Parecer ADM nº 0033/2020

Configuração de acessibilidade

Habilitar alto contraste:

Tamanho da fonte:

100%

Orientação de acessibilidade:

Acessar a página Voltar
Ícone de acessibilidade
Este é um espaço de livre manifestação. É dedicado apenas para comentários e opiniões sobre as matérias do Portal da Câmara. Sua contribuição será registrada desde que esteja em acordo com nossas regras de boa convivência digital e políticas de privacidade.
Nesse espaço não há respostas - somente comentários. Em caso de dúvidas, reclamações ou manifestações que necessitem de respostas clique aqui e fale com a Ouvidoria da Câmara Municipal de São Paulo.

Início » Parecer ADM nº 0033/2020

Parecer n° 0033/2020

TID n.

Ref.                 Consulta formulada pela Secretaria Geral Administrativa

Assunto:        Implantação da Lei Geral de Proteção de Dados – Lei Federal nº 13.709, de 14 de agosto de 2018 – no âmbito da Câmara Municipal de São Paulo

Parecer ADM n. 033/2020

Sra. Dra. Procuradora Legislativa Supervisora,

Trata-se de consulta formulada pela Secretaria Geral Administrativa – SGA, solicitando parecer e eventual minuta de Ato acerca dos efeitos e providências necessárias no âmbito da Edilidade em virtude da vigência em agosto p.f. da Lei Geral de Proteção de Dados – Lei Federal nº 13.709, de 14 de agosto de 2018, notadamente em relação ao tratamento de dados de terceiros, como, por exemplo, os armazenados pela Administração em virtude de contratos com ela firmados ou cursos ministrados pela Escola do Parlamento; aos dados sensíveis de seus servidores e funcionários; e aos dados manipulados em cumprimento a Lei de Acesso à Informação – Lei Federal nº 12.527, de 18 de novembro de 2011.

É o breve relato do necessário. Passo a opinar.

Para enfrentamento do tema, as procuradoras deste Setor Jurídico-Administrativo participaram do curso on line gratuito disponibilizado pela Escola Virtual.Gov – EV.G, Portal Único de Governo Federal, para a oferta de capacitação à distância, cujo tema é “PROTEÇÃO DE DADOS PESSOAIS NO SETOR PÚBLICO”, desenvolvido pela Escola Nacional da Administração Pública – Enap em parceria com a Secretaria de Governo Digital do Ministério da Economia, entre 2019 e 2020, com foco na apresentação da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), no ciclo de vida dos dados pessoais e nas medidas de segurança para proteção desses dados, com carga horária de 15h (https://www.escolavirtual.gov.br/curso/290).

Ademais, a subscritora do presente assistiu os vídeos disponíveis na plataforma YouTube das palestras ministradas no I Congresso sobre a Lei Geral de Proteção de Dados, realizado pela Federação das Associações das Empresas Brasileiras de Tecnologia da Informação – Federação Assespro (http://mkt.cers.com.br/congresso-lgpd/ e https://www.youtube.com/watch?v=GzXkvtRIcb0) entre 23 e 24 de outubro p.p., bem como do Seminário “A Lei Geral de Proteção de Dados (LGPD) e o Setor Público”, realizado no Tribunal de Contas do Estado de São Paulo em 25 de outubro p.p. (https://www.youtube.com/watch?v=d8Nj_KJ-0uI).

Partindo do conteúdo acessado nos eventos acima citados e amplo material lido e pesquisado, este Setor foi capaz de concluir e elaborar as orientações aqui expostas.

Tendo em vista que a consulta formulada dispõe de caráter tanto genérico quanto específico quanto à implantação da Lei Geral de Proteção de Dados no âmbito da Edilidade Paulistana, divide-se o presente parecer em 03 (três) partes, sendo a primeira voltada a orientações gerais quanto à efetiva implantação da Lei, a segunda dirigida a responder as indagações específicas formuladas pela origem e a terceira e última guiada à levantar e orientar outras situações da rotina da Edilidade aventadas no estudo. Vejamos.

  1. DA IMPLANTAÇÃO DA LEI GERAL DE PROTEÇÃO DE DADOS

            1.2.      Da Lei Geral de Proteção de Dados e de sua aplicação no setor público

A Lei Federal nº 13.709, de 14 de agosto de 2018, nominada Lei Geral de Proteção de Dados – LGPD, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural (artigo 1º) e, quanto ao teor aqui tratado, possui início de vigência programado para 15 de agosto p.f., 02 (dois) anos após à sua publicação (artigo 65, II).

Entretanto, convém destacar que, em virtude da calamidade pública causada pela pandemia de COVID-19, tramita no Congresso o Projeto de Lei nº 1.179/2020, que intenta postergar tal vigência para 1º de agosto de 2021, quanto aos artigos 52 ao 54, e para 1º de janeiro de 2021, quanto aos demais artigos hoje previstos no artigo 65, II, da Lei, o que já foi aprovado pelo Senado Federal e encontra-se pendente de votação pela Câmara dos Deputados.

Inobstante discuta-se sobre a postergação do início de sua vigência, é de suma importância que a Edilidade inicie o quanto antes as providências para sua implantação.

A LGPD visa reunir e equalizar diversos fundamentos, como dispõe seu art. 2º: o respeito à privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A Lei aplica-se ao tratamento de dados feito por pessoas físicas, pessoas jurídicas de direito privado e pessoas jurídicas de direito público, entendendo-se como tratamento, nos termos do seu art. 5º, X, “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

A LGPD dirige-se de maneira diferente aos setores privado e público. Isso porque, no setor público, há uma relação assimétrica entre o indivíduo e o Estado, decorrente da supremacia do interesse público. Sendo assim, o consentimento prévio para tratamento de dados no setor público ganha diferente relevância, uma vez que os dados, em geral, são coletados como pressuposto para a participação do indivíduo na vida social, em políticas públicas, para exercício da cidadania etc.

