Baixe o app para aproveitar ainda mais
Prévia do material em texto
Proteção de Dados Pessoais no Serviço Público O Tratamento de Dados Pessoais no Setor Público1 M ód ul o 2Enap Fundação Escola Nacional de Administração Pública Enap, 2020 Enap Escola Nacional de Administração Pública Diretoria de Educação Continuada SAIS - Área 2-A - 70610-900 — Brasília, DF Fundação Escola Nacional de Administração Pública Presidente Diogo Godinho Ramos Costa Diretor de Desenvolvimento Profissional Paulo Marques Coordenador-Geral de Educação a Distância Carlos Eduardo dos Santos Conteudista/s Julierme Rodrigues da Silva (conteudista, 2019) Curso produzido em Brasília 2019. 3Enap Fundação Escola Nacional de Administração Pública 1. Lei Geral de Proteção de Dados Pessoais Brasileira ....................... 5 2. Necessidade de Implementação versus Legislação e Aplicabilidade .................................................................................. 7 Sumário 4Enap Fundação Escola Nacional de Administração Pública 5Enap Fundação Escola Nacional de Administração Pública 1. Lei Geral de Proteção de Dados Pessoais Brasileira A globalização e o rápido avanço tecnológico dos meios de comunicação apresentam novas oportunidades como o comércio internacional no espaço cibernético e o compartilhamento em nível mundial de dados e informações para realização de pesquisa e desenvolvimento. Com as oportunidades, vêm também os desafios de prover um intercâmbio de dados e informações de maneira segura e confiável sem expor os dados dos cidadãos, organizações e países a riscos como, entre outros, o vazamento de informações sigilosas como processo, fórmulas patenteadas, segredos de negócio; a invasão da privacidade de cidadãos; e a exposição de vulnerabilidades de fronteiras ou de infraestruturas críticas de um estado ou nação. A informação é, atualmente, um dos ativos mais valiosos para as organizações de todo o mundo, sejam elas públicas ou privadas. A Lei Geral de Proteção de Dados surgiu para atender a uma necessidade global de intercambiar dados pessoais de maneira mais segura, mitigando os riscos deste processo. O dado é considerado pessoal quando permite a identificação, direta ou indireta, da pessoa à qual o dado se refere, por exemplo: nome; sobrenome; data de nascimento; CPF; RG; CNH; carteira de trabalho; passaporte; título de eleitor; endereço residencial ou comercial; telefone; cookies; e endereço IP. Ao se identificar uma pessoa por meio de uma combinação desse tipo de dado, é possível ter acesso a algum dado sensível como origem étnica ou raça, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. A importância de se intercambiar dados pessoais e dados pessoais sensíveis de maneira segura reside na necessidade de impedir que tais dados sejam utilizados para fraudes diversas, divulgados sem autorização do titular, ou usados com intuito de discriminação ou perseguição política. Destaque h, h, h, h, Em 14 de agosto de 2018, foi sancionada a Lei nº 13.709 – Lei Geral de Proteção de Dados (LGPD) – que dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet). Para efetivar as diretrizes da governança digital, foi publicado o Decreto nº 10.332, de 28 de abril de 2020, instituindo a Estratégia de Governo Digital (EGD) constando os objetivos e iniciativas a serem alcançados no período de 2020 a 2022. A EGD 2020-2022 parte do pressuposto de que: M ód ul o O Tratamento de Dados Pessoais no Setor Público1 6Enap Fundação Escola Nacional de Administração Pública Um Governo centrado no cidadão, que busca oferecer uma jornada mais agradável e responde às suas expectativas por meio de serviços de alta qualidade. Dessa forma, nos últimos anos, o Governo Brasileiro tem acelerado o processo de transformação digital, no intuito de cumprir o compromisso de simplificar e ampliar a oferta dos serviços públicos. O propósito da EGD é orientar e integrar as iniciativas de transformação digital dos órgãos e entidades do Poder Executivo Federal, por meio da expansão do acesso às informações governamentais, da melhoria dos serviços públicos digitais, da proteção de dados dos cidadãos e da segurança das plataformas de governo digital. O documento Estratégia Brasileira para Transformação Digital (e-Digital) segue nesse mesmo caminho, como podemos constatar nos trechos introdutórios do documento transcritos a seguir: As rápidas transformações na economia e na sociedade proporcionadas pelo ambiente digital impõem novos desafios à atuação do governo. As ações estratégicas definidas têm foco no papel do governo como habilitador e facilitador dessa transformação digital no setor produtivo do país, na capacitação da sociedade para essa nova realidade, e na atuação do Estado como prestador de serviços e garantidor de direitos. As tecnologias digitais estão cada vez mais presentes na vida de todos: em casa, no trabalho, nas escolas, nos meios de comunicação e nas relações sociais. Para que o Brasil possa tirar pleno proveito da revolução digital, colhendo todos os benefícios que a sociedade da informação e do conhecimento tem a oferecer, a economia nacional deve se transformar, com dinamismo, competitividade e inclusão, absorvendo a digitalização em seus processos, valores e conhecimento. A economia do futuro será digital e deverá alcançar todos os brasileiros. Não é possível conceber uma economia moderna e dinâmica que não proporcione igualdade de oportunidades em todas as regiões do País. 7Enap Fundação Escola Nacional de Administração Pública Nesse momento de transformação digital no qual o Brasil se situa, a oferta de produtos, serviços e informações de governo por meio digital deve vir acompanhada do respectivo desenvolvimento e implementação de medidas de segurança capazes de assegurar a adequada proteção dos dados pessoais