Artigo : Agentes políticos e gestores de Câmaras e Prefeituras serão responsabilizados pelo não cumprimento da LGPD

Além das penalidades da Lei, estarão sujeitos à ações civis públicas e de improbidade administrativa, bem como rejeição de contas públicas pelos Tribunais de Contas.

Marcelo Fattori*

CEO e fundador da Seusdados Consultoria em Proteção de Dados

Políticas públicas, criação de leis, fiscalização de gastos públicos, programas sociais, e quase que a totalidade das demais ações desempenhadas pelos Poderes Executivo e Legislativo, são baseados em dados, que na maioria das vezes identificam ou podem levar a identificar pessoas.

Por força de um movimento global, capitaneado pela União Europeia, mais de 180 países possuem regulações de proteção de dados pessoais, de modo que o Brasil para garantir a sua competitividade e das empresas nacionais na economia globalizada, estava obrigado a criar sua regulação, sob pena de inviabilizar sua participação no mercado mundial.

Nesse cenário, foi promulgada a Lei n.º 13.709 de 14 de agosto de 2018, conhecida como Lei Geral de Proteção de Dados – LGPD – que está em vigor desde 14 de agosto de 2020 e tem como objetivo proteger qualquer tipo de informação que identifique ou torne identificável uma pessoa.

O hiato de dois anos entre a promulgação e vigência da Lei, foi o prazo concedido pelo legislador para que todos se adaptassem à nova regulação. Portanto, de 14 de agosto de 2020 para cá, todo órgão público que não tenha garantido a sua conformidade à Lei, está irregular e sujeito às suas penalidades.

A LGPD se aplica a todo órgão público, bem como a todas as empresas privadas, e a fiscalização do seu cumprimento se dá pela Autoridade Nacional de Proteção de Dados – ANPD – autarquia especial da administração pública federal criada pela lei, que tem a última palavra na sua interpretação, bem como conduzir o processo administrativo sancionador e aplicação de penalidades.

A ANPD foi constituída em 2020 e iniciou seus trabalhos em 2021, tendo sido criada uma agenda regulatória, e atualmente a Autoridade está em fase final do processo de regulação da dosimetria das penas, cuja aplicação deve ser iniciada nos próximos meses.

Discute-se amplamente atualmente a possibilidade das fiscalizações e decisões da ANPD retroagir até a data da entrada em vigor da LGPD, situação que pode ser bastante delicada para todos aqueles que não estão aderentes à Lei.

E um ponto relevante a ser destacado diz respeito à fiscalização, que é ativa, podendo ser realizada por qualquer cidadão, mediante denúncia à ANPD, bem como por instituições como Ministério Público, Sindicatos, Procon ´s, dentre outros, que podem, inclusive, ajuizar ações coletivas no Poder Judiciário, buscando a responsabilização do ente e dos seus agentes políticos e gestores.

Para garantir a conformidade com a Lei é preciso ter em mente que o escopo de trabalho vai muito além do olhar para os departamentos de recursos humanos e controles de acesso no órgão.

O tratamento de dados pessoais no cenário do legislativo é muito maior do que parte do mercado tem retratado englobando, a título de exemplo, projetos de lei de iniciativa popular e os dados dos signatários; dados políticos de cidadãos; dados referente a programas sociais votados pelas Câmaras e Assembleias; dados recebidos do Poder Executivo ou empresas que atuam no desenvolvimento dos programas sociais para que o Poder Legislativo possa exercer sua atribuição de fiscalização; dados tratados em CEI´s; dados utilizados na votação e fiscalização de convênios públicos e subsídios a setores produtivos e à população de baixa renda, como auxílios, subsídios para o transporte, dentre outros; dados utilizados na fiscalização de subvenções públicas e concessões.

No Poder Executivo não é diferente, a disponibilidade de dados pessoais para gestores e agentes políticos orientarem decisões, realizarem pagamentos, efetivar políticas públicas, proporcionar o atendimento à saúde, à escola, à segurança, moradia, realização de licitações de obras e serviços, enfim, todas as atividades, são imprescindíveis para atingirem seus objetivos. Em que pese a existência de bases legais (autorizações) da Lei, específicas para grande parte desses tratamentos de dados, haverá a necessidade de gerar um processo de conformidade, para mapeamento de todos os dados tratados, avaliar sua essencialidade, eliminar os dados excessivos e desatualizados, garantir a transparência, a boa-fé, a informação sempre prévia ao cidadão dos tratamentos que serão realizados, bem como cumprir os deveres de prestação de contas, garantia da segurança da informação com adoção de medidas eficazes, estabelecer um canal de atendimento a todos os direitos do titular de dados no prazo legal, dentre outras.

O desrespeito à regulação gera a possibilidade das seguintes penalidades para o ente público:

  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração;
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

E a despeito das penalidades da LGPD, que são severas e podem inviabilizar projetos, políticas públicas e próprio exercício pleno do mandato.

Aliás, o agente político e gestores públicos estarão sujeitos, ainda, na forma do artigo 52, §3º da Lei:

  • aplicação da Lei n.º 8.112/1990 – (Estatuto do Servidor Público)
  • aplicação da Lei da Improbidade Administrativa
  • aplicação da Lei de Acesso à Informação (LAI)
  • Julgamento de contas públicas em caso de violações à Lei e penalidades para o ente;

Com relação a este último item, o TCU – Tribunal de Contas da União – realizou recentemente uma auditoria em 382 organizações públicas federais, visando identificar o nível de maturidade cada uma delas em proteção de dados, e editou no acórdão TC-1384/2022 uma série de recomendações que devem ser implementadas pelos órgãos públicos e que tendem a servir como parâmetro para todo o setor público nacional.

Nos próximos artigos, traremos todas os apontamentos realizados pelo TCU de forma detalhada, aguardem.

*Advogado e especializado em Proteção de Dados e Direito Digital na Espanha e em Portugal, Marcelo Fattori é CEO e fundador da seusdados, legaltech especializada na proteção de informações das empresas, que criou o 1º CSC – Centro de Serviços Compartilhados em Proteção de Dados do Brasil, atendendo hoje mais de 150 empresas de grande porte como DPO profissional.

Integrante pesquisador do Observatório do Marco Civil da Internet – USP – FDRP e do Observatório da Proteção de Dados – FDRP – USP; membro do grupo de estudos em Proteção de Dados do Centro de Estudos das Sociedades de Advogados – CESA;

Também é presidente da Comissão de Direito Digital e Proteção de Dados da OAB de Jundiaí (2019-atualmente).
Sobre a seusdados

Criadora do 1º Centro de Serviços Compartilhados em Proteção de Dados do Brasil, a seusdados (www.seusdados.com) é uma legaltech especializada na proteção de informações e tornou-se pilar indispensável para marcas que buscam implementar boas práticas de governança. Com mais de 120 clientes em todo Brasil, a startup fornece de forma conjunta análises de vulnerabilidade na segurança da informação de empresas de diversos segmentos, gerando valor na preservação das informações pessoais dos públicos impactados por seus parceiros.