Assim, como regra e nas hipóteses previstas na base legal para tratamento de dados pelo poder público, não se exige prévio consentimento do titular.

Referida base legal encontra-se disposta no art. 7º, incisos II e III, no que tange aos dados pessoais comuns, e no artigo 11, inciso II, “a” e “b”, no que tange aos dados pessoais sensíveis:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (…)

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei.

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

(…)

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

  1. a) cumprimento de obrigação legal ou regulatória pelo controlador;
  2. b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos.

No presente expediente, a Secretaria Geral Administrativa solicita que esta Procuradoria aponte eventuais medidas a serem adotadas pela Câmara Municipal de São Paulo para adequação às normas de proteção de dados pessoais sensíveis previstas na LGPD.

Inobstante a solicitação dirija-se aos dados pessoais sensíveis, como frisado acima, a LGPD aplica-se a quaisquer dados pessoais tratados pelo poder público, merecendo regramento específico nos artigos 23 e seguintes.

Dispõe o artigo 23 da Lei:

Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

I – sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;

II – (VETADO); e

III – seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei; e

IV – (VETADO).

  • 1º A autoridade nacional poderá dispor sobre as formas de publicidade das operações de tratamento.
  • 2º O disposto nesta Lei não dispensa as pessoas jurídicas mencionadas no caput deste artigo de instituir as autoridades de que trata a Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).
  • 3º Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica, em especial as disposições constantes da Lei nº 9.507, de 12 de novembro de 1997 (Lei do Habeas Data), da Lei nº 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo), e da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) .

(…)

Outrossim, há de se ressaltar que:

  • A LGPD não se aplica a dados que não sejam pessoais, isto é, informações que não sejam relacionadas a pessoa natural identificada ou identificável (art. 5º, inciso I);
  • A LGPD não se aplica às hipóteses previstas no seu art. 4º, quais sejam:

I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II – realizado para fins exclusivamente:

  1. a) jornalístico e artísticos; ou
  2. b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 da Lei;

III – realizado para fins exclusivos de:

  1. a) segurança pública;
  2. b) defesa nacional;
  3. c) segurança do Estado; ou
  4. d) atividades de investigação e repressão de infrações penais; ou

IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na Lei;

  • Por fim, fora as hipóteses legais lastreadas nos artigos 7º, II e III, e 11, II, “a” e “b”, que mais se amoldam à atuação do poder público, pode ser exigido, conforme o caso concreto, o consentimento do titular para tratamento de seus dados pessoais.

Traçadas as linhas gerais sobre a intenção de aplicabilidade da LGPD ao setor público, sem prejuízo da resposta à consulta formulada pela SGA a ser detalhada na segunda parte do presente parecer, baseados nas mais balizadas opiniões a respeito do assunto, como, por exemplo, a Escola Nacional de Administração Pública[1] e profissionais especializados em Direito Digital[2], propõe-se nessa primeira parte da análise um passo a passo que, se seguido pela administração da Câmara Municipal de São Paulo, pode garantir a bem sucedida implantação da LGPD e evitar indesejáveis sanções ou danos a terceiros.

1.2.      Passo a passo para implantação da LGPD

  1. Reunir equipes e mapear as operações internas de tratamento de dados.

Essa etapa é primordial para todas as demais e, assim, para efetiva implantação da LGPD.

Por óbvio, a Procuradoria não reúne condições de exaurir as hipóteses de banco de dados pessoais manipulados de alguma maneira pela Edilidade, os quais envolvem tanto cadastros físicos, como fichas e prontuários, quanto digitais.

Tenha-se em vista o conceito de dados pessoais adotado pela Lei: qualquer informação relativa a pessoa natural identificada ou identificável. O termo “Identificável” visa abarcar dados que, ainda que sozinhos não identifiquem uma pessoa, em conjunto com outros, possam tornar a identificação possível.

A Lei, assim, visa à proteção máxima de dados pessoais, evitando o tratamento desvinculado da estrita necessidade que fomentou a coleta.

Pode não parecer num primeiro momento, mas o tratamento de dados pela Câmara Municipal de São Paulo envolve muitas e até simples atividades, como o cadastro de pessoas para acesso ao Palácio Anchieta, as fichas médicas mantidas pela SGA.8, dados de crianças e pais usuários do Centro de Educação Infantil – CEI, dados armazenados pelo sistema de videomonitoramento de segurança, informações sobre os servidores públicos e seus dependentes, cadastros de usuários da Escola do Parlamento e da Ouvidora e até mesmo dados de munícipes coletados nos requerimentos e subsídios ofertados nos processos legislativos.

Há, ainda, a situação de dados dos servidores públicos compartilhados a terceiros por força de contrato, como nos casos do vale alimentação e do vale refeição.

O mapeamento é importante para que se possa identificar onde estão os dados, qual é seu titular, em que formato se encontram, para qual finalidade existem, qual a necessidade de sua existência, qual seu ciclo de vida etc., informações estas de extrema importância para categorização dos dados, avaliação da necessidade de sua manutenção e por quanto tempo e, sobretudo, para análise do regramento imposto pela Lei para seu tratamento.

Nesse mapeamento também seriam delimitados eventuais dados pessoais sensíveis tratados pela Casa, compreendidos pela Lei como aqueles relativos a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, à saúde ou à vida sexual, e dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5º, II).

