Parecer n° JUD nº 001/2020

Parecer JUD nº 001/2020

Ref.: E-mail da Sra. Procuradora Chefe enviado em 25/03/2020

Assunto: Procedimentos para fins de adequação (compliance) à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, de 14 de agosto de 2018).

 

Sra. Procuradora Chefe,

 

Trata-se de consulta formulada pelo Sr. Secretário Geral Administrativo desta Edilidade solicitando “análise, parecer, e eventual minuta de Ato da Mesa, se for o caso, apontando eventuais medidas a serem adotadas pela Câmara Municipal de São Paulo para adequação às normas de proteção de dados pessoais sensíveis em face da proximidade da entrada em vigor, no mês de agosto p.f., da denominada Lei Geral de Proteção de Dados – LGPD, Lei Federal n. 13.709, de 14 de agosto de 2018..

 

Ainda, especifica que requer expressa análise, para fins de adaptação às rotinas desta Casa, no que tange à aplicação dos artigos 11 (tratamento de dados pessoais sensíveis) e 23 a 30  (tratamento de dados pessoais pelo Poder Público) da norma em foco, especificamente quanto às rotinas de armazenamento de dados de terceiros (contratos e escola do Parlamento), bem como em relação aos dados sensíveis de funcionários e servidores (SGA.1 e SGA.8). Outrossim, aponta a necessidade de se indicar “eventuais implicações da LGPD no tocante a dados publicamente disponibilizados no Portal de Transparência da Casa pelo CTI, ou informados mediante solicitações junto à Ouvidoria, haja vista a Lei de Acesso à Informação e normas que a regulamentam no âmbito do Município e desta Casa”, além de esclarecimento quanto às responsabilidades envolvidas.

 

Com o fito de nortear os questionamentos apresentados, a matéria será analisada nos tópicos que seguem.

 

  1. DO ESCOPO DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

Lei nº 13.709, de 14 de agosto de 2018

 

A Declaração Universal dos Direitos Humanos, adotada e proclamada pela Assembleia Geral das Nações Unidas (Resolução 217 A III), em 10 de dezembro de 1948, em seu artigo 12, já previu:

 

“Artigo 12 – Ninguém será sujeito à interferência na sua vida privada, na sua família, no seu lar ou na sua correspondência, nem a ataque à sua honra e reputação. Todo ser humano tem direito à proteção da lei contra tais interferências ou ataques.”

 

E a Carta Magna vigente estabelece, dentre os direitos e garantias fundamentais:

 

“Art. 5º Todos são iguais perante a lei, sem distinção de qualquer natureza, garantindo-se aos brasileiros e aos estrangeiros residentes no País a inviolabilidade do direito à vida, à liberdade, à igualdade, à segurança e à propriedade, nos termos seguintes:

X – são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou m oral decorrente de sua violação;

(…).”

 

Já o instrumento do habeas data (art. 5º, LXXII da CF) assegura o conhecimento de informações relativas à pessoa do impetrante, constantes de registros ou bancos de dados de entidades governamentais ou de caráter público, inclusive para fins de retificação.

 

Na mesma senda, diversas normas infraconstitucionais, decorrentes de tais princípios, asseguram a privacidade, a intimidade, a veracidade e o acesso dos direitos da personalidade da pessoa natural, v.g., artigo 43 do Código de Defesa do Consumidor; artigos 11, 12, 16, 17 e 21 do Código Civil; art. 3º, inciso IX da Lei Geral de Telecomunicações (Lei nº 9.472/97); artigo 313-A do Código Penal; artigo 5º da Lei nº 12.414/2011 (Lei do cadastro positivo); artigo 31 da Lei de acesso à informação (Le nº 12.527/2011); Lei do Marco Civil da Internet (Lei nº 12.965/2014), dentre outras.

