Os desafios da LGPD no setor público

Recentemente, começou a vigorar a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), importante diploma legal que tem como objetivo precípuo a tutela da privacidade dos indivíduos, mediante a criação de um sistema de salvaguardas de seus dados pessoais.

É possível dizer que os desafios oferecidos pela LGPD aos entes públicos são sensivelmente maiores se comparados com aqueles introduzidos pela Lei de Acesso à Informação (LAI — Lei nº 12.527/2011). Isso porque, no caso da LAI, como regra, os dados já se encontravam à disposição da Administração Pública, cabendo a esta dar-lhes publicidade, nos moldes preconizados pela novel legislação (transparência passiva e ativa), ao passo que no caso da LGPD, muitas operações de tratamento de dados sequer são compreendidas como tal no âmbito da Administração Pública.

Nesse ponto, uma vez que o tratamento de dados, segundo a LGPD, consiste em "toda a operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração" (artigo 5º, X), em muitos casos, os agentes públicos ou a serviço do poder público sequer se dão conta de que estão realizando tratamento de dados.

Assim, por exemplo, desde um singelo cadastro que permita o acesso a um prédio da Receita Federal, até uma complexa operação de processamento de dados dos contribuintes do Imposto de Renda da Pessoa Física, haverá tratamento de dados pessoais, os quais devem seguir os fundamentos e princípios da LGPD.

Como se pode observar, a efetiva implantação da LGPD depende de um processo de alteração de cultura e envolvimento de, praticamente, todos os setores da Administração Pública, visto que o tratamento de dados pessoais consiste em atividade corriqueira a grande parcela dos agentes públicos.

Como se não bastasse, a introdução da LGPD no setor público deve conciliar os fundamentos que lhes são próprios, tais como o respeito à privacidade, a inviolabilidade da intimidade, da honra e imagem (artigo 2º, I e IV), com os princípios da publicidade consagrados tanto no artigo 37, caput, da Constituição Federal quanto na LAI.

Trata-se, em outras de palavras, de buscar a adequação entre a transparência que deve reger as atividades da Administração Pública e o regime jurídico de proteção de dados inaugurado pela LGPD, o que, certamente, traduz um grande desafio ao gestor público.

Pensamos que alguns instrumentos previstos na LGPD, tais como a anonimização [2] ou a pseudonimização [3], podem ser úteis ao gestor público, vez que possibilitará a divulgação de documentos sem, contudo, permitir a identificação de dados pessoais dos indivíduos envolvidos, nos casos em que a publicidade integral não derive de expressa disposição legal.

A seu turno, a natureza essencialmente principiológica da LGPD, sem regras definidas acerca de sua aplicação prática, incrementa sensivelmente as dificuldades de sua implantação, especialmente nesse primeiro momento. Exemplo disso consiste em seu ampliado espectro de abrangência, visto que as medidas necessárias à efetiva segurança e sigilo de dados compreendem desde ações de natureza tecnológica (implantação de defesas virtuais, tais como firewalls, criptografia de dados, registros de eventos por meio de logs etc.), passando por mudanças regulatórias (adequação de regulamentos para compatibilização das regras internas de tratamento de dados ao disposto na LGPD) e até mesmo físicas (disponibilização de ambientes seguros e controlados para armazenamento de documentos e equipamentos que contenham dados pessoais).

Por fim, vale dizer que a evolução tecnológica e a natural introdução de novas operações de tratamento de dados demandam um processo contínuo e ininterrupto de avaliação, adequação e aperfeiçoamento de procedimentos e medidas protetivas de dados pessoais, tornando o cumprimento da LGPD um processo sob constante revisão por parte da Administração Pública.

Portanto, embora ofereça relevantes salvaguardas aos titulares de dados pessoais, a LGPD acabou por criar um extenso rol de obrigações e responsabilidades aos agentes que realizam tratamento de dados, o que, conciliado à natureza principiológica da lei e ao princípio da publicidade que rege a Administração Pública, exigirá dos administradores públicos elevada capacidade de gestão e integração de sua equipe, além de efetivo empenho e capacitação dos servidores públicos.