Resumo: A pesquisa objetiva analisar os impactos da LGPD na Administração Pública Federal. Classifica-se como qualitativa, exploratória e documental direta. A preocupação com a proteção dos dados pessoais não é recente, embora tenha ganhado relevo a partir de escândalos envolvendo vazamento de dados, o que fomentou a edição da Lei Geral de Proteção de Dados, no Brasil, isso no ano de 2018. Impondo obrigações diversas as pessoas de direito público e privado, a lei em comento ainda não recebeu a atenção devida dos órgãos da Administração Pública. Para se ter uma ideia, não há registros acadêmicos ou em de outra natureza que evidencie política de implementação da LGPD no âmbito da Administração Pública. Contudo, os impactos são inegáveis, pois a entrada em vigor, recentemente, de grande parte dos dispositivos, e a inteireza da lei em agosto de 2021, culminará em penalidades para os órgãos da Administração Pública Federal que não se adequar.

Palavras-chave: LGPD. Impactos. Administração Pública Federal.

1 INTRODUÇÃO

A utilização da internet e compartilhamento de informações pessoais nunca foi tão comum no dia-a-dia social, sendo que a invasão da vida privada foi praticamente banalizada. Nesse cenário, percebe-se o grande desafio legislativo sobre a quantidade de leis e tecnologias necessárias para restaurar o nível adequado de controle da privacidade das pessoas, considerando a importância de existir o equilíbrio dos interesses públicos e privados.

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) surgiu com a finalidade de unificar as disposições relativas ao assunto, criar direitos importantes e penalidades para o caso de descumprimento, criando a Autoridade Nacional de Proteção de Dados para a normatização e fiscalização, entre outros.

Em que pese o período de vacatio legis, o diploma legal em comento entrou em vigor recentemente, salvo os arts. 52, 53 e 54, que somente entrarão em vigor em 1º de agosto de 2001, o que evidencia a necessidade de que as pessoas de direito público e privado estejam em conformidade com as novas leis, sob pena de serem penalizados.

Contudo, a LGPD gera grandes impactos em todas as organizações, principalmente em se tratando da Administração Pública Federal que, em sua essência, lida com dados sensíveis e, por conseguinte, precisa estar em conformidade com os dispositivos da nova lei.

É nesse cenário que se situa o presente estudo, que tem por objetivo geral analisar os impactos da LGPD na Administração Pública Federal. E, como objetivos específicos busca-se discorrer, brevemente, sobre os fundamentos da proteção de dados no direito brasileiro; ressaltar a importância da LGPD; identificar os principais impactos na Administração Pública Federal para a efetivação das disposições contidas na referida lei.

Destarte, a pesquisa se classifica, quanto ao método de abordagem, em qualitativa e, no que diz respeito ao método de procedimento, é de cunho exploratório. A técnica de pesquisa adotada é a documental direta, pois se busca na legislação, artigos, dentre fontes outras, físicas e virtuais, elementos que permitam a compreensão do tema.

2 DESENVOLVIMENTO

A primeira questão a se ressaltar é que a difusão da internet e compartilhamento de informações próprias e de outrem nunca foi tão comum no dia-a-dia das pessoas, sendo que a invasão da vida foi praticamente banalizada, uma vez que o fato de “estar conectado” passou a ser a nova ordem.

Não se nega, em nenhum momento, que a internet trouxe importantes inovações, estreitamento de fronteiras, facilidades no compartilhamento de dados, rápida difusão de informações, etc. Daí ser considerada imprescindível nas relações humanas, sendo essencial que as organizações estejam conectadas e atualizadas para as transformações do mundo.

Porém, como observa Doneda (2019), nos últimos anos o vazamento de dados pessoais, nos mais variados ramos de atividade, no Brasil e no exterior, foram marcantes. O escândalo recente e mais emblemático, que desencadeou pesquisas, investigações, notícias, filme e até mesmo TED Talks, envolveu a campanha presidencial dos Estados Unidos da América, Donald Trump, o Facebook e a Cambridge Analytica. Em resumo, o que ocorreu foi o compartilhamento irregular dos dados pessoais de mais de oitenta milhões de usuários do Facebook para a empresa de consultoria política Cambridge Analytica, que trabalhava na campanha do então candidato à presidência dos EUA.

