A proteção de dados é um dos direitos fundamentais mais essenciais numa sociedade moderna, motivo pelo qual encontra-se devidamente esculpida na carta constitucional brasileira.
É indiscutível que a sociedade deve estar sempre atenta a qualquer ameaça a seus cidadãos, seja ela interna ou externa, sempre preservando e protegendo a privacidade de seus membros, valor fundamental para uma sociedade democrática e que deve estar disponível para todas as pessoas em bases iguais.
Devido a ampla gama de serviços e empresas que o setor público abrange, existe um requisito natural de manter e compartilhar uma enorme quantidade de dados pessoais, os quais podem se referir a qualquer coisa que identifique uma pessoa, incluindo fotografias, nome e data de nascimento, endereço residencial, dependentes, origem racial ou étnica, crença religiosa, condições de saúde, gênero etc.
As organizações do setor público geralmente lidam com pessoas muito vulneráveis, sendo um claro exemplo disto informações relacionadas à segurança pública, o que impõem a este tipo de questão um aspecto muito mais crítico, acarretando no imperativo de manter informações pessoais na mais perfeita segurança.
Dados pessoais são compartilhados regularmente durante o curso normal de atividades e negócios, implicando assim na necessidade das organizações públicas e privadas serem responsáveis pela proteção da privacidade em qualquer situação.
Neste diapasão, é essencial que existam políticas e procedimentos para armazenamento e compartilhamento de dados, mas, infelizmente, em um setor amplo, onde os órgãos públicos geralmente têm poucos recursos e trabalham com restrições orçamentárias rígidas, esses procedimentos podem apresentar falhas ou nem mesmo existirem.
No Brasil, apesar de preocupante morosidade legislativa e após quase uma década de discussões, foi criada a Lei Geral de Proteção de Dados (Lei 13.709/18), aprovada em 14 de agosto de 2018 e que encerrará seu prazo de adequação em 16 de fevereiro de 2020.
A nova lei apresenta aspectos bastante significativos na proteção de dados pessoais, o que implica que as organizações privadas e públicas estarão sujeitas a um exame mais minucioso na manipulação de dados pessoais.
Embora o setor público esteja sujeito a algumas exceções em relação ao setor privado, a necessidade de conformidade ainda é fundamental. As organizações serão responsabilizadas muito mais pelos dados que possuem, devendo poder comprovar conformidade em todas as transações com indivíduos.
As organizações do setor público coletam e mantêm grandes quantidades de dados, muitos dos quais de natureza sensível. No entanto, um problema comum que também é relevante para o setor privado é a relevância dos dados que eles possuem.
Frequentemente, as bases de dados e os sistemas de arquivamento são sobrecarregados com grandes quantidades de informações, muitas delas desatualizadas e desnecessárias.
Neste aspecto, é importante que as organizações sejam desafiadas a identificar para que servem os dados, usando a Lei Geral de Proteção de Dados como uma oportunidade para reexaminar suas bases de informações e criar rotinas mais consistentes e eficazes de coleta, tratamento e armazenamento de informações.
Com o aumento dos dados, surge a necessidade de sistemas mais robustos para lidar com o volume e garantir a proteção segura dos dados, e é aí que muitas organizações falham, pois a tecnologia herdada geralmente está desatualizada e não está equipada para atender aos novos requisitos.
Como já mencionamos, o setor público está sujeito a algumas exceções à regulamentação que o setor privado não está, muito embora a Lei Geral de Proteção de Dados estabeleça um controle muito maior aos titulares dos dados, permitindo às pessoas uma maior visibilidade de suas informações com o direito de acessá-las mediante solicitação.
Assim, mesmo os órgãos públicos devem ser capazes de atender a essas solicitações em tempo hábil, pois todas as pessoas têm o direito de solicitar o acesso a suas informações pessoais e as organizações são obrigadas a responder os pedidos que lhe forem encaminhados.
Os órgãos públicos precisarão garantir a existência de sistemas robustos de processamento de dados para lidar com os novos direitos ao titular dos dados, o que certamente criará trabalho administrativo adicional para todas as organizações e entidades da esfera pública.
É importante destacarmos que a Lei Geral de Proteção de Dados aplica-se às pessoas naturais e as pessoas de direito público e privado, muito embora seja necessário observar-se algumas peculiaridades para cada um destes setores no que tange as rotinas de tratamento de dados pessoais.
A Lei Geral de Proteção de Dados apresenta, em seu Capítulo IV, nove artigos, onde faz a abordagem do tratamento de dados pessoais pelo Setor Público.
Mas é de todo essencial que qualquer interpretação daquele texto legal, deva ser realizada em conformidade com o que está descrito em seu artigo 23, onde é feita menção direta a Lei de Acesso a Informação.
Assim, a finalidade a que está vinculado determinado tratamento dos dados pessoais, se em regime de mercado, concorrencial ou se para a consecução de políticas públicas, é que determinará se o ente deve atender aos requisitos exigidos para o setor privado ou para o setor público previstos na Lei Geral de Proteção de Dados.
Apenas nos casos em que a finalidade do tratamento for a persecução do interesse público, os órgãos do setor público deverão atender o Capítulo IV da lei Geral de Proteção de Dados.
Com a inclusão do setor público no espectro da Lei Geral de Proteção de Dados, os órgãos da administração pública necessitam adequar-se, o que implica investir na segurança dos dados que detêm.
Nem é preciso lembrarmos que se torna prática inconcebível a comercialização de dados pessoais com destinação diferente daqueles aos quais foram coletados, com destaque principalmente a informações destinadas a identificação civil comumente compartilhadas com empresas que atuam no setor financeiro, bem como informações pessoais relacionadas a ocorrências registradas por órgãos policiais.