 

Todavia, apenas com a edição da Lei Geral de Proteção de Dados (Lei nº 13.709/2018) o Brasil passou a contar com legislação específica tendente à proteção de dados pessoais e privacidade das pessoas naturais em plataforma física, digital ou qualquer outro meio, regulamentando a matéria de forma específica e sistematizada, detalhando-a nos seus 65 artigos e criando mecanismos capazes de conferir efetividade ao novo regime jurídico no país – o que se deu como decorrência de verdadeira pressão internacional,  especialmente da Europa, que desde 25 de maio de 2018 editou a denominada General Data Protection Regulation (GDPR), a partir da qual impediu-se que empresas europeias mantivessem contratos com empresas em países que não dispusessem de nível de proteção adequado de dados pessoais – regra essa que incluía o Brasil.

 

De se relembrar que a regulamentação europeia – que ensejou a tramitação urgente da legislação brasileira em  apreço – também foi pressionada pelos escândalos de vazamento de dados da rede social Facebook, em que a empresa Cambridge Analytica utilizou dados dos usuários para que pudessem fazer uma campanha política mais assertiva e customizada nas eleições americanas de 2016. Nesse passo, a segurança de dados e a privacidade passaram a ser pautas recorrentes, haja vista que a informação passou a se caracterizar como um dos ativos mais valiosos para as organizações de todo o mundo, sejam elas públicas ou privadas, sendo imprescindível a edição de legislação específica no Brasil com o intento de proteger os dados dos respectivos titulares e definir responsabilidade relativas ao tratamento dos mesmos.

 

Aliás, após a edição da Lei Geral de Proteção de Dados ora em análise, no início de julho de 2019, o Plenário do Senado Federal aprovou a Proposta de Emenda à Constituição nº 17, de 2019, que inclui expressamente ao texto constitucional o direito à proteção de dados pessoais em seu artigo 5º, inciso XII (elevando-o, especificamente, ao patamar de direito fundamental). Tal emenda ainda pende de apreciação no âmbito da Câmara dos Deputados.

 

Tem-se, portanto, que a despeito da causa econômica que ensejou a edição da norma em apreço – pretendendo tornar o Brasil um país confiável sob o aspecto da segurança jurídica – a norma tem por foco a proteção da privacidade/intimidade da pessoas naturais, tão imprescindível no mundo atual, com o aumento exponencial de processamento de dados, inteligência artificial e compartilhamento de informações.

 

 

 

 

 

  1. DA ENTRADA EM VIGOR DA LEI GERAL DE PROTEÇÃO DE       DADOS (LGPD)

 

A entrada em vigor da Lei nº 13.709/2018 restou estabelecida em seu artigo 65, com as alterações da Lei nº 13.853/2019, nos seguintes termos:

 

“Art. 65. Esta Lei entra em vigor:

 

I – dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 59-B; e

 

II – 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos.”

 

Depreende-se, pois, que as disposições relativas à criação e regulamentação da Autoridade Nacional de Proteção de Dados (ANPD – artigos 55-A a 55-L), a quem compete as amplas  atribuições estatuídas em seu artigo 55-J (orientar, fiscalizar e aplicar penalidades), bem como as normas relativas à instituição do denominado Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (artigos 58-A e 58-B) entrariam em vigor já em 28 de dezembro de 2018 (artigo 65, inciso I) – todavia, até a presente data, não foram formalmente instituídos.

 

Com relação às demais disposições (artigo 65, inciso II) – que ora nos interessam – a despeito da divergência doutrinária a respeito da matéria, a maioria entende que a entrada em vigor se daria em 16/08/2020[1]. Todavia, a Medida Provisória nº 959, publicada no dia 29 de abril p.p., em seu artigo 4º, alterou o inciso II do artigo 65 da LGPD, postergando a entrada em vigor dos “demais artigos” para 3 de maio de 2021 – o que decorreria da pandemia do coronavírus.

