LGPD e os primeiros movimentos do setor público

A entrada em vigor da Lei Geral de Proteção de Dados (Lei nº 13.709/18 – LGPD), em 18 de setembro deste ano, trouxe impactos para diversos setores da sociedade. Ao regulamentar as práticas relacionadas ao tratamento de dados pessoais no Brasil, a LGPD estabeleceu novas exigências de gestão de processos para os setores público e privado.

Boa parte do setor privado manifestou dificuldades para se adequar às obrigações impostas pela lei, e a realidade do setor público não parece muito diferente: as iniciativas de adequação ainda se mostram tímidas e há preocupações sobre a compreensão do novo arcabouço legal trazido pela LGPD.

Essa questão torna-se ainda mais preocupante nos tribunais e órgãos administrativos, que deveriam estar preparados não só para cumprir suas obrigações, como também para julgar e exigir a aplicação adequada dos direitos previstos na LGPD.

Políticas de privacidade e o jogo dos 7 erros

Entre as obrigações relacionadas ao tratamento de dados pessoais que o setor público precisa cumprir, está a adoção de medidas que garantam aos titulares de dados “informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos”, em cumprimento aos princípios de transparência e livre acesso à informação da LGPD.

Essas informações devem ser disponibilizadas de forma fácil, clara e acessível pelo setor público, principalmente como políticas de privacidade em seus sites. A própria LGPD lista quais são as informações e os quesitos que devem constar nesses documentos.

A indicação do “encarregado” e a disponibilização de suas informações de contato também são exigências da LGPD para aqueles que tratam dados pessoais. A função do encarregado é atuar como ponto focal de proteção de dados, com competência para se relacionar com a Autoridade Nacional de Proteção de Dados (ANPD), orientar os demais funcionários a respeito do tema e receber reclamações de usuários.

No entanto, a simples disponibilização de tais informações não é suficiente para cumprir a lei: seu conteúdo deve necessariamente refletir os conceitos da LGPD e, consequentemente, evidenciar as medidas adotadas ao longo do projeto de adequação. Na prática, as políticas de privacidade acabam por demonstrar como cada organização fez seu “dever de casa” para cumprir a LGPD.

Quando a legislação passou a ser exigível, esperava-se, entre outras medidas, que tais informações começassem a ser disponibilizadas em sites na Internet. Na prática, no entanto, poucos foram os órgãos públicos que cumpriram essa obrigação. Menos ainda aqueles que o fizeram de forma correta e satisfatória.

A Agência Nacional de Telecomunicações (Anatel), por exemplo, publicou uma página específica sobre tratamento de dados pessoais em seu site com conceitos errados sobre as hipóteses de tratamento. O órgão afirmava que todo o tratamento de dados pessoais realizado pela Anatel estaria baseado no consentimento, que seria “a única base legal da LGPD”.[1] A lei, no entanto, prevê dez hipóteses de tratamento de dados não sensíveis, incluindo o consentimento, e outras oito para tratamento de dados sensíveis. O site foi posteriormente atualizado e o texto ajustado, mas, ainda assim, faltam informações mais claras sobre como o tratamento de dados é realizado pela Anatel. E é fato de preocupação, sobretudo, que a Anatel ainda tenha cometido o equívoco de publicar uma orientação tão distante do modelo da lei.

A política de privacidade divulgada pelo Tribunal de Justiça do Distrito Federal e dos Territórios (TJ-DF) é outro exemplo de aplicação equivocada dos conceitos da LGPD. O documento, publicado em 8 de setembro por meio da Resolução nº 9/20, define de forma equivocada os termos “controlador” e “operador”[2] e não apresenta as informações que deveria, como os direitos do titular de dados e o canal de contato com o encarregado.

Equívoco semelhante ocorre no Provimento nº 68/20, que disciplina a aplicação da LGPD no âmbito do Ministério Público do Rio Grande do Sul e define os seus membros, servidores e estagiários como operadores de dados pessoais da instituição.

