LGPD e os desafios no setor público: uma necessária virada cultural
Data: 05/10/2022
Autoria: Thomaz Carneiro Drumond
Vivemos em uma sociedade hiperconectada, com uma circulação inimaginável de dados pessoais. A informação é o elemento principal para desenvolvimento social e econômico, e por isso são utilizados termos como “sociedade da informação” e “economia da informação” [1] para qualificar o momento coletivo em que vivemos.
Os países europeus já se preocupam com a proteção de dados pessoais há décadas, sendo a lei de Hesse, na Alemanha, de 1970, a primeira legislação para a proteção de dados pessoais. O Brasil lançou luzes específicas ao tema somente por volta dos anos 2010, culminando os estudos na promulgação da Lei nº 13.709/2018, com vigência a partir de 2020, que tem como objetivo dispor sobre o tratamento de dados pessoais por pessoas naturais ou por pessoas jurídicas de direito público ou privado, além de pretender proteger os direitos fundamentais de privacidade e o livre desenvolvimento da pessoa natural.
Embora tenha havido relevante evolução doutrinária e jurisprudencial, passados dois anos desde o início da vigência, muito ainda há de ser feito para que a população brasileira compreenda a necessidade de uma virada cultural para a efetiva proteção de dados, inclusive nas questões mais comezinhas.
É urgente, também, que o Poder Público assimile a necessidade de proteção de informações e que estimule uma nova forma de tratar os dados pessoais. E, quando se diz Poder Público, devemos nos lembrar que a administração pública é uma ficção formada por pessoas naturais, em cargos e funções públicas, sendo estes agentes os protagonistas dessa mudança cultural, especialmente porque também possuem a missão de proteger dados pessoais dos cidadãos, de forma proativa. Afinal, é o Estado, lato sensu, quem detém um dos maiores — senão o maior — banco de dados pessoais dos cidadão que residem no Brasil, catalogados em órgãos públicos e delegatários, literalmente, desde o nascimento até a morte dos destinatários da norma: a pessoa natural.
Também, não se pode ignorar que estes mesmos agentes públicos têm o dever de atuar com a maior transparência e publicidade possíveis. Então, surgem diariamente aparentes e verdadeiros conflitos que geram insegurança sobre como conferir proteção aos dados, ao tempo em que a publicidade também merece prestígio.
A implantação das regras e princípios da LGPD ao setor público é um desafio porque se trata da “imposição” de uma nova cultura aos milhões de agentes públicos, investimento na conformidade por milhares de órgãos com reformulação de sistemas, processos e procedimentos, novas contratações com a natural burocracia e revisão dos próprios contratos. Some-se a isso o necessário cuidado com dados sensíveis [2] como as informações de saúde e demais dados pessoais tratados pela Administração que revelam uma atenção ainda mais criteriosa.
Tema ainda é culturalmente novo no Brasil
O estudo das origens e fontes materiais da proteção de dados no mundo é crucial para melhor entendimento das peculiaridades do tema, e será útil à compreensão da necessidade de um choque de cultura para que a lei de proteção de dados pessoais não se torne uma mera “folha de papel”. Na Europa, o tema possui décadas de vivência cultural, sendo ainda algo novo no Brasil.
Há duas fontes legislativas principais a serem destacadas: as origens europeia e americana da legislação de proteção de dados. Foi na Alemanha a primeira legislação local de proteção de dados (Lei de Hesse, de 1970), ocorrendo somente em 1977 a edição de uma lei federal sobre o tema, a Bundesdatenchutzgesetz. Em 1973, a Suécia editou o Data Legen 289 (Datalog). Nos Estados Unidos, surgiu o Privacy Act (Lei da Privacidade) em 1974. Estas lei são conhecidas como integrantes da primeira geração das normas protetivas de dados conforme detalha a doutrina [3]. Danilo Doneda [4] contextualiza o momento de criação destas leis.
Posteriormente, uma segunda geração de leis surgiu, a exemplo da Informatique et Libertés, em 1978, na França, que deixou de focar nos bancos de dados informatizados e na tecnologia e passou a lançar luzes na privacidade e proteção de dados como uma liberdade negativa. Percebeu-se que o uso e o fluxo de informações pessoais se tornaram requisitos para o exercício de liberdades junto ao Estado e junto aos particulares, ou seja, o trânsitos dos dados pessoais se tornou indispensável para a mera convivência em sociedade [5].
Uma terceira geração também é considerada a partir da legislação criada nos anos 1980 com foco na evolução da proteção do cidadão e sua liberdade de fornecimento ou não de dados, momento em que iniciam-se as discussões sobre a liberdade de uso dos dados a partir da autodeterminação informativa.
Nesse momento, o pioneirismo alemão na proteção de dados é mais uma vez revelado pelo famoso julgamento da Lei do Censo (Volkszählungsurteil), em 15.12.1983, pelo Tribunal Constitucional Alemão, diante de um contexto de abundante coleta de dados, conforme as lições de Rony Vainzof [6].