A identificação dos dados pessoais manipulados pela Edilidade, sejam comuns ou sensíveis, é importante para, como já explicitado acima, identificar a necessidade ou não de consentimento do titular para tratamento, como dispõem os artigos 7º e 11 da Lei.

Em resumo, cada situação e categoria de dados pessoais pode exigir um cuidado diferente no tratamento, o que só será possível avaliar com sua prévia identificação.

  1. B. Levantar quais dados são de coleta e guarda obrigatória ou que podem ser eliminados após o tratamento necessário.

Diante dos fundamentos da necessidade e da finalidade estabelecidos no artigo 2º da LGPD, deve-se transformar a coleta massiva de dados em coleta mínima e justificável. Diante das responsabilidades e dever de prestação de contas impostos pela LGPD, deve-se incorporar a máxima de que “só se deve coletar aquilo de que se possa cuidar”.

Assim, a primeira análise a ser feita envolve a efetiva necessidade de coleta dos dados pessoais atualmente feita pela Casa. Do mesmo modo, a guarda de dados pessoais deve se limitar ao tempo efetivamente necessário para a realização da atividade pelo órgão, sempre tendo em vista que o tratamento de dados só se mostra legítimo atrelado às necessidade e finalidade estabelecidas e que, durante o tempo do tratamento, o órgão responde pela segurança desses dados.

Assim, devem ser evitadas a coleta e a guarda de quaisquer dados pessoais desnecessários à finalidade buscada pela Edilidade em cada uma de suas atividades.

  1. C. Garantir os direitos assegurados ao titular dos dados com adequação das ferramentas.

Um dos fundamentos trazidos pela Lei em seu artigo 2º e, segundo especialistas, o maior desafio na implantação da LGPD para os controladores de dados pessoais, é a autodeterminação informativa, que se resume no controle dos dados pelo titular (art. 18), que pode, a qualquer momento e mediante requisição, solicitar confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei; portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional; eliminação dos dados pessoais tratados com o consentimento do titular, se o caso permitir; informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e revogação do consentimento, nos termos do § 5º do art. 8º da Lei.

Assim sendo, a Lei impõe ao controlador dos dados pessoais o dever de assegurar esse controle, o que deve ser feito, notadamente, mediante a observância dos princípios do livre acesso, da qualidade dos dados e da transparência, nos termos do artigo 6º, incisos IV a VI:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

(…)

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; (destaquei)

Dispõe, ainda, a Lei, especificamente quanto ao setor público:

Art. 23. (…)

  • 3º Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica, em especial as disposições constantes da Lei nº 9.507, de 12 de novembro de 1997 (Lei do Habeas Data) , da Lei nº 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo) , e da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).

Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

Assim, será necessária a adequação de ferramentas para garantir o cumprimento da Lei no que toca à autodeterminação informativa, principalmente quanto ao que dispõe o art. 19, §1º, da Lei, no sentido de que o armazenamento dos dados deve se dar em formato que favoreça o livre acesso pelo titular.

  1. D. Rever Políticas de Privacidade, principalmente para colocar em destaque cláusulas de direitos do titular dos dados.

Vislumbra-se, a princípio, a possibilidade de existência de Políticas de Privacidade já vigentes na Casa nos sistemas de inscrições na Escola do Parlamento e nas matrículas efetivadas junto ao CEI.

Não há informação sobre a existência dessas Políticas em outras atividades, como na efetivação dos cadastros de pessoas para acesso ao Palácio Anchieta e para envio de requerimentos on line à Ouvidoria ou para acompanhar o Plenário Virtual.

Caso não existam, esse período preparatório para implantação da LGPD é uma ótima oportunidade para institui-la já em consonância com a Lei. Caso existam, a exemplo do que também deve ocorrer com as situações da Escola do Parlamento e do CEI, acima apontadas, e sem prejuízo de outras que vierem a ser identificadas no mapeamento, deve haver a devida readequação.

  1. E. Rever contratos com colaboradores e terceiros que façam tratamento de dados.

A responsabilidade pelo tratamento dos dados pessoais envolve o seu compartilhamento com terceiros por força de contratos, convênios e outras avenças.

Dispõem os artigos 26 e 27 da Lei:

Art. 26. (…)

  • 1º É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I – em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) ;

II – (VETADO);

III – nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.

IV – quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou

V – na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

  • Os contratos e convênios de que trata o § 1º deste artigo deverão ser comunicados à autoridade nacional.

Art. 27. A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado à autoridade nacional e dependerá de consentimento do titular, exceto:

I – nas hipóteses de dispensa de consentimento previstas nesta Lei;

II – nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; ou

III – nas exceções constantes do § 1º do art. 26 desta Lei.

Parágrafo único. A informação à autoridade nacional de que trata o caput deste artigo será objeto de regulamentação.

Assim, sem prejuízo da adequada e técnica avaliação que deve ser feita pelo Setor de Contratos desta Procuradoria acerca de todos os contratos firmados pela Edilidade, desde já, aponta-se para a necessidade de se atentar para os contratos de vale alimentação e vale refeição, para que as contratadas observem a LGPD quanto aos dados de servidores públicos com elas compartilhados.

Outrossim, convém destacar a situação que envolve o convênio que a Câmara Municipal de São Paulo mantém com o Instituto de Previdência do Município de São Paulo – IPREM para elaboração das folhas de pagamento dos servidores inativos, já que nesse caso a Edilidade atua como operadora dos dados, cujo tratamento, em verdade, é de responsabilidade da Autarquia. Assim, a Edilidade deve se submeter às orientações e decisões da Autarquia, controladora de direito dos dados dos servidores inativos.

  1. Avaliar os mecanismos de segurança das bases de dados documentando as técnicas utilizadas.

A segurança também é um princípio da atividade de tratamento de dados pessoais estabelecido pelo art. 6º, inciso VII, da LGPD e envolve a “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão”.

