A LGPD (Lei Geral de Proteção de Dados) é uma legislação brasileira que trata da proteção de dados pessoais e tem como objetivo regulamentar o tratamento de informações de indivíduos por órgãos públicos e empresas privadas. No setor público, existem algumas particularidades que precisam ser levadas em consideração para cumprir a lei.
Uma das principais particularidades é a obrigatoriedade do poder público em designar um Encarregado de Proteção de Dados (EPD), ou seja, uma pessoa que será responsável por garantir o cumprimento da LGPD dentro do órgão. Esse profissional terá como papel principal orientar os servidores públicos sobre a aplicação da legislação, bem como fiscalizar o tratamento dado às informações pessoais dos cidadãos.
Além disso, a LGPD exige que o tratamento de dados pessoais pelo poder público tenha finalidades específicas e legítimas. Isso significa que as informações coletadas só podem ser utilizadas para fins previamente definidos, e que sejam de interesse público. O titular de dados deve ser informado claramente sobre a finalidade da coleta, armazenamento e utilização dessas informações, o que deve ser feito de forma transparente.
Vale lembrar que é muito comum servidores acabarem citando a chamada Lei de Acesso à Informação (LAI) assim que se iniciam discussões sobre a proteção de dados pessoais. Publicada em 2011, a LAI regulamenta o acesso à informação conforme previsto na Constituição. O acesso à informação pressupõe dados, e muitos desses dados podem ser pessoais, que são tratados no âmbito da administração pública. Assim, qualquer pessoa pode solicitar acesso à informação às autoridades e entidades, sendo que a regra da LAI é o acesso irrestrito e abrangente à informação pública. No entanto, a LAI não é um cheque em branco. Por exemplo, se olharmos para o artigo 31.º, ela afirma que:
Art. 31. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.
§ 1º As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem:
I – terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e
II – poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem.
Também cabe citar que, como servidor público, é inapropriado utilizar dados pessoais das redes sociais para fins ilícitos do titular. Para permitir as diversas atividades governamentais, é preciso que o Poder Público trate esses dados seguindo as regras da LGPD, respeitando o equilíbrio entre os direitos dos titulares e as atividades governamentais. Além disso, os cidadãos devem fiscalizar a máquina pública, garantindo que as atividades sejam para fins de interesse público e que não violem a intimidade ou vida privada de nenhum indivíduo.
A coleta de dados sensíveis por órgãos públicos também é tratada de maneira específica pela LGPD. A legislação exige que haja consentimento específico e destacado para o tratamento desses dados, que são informações que podem causar discriminação ou práticas abusivas. Esses dados incluem informações sobre a saúde, orientação sexual, origem racial, religião, entre outros.
Por fim, destaco que diante do caráter sensível das informações coletadas pelo setor público, é essencial que o órgão tenha uma política eficiente de proteção de dados pessoais dos cidadãos. O tratamento das informações deve ser seguro e eficaz, para que não haja riscos de vazamentos ou acessos não autorizados. E não se esqueçam de que as duas leis são essenciais e uma não anula a outra.
*Ricardo Maravalhas é fundador e CEO da DPOnet, empresa que nasceu com o propósito de democratizar, automatizar e simplificar a jornada de conformidade com a LGPD por meio de uma plataforma SaaS completa de Gestão de Privacidade, Segurança e Governança de Dados, com serviço de DPO embarcado, atendimento de titulares, que utiliza o conceito de Business Process Outsourcing (BPO). Ele é pós-graduado pela Universidade Estadual de Londrina, mestre pela Universidade de Marília, especialista em Direito Digital, Proteção de Dados e Direito das Start-ups, com certificações na FGV/GVLaw, INSPER, Opice Blum Academy, e EDEVO.