Esse, dentre outros escândalos mundiais envolvendo o vazamento e mesmo a violação dos direitos que envolvem os dados pessoais desencadearam a promulgação de novos atos normativos, até mesmo em países em que a preocupação com dados pessoais já existe há décadas, como por exemplo a General Data Protection Regulation da União Europeia, em vigor desde 2018 (DONEDA, 2019).

De fato, a partir do surgimento desta preocupação mundial com a proteção de dados pessoais, as legislações e instrumentos normativos também evoluíram e adaptaram-se, procurando atender às novas demandas e direitos desta sociedade que se encontra em constante mudança. Esta evolução legislativa, portanto, iniciou-se com leis genéricas e amplas para então chegar às legislações que hoje encontram-se vigentes.

Considera-se como parte da primeira geração das normas de proteção de dados pessoais as que surgiram, principalmente na Europa e EUA na década de 70, ligadas ao tratamento de dados pessoais pela Administração Pública e pelas empresas privadas (MENDES, 2014).

Exemplos destas normas de primeira geração são, no âmbito europeu, as leis do Estado alemão de Hesse (1970), a Lei de Dados da Suécia (1973), o Estatuto de Proteção de Dados do Estado alemão de Rheinland-Pfalz (1974) e a Lei Federal de Proteção de Dados da Alemanha (1977). Nos Estados Unidos, foram aprovados nesse mesmo período o Fair Credit Reporting Act (1970), focado nas relações de crédito com consumidores, e o Privacy Act (1974), aplicável à administração pública (MENDES, 2014).

Nesse sentido, em 14 de agosto de 2018, foi promulgada a Lei nº 13.709, Lei Geral de Proteção de Dados (“LGPD”) com a finalidade de unificar as disposições relativas ao assunto, criar conceitos importantes, hipóteses de tratamento de dados, penalidades para o caso de descumprimento, criar a autoridade de fiscalização, entre outros (BRASIL, 2018).

A LGPD, publicada em 2018, teve a sua entrada em vigor, em sua plenitude, alterada por diversos fatores, sendo que em agosto de 2020 a sua quase totalidade entrou em vigor e, em agosto de 2021 os arts. 52, 53 e 54 entrarão em vigor, protegendo as pessoas da comercialização e utilização indevida de dados pessoais.

Porém, não se pode negar que a edição de normas, para tutelar os dados pessoais na rede mundial de computadores, é um desafio. Logo, embora tardia, se consideradas as críticas de parte da doutrina, a exemplo do que pontua Bioni (2018), é elogiável a preocupação do legislador em estabelecer medidas para a efetivação da proteção aos dados pessoais nas searas privada e pública.

A teor do que dispõe a lei em comento, Dado pessoal (art. 5º, I) é informação relativa a uma pessoa física identificada ou identificável, ainda que incidentalmente revelada. É considerada identificável uma pessoa física que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador (considerado “informação confidencial”), como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica, hábitos de consumo ou a um ou mais elementos específicos da identidade física, econômica, cultural ou social dessa pessoa física (BRASIL, 2018).

Dado pessoal sensível (art. 5º, II) é uma categoria especial de dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Ou seja, dados pessoais da esfera íntima do titular de dado, que possam gerar preconceitos ou discriminação, se revelados (BRASIL, 2018).

Titular dos dados pessoais (art. 5º, V) será toda pessoa física identificada ou identificável, a quem se referem os dados pessoais que são objeto de tratamento, como por exemplo os empregados de uma empresa, seus clientes pessoa física, fornecedores etc. (BRASIL, 2018).

Tratamento (art. 5º, X) diz respeito a qualquer operação ou um conjunto de operações efetuadas com dados pessoais ou com conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registro, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou sua destruição, por exemplo (BRASIL, 2018).

Tais conceitos, sem a pretensão de esgotar a análise da LGPD, deveras complexa, são imprescindíveis para evidenciar que desde uma pequena empresa, que faz um cadastro para efetivar uma venda ao consumidor final, até grandes organizações públicas, que lidam com a difusão de dados pessoais, estão sujeitas às regras insertas na LGPD.

Nesse cenário é que os princípios da prevenção e segurança ganham relevo, pois as organizações, sejam públicas ou privadas, devem envidar esforços para que os dados pessoais sejam protegidos, evitando-se vazamentos, acessos não autorizados, alteração das informações, dentre outras práticas.

