Pentágono: aplicabilidade da LGPD no setor público

2.1. Introdução

O Sistema Pentágono tem como objetivo centralizar as informações de pessoas físicas e jurídicas para atender a Lei Geral de Proteção de Dados, utilizando segurança da informação para as aplicações que tratam com dados pessoais desde a sua concepção.

3.2. Desenvolvimento

A Lei Geral de Proteção de Dados brasileira (LGPD – Lei nº 13.709/18), foi sancionada, em 14 de agosto de 2018, entrou em vigor em agosto de 2020. Uma Legislação específica sobre tratamento e proteção de dados pessoais. 

A LGPD tem aplicabilidade a qualquer pessoa natural ou por pessoa jurídica de direito pública ou privada que realiza o tratamento de dados pessoais, físicos ou lógicos, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. 

A inclusão do setor público no escopo da LGPD, nos leva a investir nas questões de segurança para atuar de forma a evitar a utilização dos dados pessoais para fins diferentes daqueles para os quais foram coletados, dando ênfase aos fundamentos: 

I - o respeito à privacidade; 

II - a autodeterminação informativa e 

IV - a inviolabilidade da intimidade, da honra e da imagem. 

A LGPD não impede o setor público do tratamento dos dados pessoais, porque é uma atividade necessária e inerente ao poder público. Todavia requer observar a boa-fé e aos princípios da Lei que são: Finalidade; adequação; necessidade; livre acesso aos titulares dos dados; qualidade dos dados, os quais deverão estar corretos e atualizados; transparência; segurança; prevenção; não discriminação; responsabilidade e prestação de contas. 

Como consequência é importante que a administração pública invista em Tecnologia, Processo e Pessoas.  

O setor público através da Tecnologia da Informação deverá instituir uma política forte de segurança em TI, com atenção ainda maior para que as aplicações que tratam com dados pessoais estejam seguras desde a sua concepção. No que se refere à proteção de dados, pode-se dizer que os dados são caracterizados como pessoais, sensíveis, públicos e anonimizados. 

1. dado pessoal - informação relacionada a pessoa natural identificada ou identificável;
   • Exemplos: CPF, RG, data de nascimento, endereço, histórico de consumo e preferência de lazer. 
2. dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; 
   • Os dados sensíveis podem ser entendidos como aqueles dados que necessitam de maior cuidado e atenção. São considerados sensíveis, pois revelam informações extras sobre determinada pessoa, podendo gerar identificação e discriminação. 
3. anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. 
   • O dado anonimizado é aquele dado em que não se consegue descobrir de qual pessoa foi originado. Ressalta-se que quando o dado for anonimizado a LGPD não se aplicará a ele. 

Para que ocorra o tratamento dos dados descritos anteriormente, o cidadão deve realizar o consentimento, ou seja, a pessoa a quem se referem os dados que deve, se quiser, ao ser questionada, de forma explícita e inequívoca, autorizar que suas informações sejam usadas, pelo setor público. 

Os dados pessoais somente poderão ser realizados mediante o fornecimento e consentimento do titular. O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, sem custo e facilitado se possível eletronicamente.  

Em caso de alteração de informação no que corresponde a finalidade específica do tratamento, forma e duração do tratamento, compartilhamento de dados, o setor público deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração. 

Os dados sensíveis somente poderão ser realizados quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas. Porém de acordo com a LGPD os dados sensíveis poderá ser fornecido sem o consentimento do titular dentre vários cito alguns como:   

1. cumprimento de obrigação legal ou regulatória pelo controlador;  
2. tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; 
3. realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; 
4. proteção da vida ou da incolumidade física do titular ou de terceiro; 
5. dentre outros. 

O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse nos termos da lei. Só deverá ser realizado com o consentimento específico por pelo menus um dos pais ou pelo responsável legal. Deverá ser mantido público a informação sobre os tipos de dados coletados, a informação de sua utilização e os procedimentos para obter a relação dos dados tratados, a qualquer momento e mediante requisição. 

Justifica-se pelo direito garantido pela LGPD ao cidadão de acessar, corrigir e eliminar dados pessoais. O pedido deverá ser feito ferramenta disponibilizada pelo setor público, e com rapidez o cidadão terá o direito de: 

1. Confirmação de que existe um ou mais tratamento de dados sendo realizado; 
2. Acessos aos dados pessoais conservados que lhe digam respeito; 
3. Correção de dados pessoais incompletos, inexatos ou desatualizado; 
4. Eliminação de dados pessoais desnecessários, excessivos ou caso o seu tratamento seja ilícito; 
5. Eliminação de dados (exceto quando o tratamento é legal, mesmo que sem o consentimento do titular); 
6. Informação sobre compartilhamento de seus dados com entes públicos e privados, caso exista. 
7. Informação sobre o não consentimento, ou seja, sobre a opção de não autorizar o tratamento e as consequências da negativa; 
8. Revogação do consentimento, nos termos da lei; 
9. Oposição, caso discorde de um tratamento feito sem o seu consentimento e o considere irregular.

4.3. Conclusão

O PENTAGONO deverá ter os requisitos de: 

1. Identificar e organizar os dados pessoais, com atenção àqueles que exigem cuidados ainda mais específicos no tratamento (como os pessoais sensíveis e os sobre crianças e adolescentes); 
2. Informar ao titular, antes de efetuar o tratamento, as finalidades da ação (compatíveis com a função pública do órgão), os dados recolhidos, os destinatários dos dados e os direitos dele em matéria de proteção de dados; 
3. Divulgar de forma clara e atualizada, as hipóteses em que, no exercício de suas competências, trata dados pessoais, e a previsão legal, os procedimentos e as práticas utilizadas; 
4. Atender ao cidadão, em demandas de solicitação e revogação do consentimento e outras mais sobre como seus dados estão sendo tratados, utilizando formulário digitais simples e de fácil acesso; 
5. Canal de respostas às demandas do cidadão com agilidade; 
6. Disponibilizar os dados em formato interoperável para compartilhamento com outros órgãos públicos, quando isso for necessário para políticas e serviços públicos, descentralização da atividade pública, e para a disseminação e o acesso das informações pela sociedade;