 

Aliás, concomitantemente à entrada em vigor da Medida Provisória nº 959/2020, encontra-se em tramitação outras propostas legislativas semelhantes, inclusive deflagradas antes da eclosão do coronavírus, haja vista as dificuldades das empresas públicas e da administração pública para fins de adaptação às novas normas de proteção de dados, além da ausência de efetiva criação, até a presente data, da Autoridade Nacional de Proteção de Dados (ANPD) – entidade governamental que, como apontado, deverá nortear e validar a implementação dos sistemas de compliance em matéria de proteção de dados pessoais.

 

Com efeito, como bem esclarecido em artigo do causídico Alex Mecabo[2] os seguintes Projetos de Lei em tramitação também tratam da prorrogação da vacatio legis da LGPD: PL 5.762/2019, de autoria do Deputado Federal Carlos Bezerra, estabelecendo como início de vigência a data de 15 de agosto de 2022; PL 1.027/2020, de iniciativa do Senador Otto de Alencar, pretendendo a postergação da vigência para 22 de fevereiro de 2022; PL 6.149/2019, de autoria do Deputado Federal Mário Heringer, sugerindo a progressividade temporal no enforcement punitivo da lei e, ainda, o PL 1.179/2020, de autoria do Senador Antonio Anastasia, que dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET) no período da pandemia do Coronavírus (Covid-19), que propõe o início da vigência da LGPD para 1º de janeiro de 2021 e, quanto ao capítulo das sanções, para agosto de 2021.

 

Tal quadro denota que a Medida Provisória que fixou a entrada em vigor da LGPD para 03 de maio de 2021 atropelou as discussões que já vinham sendo levadas a efeito no âmbito do Parlamento Nacional, sem olvidar que na hipótese da mesma não ser convertida em lei no prazo máximo de 120 dias (artigo 62, § 3º da CF), perderá eficácia e, consequentemente, será restabelecido o prazo de início de vigência previsto originariamente (agosto de 2020).

 

Todavia, face à atual normatização, o início de vigência das normas da LGPD que nos interessam apenas entrarão em vigor a partir do dia 03 de maio de 2021. Nesse passo, esclarece-se que será mantido acompanhamento da tramitação das demais proposições indicadas, bem como em relação à conversão da Medida Provisório nº 959/2020 em lei, comunicando-se eventual alteração nessa matéria à alta Administração desta Casa Legislativa.

 

Outrossim, não é demais apontar que, independentemente da entrada em vigor das disposições em questão, esta Casa Legislativa deve proceder a uma verdadeira mudança cultural organizacional em relação à proteção de tratamento dos dados pessoais em todos os setores desta Casa, haja vista que o projeto de adequação à LGPD tem caráter multidisciplinar, multissetorial e impacto no órgão público como um todo, não sendo tema exclusivo do âmbito jurídico ou de segurança da informação.

 

  1. DA INCIDÊNCIA, FUNDAMENTOS GERAIS, DEFINIÇÕES BÁSICAS E PRINCÍPIOS DA LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)

 

C.1. Da incidência da LGPD no âmbito do setor público

 

Da simples leitura do artigo 1º da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) depreende-se que o foco de proteção da norma jurídica é a pessoa natural (seres humanos), contra o tratamento ilegal de seus dados pessoais que possam acarretar prejuízo aos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade, realizados por qualquer pessoa, seja ela outra pessoa natural ou pessoa jurídica de direito público ou privado – onde se insere, portanto, este Legislativo Paulistano. Apenas nos casos pontuais descritos no artigo 4º da norma em estudo não haverá incidência de seus ditames[3], hipóteses essas em que, a princípio, não se inserem os dados tratados no âmbito desta Edilidade.

 

E a fim de que não restem dúvidas a respeito de sua incidência no âmbito da administração pública municipal, o parágrafo único do artigo 1º da LGPD é expresso ao afirmar que as normas previstas em tal diploma são de interesse nacional, com observância obrigatória por parte dos Municípios integrantes da Federação, aplicável a qualquer operação de tratamento realizada por pessoa jurídica direito público, independentemente do meio empregado, desde que a operação de tratamento seja realizada no território nacional, tendo por objeto dados de indivíduos localizados  em tal território ou nele coletados (artigo 3º).