Para atender aos princípios da segurança e prevenção os agentes de tratamento ou a própria Administração Pública Federal, que realiza o tratamento do dado, devem investir em melhores soluções de segurança da informação e utilizar medidas técnicas e administrativas para garantir a proteção dos dados pessoais. Dentro destas medidas preventivas incluem-se a restrição de acesso a dados, mecanismos de defesa em caso de incidentes, instituição de boas práticas e de governança, utilização de softwares atualizados e seguros, bem como todas as medidas razoáveis e alcançáveis para que os dados não se tornem alvo de vazamentos (SIQUEIRA, 2019).

Para assegurar a proteção de dados e, consequentemente, a implementação das disposições constantes em seu texto, a LGPD instituiu a ANPD, ou seja a Autoridade Nacional de Proteção de Dados. Trata-se de órgão vinculado à Presidência da República, ou seja, à Administração Pública que, após decorridos dois anos, pode ser convertida em autarquia, cuja natureza será de agência reguladora e passará a integrar, por conseguinte, a Administração Pública Indireta.

Criada pela Medida Provisória nº 869/2018, convertida ne Lei nº 13.853/2018, a ANPD é o órgão da administração pública federal, sem personalidade jurídica própria e integrante da Presidência da República, responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados, em todo o território nacional (BARROS; FERREIRA, 2019).

A ANPD traz entre suas atribuições a prerrogativa de elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação; promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, entre outros (art. 55-J) (BRASIL, 2018).

Além disso, compete à ANPD, também, editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à LGPD (BRASIL, 2018).

A Autoridade Nacional de Proteção de Dados também deverá conciliar sua atuação com outros órgãos e entidades com competências sancionatórias e normativas, como o CADE, o SENACON e a ANATEL, podendo também realizar parcerias com autoridades estrangeiras. Outrossim, caberá ao referido órgão a análise integrada dos setores de proteção de dados, concorrencial, consumerista e de telecomunicações, bem como o amplo diálogo entre as normas nacionais e internacionais (TEFFÉ, 2020).

Entretanto, ainda não é possível saber ao certo como será a atuação da autoridade nacional, mesmo com a previsão legal de uma atuação preventiva e disseminadora para toda a população de boas práticas envolvendo o tratamento de dados pessoais. Trata-se, segundo autores como Lima (2020), de um desafio, pois deveria ser uma preocupação do Executivo Federal e, contudo, não recebeu a devida atenção desde a promulgação da lei.

Ademais, a LGPD não é de simples implantação, motivo pelo qual muito se discutiu, nos últimos meses, a prorrogação da vacatio legis, para que as organizações tivessem mais tempo para se organizar, o que acabou não se efetivando. Contudo, vinte e quatro meses se passaram e o que se percebe são entes públicos despreparados no que tange a tutela e proteção de dados.

Basta lembrar que o art. 5º da LGPD prevê figuras importantes, para a efetiva implementação da LGPD, mormente o controlador, o operador e o encarregado.

Segundo a lei, tanto o operador quanto o controlador devem manter o registo dos tratamentos de dados que realizarem (art. 37), sendo que o operador de dados deverá realizar o tratamento de dados segundo instruções fornecidas pelo controlador.

Em outras palavras, controlador é a pessoa física ou jurídica (não importando o formato jurídico, podendo ser uma Sociedade Anônima, EIRELI, Ltda., até uma grande holding ou empresa listada em bolsa de valores) responsável pelas decisões relativas à finalidade e forma de tratamento dos dados pessoais. Assim, sempre que qualquer empresa determinar quais dados pessoais serão tratados, de que forma e para qual finalidade, esta empresa atuará no papel de controlador (PINHEIRO, 2018).

Já o operador é a pessoa física ou jurídica contratada que concorda em receber, do controlador, dados pessoais para tratamento sob as instruções do controlador, nos termos das cláusulas estipuladas em contrato e das leis de proteção de dados pessoais aplicáveis (PINHEIRO, 2018).

A figura do encarregado, por sua vez, deverá ser indicada pelo controlador e tem como principais atividades aquelas descritas no artigo 41, §2º: aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (PINHEIRO, 2018).

Tais conceitos também se aplicam à Administração Pública Federal. Porém, ao contrário do que se vê em relação às pessoas de direito privado, mormente as empresas, quanto aos impactos da LGPD, pouco se evidencia quanto aos setores públicos.

De fato, para Tepedino e Teffé (2019, p. 294), “na lei brasileira de proteção de dados, parte-se da ideia de que não existe dado pessoal insignificante. Por esta razão adotou-se um conceito amplo de dado pessoal [...]”. Segundo o art. 5º, inciso I, da legislação, considera-se dado pessoal toda a informação relacionada à pessoa natural (portanto, apenas pessoas físicas) identificada ou identificável (excluindo os dados anonimizados) (BRASIL, 2018).

