4. ALGUNS DESAFIOS
Sem pretensão de esgotar o tema, neste ponto serão abordadas algumas situações desafiadores para adoção ou implantação pelo Poder Público, especialmente em razão da quantidade de dados envolvidos, do elevado número de pessoas e de diferentes contextos, além das peculiaridades existentes em razão da necessidade de adoção respeito de outras obrigações legais.
4.1. O Encarregado no setor público
Um dos mais importantes personagens e protagonistas na aplicação e conformidade com a LGPD é o Encarregado (ou Data Protection Officer DPO), conceituado no art. 5º, VIII, da lei, como pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), podendo ser pessoa natural ou jurídica.
Originalmente, a redação previa a exigência de o encarregado ser pessoa natural, indicada pelo controlador, tendo sido o texto legal modificado pessoa indicada pelo controlador (MP 869 de 2018) e, mais recentemente, consolidando o dispositivo em pessoa indicada pelo controlador e operador (Lei n. 13.853 de 2019).Tal mudança permitiu que o Encarregado fosse pessoa natural ou jurídica. Todavia, a atribuição da função de encarregado de dados à pessoa jurídica deve ser analisada com bastante prudência em razão das peculiaridades do tema quanto ao setor público, o que não é objeto deste estudo.
Muito mais do que mero canal de comunicação entre o controlador e a ANPD, o art. 41, § 2º, da LEI prevê que o Encarregado tem funções como (i) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, (ii) receber comunicações da autoridade nacional e adotar providências, (iii) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, e (iv) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Embora o setor privado já tenha logrado êxito em estabelecer alguns padrões e formas de implantação da figura do Encarregado, inclusive com a comum contrataçãp de empresas especializadas, não há como realizar mera cópia desse sistema no poder público. Se as dificuldades do setor privado são tamanhas, muito maiores são as do Poder Público em razão de todo o contexto apresentado até aqui.
Como bem apontado por Rodrigo Dias de Pinho Gomes e Rafael A. F. Zanatta[21], a administração pública não pode simplesmente terceirizar tal serviço ou paralisar suas atividades para adequar-se à LGPD, ampliando a dificuldade:
Há ainda um desafio adicional na jornada de adequação à LGPD: todas as tarefas acima elencadas devem ser coordenadas em pleno funcionamento e operação das atividades desenvolvidas pelo agente de tratamento, algo que o jargão popular denomina "trocar o pneu com o carro andando". Ora, não se espera que uma organização, pública ou privada, simplesmente interrompa as suas atividades para se dedicar exclusivamente ao projeto de adequação.
Nesse contexto, o primeiro entrave é identificar, no setor público, quem poderá ser o encarregado de dados. E mais, se será apenas um por cada ente político, ou um para a administração direta e outro para cada pessoa jurídica da administração indireta. Há, ainda, dúvidas sobre a composição singular ou colegiada.
No artigo precitado[22], Rodrigo Dias de Pinho Gomes e Rafael A. F. Zanatta apontam exemplos no país que refletem a heterogeneidade das soluções adotadas. Segundo os autores, o Ministério Público do Estado de São Paulo nomeou seu Ouvidor como encarregado, conforme Resolução 1.299/2021. Por outro lado, revelam que alguns órgãos adotaram estruturas colegiadas, como a Defensoria Pública do Rio de Janeiro e do Tribunal de Justiça de Santa Catarina.
No Tribunal de Justiça de São Paulo, há notícia em seu site[23] indicando que a função de Encarregado será também realizada por órgão colegiado, composto por 5 magistrados entre juízes e desembargadores. O Tribunal de Contas de União também atribuiu tal função para a Ouvidoria em sua PORTARIA-TCU Nº 142, de 25 de setembro de 2020[24]. No site[25] da Procuradoria Geral do Estado de Santa Catarina também consta uma procuradora do Estado exercendo a função de Encarregada, de forma singular.
Como bem rememora Fabrício da Mota Alves[26], fato é que a indicação de um Encarregado é condição inafastável para o tratamento de dados conforme se verifica da leitura do caput do art. 23 e do inciso III, cumulado com o art. 41 da LGPD:
Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei; e
(...)