Mais recentemente, foi promulgado o Regulamento 2016/679 (General Data Protection Regulation — GDPR), ou Regulamento Geral de Proteção de Dados, em tradução livre, um importantíssimo instrumento que demonstra a evolução do tema na União Europeia, trazendo maior segurança jurídica às interpretações sobre a temática. Trouxe à lume a tutela da privacidade do cidadão em cenário mundial, penalidades, além de prever hipóteses legais para tratamento lícito dos dados pessoais [7].
Inspirada na GDPR, o Brasil publicou em agosto de 2018 a Lei nº 13.709/2018, chamada de Lei Geral de Proteção de Dados Pessoais (LGPD). Na verdade, as discussões sobre a criação de uma lei protetiva no país teve início por volta de 2010, e houve aceleração do debate e votação da legislação por várias razões, dentre elas a necessidade de criação da lei como requisito para transferência internacional de dados pessoais [8], e a exigência para que o Brasil pudesse atender a um dos requisitos da tutela desses dados para pleitear ingresso na Organização para a Cooperação e Desenvolvimento Econômico (OCDE) [9], entidade da qual o Brasil há anos tenta ser membro.
É fácil perceber, no contexto mundial, que a implantação da LGPD no país foi motivada mais por questões econômicas do que por um anseio da população. Por isso, ainda há um longo caminho para que os cidadãos brasileiros percebam a importância da proteção dos dados pessoais.
Proteção de dados no Brasil: mais do que um dever legal, uma questão cultural
A doutrina já defendia que a proteção de dados pessoais seria direito fundamental inserido dentre os direitos da personalidade, extraídos do direito à privacidade, liberdade de consciência e à honra, expressos na Constituição Federal no artigo 5º, VI e X [10]. Em 2020, o Supremo Tribunal Federal reconheceu a autonomia dos direitos à proteção de dados e à autodeterminação informativa no histórico julgamento da ADI 6393, de relatoria da ministra Rosa Weber. Em fevereiro de 2020, a Emenda Constitucional 115/2022 inseriu o inciso LXXIX no artigo 5º, dispondo que “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.
Porém, muito além das normas jurídicas, é preciso que o cidadão perceba que os nossos dados, e das demais pessoas à nossa volta, merecem um comportamento ativo de proteção. Segundo o artigo 5º, I, da LGPD, o dado pessoal é a informação relacionada à pessoa natural identificada ou identificável. Tudo que identifica uma pessoa, ou possa, de alguma forma até mesmo indireta, identificá-la. Além do nome ou número de documento de identidade ou CPF, abrange quaisquer outras informações como e-mail, números de registros em quaisquer outros órgãos, informações sobre saúde e doenças, vida sexual, genética, biometria etc.
Há uma aparente sensação de banalização dos dados, os quais são entregues a terceiros sem quaisquer critérios ou sendo crítico de qual será seu uso, provavelmente porque já seriam públicos.
Andriei Gutierrez [11] é preciso em suas lições sobre o tema:
E aqui identifico dois grandes desafios. O primeiro diz respeito a uma mudança cultural, de maior conscientização sobre a importância da privacidade e dos riscos associados à manutenção de comportamentos não preventivos. Caso o leitor tenha se identificado aqui, sim, refiro-me à maneira como damos nossos dados, fazemos cadastros em lojas e farmácias, aceitamos que coletem e tratem nossas informações sem ao menos perguntar qual a finalidade e se tantos dados são necessários para tal. A maneira como interagimos nas redes sociais etc. O titular do dado é e deve ser o primeiro pilar de proteção à privacidade. Campanhas públicas, de comunicação e iniciativas de educação com a população sobre o tema são, sem dúvidas, um campo necessário de atuação. A Autoridade teria um papel fundamental de órgão ativo de promoção de iniciativas e parcerias com entidades da sociedade civil e do setor privado nessa área.
Dissertando sobre o poder público, o autor complementa sobre a necessidade de mudança cultural também neste setor [12]:
Outro grande desafio diz respeito à mudança de cultura corporativa e organizacional. Não é difícil identificar que há pouquíssimo grau de preocupação ou cuidado com segurança e governança da informação nas organizações brasileiras — e incluo aqui também o Poder Público. A mudança dessa cultura corporativa deve ser um aspecto primordial para a futura ANPD. Diferentemente de países europeus que têm suas leis de proteção de dados pessoais que remontam décadas, nossas organizações ainda precisam ser educadas, reorganizadas e treinadas para trabalhar sob novos critérios. Caso contrário, teremos uma lei inócua e sem eficácia ou uma autoridade extremamente punitiva e, assim, prejudicial ao desenvolvimento das tão necessárias inovações baseadas em dados que o país necessita e que os consumidores almejam.