Felizmente, há exceções. É o caso do Tribunal de Justiça de São Paulo (TJ-SP), que desenvolveu uma página específica para assuntos relacionados à LGPD e nela divulgou a estrutura organizacional de seu projeto de adequação. O TJ-SP ainda foi além e implementou novas categorias processuais em seu sistema informatizado com o objetivo de aprimorar os estudos estatísticos sobre a judicialização de assuntos envolvendo a LGPD, conforme o Comunicado CG nº 663/20.

Na mesma linha, o Conselho Nacional de Justiça (CNJ) buscou orientar os órgãos do Poder Judiciário com a publicação de recomendação sobre as medidas iniciais para a adequação à LGPD.

A LGPD chega aos tribunais. E agora?

Embora as organizações ainda não estejam totalmente adequadas aos termos da LGPD, o tema de proteção de dados está em alta na sociedade. A aplicação da lei já se tornou objeto de ações judiciais que questionam a finalidade e a segurança no tratamento de dados pessoais.

No último mês, algumas dessas ações tiveram destaque na mídia, como a primeira ação pública com base na LGPD, movida pelo Ministério Público do Distrito Federal para questionar a possível comercialização indevida de dados pessoais por um site. A ação, porém, foi julgada extinta, pois o juiz entendeu que não haveria interesse processual do autor, uma vez que o site em questão se encontrava em manutenção.

Na mesma linha, um estudante pernambucano recorreu à Justiça para questionar a razão pela qual foi obrigado a fornecer seus dados biométricos para a recarga do bilhete eletrônico de ônibus. A ação está em trâmite no Tribunal de Justiça de Pernambuco (TJ-PE).

Os princípios da LGPD foram citados também em sentença judicial que condenou uma construtora a pagar R$ 10 mil por compartilhar dados pessoais do seu cliente com terceiros estranhos à relação contratual, o que ocasionou contatos indesejados de instituições financeiras, consórcios e outras empresas com esse cliente.

Tais casos ilustram que os direitos e obrigações da LGPD passaram a ser exigidos judicialmente, a despeito da postergação das sanções da LGPD para 1º de agosto de 2021.[3] O Judiciário passa a exercer, de forma mais ativa, funções de controle e exame de casos relacionados à proteção de dados, até então protagonizadas por órgãos de defesa do consumidor, que examinavam questões de cibersegurança com base na legislação esparsa e setorial sobre proteção de dados ainda vigente, como o Código de Defesa do Consumidor e o Marco Civil da Internet.

Nesse cenário, surgem duas preocupações. A primeira relacionada à estruturação tardia da ANPD, autoridade reguladora unificada e organizada para o propósito da proteção de dados pessoais, cujos membros da diretoria executiva foram recentemente aprovados pelo Senado Federal.[4] Além do desafio de estruturar rapidamente a ANPD, também se espera que a autoridade cumpra com agilidade o seu papel pedagógico de orientar e coordenar a aplicação da lei, inclusive em relação ao poder público, para evitar erros conceituais como os apontados antes neste artigo.

Sem a ANPD e suas diretrizes, órgãos e entidades governamentais de outros setores assumem o papel de fiscalizadores de aplicação da LGPD e passam a impor medidas sancionadoras que podem ter elevado grau de arbitrariedade e insegurança jurídica.

A segunda preocupação está relacionada aos equívocos cometidos pelo setor público já abordados. Eles demonstram o pouco preparo de alguns órgãos para cumprir seus “deveres de casa” e põem em dúvida a forma como eles lidarão com essas questões. Isso vale especialmente para os tribunais e órgãos administrativos, cujas obrigações também englobam instruir os magistrados a julgar de forma adequada as aplicações da LGPD. Afinal, se o setor público não está preparado para cumprir suas obrigações, estaria ele pronto para exigir a aplicação dos direitos previstos na LGPD?