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
O autor aponta outras importantes questões desafiadoras[27] ao Poder Público ao indicar quem assumir a função de encarregado como:
requisitos e habilidades recomendáveis para o exercício da função, como conhecimentos da legislação protetiva de dados, boa comunicação e relacionamento interpessoal;
Necessidade ou não de o encarregado ser escolhido dentre servidores em desempenho de cargos com estabilidade, diante da necessidade de certa independência, o que dificultaria o exercício por servidores demissíveis ad nutum;
Possíveis conflitos de interesse;
Indicação de um mesmo DPO para vários órgãos públicos
Dedicação exclusiva;
Atribuições, limites administrativos e desvio de função
Certamente, embora seja possível prever os inúmeros desafios da implantação e operacionalização desta função, somente na prática será perceberemos qual o melhor modelo a ser adotado em cada ente.
4.2. Tela Limpa/Mesa Limpa
Uma conduta diretamente ligada à assimilação da cultura de privacidade é a adoção da chamada política tela limpa e mesa lima. Essa política, baseada na ISO 27001, constitui a adoção de boas práticas de segurança para proteger informações pessoais que transitam fisicamente por mesas ou digitalmente por telas de computador ou outro recurso tecnológico.
Aplicando-se à proteção de dados pessoais, a ideia é que nenhuma informação que seja considerada dado pessoal pode ter sua manipulação descuidada a ponto de que terceiros, que não atuem no tratamento, tenham acesso indevido àqueles dados. Ou seja, são boas práticas para que ativamente haja um controle dos dados tratados, em simples condutas para que, por exemplo, uma saída rápida da área de trabalho agente público não permita o acesso indevido a dados pessoais.
No setor público, é fácil vislumbrar exemplos. No cotidiano de quem trabalha com saúde, é rotineiro que haja computadores em área internas ou de acesso ao público com telas expostas e de fácil visualização. O mesmo pode ocorrer com documentos de prontuário ou fichas de atendimento, que acidentalmente podem ficar expostas a terceiros. Em caso de breve saída do servidor do posto de trabalho, eleva-se sobremaneira o risco de aqueles dados pessoais ficarem desprotegidos.
A política de mesa limpa e tela limpa preceitua condutas proativas de proteção de dados pessoais para minimizar riscos de vazamentos de dados, especialmente os sensíveis. Existem algumas condutas simples que devem ser adotadas, tais como: não deixar à mostra monitores ao manipular dados pessoais; não deixar crachás à mesa; guardar documentos e processos físicos em gavetas com trancas, sem deixa-los na mesa; uso de senhas em computadores para bloqueio de tela ao sair do posto de trabalho; não deixar senhas em anotações na mesa ou no monitor (ou em adesivos post it); restrição de impressões e às exportações de bancos de dados; evitar o uso de papel e rascunhos que contenham dados pessoais, devendo ser descartados de imediato; descarte de informações tomadas e prestadas em reuniões e que possam acarretar risco de vazamento; ao sair por curtos períodos ou ao final do expediente, guardar todos os papeis que possam acarretar riscos de exposições de dados pessoais, desligando a tela e o computador, se for o caso.
Muitos servidores podem encarar as condutas como desnecessárias ou exageradas. Todavia, com treinamentos e assimilação de uma cultura de privacidade, tais rotinas terão implantação de forma natural e menos desafiadora.
4.3. O Estado como contratante. O Estado como prestador de serviços. Dados escolares e benefícios sociais, dentre outros.
Com o exposto até o momento, se torna mais fácil perceber que a administração pública em sua voraz coleta de dados, necessários para exercer seu mister e políticas pública, encontra inúmeros desafios na busca pela conformidade com a lei de proteção de dados pessoais. Em cunhos práticos, podemos antever a necessidade de o Estado, enquanto contratante, readequar os contratos em licitações, editais, o método de armazenamento desses dados etc.
Da mesma forma, no cotidiano da prestação de serviços inúmeros dados transitam pelas mãos de servidores públicos, devendo ser redobrada a atenção quando se tratarem de dados sensíveis. O mesmo tratamento de dados pode ocorrer nos casos de transferência de dados pessoais sob tutela da Administração Pública para empresas privadas nos casos de execução descentralizada da atividade pública, conforme art. 26, § 1º, I e V, da LGPD. Disso se extrai que o particular que contrata com o ente público para prestar serviços sujeita-se aos ditames da LGPD independentemente da precariedade ou do tipo de vínculo assumido[28].
Para além, uma imensidão de dados encontram-se catalogados nos bancos de dados que controlam dados escolares e de benefícios sociais à população, ou até mesmo os dados tutelados pelo Sistema Único de Saúde, notavelmente sensíveis e que precisam ter cuidado especial.
4.4 LGPD vs. Lei de Acesso à informação
Um dos maiores desafios é a compatibilização entre as restrições impostas pela LGPD e o dever de transparência e publicidade no setor público. Em outras palavras, vemos que há aparente conflito entre a intimidade e a publicidade, embate que não é novo no direito brasileiro.