É fundamental a implantação de uma cultura de privacidade. Assim como ocorre nas implantações de programas de compliance, não bastam apenas adequações formais para que a corporação possa dizer que se adequou à legislação. É por isso que se percebe que a efetividade de um programa de conformidade depende do comprometimento da alta administração (tone at the top) [13], um envolvimento e exemplo dos cargos mais altos daquela empresa ou instituição.
O mesmo se aplica à assimilação da LGDP. Não bastam cartazes na parede indicando textos legais ou orientações setorizadas sobre a indispensabilidade de cumprimento das normas de proteção de dados. Mais do que isso, é imprescindível o amadurecimento e compreensão da necessidade de uma atuação ativa na proteção dos dados nos cargos que tratem de dados pessoais, desde a mais alta instância nos órgãos públicos. Este novo comportamento perpassa por cuidados simples atinentes aos princípios da tela limpa/mesa limpa, como o desligamento de monitores quando o servidor sair de uma sala para evitar a exibição de dados pessoais próprios ou de terceiros na tela . Ou, ainda, fechar autos de processos administrativos físicos e guardá-los na gaveta, quando possuir dados pessoais sensíveis [14] — os quais merecem maior proteção ainda — como os relacionados à saúde, evitando que terceiros tenham acesso em proativa proteção dos dados pessoais dos cidadãos.
Em tese aprovada no 48º Congresso Nacional de Procuradores dos Estados e do Distrito Federal [15], tivemos a oportunidade de nos debruçar sobre o tema, apresentando inúmeros desafios na conformidade com a LGPD como o encarregado no setor público, princípio da tela limpa/mesa limpa, o estado como contratante e prestador de serviços, dados escolares, benefícios sociais, LGPD e acesso à informação, Privacy by Design e Privacy By Default, base legada, e a implantação em pequenos municípios.
Por fim, merece destaque a relação assimétrica entre poder público e cidadão. O enorme acervo de dados pessoais detidos pelo pela administração pública, aliado a seu poder de império para realizar as políticas públicas, revela um desequilíbrio de poder informacional que o Estado detém sobre o cidadão, que merece ter sua vulnerabilidade reconhecida. É natural que o Poder Público contenha em seu acervo um enorme banco de dados sobre os cidadãos colhidos desde o nascimento e até mesmo após o óbito, como informações sobre saúde, educação, gastos, informações colhidas em wi fi público ou até mesmo geolocalização em aplicativos de celular.
Essa desproporção mereceu especial cuidado da LGPD quando dispôs especificamente sobre o Poder Público, a fim de tentar reequilibrar a relação e arrefecer a voracidade da coleta de dados com normas específicas.
Justamente por tais motivos é que os desafios de se atender aos ditames da Lei Geral de Proteção de Dados Pessoais elevam-se sobremaneira ao pensarmos no âmbito publicista, devendo passar, primeiramente, por uma nova visão cultural sobre o tema pelos cidadãos e servidores.
[1] BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019. p. 29.
[2] Artigo 5º, LGPD: II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
[3] DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 2ª ed. São Paulo: Thomson Reuters, 2019, ebook, p. 158.
[4] Ibid., p. 158.
[5] Ibid., p. 168.
[6] VAINZOF, Rony, Capítulo I – Disposições Preliminares. In: MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. 3. ed. São Paulo: Thomson Reuters Brasil, 2021. p. 30.
[7] TEIXEIRA, Tarcisio; ARMELIN, Ruth Maria Guerreiro da Fonseca. Lei geral de proteção de dados pessoais: comentada artigo por artigo. 2. ed. Salvador: JusPODIVM, 2020. p 22-23.
[8] Ibid., p. 28.
[9] POLIDO, Fabricio Bertini Pasquot. Ingresso do Brasil na OCDE e padrões em matéria digital. Disponível em: <https://www.conjur.com.br/2022-mar-07/polido-ingresso-brasil-ocde-padroes-conformidade>. Acesso em: 3 jun. 2022.
[10] MARTINS, Ricardo Marcondes. Lei Geral de Proteção de Dados Pessoais e direito administrativo: questões polêmicas. In: DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes. LGPD & administração pública: uma análise ampla dos impactos. São Paulo: Revista dos Tribunais, 2020. p. 18.
[11] GUTIERREZ, Andriei, Da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. In: MALDONADO, Viviane Nóbrega; BLUM, Renato Opice. LGPD: Lei Geral de Proteção de Dados comentada. 3. ed. São Paulo: Thomson Reuters Brasil, 2021. p. 438.
[12] Ibid., p. 439.
[13] DRUMOND, Thomaz Carneiro. A exigência do compliance e programa de integridade — Migalhas. Disponível em: <https://www.migalhas.com.br/depeso/341840/a-exigencia-do-compliance-e-programa-de-integridade>.
[14] Artigo 5º da LGPD:
(…) II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
[15] https://www.conferencebr.com/conteudo/arquivo/1-1661557785.pdf
Fonte: Consultor Jurídico