Em se tratando da Administração Pública Federal, é extremamente necessário o levantamento e identificação dos processos e fluxos que envolvam tratamento de dados pessoais dentro da empresa. Sem compreender exatamente o fluxo dos dados pessoais (como e por onde entram, como e por que sistemas ocorre o tratamento, onde ficam armazenados os dados pessoais, como e quando são descartados) novamente o programa de conformidade e adequação à LGPD tende a ser ineficiente.

As regras previstas na legislação não serão aplicáveis apenas nos casos em que por meio de processo de anonimização não seja possível a identificação do titular dos dados, tanto por terceiros quanto pelos próprios agentes de tratamento. Destarte, em casos em que a partir da utilização de informações suplementares, seja possível a identificação do titular do dado, a legislação será aplicada (SIQUEIRA, 2019).

A Lei Geral de Proteção de Dados Pessoais brasileira, portanto, aparece com o intuito de proteger aqueles sujeitos cujos dados pessoais estão sendo tratados, muitas vezes, sem o devido cuidado, e regulamentar as mais diversas formas de tratamento de dados pessoais. Logo, a LGPD impacta sobremaneira a Administração Pública Federal.

Tratando-se das situações de interesse da Administração Pública, portanto, deve restar claro que os dados são necessários ao exercício da autoridade pública e, como exemplo disso, é possível citar o tratamento de dados pessoais para a execução de políticas públicas como as relacionadas à implementação de saneamentos básicos, pagamentos de auxílio, cadastramento de empresas para o recebimento de incentivos fiscais, etc. (COTS; OLIVEIRA, 2019).

Em relação ao tratamento de dados para fins de pesquisa, questão que ganha relevo, por exemplo, quando se trata de universidades federais, sempre que possível, a lei impõe a necessidade de realizar a anonimização dos dados. Sendo assim, se o estudo não depende da identificação do titular para se realizar ou se os dados coletados e tratados são excessivos, o tratamento deve ser considerado ilegal (CARNEIRO; SILVA; TABACH, 2019).

A legislação também permite o tratamento de dados pessoais para o exercício regular de direitos em processo judicial, administrativo ou arbitral. O legislador, neste caso, deixa claro que a proteção de dados pessoais não deve comprometer o direito o qual as partes têm de produzir provas umas contra as outras, ainda que estas envolvam dados pessoais da parte contrária (FRAZÃO, 2018).

Em relação ao tratamento de dados para a proteção da vida ou tutela à saúde (incisos VII e VIII), tratam-se de hipóteses específicas que vão além da proteção à privacidade em prol do interesse coletivo. São situações de interesse público, e visto a relevância do bem jurídico aqui protegido (a vida), o tratamento destes dados pessoais poderá ser realizado ainda que seja para a proteção da vida de um terceiro, e não somente do titular dos dados pessoais (COTS; OLIVEIRA, 2019).

Destarte, são apenas exemplos, mas que demostram o quanto a LGPD impacta a Administração Pública Federal, com uma verdadeira mudança de paradigmas no que tange os dados pessoais, principalmente pelos princípios da prevenção e segurança. Nesse cenário, portanto, deve a Administração Pública Federal se organizara para se adequar, efetivamente, às disposições da LGPD, principalmente por meio da formação de pessoal, sob pena de incorrer nas sanções legais.

3 CONSIDERAÇÕES FINAIS

Percebeu-se, de plano, que a chamada Lei Geral de Proteção de Dados, ou simplesmente “LGPD”, surgiu, portanto, com o objetivo de oferecer uma maior proteção às pessoas naturais, garantindo-lhes mais autonomia e controle sobre os seus próprios dados.

A referida legislação tem como objetivo tutelar o tratamento de dados pessoais e busca proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, como se extrai do art. 1º da LGPD.

Nesse cenário, portanto, compreender o alcance de dado pessoal é fundamental, pois a lei impõe à pequenas e grandes empresas, setores privado e público, a adequação às normas legais, haja vista o reconhecimento de que a tutela dos dados pessoais está intrinsecamente relacionado aos direitos da personalidade.