 

Mas não é só. Como bem lembrado na consulta em apreço, há capítulo próprio na norma em análise intitulado “Do tratamento de Dados Pessoais pelo Poder Público” (Capítulo IV – artigos 23 a 30), inclusive com imposição de responsabilidades específicas (artigos 31 e 32). Aliás, nesse particular, cabe indicar que, inserindo-se a Edilidade Paulistana como Poder integrante da Administração Pública Direta (artigo 1º, inciso I da Lei Acesso à Informação – Lei nº 12.527/2011) – não atuando, portanto, em regime de mercado ou concorrencial – há que se aplicar o capítulo indicado. Sobre essa questão, esclarece a advogada Dra. Angela Maria Rosso, em artigo intitulado “LGPD e setor público: aspectos gerais e desafios”[4]:

 

“…Fazemos aqui uma importante ressalva ao enquadramento de algumas entidades referidas no inciso II, Parágrafo Único da LAI, pois, estas, devido a sua natureza jurídica deverão transitar entre os capítulos II e IV da LGPD a depender da atividade que desempenham ao tratar os dados. Em outras palavras, a finalidade a que está vinculado determinado tratamento dos dados pessoais – se em regime de mercado, concorrencial, ou se para consecução de políticas públicas – é que determinará se o ente deve atender aos requisitos exigidos para o setor privado ou para o setor público previstos na LGPD. Esta é a prescrição do art. 24 da LGPD ao determinar que empresas públicas e sociedades de economia mista por estarem sob a égide de um regime especial (ou misto) deverão se adequar a depender do caso concreto: se atuarem de acordo com os requisitos do art. 173, CF – explorando atividade econômica – devem atuar em conformidade com o Capítulo II da LGPD; já nos casos em que a finalidade do tratamento for a persecução do interesse público deverão atender o Capítulo IV.

 

Por isso, verificada a necessidade de tratar dados pessoais, primordialmente deve o ente público identificar sob qual condição atua, uma vez que as consequências de atuar em regime concorrencial ou regime de finalidade pública são diferentes, desde os requisitos a serem atendidos até as sanções previstas em eventual desrespeito à lei.”

 

Indubitável, portanto, a aplicação cogente da LGPD no âmbito desta Edilidade, já que qualificada como Poder integrante da Administração Pública Direta Municipal, tendo dentre suas responsabilidades o tratamento de dados pessoais nas diversas fases de seu ciclo, com o fito de desempenhar suas competências/obrigações constitucionais, legais e contratuais (artigo 23, “caput” da LGPD).

 

C.2. Dos fundamentos gerais, definições básicas e princípios da LGPD

 

O artigo 2º da norma em análise estatui como fundamentos da proteção dos dados pessoais: i. o respeito à privacidade; ii. a autodeterminação informativa; iii. a liberdade de expressão, de informação, de comunicação e de opinião; iv. a inviolabilidade da intimidade, da honra e da imagem; v. o desenvolvimento econômico e tecnológico e a inovação; vi. a livre iniciativa, a livre concorrência e a defesa do consumidor; e vii. os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

 

Nesse passo, com o intuito de preservar tais fundamentos, ao se proceder ao tratamento de dados devem ser observadas as regras estabelecidas na norma em estudo, a qual fixa as seguintes definições para fins de sua aplicação (artigo 5º):

 

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II –  dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

 

III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

 

IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

 

V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

 

VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

 

VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

 

VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

 

IX – agentes de tratamento: o controlador e o operador;

 

X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

 

XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade associação, direta ou indireta, a um indivíduo;

XII – consentimento: manifestação livre , informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

 

XIII – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guardo do dado pessoal ou do banco de dados;

 

XIV – eliminação: eliminação de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

 

XV – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

 

XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

 

XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

 

XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e

 

XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

 

Relativamente às definições legais acima transcritas, há que se apontar que a definição de “dado pessoal” fixada pela norma (artigo 5º, inciso I) adotou o critério expansionista, ou seja, “não define apenas como pessoais os dados que, imediatamente, identifiquem uma pessoa natural (viés do critério reducionista), como poderia ser informações como o  nome, número do CPF, imagem, etc., mas abarcou também os dados que tornam a pessoa identificável de forma não imediata ou direta[5].