A segurança, do ponto de vista técnico, incita a participação do Centro de Tecnologia da Informação – CTI, para diagnóstico e avaliação de aprimoramento nas ferramentas de segurança dos dados, em geral.

No entanto, também demanda gestão administrativa, uma vez que previamente às medidas técnicas, deverá haver decisões quanto ao ciclo de vida dos dados e, eventualmente, hipóteses de anonimização (art. 5º, III) e pseudonimização (art. 13) dos dados.

Vale dizer que a anonimização retira dos dados o caráter de “pessoais” e, assim, a regulamentação de seu tratamento pela LGPD (art. 12).

Sob esse aspecto, convém destacar também que a LGPD dispõe sobre os requisitos para a transferência internacional de dados, o que pode causar implicações para eventual hospedagem de dados pessoais em “nuvem” estrangeira. Assim, também será necessária a análise do CTI acerca da observância do artigo 33 da Lei[3].

  1. Estruturar equipes internas com indicação dos agentes de tratamento de dados pessoais.

São três as figuras que a LGPD trouxe para a seara da proteção de dados pessoais: o operador e o controlador (agentes de tratamento) e o encarregado.

O operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, inciso VII, da Lei).

O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º, inciso VI, da Lei).

O encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), nos termos do artigo 5º, inciso VIII, da Lei.

Os agentes de tratamento (operador e controlador) são figuras que, no setor público, podem ter suas atribuições facilmente incorporadas às funções já existentes da estrutura administrativa.

A LGPD estabelece as seguintes diretrizes de atuação do operador e do controlador:

Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Art. 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.

Art. 40. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.

Para se pensar na regulamentação da LGPD no âmbito da CMSP e subsidiar o Setor de Elaboração na concepção de normas de reestruturação administrativa, é imprescindível o mapeamento.

A partir dele, com a identificação das equipes, setores e secretarias que lidam com dados pessoais, será necessário determinar quem seria responsável em cada um deles por ser o operador de dados, caso em que seria adequado, embora não única alternativa, que a atribuição fosse explicitada no rol de competências do cargo ou função no Ato da Mesa nº 981/2007.

Também é necessário estipular quem será o controlador, devendo a Administração avaliar em que órgão, cargo ou função melhor se encaixa a atribuição de tomada de decisões sobre o tratamento dos dados pessoais pela Edilidade.

Considerando as competências dos diversos órgãos da Casa, impõe-se informar que a atribuição de controlador pode ser exercida tanto pela Mesa Diretora (art. 13, inciso II, alíneas “a” e “g”, do Regimento Interno), quanto pelo Presidente da Casa, por delegação da Mesa (art. 17, IV, alínea “d”), assim como por outros cargos da Edilidade, também por delegação.

Já quanto à figura do encarregado a ser indicado pelo controlador, trata-se de função bem específica, a princípio não assemelhada ou inclusa em qualquer outra atribuição atualmente vigente na estrutura administrativa da Casa.

Assim dispõe a LGPD sobre o encarregado:

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

  • 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
  • 2º As atividades do encarregado consistem em:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

  • 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

As atribuições do encarregado, dentro da estrutura administrativa do órgão público, podem ser objeto da criação de novo cargo ou nova função, dependente, portanto, de lei, em sentido formal, de iniciativa da Mesa da Câmara, nos termos dos arts. 14, inciso III c.c. 27, inciso I, da Lei Orgânica do Município de São Paulo.

Há, ainda, a possibilidade de alteração de alguma função pública já criada por lei e que possibilite a adequação das atribuições por meio de Ato da Mesa, o que deve ser objeto de avaliação pela Administração, de modo a possibilitar a observância de todos os requisitos impostos pela LGPD para correto exercício da função de encarregado pelo tratamento dos dados pessoais.

De toda forma, é importante fazer constar que, segundo o art. 41, §3º, supracitado, a ANPD pode criar hipóteses de dispensa da indicação de encarregado pelo controlador, o que, eventualmente, pode se aplicar à Câmara Municipal de São Paulo.

Saliente-se que a estruturação descrita no presente tópico é necessária, inclusive, para delimitar as responsabilidades por ilicitude presumida ou danos a terceiros, passíveis de serem sancionadas nos termos do artigo 52 da Lei, o que também deve ser objeto da regulamentação interna da Casa.

Convém observar, contudo, que a estruturação administrativa exige tempo, formalidades e adequações de rotinas de funcionamento da Casa, razão pela qual, para que não se perca tempo em iniciar a adoção das boas práticas de proteção de dados pessoais, após o mapeamento sugerido no passo “A”, seria adequado que um grupo de trabalho ou comitê multidisciplinar fosse instituído temporariamente, a fim de avaliar e fixar novas rotinas nesse sentido, para que, oportunamente, pudessem ser regulamentadas internamente, notadamente quando da efetiva vigência da LGPD.

  1. Verificar quais serão as providências necessárias para que o tratamento dos dados esteja em conformidade com as hipóteses legais.

Tal passo, em alguma medida, é antecipado no presente parecer, do ponto de vista jurídico. Entretanto, apenas após a efetivação completa dos passos anteriormente descritos, sobretudo o mapeamento, uma nova análise integral e ulterior poderá ser efetivada, e, então, não só sob o aspecto jurídico, mas também sob o aspecto tecnológico da informação.

  1. Desenvolver relatório de impacto à proteção de dados, assim como regras de boas práticas e de governança quanto ao tratamento dos dados.

