1

Impactos da Lei de Proteção de dados pessoais em governos e órgãos públicos

A Lei Brasileira de Proteção de Dados, 13.709 de 14 de agosto de 2018, entrou em vigor no Brasil, influenciada pela General Data Privacy Regulation, a GDPR, regulamento europeu que entrou em vigor em maio do mesmo ano na Europa. A norma se aplica não apenas ao tratamento feito por pessoa natural, mas por pessoas jurídicas de direito público e privado.

O art. 3º da norma estabelece que a Lei aplica-se às operações de tratamento de dados realizadas por pessoas jurídicas de direito publico, independentemente do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional, haja a oferta de bens e serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou mesmo os dados tenham sido coletados em território nacional.

O primeiro passo para prefeituras, governos e órgãos públicos é identificar em “qual ator”, segundo a Lei, o órgão se enquadra. Pode ser controlador, a quem compete às decisões referentes ao tratamento de dados. Pode ser operador, que realiza o tratamento de dados em nome do controlador.

De acordo com o agente de tratamento identificado, obrigações diferenciadas são exigidas e tudo precisa estar claro para que um plano de conformidade possa entrar em ação.

Também deve identificar a natureza dos dados tratados, que podem ser “dado pessoal”, “dado pessoal sensível”, “dado anonimizado”, etc. Como é sabido, de acordo com a natureza de dados, proteções e medidas diferenciadas são exigidas, daí porque a necessidade de identificá-los, conhecendo os ciclos existentes para os mesmos.

A norma estabelece 10 (dez) princípios que devem ser seguidos para o tratamento de dados pessoais, sendo eles finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

O art. 17 da norma constitui claramente que o titular (cidadão) ainda tem direito de obter a relação dos dados tratados, e outros direitos, como acesso a dados, confirmação de tratamento, correção de dados incompletos, portabilidade de dados, eliminação dos dados, informação sobre as entidades públicas e privadas que o controlador realizou uso compartilhado de dados e revogação do consentimento.

A Lei estabelece que a resposta às requisições dos titulares serão em formato simplificado, imediatamente ou por meio de declaração clara e completa fornecida no prazo de 15 (quinze) dias, contado da data do requerimento do titular. Os órgãos da administração pública deverão criar estes canais para requerimento dos titulares.

Ainda, o titular dos dados (cidadão) tem direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizados de dados pessoais, e o controlador deverá fornecer, sempre que solicitadas, informações clara a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada.

As Prefeituras, Governos e Órgãos públicos deverão indicar um Data Potection Officer (Encarregado de proteção de dados). Ele terá a função de se relacionar a atender os requerimentos de titulares, receber e se relacionar com a autoridade de proteção de dados, criar campanhas de orientação a funcionários, colaboradores e programas de proteção de dados e executar atribuições do controlador.

Importante dizer que o controlador deverá comunicar a autoridade nacional e ao titular dos dados sempre que ocorrência um incidente de segurança que possa acarretar risco ou danos relevantes aos titulares.

No que diz respeito à sanções, embora as empresas e órgãos públicos não estejam sujeitas à multa, como visto, poderão sofrer outras sansões administrativas e até mesmo judiciais. Estima-se que ações judiciais cresçam neste sentido. Não bastasse podem sofrer sensações dispostas na Lei  nº 8.112, de 11 de dezembro de 1990 (Estatuto do Servidor Público Federal), na Lei nº 8.429, de 2 de junho de 1992 (Lei de Improbidade Administrativa), e na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).

Desta feita, é indispensável que a entidade implemente no âmbito do plano de governança as políticas de segurança, a gestão de consentimento, planos de impacto e um fluxo de comunicação entre os integrantes no tratamento de dados, estando apta a registrar todas as atividades, que poderão ser usadas diante de um incidente ou resposta a questionamentos, evitando-se responsabilizações.

A Lei, já em vigor, torna-se aplicável em fevereiro de 2020. Pode parecer muito tempo, mas é indispensável que imediatamente as empresas públicas, autarquias, sociedades de economia mista e órgãos da administração pública iniciem esforços para um plano de ação para conformidade. Fica evidente que o investimento em estruturação e programa de governança, risco e compliance, devidamente implementado constitui claramente investimento necessário à administração, de modo manter-se em estrita conformidade com princípios da administração pública e aos ditames da nova Lei, evitando-se prejuízos à máquina pública e aos próprios cidadãos.

José Antonio Milagre é Consultor, Palestrante em inovação, compliance e influência, Mestre e Doutorando em Ciência da Informação pela UNESP, Advogado especialista em dados, diretor do IPDIG – Instituto de Perícias Digitais, e criador do blog direito e dados www.josemilagre.com.br/ Fundador do IDCI – Instituto de Defesa do Cidadão na Internet, atuando em todo o Brasil no suporte técnico e apoio emocional a vitimas de crimes cibernéticos. Desenvolve projetos para conformidade e proteção de dados em empresas e órgãos públicos do Brasil e América Latina. WhatsApp: (11) 98105-6959 Facebook e Instagram: @josemilagreoficial

Adquira já este E-book! Acesse: https://pages.hotmart.com/m11147874u/livro-lei-brasileira-de-protecao-de-dados-pessoais-o-que-governos-prefeituras-e-orgaos-publicos-precisam-saber-sobre-a-norma/

Inscreva-se também no nosso curso EAD AO VIVO:

[IMPERDÍVEL: CURSO GDPR – TURMA 3 – 2019] A Autoridade Nacional de Proteção de Dados foi criada pela Medida Provisória 869 de 28/12/2018.

Torne-se um consultor em privacidade e proteção de dados pessoais diante do novo cenário regulatório. Prepare sua empresa ou negócio, evite penas e crie um importante diferencial. Após o sucesso das primeiras turmas, as inscrições estão abertas para o:

Curso EAD AO VIVO: GDPR e Lei de Proteção de Dados Pessoais: Implementando a Conformidade em Empresas e Órgãos Públicos – TURMA 3.

Inovações, impactos e como implementar a conformidade em empresas, negócios digitais e órgãos públicos.

Início em 28/01/2019. Vagas Limitadas. Turma EAD ao Vivo. Um dos cursos mais bem avaliados do Brasil. Certificado de conclusão.
Primeira Certificação LPDP do Brasil em aplicação em 2019.

🔑Faça como muitos profissionais! Inscreva-se agora:
https://bit.ly/2Ej6SFr