se da mesma situação do exemplo disposto, pode-se imaginar que esse mesmo servidor público, apossado dos dados pessoais sensíveis, armazenados nos sistemas da Secretaria, decida vendê-los para uma pessoa que, posteriormente, os utilizará para a aplicação de golpes criminosos. Haverá, pois, conduta prevista art. 9o da LIA, vez que ele receberia uma vantagem patrimonial indevida originada de uma violação da LGPD.
Tais exemplos demonstram a importância da realização de procedimentos de adequação à LGPD, a fim de evitar problemas jurídicos e fiscalizações. Entretanto, situação ainda mais complexa e que deve gerar ainda mais problemas aos gestores públicos se dá no compartilhamento de dados pessoais com entidades privadas, ocasiões estas em que o Poder Público deverá fazer especial atenção aos artigos 26 e 27 da LGPD.
Isto porque a legislação permite a transferência de dados pessoais a agentes privados apenas em situações específicas, o que pode gerar uma celeuma de problemas aos administradores públicos, que deverão realizar a adequação deste tipo de transferência com os agentes privados que contratarem.
Portanto, os gestores públicos, principalmente de Prefeituras, devem estar atentos a estas especificidades contidas na LGPD no Poder Público, tendo em vista que negar a execução de Lei Federal, sem dar o motivo da recusa ou da impossibilidade, constitui, em tese, crime de responsabilidade tipificado pelo art. 1o, inciso XIV do Decreto-Lei no 201/67. Ademais, a omissão em praticar atos expressamente previstos em Lei também constitui infração político-administrativa prevista no art. 4o, inciso VII da mesma norma.
Além do controle ordinário realizado pelas corregedorias, tribunais de contas e pelo Ministério Público, a legislação prevê também um controle estrito da ANPD sobre os órgãos da Administração Pública. Um exemplo disto é a obrigação de que os contratos e convênios que preveem a transferência de dados pessoais para agentes privados sejam necessariamente compartilhados com a Autoridade Nacional (art. 26, §2o da LGPD).
A ANPD poderá também solicitar todas as informações sobre o tratamento, enviar informes com as medidas cabíveis, e até mesmo solicitar a publicação do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) pelo Poder Público. Sugere-se também aos gestores públicos que sejam realizados debates para a criação de políticas públicas que digam respeito à privacidade e à proteção de dados pessoais naquela esfera federativa, discutindo-se, de forma mais geral, iniciativas que integrem governo digital, privacidade e transparência da Administração Pública.