O Relatório de Impacto à Proteção de Dados – RIPD, nos termos legais, só é necessário quando solicitado pela ANPD, mas é recomendável, inclusive para eventual defesa da Edilidade em casos concretos, um controle periódico sobre os impactos e medidas de proteção, nos moldes das planilhas fornecidas no curso ministrado pela ENAP, que se anexa ao presente.

Ademais, sempre que se for elaborar ou implementar um projeto, de lei ou de execução, que envolva qualquer espécie de tratamento de dados pessoais, é recomendável, igualmente, que se faça um Relatório Prévio de Impacto à Privacidade, ainda que haja base legal para o tratamento. O intuito seria não só respaldar eventual defesa da Edilidade, mas também auxiliar na tomada de decisão acerca do custo-benefício da medida diante da razão entre necessidade-finalidade e as responsabilidades decorrentes do tratamento dos dados pessoais.

Já as regras de boas práticas e de governança quanto ao tratamento dos dados devem ser imediatamente estipuladas e envolvem, a partir da categorização dos dados pessoais, comuns e sensíveis, a delimitação de formato do tratamento e do acesso aos dados segundo os critérios de necessidade e finalidade, bem como o tipo de compartilhamento interno e com outros entes públicos ou privados que deve ser permitido.

Para citar um exemplo, os prontuários médicos mantidos pela SGA.8 devem ter limite de acesso diferenciado aos servidores do setor, isto é, somente médicos e, eventualmente, outros profissionais da saúde, devem ter acesso irrestrito ao seu teor, o que não se aplica, pelos critérios da necessidade e da finalidade, aos técnicos administrativos e estagiários. Externamente, pode ser permitido um compartilhamento desses dados com o Coordenação de Gestão de Saúde do Servidor – COGESS, com base no art. 11 da Lei, com ou sem consentimento do titular, conforme o caso, em caso de licença-saúde.

A mesma espécie de análise deve ser feita em cada setor, segundo o tipo de dados pessoais tratados.

  1. Realizar treinamentos periódicos para assegurar boas práticas no tratamento dos dados pessoais.

Tal conduta, de fato, vem ao encontro do que já vem ocorrendo com o Comitê Gestor instituído pelo Ato nº 1.429/19 e é de todo desejável que se mantenha, haja vista a constante evolução dos meios tecnológicos de tratamento dos dados e frequentes fragilidades encontradas nos sistemas utilizados.

  1. DA CONSULTA FORMULADA PELA SGA

Em suma, na parte mais direcionada da consulta formulada pela SGA, questiona-se acerca das implicações da LGPD (em especial, seus arts. 11 e 23 a 30) nas rotinas de unidades da Casa que armazenam:

  1. a) dados de terceiros, como dados pessoais de representantes de empresas contratadas, dados de pessoas inscritas nos cursos promovidos pela Escola do Parlamento etc.;
  2. b) dados sensíveis de funcionários e servidores (SGA.1, SGA.8);
  3. c) dados publicamente disponibilizados no Portal de Transparência da Casa pelo CTI, ou informados mediante solicitações junto à Ouvidoria, haja vista a Lei de Acesso à Informação e normas que a regulamentam no âmbito do Município e desta Casa.

Pois bem. No geral, voltando-me para as orientações já esmiuçadas na primeira parte do presente parecer, será necessário o mapeamento dos dados pessoais tratados pela Edilidade, identificando-se sua natureza (comuns ou sensíveis), seus titulares, necessidade e finalidade do armazenamento, formato e modo de armazenamento, para que se possa dar detalhadas orientações sobre as implicações da LGPD.

No entanto, quanto às hipóteses já descritas na consulta algumas recomendações já podem ser emitidas.

A primeira análise que se pode realizar diz respeito aos dados que são armazenados e, por ventura, compartilhados, em razão da Lei de Acesso à Informação – LAI (Lei Federal nº 12.527/2011), como é o caso dos dados pessoais de representantes de pessoas jurídicas e de pessoas físicas que possuem vínculo contratual com a Edilidade ou vínculo administrativo ou trabalhista, como é o caso dos agentes públicos em geral.

A LGPD dispõe em seu artigo 2º como fundamentos da disciplina de proteção de dados pessoais, dentre outros: o respeito à privacidade; a liberdade de informação; a inviolabilidade da intimidade, da honra e da imagem; e o exercício da cidadania pelas pessoas naturais.

Tais fundamentos não são excludentes entre si e a Lei busca uma harmonização entre todos os fundamentos nela expostos.

Ademais, como forma de garantir esse sistema harmônico entre fundamentos de igual importância, a LGPD dispõe em seu artigo 6º os princípios que devem nortear as medidas de tratamento de dados pessoais:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. (sem destaques no original)

A LGPD estabelece, ainda, que:

  • o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização” (art. 7º, §3º);
  • o tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos; e que seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais” (art. 23);
  • o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º” da Lei.

Observa-se, portanto, que busca a LGPD a compatibilização entre as regras de proteção aos dados pessoais e o cumprimento da obrigação de transparência pelos órgãos públicos.

Sendo assim, parece oportuno trazer à baila os conceitos de transparência ativa e transparência passiva.

Transparência ativa é a conduta imposta à administração pública quanto às informações estabelecidas no artigo 8º da LAI:

Art. 8º É dever dos órgãos e entidades públicas promover, independentemente de requerimentos, a divulgação em local de fácil acesso, no âmbito de suas competências, de informações de interesse coletivo ou geral por eles produzidas ou custodiadas.

