A administração pública tem explorado o uso da tecnologia da informação e das técnicas de tratamento de dados como importante instrumento para a gestão pública. Exatamente por isso, os gestores públicos precisam ficar atentos às adequações necessárias trazidas pela LGPD. Neste artigo, a LGPD e o setor público, você lerá o que você precisa saber.
Para descomplicar o assunto, iremos dividir este artigo em três tópicos:
1 – LGPD no setor público: a quem se aplica e quem ficou de fora
2 – Entendendo as principais definições trazidas pela LGPD
3 – Conheça os requisitos para que a Administração Pública possa tratar os dados pessoais (não sensíveis e sensíveis)?
Lembre-se de que a conformidade à LGPD, especialmente no setor público, vai depender de uma mudança cultural, e essa mudança começa pela informação. Boa leitura!
1 – LGPD no setor público: a quem se aplica e quem ficou de fora
A quem se aplica (Artigo 3º)
- Qualquer órgão ou entidade pública
- Empresas públicas e sociedades de economia mista
Não se aplica (Artigo 4º)
- Casos de tratamentos de dados realizados para: fins exclusivamente: jornalísticos e artísticos; acadêmicos; fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
- Casos de tratamentos de dados provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado à LGPD.
2 – Entendendo as principais definições trazidas pela LGPD (Artigo 5º) e o que você precisa saber
No que tange a este artigo da LGPD e o setor público, você precisa saber sobre as definições a seguir:
Titular: é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Titular será o contribuinte, servidor ou empregado público, gestor público, pessoa física com a qual o órgão ou entidade pública possui alguma relação contratual.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. No setor público será o órgão público, entidade pública, empresa pública ou sociedade de economia mista que toma as decisões a respeito do tratamento de dados pessoais. Por exemplo, a Receita Federal, em relação às bases de dados que gere. O órgão público que mantém um banco de dados de seus servidores ou empregados públicos também se enquadraria nesta definição.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Por exemplo, o SERPRO (Serviço Federal de Processamento de Dados) ou a DATAPREV (Empresa de Tecnologia e Informações da Previdência Social) atuam como operadores quando processam dados pessoais em nome de outros órgãos ou entidades públicas.
Encarregado: Pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. A Autoridade Nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
Órgãos de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico. Universidades Públicas e entidades de pesquisa pública se enquadram nesta definição.
Saiba mais aqui.
3 – O que você precisa saber sobre os requisitos para que a Administração Pública possa tratar os dados pessoais (não sensíveis e sensíveis)?
DADOS NÃO-SENSÍVEIS
Mediante o consentimento do titular
A LGPD determiona ao setor público e você precisa saber sobre dados não sensíveis que o consentimento é uma manifestação livre, informada e inequívoca que autoriza o tratamento de dados pessoais para uma finalidade determinada. Autorizações genéricas serão nulas. O consentimento implícito não é admitido. Ele, diferente das demais bases legais autorizativas do tratamento de dados pessoais, pode ser revogado a qualquer momento.
Outras situações
- Cumprimento de obrigação legal ou regulatória pelo controlador.
- Pela Administração Pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
- Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. Nessa hipótese se enquadra, por exemplo, a pesquisa realizada por universidade públicas e, também, por institutos de pesquisa públicos.
- Quando o titular dos dados solicitar para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados. É o caso, por exemplo, de contratos celebrados pela administração pública com fornecedores de produtos ou serviços, assim como concessões de serviços públicos e de uso de bens públicos, contratos de parcerias público-privadas e outros instrumentos contratuais da Administração Pública.
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Essa hipótese se aplicaria, por exemplo, ao tratamento de dados pessoais de servidores ou empregados públicos para fins de defesa dos interesses da administração pública em processos judiciais ou mesmo administrativos, o mesmo valendo para o tratamento de dados pessoais de contribuintes nas mesmas hipóteses.
- Para a proteção da vida ou da incolumidade física do titular ou de terceiros. O tratamento de dados pessoais no âmbito da atuação da Defesa Civil, com vistas a proteger a vida e a incolumidade física do titular ou de terceiros se enquadraria nessa hipótese.
- Em procedimento realizados por profissionais da área da saúde ou por entidades sanitárias. Hospitais públicos e demais entidades sanitárias públicas estão autorizadas a tratar dados dos respectivos pacientes, sem seu consentimento, para fins de tutela da saúde.
- Quando é necessário para atender aos interesses legítimos do controlador ou de terceiros. Exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
- Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
DADOS SENSÍVEIS
Mediante o consentimento do titular
Com relação aos dados sensíveis, a LGPD determina que o setor público cumpra alguns requisitos que você precisa saber. São eles:
O consentimento é uma manifestação livre, informada e inequívoca que autoriza o tratamento de dados pessoais para uma finalidade determinada. Autorizações genéricas serão nulas. Não é admitido um consentimento implícito. Esse consentimento, diferente das demais bases legais autorizativas do tratamento de dados pessoais, pode ser revogado a qualquer momento.
Assim, o consentimento para o tratamento de dados sensíveis precisa, ainda, ser dado de forma específica e destacada, para finalidades determinadas.
Sem o consentimento do titular, nas hipóteses em que for indispensável para:
- Cumprimento de obrigação legal ou regulatória pelo controlador.
- Tratamento compartilhado de dados necessários à execução, pela Administração Pública, de políticas públicas previstas em leis e regulamentos. Percebe-se aqui uma diferença se comparadas às hipóteses de tratamento de dados pessoais não sensíveis, vez que foram excluídos os casos de políticas públicas respaldadas em contratos, convênios ou instrumentos congêneres.
- Para realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. Nessa hipótese se enquadra, por exemplo, a pesquisa realizada por universidade públicas e, também, por institutos de pesquisa públicos, como a Fundação Oswaldo Cruz. O exercício regular de direitos em processo judicial, administrativo ou arbitral. Essa hipótese se aplicaria, por exemplo, ao tratamento de dados pessoais de servidores ou empregados públicos para fins de defesa dos interesses da administração pública em processos judiciais ou mesmo administrativos, o mesmo valendo para o tratamento de dados pessoais de contribuintes nas mesmas hipóteses.
- Para a proteção da vida ou da incolumidade física do titular ou de terceiros. O tratamento de dados pessoais sensíveis no âmbito da atuação da Defesa Civil, com vistas a proteger a vida e a incolumidade física do titular ou de terceiros se enquadraria nessa hipótese.
- De igual modo, para a tutela da saúde, em procedimento a ser realizado por profissionais da área da saúde ou por entidades sanitárias. Assim, hospitais públicos e demais entidades sanitárias públicas estão autorizadas a tratar dados pessoais sensíveis dos respectivos pacientes, sem seu consentimento, para fins de tutela da saúde.
- Garantia da prevenção à fraude e da segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no Artigo 9º da LGPD e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Um exemplo que se enquadra perfeitamente nessa hipótese é o sistema de identificação biométrica implementado pelo TSE (Tribunal Superior Eleitoral) para a votação na urna eletrônica.
Neste artigo, sobre a LGPD e o setor público, apresentamos o que você precisa saber para adequar os órgãos públicos e evitar multas e sanções.
Saibam mais aqui sobre a LGPD e o Setor Público