Não poderíamos deixar de chamar a atenção para o uso de câmeras de vigilância pelo setor público, o qual tem se expandido por uma grande quantidade de estados e cidades no país.
Neste aspecto é importante destacarmos que estes dados são pessoais e protegidos pelo direito de imagem previsto no Código Civil, o que implica na necessidade de que o órgão público que o colete se torne responsável pelo seu uso dentro da finalidade a que se destine, inclusive no que diga respeito a divulgação de dados pessoais contidos em bases de dados para registro de ocorrências.
No inciso III do artigo 4º da Lei Geral de Proteção de Dados estão estabelecidas todas as hipóteses em que não ocorre a incidência daquele diploma legal quando o tratamento de dados pessoais for realizado para fins exclusivos de: a) Segurança pública; b) Defesa nacional; c) Segurança do Estado; ou d) Atividades de investigação e repressão de infrações penais.
No entanto, o tratamento dos dados nos casos enumerados no art. 4º, III, exige legislação específica e a obrigação de observância a todos os princípios constitucionais vinculados àquela matéria.
Corolário de todos os aspectos acima expostos é que os órgãos públicos precisarão planejar e agendar avaliações de risco regulares para identificar quaisquer deficiências nos sistemas de processamento de dados, a fim de garantir a segurança contínua dos dados sob sua responsabilidade.
É imperativo que os órgãos públicos aproveitem a oportunidade para identificar todas as pessoas nas organizações que atuam com dados, especialmente aqueles mais sensíveis e garantam que eles sejam totalmente treinados e conhecedores das nuances legais.
O público recém-habilitado também poderá se opor ao processamento de seus dados que são de interesse público, a menos que o órgão público que o colete possa provar que as informações são necessárias para esse fim.
Indubitavelmente, um problema comum no setor público é que muitas pessoas não possuem conhecimento técnico adequado, o que implicará na necessidade de que as organizações devam ser capazes de fornecer consentimento e gerenciamento de consentimento, tanto em cópia impressa quanto online, num processo extremamente fácil de ser compreendido, livre de jargões e sem a necessidade de conhecimento em informática.
De todo o exposto, torna-se inequívoca a necessidade da aplicação da proteção de dados a todos os órgãos da administração pública, sem que ocorram singelas alegações de que os dados armazenados servirão apenas para a consecução de políticas públicas, afirmação está cujo ônus da prova caberá ao ente público que a invocar.
Inequívoco que a Constituição não distinguiu a proteção de dados no setor privado ou no setor público, motivo pelo qual a legislação ordinária não o poderia fazer.
Assim sendo, em obediência a legislação, fica evidenciada a necessidade de ocorrer a limitação no uso de dados pela Administração Pública especificamente às finalidades inerentes à prestação do serviço que disponibilizar, em plena obediência aos ditames constitucionais vigentes.
No que diz respeito à serviços de segurança pública, importante destacarmos que o consentimento prévio comprometeria a efetividade do serviço, levando assim a forçosa conclusão de que neste caso a coleta será feita sem consentimento, desde que o uso dos dados coletados fique restrito à finalidade específica que gerou a sua obtenção, impondo-se plena observação dos princípios da necessidade e da proporcionalidade.
Fato é que algumas situações específicas podem gerar algumas dúvidas quanto a aplicação da Lei Geral de Proteção de Dados em situações que envolvam a segurança pública, tal como a utilização de dados de mobilidade de um cidadão por órgãos policiais durante uma investigação.
Este tipo de dúvida deverá ser esclarecido com a aplicação das hipóteses que estiverem expressamente previstas em lei, justamente como ocorre nas situações estabelecidas na Lei de Lavagem de Dinheiro (Lei nº 9.613, de 3 de março de 1998) e na Lei de Combate ao Crime Organizado (Lei nº 12.850, de 02 de agosto de 2013), limitando-se o uso dos dados as finalidades para as quais a coleta esteja prevista ou mediante necessária autorização judicial.
Desta forma, os dados coletados para fins de segurança pública jamais deverão ser usados para qualquer outra finalidade e em hipótese alguma cedidos para quaisquer outros órgãos governamentais com finalidades distintas daquelas inicialmente previstas.
Há que ser destacado que a legislação em matéria de proteção de dados não prejudica de forma alguma os interesses legítimos dos órgãos de segurança pública no que diz respeito à proteção do cidadão na esfera da segurança pública.
Se os dados forem necessários para um efeito específico e legítimo, poderão ser utilizados, desde que para a finalidade indicada e devidamente acompanhados das ações que assegure a garantia da proteção de tais informações, o que implica na inderrogável necessidade de que a informação seja coletada, partilhada e processada apenas em função de necessidades concretas, tendo sempre em vista os princípios em matéria de proteção de dados.
Pode parecer que a Lei Geral de Proteção de Dados será um pesadelo logístico para a administração pública, no entanto, isso não precisa ser o caso.
Deve ser adotada a visão de que a nova lei será uma oportunidade para separar dados valiosos de informações desatualizadas ou indesejadas e de bases de dados limpas, facilitando a manutenção da qualidade sobre dados de quantidade desnecessários, permitindo que os indivíduos controlem suas próprias informações e oferecendo uma grande oportunidade para as pessoas gerenciarem os detalhes sobre eles.
As organizações do setor público devem se concentrar no fator mais importante, o titular dos dados, enquanto também aproveitam a oportunidade para limpar um acúmulo de informações desnecessárias e fornecer um serviço melhor, confiante e mais seguro ao público.
Não há dúvida de que isso será um desafio para a administração pública, a qual precisará considerar níveis de recursos, tecnologia herdada, treinamento e procedimentos gerais como parte do processo, dando plena efetividade às disposições que a nova legislação de proteção de dados busca implementar no país.