Sem maiores digressões sobre o tema, que merece um trabalho próprio para seu adequado desenvolvimento, é preciso defender a compatibilidade das normas em razão de atuarem em campos complementares.
De um lado, a Lei de Acesso à Informação (LAI - Lei n. 12.527 de 2011) dispõe em seu art. 3º os procedimentos nela previstos destinam-se a assegurar o direito fundamental de acesso à informação e devem ser executados em conformidade com os princípios básicos da administração pública, indicando em seus incisos as diretrizes as seguintes diretrizes a serem seguidas como a (i) observância da publicidade como preceito geral e do sigilo como exceção, e a (ii) divulgação de informações de interesse público, independentemente de solicitações.
Por outro lado, o art. 2º da LGPD trouxe como fundamentos no art. 2º o respeito à privacidade, inviolabilidade da intimidade, da honra e da imagem.
Logo se percebe que a LGPD parece restringir os limites da Lei de Acesso à Informação, expondo a lei protetiva em seu art. 23 que o tratamento de dados pessoais pelo Poder Público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.
Nas palavras de Fernando Augusto Martins Canhadas, seriam estes os requisitos para que as pessoas de direito publico estejam autorizadas a tratar os dados pessoais sem desatender à Lei de Acesso à informação, sempre levando em consideração a finalidade pública e a persecução do interesse público envoltos no contexto de transparência administrativa[29].
Ou seja, a publicidade deve ser a regra, limitada apenas em casos em que o fornecimento os dados pessoais não sejam indispensáveis para se atingir a finalidade da transparência. Isso não quer dizer que haja uma restrição total à publicidade em casos em que existam dados pessoais restritos, mas apenas a adequação à quantidade de informação fornecida, ou métodos de sua apresentação.
A partir do estudo de julgamentos no Supremo Tribunal Federal de casos que tratavam acerca divulgação das remunerações dos servidores públicos, o Fernando Canhadas aperfeiçoou, a partir do método de sopesamento de Robert Alexy, 3 passos para se avaliar conflitos entre a LAI e a LGPD, a partir do caso prático dos vencimentos dos servidores em que se apura a existência de colisão entre princípios:
1º Passo: A verificação da adequação da medida protetiva da transparência em face da LGPD; a partir de uma mera relação de nexo, verificar-se-á se a medida atende a finalidade de publicizar as despesas públicas.
2º Passo: A verificação da necessidade da medida de divulgação de vencimentos; havendo mais de uma medida a ser tomada para a transparência, deve-se optar pela mais eficiente e menos restritiva de direitos fundamentais. Sendo a única, deve ser a escolhida.
3º Passo: A verificação proporcionalidade em sentido estrito na divulgação dos vencimentos: a transparência proibida; verificação se a vantagem da medida adotada (eficácia) supera a desvantagem sofrida pelos demais direitos (restrição).
Embora o citado autor[30] defenda o acerto das decisões à época, reflete que:
fosse a mesma questão reapresentada ao Poder Judiciário agora, já sob a égide da LGPD, provavelmente teríamos um resultado diferente. Não no sentido de se afastar a obrigatoriedade de divulgação de vencimentos, mas no sentido de se impor medida mitigatória da restrição à intimidade, qual seja, a determinação para que não se mencione o nome do funcionário público atrelado á informação de valores recebidos.
Há várias outras situações em que a compatibilidade de publicidade é obtida sem violar direitos individuais. A título de exemplo, é possível se obter a partir da LAI as informações de quantos alunos em tal escola possuem determinada idade, ou estão matriculados e repetiram de ano. Todavia, a informação precisa de seus nomes e demais dados de identificação parecem violar a lei protetiva de dados na medida em que ultrapassam a necessidade, salvo se for medida justificada para alguma medida individual ou alguma política prevista nos termos do art. 23 da LGPD.
Lado outro, nada impede que, com base na própria LGPD, em tutela de seus próprios direitos, os pais dos mesmos alunos obtenham informações pessoais sobre seus dados, notas, e demais informações pessoais. São situações complementares, com interesses e tutelas diferentes.
Na área da saúde parece haver a mesma situação. O sigilo aos prontuários e a vedação de acesso às informações sensíveis por terceiros não são afastados pela LAI, mas com base nesta lei podem ser requeridas informações para fins estatísticos ou outra questão autorizada, a fim de eventual controle social, e sem que haja a individualização ou que aquela informação identifique ou torne identificável a pessoa titular dos dados, afastando-se a violação a dados pessoais sensíveis, por exemplo.