Conclusão

Em geral, o setor público tem demonstrado lentidão para se adequar aos termos da LGPD, mesmo diante dos diversos impactos que sua vigência trouxe para a sociedade. A situação é ainda mais delicada para os tribunais e órgãos administrativos. Ao mesmo tempo que precisaram demonstrar a implementação das obrigações da LGPD, eles passaram a exercer, em parte, papel de fiscalização e de garantia dos direitos dos titulares de dados pessoais.

Esses pontos obscuros deverão pautar as discussões durante e mesmo após a implementação das regras de conformidade no setor público, especialmente até que a ANPD inicie seus trabalhos, uma vez que cabe a ela orientar e determinar muitos requisitos sobre a aplicação à LGPD.

Ainda assim, deve se reconhecer que há boas iniciativas ocorrendo no setor público, a exemplo do TJ-SP, que tem demonstrado habilidade no cumprimento de suas obrigações, e do CNJ, que se antecipou em orientar os órgãos do Poder Judiciário.

Neste momento, espera-se que o setor público adote uma postura de mediação e estimule a composição entre as partes em caso de conflitos relacionados à proteção de dados pessoais, exatamente em razão da novidade da lei e em linha com as orientações a serem emitidas pela ANPD.

[1] "Consentimento. A base da LGPD é o consentimento, ou seja, é necessário solicitar a autorização do titular dos dados, antes do tratamento ser realizado. E esse consentimento deve ser recebido de forma explícita e inequívoca”. Trecho de texto publicado em 23/09/2020 no site da Anatel. <https://www.anatel.gov.br/institucional/component/content/article/104-home-institucional/2666-portal-da-anatel-tem-pagina-sobre-tratamento-de-dados-pessoais>

[2] Resolução nº 9/2020. “Art. 5º. No Tribunal, o Controlador e os Operadores são respectivamente o Presidente do Tribunal, assessorado pelo Comitê Gestor de Segurança da Informação e Proteção de Dados Pessoais - CGSI, e os servidores e colaboradores que exerçam atividade de tratamento de dados pessoais na instituição ou terceiros, em contratos e instrumentos congêneres firmados com o Tribunal.

§ 1º Os Vice-Presidentes e o Corregedor da Justiça serão os Controladores Adjuntos.

§ 2º O Comitê será formado por equipe técnica e multidisciplinar, que desempenhe as funções jurídica, de segurança da informação e tecnológica, de comunicação interna e externa, de recursos humanos, de gestão documental e estratégica.”

[3] Os artigos 52, 53 e 54 da LGPD, que tratam das sanções administrativas da lei, entrarão em 1º de agosto de 2021, na forma da Lei nº 14.010/2020.

[4] Em 20/10/2020, o Plenário do Senado aprovou os cinco nomes indicados para compor o Conselho Diretor da ANPD. Os candidatos foram indicados em publicação da edição extra do Diário Oficial da União de 15/10/2020.

INTELIGÊNCIA JURÍDICA

LGPD e os primeiros movimentos do setor público

Autores

Políticas de privacidade e o jogo dos 7 erros

A LGPD chega aos tribunais. E agora?

Conclusão

INTELIGÊNCIA JURÍDICA

LGPD e os primeiros movimentos do setor público

Autores

Políticas de privacidade e o jogo dos 7 erros

A LGPD chega aos tribunais. E agora?

Conclusão

Assuntos Relacionados

ANPD publica nova Agenda Regulatória

ANPD divulga novo guia com orientações sobre cookies

Cyber risk e gestão de crise

Mudanças e propostas de atualização à Lei de Representação Comercial

O impacto das sanções administrativas da LGPD

E-book: O legítimo interesse como fundamento no tratamento de dados pessoais

Quebra de sigilo de dados em provedores estrangeiros e o status constitucional da proteção de dados pessoais

A Agenda Regulatória da ANPD (2021-2022)