  • 1º Na divulgação das informações a que se refere o caput, deverão constar, no mínimo:

I – registro das competências e estrutura organizacional, endereços e telefones das respectivas unidades e horários de atendimento ao público;

II – registros de quaisquer repasses ou transferências de recursos financeiros;

III – registros das despesas;

IV – informações concernentes a procedimentos licitatórios, inclusive os respectivos editais e resultados, bem como a todos os contratos celebrados;

V – dados gerais para o acompanhamento de programas, ações, projetos e obras de órgãos e entidades; e

VI – respostas a perguntas mais frequentes da sociedade.

  • 2º Para cumprimento do disposto no caput, os órgãos e entidades públicas deverão utilizar todos os meios e instrumentos legítimos de que dispuserem, sendo obrigatória a divulgação em sítios oficiais da rede mundial de computadores (internet).

Transparência ativa, pois, envolve a disponibilização dessas informações independentemente de requerimento, notadamente nos sítios eletrônicos voltados a essa publicidade.

Aqui reside o primeiro ponto de compatibilização entre a LGPD e a LAI, o que envolve dar acesso público somente às informações necessárias ao cumprimento da obrigação de transparência ativa imposta pelo art. 8º supracitado, abstendo-se de divulgar dados pessoais (relativos a pessoas físicas) desnecessários à finalidade de controle social disciplinado pela LAI.

Nesse sentido, a obrigação de divulgação de salários dos agentes públicos (agentes políticos, servidores e empregados públicos), já consolidada na doutrina e jurisprudência pátrias, persiste, ligada que está ao registro de despesas.

Outrossim, o formato hoje adotado pela Edilidade, nos termos do Ato da Mesa nº 1.231/2013 e da Decisão de Mesa nº 3.606/2017, embora vá além do mero registro da despesa, relacionando-a ao registro funcional do agente público (dado pessoal), não contraria os cuidados de proteção de dados pessoais impostos pela LGPD, uma vez que os dados de identificação dos servidores públicos estariam incluídos no conceito de interesse público mais amplo, já reconhecido como não violador das garantias constitucionais da intimidade e da privacidade pelo E. Supremo Tribunal Federal, embora de divulgação não obrigatória (Tema de Repercussão Geral nº 483[4]).

O mesmo cuidado na publicidade de outras despesas efetuadas pela Edilidade deve ser tomado, limitando-se a divulgar ativamente dados pessoais se estes forem de interesse público e necessários à finalidade do controle social disciplinado pela LAI. Esse é o norte geral para divulgação de dados pessoais relativos à transparência ativa.

Especificamente quanto aos contratos firmados pela Câmara Municipal de São Paulo, convém colher manifestação do Setor de Licitações e Contratos desta Procuradoria, capaz de analisar à luz da legislação especial os limites da publicidade dos contratos administrativos e a necessidade ou não de divulgação dos dados pessoais dos representantes legais dos contratados.

Já no que tange à transparência passiva, consistente na divulgação de informações de interesse público mediante requerimento (art. 10 e ss. da LAI), mostra-se relevante a diferença entre dados e informações.

Enquanto dado é a unidade básica da informação, a informação é a ordenação e organização dos dados de forma a transmitir significado e compreensão dentro de um determinado contexto[5].

Segundo tais conceitos, portanto, é possível que se divulgue uma informação, sem que os dados sejam discriminados individualmente e sem processamento, o que se mostra de todo desejável na busca de se atender a uma finalidade sem que se fira a proteção de dados pessoais, notadamente os sensíveis.

Até mesmo por isso, a LGPD prevê mecanismos de segurança de dados pessoais como a anonimização e a pseudonimização, que garantem a existência da informação sem que haja identificação da(s) pessoa(s) física(s) a(s) qual(is) se referem os dados.

A literalidade dos arts. 8º e 10 da LAI demonstra que o acesso que a Lei visa facilitar é a informações de interesse público, coletivo ou geral. Isto é, se a informação de interesse público que se requer pode ser fornecida com os dados já processados e contextualizados, sem o compartilhamento desnecessário de dados pessoais, notadamente os sensíveis, e sem que haja qualquer prejuízo à finalidade a que se destina, é assim que deve ocorrer, como regra.

Obviamente, havendo dúvida acerca do caráter de interesse público da informação requerida, os casos devem ser resolvidos em concreto, segundo, inclusive, as disposições da própria LGPD, que expõe as hipóteses de tratamento, aí incluído o compartilhamento, de dados pessoais, incluindo os sensíveis, nos termos dos arts. 7º e 11.

Quanto aos dados sensíveis de servidores tratados pelas SGA.1 e SGA.8, estão respaldados, quanto aos dados pessoais comuns, no art. 7º, II, e, quanto aos dados pessoais sensíveis, no art. 11, II, “a” e “f”, da Lei.

Dados sensíveis, à luz do que dispõe o art. 5º, II, da Lei, são aqueles dados pessoais relacionados a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Como já dito acima, internamente, devem ser objeto de análise sobre a necessidade e a finalidade, evitando-se a manutenção de banco de dados sem utilidade. Mantidos os dados necessários, será preciso decidir sobre adequado formato para sua manutenção, de modo a garantir a segurança do seu tratamento e selecionar diferentes perfis de acesso, conferindo-se apenas às pessoas responsáveis pelo efetivo tratamento dos dados (equipes específicas de SGA.1 e corpo técnico de saúde de SGA.8), a sua integralidade e a todos o dever de sigilo e proteção. Aos demais, o acesso aos dados sensíveis deve ser restrito.

É importante desde já destacar que a Lei exige que seja dada publicidade da dispensa de consentimento, nos termos do inciso I do caput do art. 23 da Lei, nos casos de tratamento de dados sensíveis decorrentes de cumprimento de obrigação legal ou regulatória pelo controlador e de tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos. Por isso, repise-se, é importante o mapeamento dos bancos de dados mantidos pela Edilidade (art. 11, §2º).