Atingir este meio termo talvez seja o maior desafio neste conflito.
4.5 Privacy by Design e Privacy By Default
O termo Privacy by Desing (PbD), também chamado de Privacidade na Concepção, é expressão cunhada pela canadense Ann Cavoukian a partir da percepção de que o aumento desenfreado da coleta de dados não seria contido por simples edição de leis, sendo indispensável estimular que as empresas e instituições criassem produtos e condutas focados na privacidade desde sua concepção.[31] Em outras palavras, a privacidade deve ser o ponto de partida da concepção de qualquer produto ou serviço.
Aliado ao conceito de Privacy by Design também surge a ideia do Privacy by Default, partindo-se o princípio de que o maior nível de restrição de coleta de dados deve ser padrão e automático em todos os projetos desenvolvidos. Sobre o tema, os ensinamentos de Cíntia Rosa Pereira Lima e Bruno Ricardo Bioni[32]:
Nesse caso em específico, considera-se que o próprio produto ou serviço deve ser arquitetado de forma condizente a proteger as informações pessoais de seus usuários. Vale dizer que a privacy by default é, apenas, um dos diversos tipos de abordagem propiciadas pelo privacy by design, a qual consiste como, a própria terminologia induz, em considerar a privacidade como um elemento condutor na fase de projeção e desenvolvimento de produtos e serviços. Anonimização das informações pessoais, sistemas de notificação em torno de bases de dados, auditorias e muitas outras práticas são exemplos de como a tecnologia em sua fase de concepção pode ser coerente com a proteção da privacidade dos usuários. []. Especificamente, por meio de uma tradução literal do termo default, as aplicações deveriam ter um padrão que, automaticamente, implementaria tal proteção.
Foi inspirada nesta ideia que Ann Cavoukian publicou em 2009 o artigo Privacy by Design: The 7 Foundational Principles Implementation and Mapping of Fair Information Practices[33] , contendo 7 princípios fundantes do Privacy by Design, em tradução livre:
1. Proativo, e não reativo; preventivo, e não corretivo;
2. Privacidade como padrão;
3. Privacidade incorporada ao design;
4. Funcionalidade total
5. Segurança de ponta a ponta e proteção durante todo o ciclo de vida dos dados
6. Visibilidade e transparência
7. Respeito pela privacidade do usuário
Diante desse quadro, percebe-se que a Administração Pública precisa se reinventar, realizar novos métodos, processos, procedimentos e reformulação de sistemas, além de focar na privacidade quando realizar a produção ou contratação de novos softwares de computador para realizar seu propósito.
4.6. Base Legada
As bases legadas constituem os bancos de dados existentes e constituídos antes da edição da Lei Geral de Proteção de Dados e, por tal motivo, estão potencialmente em desacordo com a legislação protetiva.
O fato de o art. 5º, X, da LGPD conceituar tratamento como toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, faz com que a lei protetiva tenha incidência inclusive sobre os bancos de dados antigos, o que é um enorme desafio para o poder público a eventual correção de todo esse arquivo do passado.
Pensando nisso, a LGPD trata no art. 63 que a autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, consideradas a complexidade das operações de tratamento e a natureza dos dados.
Ou seja, sendo detentor de um dos maiores banco de dados do país, controlndo informações dos cidadãos há décadas, e de alguns, quiçá, há séculos, não há dúvidas emerge enorme desafio para tratar tais dados de forma protetiva, de modo a readequar seus bancos de dados antigos.
4.7. Implantação em pequenos municípios.
Embora o art. 55-J, XVIII, da LGPD, preveja procedimentos simplificados e diferenciados para as microempresas e empresas de pequeno porte e, também, para as startups ou empresas inovadoras, mediante normatização da Autoridade Nacional de Proteção de Dados (ANPD), não há tal previsão expressa para municípios de pequeno porte.
Os pequenos municípios, por terem em regra os menores orçamentos e não deterem em seus quadros profissionais qualificados de tecnologia de informação, são os que possuem maiores dificuldade na busca pela conformidade pela LGPD.
Em razão das peculiaridades da implantação da norma junto ao Poder Público, conforme arts. 23 e seguintes, não seria simples a mera a aplicação análoga de preceitos simplificados e diferenciados das microempresas e as de pequeno porte, dificultando uma cópia de procedimentos ou simples adaptação do privado para o público.
Talvez, seja este um dos maiores desafios para que o país tenha sucesso na aplicação da LGPD nos mais capilarizados municípios.
