Por temerem a aplicação de pesadas sanções, inclusive pecuniárias (que podem chegar a 2% do faturamento, limitado a R$50 milhões por infração), as grandes empresas privadas introduziram em suas realidades os conceitos e princípios trazidos pela Lei Geral de Proteção de Dados (LGPD) e já realizam, inclusive, a revisão dos procedimentos de compliance.
No entanto, a situação no setor público é totalmente diferente. A maioria dos órgãos públicos, mesmo após 05 anos da sanção presidencial da LGPD, sequer iniciou o mapeamento inicial dos dados pessoais que realizam tratamento ou, apenas, adotaram singelas alterações em relação ao setor de tecnologia da Informação conforme cirurgicamente foi apontado no Acórdão no 1384/2022 – TCU- Plenário, que concluiu que uma em cada quatro das organizações públicas federais ainda não possui Política de Segurança da Informação, sendo que, a ampla maioria delas, 77% (31% não identificaram e 46% identificaram parcialmente), não identificou todas as categorias de titulares de dados pessoais tratados. Apenas 33% das organizações analisadas conduziram análise de riscos e, somente 18% das organizações possuíam Política de Proteção de Dados Pessoais ou documento similar.
Contudo, a revolução digital tão anunciada pelo setor público trouxe consigo, não apenas avanços tecnológicos, mas também novos desafios e responsabilidades. A aplicação da LGPD tornou-se um fator crítico para garantir a privacidade, segurança e confiança dos cidadãos.
O Compliance Digital se desenvolve na conformidade com leis, regulamentos e diretrizes que regem a proteção de dados, cibersegurança e privacidade em ambientes digitais, com fundamento em regras da LGPD e, dentre outras, normas como a ISO 27001, bem como diretrizes estabelecidas pela Autoridade Nacional de Proteção de Dados e por órgãos regulatórios.
No setor público, onde a coleta e o tratamento de dados são inerentes à prestação de serviços, o compliance digital desempenha um papel crucial. Seu objetivo é mitigar riscos de violações de dados, assegurar a transparência e promover a responsabilidade dos órgãos governamentais em relação aos fluxos de dados pessoais.
Neste contexto, a LGPD atribuiu responsabilidade direta e objetiva aos órgãos públicos pelo tratamento adequado dos dados pessoais. Isso envolve, no mínimo, a nomeação de um Encarregado de Proteção de Dados (DPO) e a capacidade de prestar contas em caso de incidentes.
Importante observar que, na LGPD, há todo um capítulo destinado aos órgãos públicos e, em recente decisão do STF, proferida em 15/09/22 (ADPF 695), estabeleceu-se que, os agentes estatais podem ser responsabilizados por crime de improbidade administrativa caso não observem os princípios da LGPD no compartilhamento de dados pessoais entre os órgãos públicos e não forneçam a devida publicidade ao titular de dados sobre a finalidade do tratamento de seus dados pessoais e o cumprimento da LGPD.
Portanto, se no setor privado se teme a aplicação de pesadas sanções pecuniárias, nos órgãos públicos deverá haver a preocupação pessoal dos gestores que poderão responder por eventual crime de improbidade administrativa caso o órgão, a que sejam responsáveis, não esteja em conformidade com as normas de proteção de dados pessoais.
A decisão proferida pelo STF enfatiza que o compartilhamento de dados pessoais entre órgãos públicos deve obedecer a critérios rígidos, incluindo a indicação de propósitos legítimos, a compatibilidade do tratamento com as finalidades informadas, a limitação do compartilhamento ao mínimo necessário e o cumprimento de requisitos, garantias e procedimentos estabelecidos na LGPD. Além disso, destaca a necessidade de publicidade sobre o compartilhamento de dados e a necessidade de justificar formalmente, com base na proporcionalidade e razoabilidade, a inclusão de novos dados na base de dados pessoais.
Portanto, é fundamental que os entes públicos estejam em conformidade com a LGPD, pois o simples descumprimento da lei pode resultar em sanções, tanto criminais quanto administrativas, além da responsabilidade por danos causados aos cidadãos. A transparência e a conformidade com a LGPD são componentes essenciais para uma administração pública confiável e eficiente na era digital.
Segundo relatório publicado pela ANPD em agosto deste ano, a autarquia recebeu 20 denúncias em face do setor público. Destaque-se, no entanto, que a maior parte dos procedimentos instaurados pela ANPD em 2022 (9 dos 15) foram relativos a órgãos públicos. Contudo, este quadro poderá aumentar, significativamente, quando ingressaremos na corrida pela acirrada disputa nas eleições de 2024 pelas Prefeituras brasileiras.
No entanto, a despeito dos enormes desafios encontrados, essa jornada também representa uma oportunidade para modernizar processos, aumentar a confiança dos cidadãos e reforçar a proteção dos direitos individuais pelo Estado.
O Compliance Digital, impulsionado principalmente pela LGPD, emerge como um pilar central da governança no setor público em meio à era digital. A proteção dos dados pessoais, a transparência e a responsabilidade são componentes vitais para a construção de uma Administração Pública confiável e eficiente. A adaptação à LGPD ao setor público não apenas responde à uma obrigação legal, mas, também, demonstra o comprometimento em respeitar os direitos dos cidadãos em um ambiente digital em constante evolução. Ao enfrentar os desafios e aproveitar as oportunidades, o setor público pode moldar um futuro em que a inovação e a privacidade coexistam sinergicamente.
*Rosana Pilon Muknicka e Henrique Checchia são sócios do Muknicka Advogados