Outrossim, nos termos dos arts. 12 e 13 da Lei, os mecanismos de anonimização[6] e pseudonimização[7] são passíveis de serem utilizados com vistas à proteção de dados pessoais sensíveis em algumas situações vivenciadas pela Edilidade, como, por exemplo, na divulgação de preenchimento de cotas raciais ou divulgação de pesquisa ou enquete sobre determinado tema.

Quanto aos servidores, atenção especial merecerá também o tratamento de informação relativa à filiação sindical, que também se trata de dado pessoal sensível.

Quanto aos dados mantidos pela Escola do Parlamento, igualmente a análise de necessidade e finalidade deve ser realizada, evitando-se a coleta e a manutenção de dados pessoais inúteis ao fim a que se destina. De igual forma, como abordado na primeira parte do presente parecer, é recomendável a elaboração ou a readequação de Política de Privacidade a ser divulgada nos atos de inscrição para cursos, colhendo-se o consentimento do titular sobre seus termos, adotando-se todas as cautelas de segurança de dados e garantindo-se ao titular a efetiva autodeterminação informativa, nos termos dos arts. 17 e ss. da Lei.

Destaque-se que todas as orientações aqui lançadas baseiam-se no conhecimento genérico das rotinas da Casa e somente poderão ser melhor aprofundadas com o mapeamento sugerido na primeira parte do presente parecer.

No que tange à solicitada indicação das responsabilidades envolvidas, especificamente quanto ao setor público, dispõe a LGPD:

Art. 31. Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.

Art. 32. A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.

De maneira geral, a LGPD prevê sanções pela inobservância de seus preceitos em seu artigo 52.

No entanto, as multas não são passíveis de aplicação aos órgãos públicos, que podem sofrer as seguintes sanções:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

(…)

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

VII – (VETADO);

VIII – (VETADO);

IX – (VETADO).

(…)

  • 3º O disposto nos incisos I, IV, V, VI, VII, VIII e IX do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990 (Estatuto do Servidor Público Federal), na Lei nº 8.429, de 2 de junho de 1992 (Lei de Improbidade Administrativa), e na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).

Como estabelece o § 3º, entretanto, a impossibilidade de aplicação de multa pela LGPD aos órgãos públicos, não significa que os servidores públicos responsáveis pela infração às suas normas, seja por culpa ou dolo, não possam ser penalizados nas esferas disciplinar, cível-administrativa e criminal.

Assim, reiterando o quanto já exposto na primeira parte do parecer, é necessária a reestruturação administrativa da Câmara Municipal de São Paulo para adequar-se à LGPD, com clara atribuição de competências às funções de operador e controlador de dados e encarregado pelo tratamento dos dados, e amplo trabalho de capacitação e divulgação da política nacional de proteção de dados, haja vista a possibilidade de responsabilização do servidor público que der causa à infração legal.

  1. DE OUTRAS SITUAÇÕES AVENTADAS NO PRESENTE ESTUDO

Em complementação à consulta formulada pela SGA, e sem prejuízo da análise de outras situações eventualmente levantadas em mapeamento, o presente estudo vislumbrou dois pontos que merecem atenção na condução da implantação da LGPD no âmbito da Edilidade paulistana.

O primeiro diz respeito ao Centro de Educação Infantil – CEI, que trata dados pessoais de crianças de até 03 (três) anos e 11 (onze) meses de idade, nos termos do Ato da Mesa nº 1.327/2016.

Aplicável ao caso o art. 14 da LGPD, que traz disciplina específica quanto ao tratamento de dados de crianças e adolescentes, em especial a incontornável exigência de consentimento de ao menos um dos pais ou responsável legal:

Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.

  • 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
  • 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei.
  • 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.
  • 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
  • 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
  • 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Outrossim, na esteira da orientação exposta para os casos de dados sensíveis dos servidores públicos tratados pela SGA.1 e pela SGA.8, deve ser analisado o melhor formato e especificados os perfis de acesso, limitados às estritas necessidade e finalidade, de modo a garantir a maior segurança dos dados.

O segundo ponto refere-se aos dados pessoais (imagens) coletados pelo sistema de videomonitoramento de segurança da Casa, disciplinado pelo Ato da Mesa nº 1.427/2019.

Nos termos do art. 5º, inciso II, dados biométricos são dados pessoais sensíveis. Dados biométricos são características biológicas que permitem a identificação individual, única e exclusiva de um indivíduo (pessoa natural)[8]. Sendo assim, a imagem é um dado pessoal sensível.

Contudo, a LGPD não se aplica a referida situação, por força do seu art. 4º, inciso III, alínea “a”, uma vez que o videomonitoramento, nos termos do artigo 1º do Ato da Mesa nº 1.427/2019, é “instrumento tecnológico da Inspetoria da Câmara Municipal da Guarda Civil Metropolitana e da Assessoria Policial Militar para o exercício de suas atribuições de forma coordenada e cooperativa, buscando o aperfeiçoamento dos procedimentos e atividades de segurança de pessoas, instalações e bens”, incluído, portanto, no conceito de segurança pública, disciplinada no art. 144 da Constituição Federal[9].

Por fim, há que se destacar que, estando a LGPD, em sua maior parte, ainda em vacatio legis, as orientações aqui expostas poderão sofrer modificação.

Isso porque até a presente data não foi criada a Autoridade Nacional de Proteção de Dados – ANPD, órgão da administração pública a quem incumbirá, de maneira geral, zelar, implementar e fiscalizar o cumprimento da Lei em todo o território nacional (art. 5º, XIX).

Especialmente, no que aplicável ao setor público:

Art. 29. A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades do poder público a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei.

Art. 30. A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais.

