A Aplicação da LGPD no Setor Público e os Mecanismos de Fiscalização

Autor: Fernando Medici (*)

Sancionada em 2018, em vigor desde 2020, a Lei Geral de Proteção de Dados (LGPD) reflete o compromisso do Brasil em adotar padrões internacionais de privacidade e segurança de dados, com forte inspiração na legislação europeia General Data Protection Regulation (GDPR)[1].

Embora muito se fale em sua aplicação no setor privado, a LGPD igualmente obriga órgãos e outros entes do setor público, incluindo prefeituras, câmaras municipais, autarquias e demais órgãos governamentais, nos termos do parágrafo único do art. 1º, bem como seu art. 3º, reproduzidos a seguir:

"Art. 1º, Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios."

"Art. 3º. Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: (...)"

Um dos aspectos mais importantes da LGPD é a necessidade de que dados pessoais só possam ser tratados mediante uma base legal válida, como o consentimento do titular, cumprimento de obrigação legal ou regulatória, ou a execução de políticas públicas e na prestação de serviços essenciais. Naturalmente, em suas atividades, órgãos e entes públicos necessitam de grandes volumes de dados para exercer adequadamente atribuições e competências legítimas, mas tal situação pode abrir espaço para excessos e abusos, como o uso indevido para finalidades políticas ou negligências na proteção contra possíveis vazamentos.

Em face de todas essas questões, diversos órgãos têm papel ativo na fiscalização da LGPD no setor público, como a Autoridade Nacional de Proteção de Dados (ANPD), o Tribunal de Contas da União (TCU), os Tribunais de Contas Estaduais (TCEs), os poucos Tribunais de Contas Municipais (TCMs) e órgãos de controle interno federais, estaduais e municipais.

Como principal órgão de fiscalização e regulação da LGPD, a ANPD tem como atribuições orientar, educar, receber relatórios de vazamento, fiscalizar e garantir o cumprimento dessa legislação, entre outras. Cabe ressaltar que a agência tem intensificado seus esforços fiscalizatórios recentemente, principalmente à medida que busca ser designada como órgão regulador da Inteligência Artificial no país. Caso esse cenário se comprove, seu orçamento deve aumentar, o que certamente irá se refletir em maiores ações de controle[2].

Por sua vez, o TCU tem o papel de fiscalizar a aplicação da LGPD em qualquer órgão, entidade ou empresa que utilize recursos federais. Ademais, o TCU estabelece diretrizes para as ações dos Tribunais de Contas Estaduais (TCEs) e os Tribunais de Contas Municipais (TCMs), por meio de sua Cartilha de Governança em Proteção de Dados para Municípios, feita por meio da Rede Governança Brasil (RGB) e o Instituto Latino-Americano de Governança e Compliance Público (IGCP). Tal documento traz orientações quanto à aplicabilidade da LGPD, mecanismos de governança e controle, entre outros[3].

Como parte de seus esforços de fiscalização, o TCU estabeleceu previsão na Ação 29 do seu Plano Anual de Trabalho 2024 da Rede integrar realizar auditorias em parceria com os Tribunais de Contas Estaduais, o que contou com a adesão de nove TCEs (TCE-AM, TCE-BA, TCE-CE, TCE-PA, TCE-PE, TCE-PR, TCE-RJ, TCE-RN e TCE-SC), o que tem incentivado maior fiscalização sobre a adequação à LGPD por parte destes Estados e os seus municípios[4].

Em 2024, seu principal método de avaliação tem sido a autoavaliação de controles internos (do inglês Control Self-Assessment – CSA), no qual disponibiliza um questionário para preenchimento dos gestores acerca da implementação de medidas para assegurar a conformidade com a LGPD, incluindo evidências a todas as alegações[5].

Ainda assim, em todos os níveis da Federação ainda existe uma grande lacuna na Proteção de Dados. Por exemplo, em 2021 (um anos após o início da vigência da LGPD, ainda que não de todos os seus dispositivos), 76,7% das organizações públicas federais apresentavam graus inexpressivos ou iniciais de adequação à LGPD, conforme consta no Acordão 1.384/2022 do Plenário do TCU, de relatoria do Ministro Augusto Nardes, que inclui ainda o seguinte gráfico de suas aferições[6][7]:

Figura 1 - Gráfico “Grau de adequação das organizações auditadas à LGPD” - Fonte: BRASIL. Tribunal de Contas da União. Acórdão nº 1.384/2022. Plenário. Relator: Ministro Augusto Nardes.

Ademais, Órgãos Internos de Controle como Controladorias Gerais Estaduais e Municipais também têm prerrogativas para fiscalizar questões de privacidade e proteção de dados, principalmente com base na LGPD, com base na previsão do art. 74 da Constituição Federal.

Diante de tamanha estrutura para fiscalização e a clara previsão da LGPD de que o setor público também tem obrigações de privacidade e proteção de dados, é possível notar o potencial e tendência de grande aumento da fiscalizações, auditorias e eventuais punições administrativas.

Assim, a aplicação da LGPD no setor público se revela um grande desafio, mas esforço essencial para garantir a privacidade e a proteção dos dados pessoais em face da crescente digitalização das atividades públicas e governamentais. Embora existam diversos mecanismos de fiscalização e auditoria, como os exercidos pela ANPD, o TCU e outros órgãos de controle, ainda há lacunas na implementação da LGPD em instituições públicas. Superar tais deficiências demanda maior capacitação, fiscalização, auditoria e recursos, bem como um compromisso contínuo com a transparência e a governança em relação aos dados dos cidadãos.

*FERNANDO MEDICI

Advogado graduado pela Universidade Prebsteriana Mackenzie (2014);

- Pós- graduado em Direito Penal Econômico pela FGVLaw;(2021);

-Mestre em Direito Político e Econômico pela Universidade Presbiteriana Mackenzie (2021);

-Doutorando em Direito Político e Econômico pela Universidade Presbiteriana Mackenzie;

-Especializado em Compliance e Lei Geral de Proteção de Dados (LGPD);

-Pesquisador Não-Residente do Center for Latin American and Latino Studies (CLALS) da American University, em Washington, DC;

-Atualmente, atua como professor na Faculdade Anclipeva de Gestão e Humanologia (FAGH);- Membro da Comissão de Economia Digital e Regulação do Instituto dos Advogados de São Paulo (IASP);

-Autor do livro "Accountability Horizontal no Sistema Brasileiro - Análise e Perspectivas.

Nota do Editor:

Todos os artigos publicados no O Blog do Werneck são de inteira responsabilidade de seus autores.