Portanto, a distinção entre dados pessoais e dados pessoais sensíveis foi instituída pelo legislador para evitar que os dados pessoais que possam ser utilizados para quaisquer fins discriminatórios, com a possibilidade de ferir a dignidade do seu titular, tenham uma tutela protetiva maior e que consequentemente acabe por resguardar a identidade pessoal e a privacidade destas pessoas.

Em que pese a relevância do tema, e decorridos dois anos da promulgação da lei, o que se percebe são discussões ainda superficiais, principalmente no que diz respeito à implementação e impactos da LGPD no setor público, ficando desde já a sugestão para futuros estudos, considerando a entrada em vigor da quase totalidade da lei.

Destarte, por ora sabe-se que o tema levantará emblemáticos e complexos debates a partir da entrada em vigor da lei e da constituição, efetiva, da Agência Nacional de Proteção de Dados, dada a relevância desse órgão para a efetivação das medidas previstas em lei. E não bastará não violar a lei para garantir a licitude do tratamento de dados, pois sanções serão aplicadas independente de culpa daqueles que não buscarem uma postura proativa frente à nova legislação, seja na seara privada, seja na seara pública. Sendo assim, os agentes de tratamento deverão buscar introduzir uma verdadeira cultura de proteção de dados a qual venha a prezar pelo respeito aos titulares dos dados, de modo que, frente a eventuais prejuízos, a adoção de medidas para a proteção de dados possa ser comprovada, ganhando relevo na seara pública.

REFERÊNCIAS

BARROS, Rafael Souza Paiva de; FERREIRA, Gianne Glória Lima. Autoridade Nacional de Proteção de Dados (ANPD) e Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. In: FEIGELSON, Bruno; SIQUEIRA, Henrique Albani (Coord.). Comentários à Lei Geral de Proteção de Dados: Lei 13.709/2018. São Paulo: Revista dos Tribunais, 2019.

BIONI, Bruno. Proteção de Dados Pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2018.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018: Lei Geral de Proteção de Dados. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>. Acesso em: 24 set. 2020.

CARNEIRO, Isabelle da Nóbrega Rito; SILVA, Luiza Caldeira Leite; TABACH, Danielle. Tratamento de dados pessoais. In: FEIGELSON, Bruno; SIQUEIRA, Henrique Albani (Coord.). Comentários à Lei Geral de Proteção de Dados: Lei 13.709/2018. São Paulo: Revista dos Tribunais, 2019.

COTS, Márcio; OLIVEIRA, Ricardo. Lei geral de proteção de dados pessoais comentada. São Paulo: Revista dos Tribunais, 2018.

DONEDA, Danilo. Da privacidade à proteção de dados pessoais: elementos da formação da Lei geral de proteção de dados. 2. ed. São Paulo: Revista dos Tribunais, 2019.

FRAZÃO, Ana. Nova LGPD: as demais hipóteses de tratamento de dados pessoais. Jota, 2018. Disponível em: <https://www.jota.info/opiniao-e-analise/colunas/constituicao-empresa-e-mercado/nova-lgpd-as-demais-hipoteses-de-tratamento-de-dados-pessoais-19092018>. Acesso em: 24 set. 2020.

MENDES, Laura Schertel. Privacidade, proteção de dados e defesa do consumidor: linhas gerais de um novo direito. São Paulo: Saraiva, 2014.

PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários à lei n. 13.709/2018 LGPD. São Paulo: Saraiva Educação, 2018.

SIQUEIRA, Antonio Henrique Albani. Disposições Preliminares. In: FEIGELSON, Bruno; SIQUEIRA, Henrique Albani (Coord.). Comentários à Lei Geral de Proteção de Dados: Lei 13.709/2018. São Paulo: Revista dos Tribunais, 2019.

TEFFÉ, Chiara Spadaccini de. Por que precisamos de uma Autoridade Nacional de Proteção de Dados? Existência de uma autoridade independente pode facilitar o ingresso do Brasil na OCDE. Jota, 2020. Disponível em: <https://www.jota.info/opiniao-e-analise/artigos/por-que-precisamos-de-uma-autoridade-nacional-de-protecao-de-dados-07012020>. Acesso em: 20 set. 2020.

TEPEDINO, Gustavo; DE TEFFÉ, Chiara Spadaccini. Consentimento e proteção de dados pessoais na LGPD. In: FRAZÃO, Ana; TEPEDINO, Gustavo; OLIVA, Milena Donato (Coord.). Lei Geral de Proteção de Dados Pessoais e suas repercussões no direito brasileiro. São Paulo: Revista dos Tribunais, 2019.