Art. 41. (…)

  • 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

Sendo assim, a LGPD e sua implantação em âmbito nacional é tema que deve ser acompanhado de perto, sempre em atenção às suas repercussões sobre a atuação da Câmara Municipal de São Paulo.

S.m.j., é o entendimento que submeto à apreciação superior.

São Paulo, 17 de abril de 2020.

Djenane Ferreira Cardoso Zanlochi

Procuradora Legislativa – RF 11.418

OAB/SP n. 218.877

[1] https://www.escolavirtual.gov.br/curso/290

[2] I Congresso sobre a Lei Geral de Proteção de Dados, realizado pela Federação das Associações das Empresas Brasileiras de Tecnologia da Informação – Federação Assespro (http://mkt.cers.com.br/congresso-lgpd/ e https://www.youtube.com/watch?v=GzXkvtRIcb0) entre 23 e 24 de outubro p.p., bem como do Seminário “A Lei Geral de Proteção de Dados (LGPD) e o Setor Público”, realizado no Tribunal de Contas do Estado de São Paulo em 25 de outubro p.p. (https://www.youtube.com/watch?v=d8Nj_KJ-0uI)

[3] Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;

II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:

  1. a) cláusulas contratuais específicas para determinada transferência;
  2. b) cláusulas-padrão contratuais;
  3. c) normas corporativas globais;
  4. d) selos, certificados e códigos de conduta regularmente emitidos;

III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;

IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;

V – quando a autoridade nacional autorizar a transferência;

VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;

VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou

IX – quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.

Parágrafo único. Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional a avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional.

[4] “É legítima a publicação, inclusive em sítio eletrônico mantido pela Administração Pública, dos nomes dos seus servidores e do valor dos correspondentes vencimentos e vantagens pecuniárias”.

[5] https://www.binapratica.com.br/dados-x-informacao; https://expertdigital.net/diferenca-entre-dados-e-informacao/; https://www.todadiferenca.com/diferenca/diferenca-entre-dados-e-informacao; https://brainly.com.br/tarefa/1860553; https://www.gigaconteudo.com/diferenca-entre-dados-e-informacao.

[6] Dado anonimizado é o dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento (art. 5º, III, da LGPD).

[7] Tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro (art. 13, §4º, da LGPD).

[8] https://zemus.com.br/dados-biometricos/.

[9] Art. 144. A segurança pública, dever do Estado, direito e responsabilidade de todos, é exercida para a preservação da ordem pública e da incolumidade das pessoas e do patrimônio, através dos seguintes órgãos://

I – polícia federal;

II – polícia rodoviária federal;

III – polícia ferroviária federal;

IV – polícias civis;

V – polícias militares e corpos de bombeiros militares.

VI – polícias penais federal, estaduais e distrital.

  • 1º A polícia federal, instituída por lei como órgão permanente, organizado e mantido pela União e estruturado em carreira, destina-se a:

I – apurar infrações penais contra a ordem política e social ou em detrimento de bens, serviços e interesses da União ou de suas entidades autárquicas e empresas públicas, assim como outras infrações cuja prática tenha repercussão interestadual ou internacional e exija repressão uniforme, segundo se dispuser em lei;

II – prevenir e reprimir o tráfico ilícito de entorpecentes e drogas afins, o contrabando e o descaminho, sem prejuízo da ação fazendária e de outros órgãos públicos nas respectivas áreas de competência;

III – exercer as funções de polícia marítima, aeroportuária e de fronteiras;

IV – exercer, com exclusividade, as funções de polícia judiciária da União.

  • 2º A polícia rodoviária federal, órgão permanente, organizado e mantido pela União e estruturado em carreira, destina-se, na forma da lei, ao patrulhamento ostensivo das rodovias federais.
  • 3º A polícia ferroviária federal, órgão permanente, organizado e mantido pela União e estruturado em carreira, destina-se, na forma da lei, ao patrulhamento ostensivo das ferrovias federais.
  • 4º Às polícias civis, dirigidas por delegados de polícia de carreira, incumbem, ressalvada a competência da União, as funções de polícia judiciária e a apuração de infrações penais, exceto as militares.
  • 5º Às polícias militares cabem a polícia ostensiva e a preservação da ordem pública; aos corpos de bombeiros militares, além das atribuições definidas em lei, incumbe a execução de atividades de defesa civil.
  • 5º-A. Às polícias penais, vinculadas ao órgão administrador do sistema penal da unidade federativa a que pertencem, cabe a segurança dos estabelecimentos penais.
  • 6º As polícias militares e os corpos de bombeiros militares, forças auxiliares e reserva do Exército subordinam-se, juntamente com as polícias civis e as polícias penais estaduais e distrital, aos Governadores dos Estados, do Distrito Federal e dos Territórios.
  • 7º A lei disciplinará a organização e o funcionamento dos órgãos responsáveis pela segurança pública, de maneira a garantir a eficiência de suas atividades.
  • 8º Os Municípios poderão constituir guardas municipais destinadas à proteção de seus bens, serviços e instalações, conforme dispuser a lei.
  • 9º A remuneração dos servidores policiais integrantes dos órgãos relacionados neste artigo será fixada na forma do § 4º do art. 39.
  • 10. A segurança viária, exercida para a preservação da ordem pública e da incolumidade das pessoas e do seu patrimônio nas vias públicas:

I – compreende a educação, engenharia e fiscalização de trânsito, além de outras atividades previstas em lei, que assegurem ao cidadão o direito à mobilidade urbana eficiente;

II – compete, no âmbito dos Estados, do Distrito Federal e dos Municípios, aos respectivos órgãos ou entidades executivos e seus agentes de trânsito, estruturados em Carreira, na forma da lei.