A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei Nº 13.709/2018, dispõe sobre o tratamento de dados pessoais, em meios digitais e não digitais, por pessoas naturais ou jurídicas de direito público ou privado e tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Atualmente, mais do que nunca, a informação é um dos ativos mais valiosos para organizações em todo o mundo, sendo utilizada, inclusive, como moeda. Nesse contexto, a Lei Geral de Proteção de Dados Pessoais brasileira surgiu como medida para inserir nosso país no contexto global de preocupação com a necessidade de realizar tratamento de dados de forma mais segura.
Desde o início, resta evidente que a LGPD abrange a atuação dos órgãos públicos. Logo, as Câmaras Municiais, independente do porte do Município, devem se adequar.
Com efeito, as Câmaras Municipais realizam tratamento de dados pessoais nas mais diversas situações, desde o cadastro de seus servidores e fornecedores até o recebimento de projetos de lei de iniciativa popular com dados dos cidadãos participantes e, por essa razão, devem garantir nível de segurança adequado aos dados pessoais.
Importante esclarecer que dado pessoal é todo aquele que permite a identificação, direta ou indireta, de pessoa à qual o dado se refere. Exemplos: nome, documentos de identificação, endereço, telefone, rastros digitais (cookies), endereço IP, localização do celular.
Dentro do conceito de dados pessoais existe, ainda, a categoria dos dados sensíveis, que são aqueles que podem gerar algum constrangimento moral, físico ou psicológico, ou até mesmo perseguições sociais ou políticas, e que merecem uma proteção ainda maior. São os referentes à origem étnica ou raça, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, saúde, dado genético ou biométrico.
Por sua vez, tratamento de dados é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Isso requer que as Câmara Municipais implementem uma série de medidas para se adequarem ao disposto nesse novo contexto legal e a implementação dessas medidas deve acontecer de maneira estruturada e planejada, envolvendo todo o órgão público, promovendo uma verdadeira mudança na cultura organizacional.
Ademais, o descumprimento da LGPD pela Casa Legislativa pode acarretar penalidades administrativas previstas na Lei, sem prejuízo do agente público também se sujeitar às sanções da Lei 8.429/1992 (Improbidade Administrativa), da Lei 12.527/2011 (Lei de Acesso à Informação) e do regime jurídico dos servidores públicos locais.
Diante deste cenário, a conformidade com a Lei Geral de Proteção de Dados Pessoais é obrigatória e inicia pela adequação – o que pode também refletir de maneira positiva nas atividades do órgão, já que traz confiabilidade, aumento da segurança jurídica na tomada de decisão e cria condições mais favoráveis para o desenvolvimento do fluxo de dados e da segurança informacional.
Uma boa noção da adequação pode ser resumida nos seguintes passos: levantamento, objetivos, política de governança, mapa de riscos, respostas e monitoramento.
a – Levantamento: o início da implementação da LGPD passa pela identificação e análise dos dados coletados pelo órgão. Deve-se realizar um diagnóstico procurando entender quais são esses dados, porque precisa deles, como são tratados, se há gestão de consentimentos e quais dados não valem o risco do tratamento.
b – Fixar os objetivos: feito o levantamento, já é possível estabelecer os objetivos da instituição e alinhar o tratamento de dados com os objetivos traçados, identificando as necessidades da instituição.
c – Estabelecer política de governança: o estabelecimento de uma política de governança é necessário para viabilizar a avalição dos riscos.
Na verdade, ela também é essencial para que todos os requisitos necessários à proteção de dados pessoais sejam efetivados.
d – Mapa de riscos e resposta ao risco: desenvolva um mapa de riscos dos dados tratados e elabore um plano de ação considerando os investimentos que serão necessários para a adequação.
e – Monitoramento: monitore e revise os processos sempre para agir em tempo e evitar um dano. Faz parte da boa governança corporativa dos dados a revisão periódica das fases da implementação.
Além das etapas citadas acima, a adequação requer, ainda, a nomeação de um Encarregado para atuar como ponte entre os titulares dos dados, o órgão, e a Autoridade Nacional de Proteção de Dados, o que pode ser realizado através de criação de função gratificada, por exemplo, a ser conferida para servidor com conhecimento em proteção jurídica de dados.
Por fim, para colaborar com a adequação, apresento sugestão de modelo de Resolução (download aqui) para inaugurar a Política de Privacidade dos Dados Pessoais no âmbito da sua Câmara Municipal.
Lívia França Silva Leon
Procuradora Legislativa
liviafsleon@gmail.com