que são necessariamente tratados pelos produtos ou serviços ofertados, garantindo assim direitos constitucionais como a privacidade, intimidade e a inviolabilidade da honra e da imagem das pessoas. Além disso, propriedades como a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação em nível nacional, precisam ser asseguradas, conforme disposto pelo caput do art. 1º do Decreto nº 9.637, de 26 de dezembro de 2018. Logo, o Brasil apresenta a LGPD como forma de enfrentar os desafios apresentados pelos avanços da era digital e, ao mesmo tempo, assegurar direitos constitucionais. Além disso, é preciso considerar o contexto transfronteiriço do espaço cibernético, no qual o Brasil necessita se posicionar como fornecedor e consumidor de informações seguras, considerando todos os aspectos da soberania nacional. A LGPD altera o arcabouço legal brasileiro, apresentando novos conceitos, trazendo novas obrigações para a Administração Pública (AP) e fortalecendo os direitos dos titulares de dados. A AP, no papel de custodiante dos dados dos cidadãos, deve fornecer a segurança necessária para proteger adequadamente os dados que custodia e/ou trata. 2. Necessidade de Implementação versus Legislação e Aplicabilidade Visão Geral sobre Medidas de Segurança A Administração Pública, como custodiante dos dados dos cidadãos, deve assegurar nível de segurança apropriado para proteger os dados custodiados e/ou tratados.Para que esse nível de segurança seja alcançado, é imprescindível que os órgãos e entidades da AP se adequem ao disposto na LGPD. Para isso, é necessária a implementação das medidas de segurança dispostas no artigo 46 da LGPD, para se prover o nível de proteção adequado aos dados e aos tratamentos que pretendem realizar ou já realizam, no âmbito das suas competências legais e/ou de políticas públicas que executam. A implementação dessas medidas conduzirá o órgão à conformidade com a LGPD. Destaque h, h, h, h, Segundo o inciso VIIdo caput do art. 6º da LGPD, segurança é a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”. Logo, quando falamos de medidas de segurança estamos falando de medidas técnicas ou de medidas administrativas. 8Enap Fundação Escola Nacional de Administração Pública Conheça, a seguir, uma metodologia para que os órgãos públicos identifiquem quais medidas de segurança precisam ser implementadas para reduzir o nível de risco ao qual o órgão, na condição de agente de tratamento, está exposto. Vamos aprender, a partir de uma abordagem prática, como o órgão público vai aplicar internamente as determinações constantes da LPGD, do ponto de vista das medidas de segurança. Escopo de Aplicação do Tratamento de Dados Pessoais Antes de decidir pela implementação de quaisquer medidas de segurança, é necessário que o órgão público identifique a aplicabilidade da Lei, seu escopo de atuação enquanto órgão público, bem como as limitações (vedações) às quais está submetido. Os artigos 3º e 4º da LGPD tratam desses assuntos. Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: I - a operação de tratamento seja realizada no território nacional; II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional. Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II - realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei; III - realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. 9Enap Fundação Escola Nacional de Administração Pública §1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei. § 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste artigo. § 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais. § 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público. Destaque h, h, h, h, A LGPD não revoga ou impede a aplicação de normas setoriais que também regulamentam dados pessoais, que devem continuar sendo observadas. Do Consentimento A regra geral estabelecida pela LGPD é de que as operações de tratamento somente poderão ocorrer mediante o fornecimento de consentimento pelo titular dos dados. Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o fornecimento de consentimento pelo titular; Art. 11 O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; 10Enap Fundação Escola Nacional de Administração Pública Porém, os artigos 6, 7, 9, 11 e 26 da LGPD preveem para a AP a prerrogativa de tratar dados sem o consentimento do titular, desde que seja para a execução de políticas públicas, devidamente estabelecida em lei ou para o cumprimento de obrigação legal ou regulatória pelo controlador. Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: II- sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: b) tratamento e uso compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; Art. 6º, incisos, I, III, e X: O tratamento de dados deve possuir “propósitos legítimos, específicos, explícitos e informados ao titular”, deve ser “limitado ao mínimo necessário para a realização das suas finalidades” e a AP deve “demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais”. Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: II - para o cumprimento de obrigação legal ou regulatória pelo controlador; III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva, acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso: I – finalidade específica do tratamento; Art. 26. O uso compartilhado de dados pessoais pelo poder público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei. 11Enap Fundação Escola Nacional de Administração Pública Vale ressaltar que, apesar de a AP possuir essa prerrogativa, todas as obrigações e direitos da Lei nº 13.709 deverão ser observadas. Art. 7°, §6º: A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular. 1. 1. Lei Geral de Proteção de Dados Pessoais Brasileira 2. Necessidade de Implementação versus Legislação e Aplicabilidade
Compartilhar