 

No que tange à definição de “tratamento” de dados pessoais (artigo 5º, inciso X), cabe apontar que o rol é meramente exemplificativo, e não taxativo, haja vista que utiliza a dicção “toda operação” e “como” – o que inclui, então, qualquer ato praticado com o dado pessoal (não apenas o sensível), ainda que, eventualmente, não explicitado na disposição legal indicada.

 

Outrossim, o artigo 6º da norma é claro ao explicitar os princípios a serem observados nas atividades de tratamento de dados pessoais, sempre com a observância da boa-fé (honestidade, lealdade e transparência) – princípio esse já positivado anteriormente no Código de Defesa do Consumidor (Lei 8.078/90 – artigo 4º, inciso III)  e no Código Civil de 2002 (artigos 113 e 422). São assim, então, fixados os princípios para fins de tratamento dos dados pessoais:

 

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

 

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

 

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

 

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

 

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

 

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

 

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

 

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

 

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

 

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

 

Colocados tais parâmetros estabelecidos na LGPD – e tendo em conta a impossibilidade de aprofundamento do tema por meio de simples parecer – passa-se à análise prática do questionamento em foco, tendente a direcionar caminhos que ensejem a adequação deste Legislativo Paulistano ao novo arcabouço jurídico de proteção de dados pessoais.

 

  1. DAS PROVIDÊNCIAS A SEREM ADOTADAS PARA FINS DE ADQUAÇÃO À LGPD

 

Na senda do quanto já exposto, a Edilidade Paulistana, na qualidade de custodiante de dados pessoais tendentes ao cumprimento de suas competências constitucionais, legais e contratuais, deve fornecer a SEGURANÇA necessária para proteger tais dados, seja quanto a sua disponibilidade,  integridade, confidencialidade a autenticidade, em todas as fases de tratamento dos dados pessoais dentre as quais a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (artigo 5º, inciso X da LGPD).

 

E a adoção de medidas de segurança reclamadas pela LGPD (artigo 6º, inciso VII e 46) não se circunscrevem a âmbitos determinados de atuação, não se caracterizando como tema exclusivo da área jurídica ou de segurança da informação. A responsabilidade é do órgão público  como um todo – no caso, a Edilidade Paulistana – constituindo um verdadeiro projeto estruturante, a ser desenvolvido e gerenciado pelo próprio órgão haja vista que o cumprimento e as adaptações às novas normas devem se dar no dia a dia, envolvendo aqueles que, em menor ou maior grau, estejam envolvidas com qualquer fase do ciclo de vida dos dados pessoais, sensíveis ou não.

 

Nesse sentido, consta do “Guia de Boas Práticas para Implementação na Administração Pública Federal – LGPD[6], elaborado pelo Comitê Central de Governança de Dados no âmbito do Governo Federal (Decreto nº 10.046/2019), com a primeira versão datada de 23 de março p.p.:

 

“…Nesse contexto, este documento tem como objetivo fornecer orientações de boas práticas aos órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional para as operações de tratamento de dados pessoais, conforme previsto no art. 5º da LGPD.

 

Inicialmente a adequação dos órgãos e entidades em relação à LGPD envolve uma transformação cultural que deve alcançar os níveis estratégico, tático e operacional da instituição. Essa transformação envolve: considerar a privacidade dos dados pessoais do cidadão desde a fase de concepção do serviço ou produto até sua execução (Privacidade by Design); e promover ação de conscientização de todo corpo funcional no sentido de incorporar o respeito à privacidade dos dados pessoais nas atividades institucionais cotidianas...”

 

E como bem analisado pela Sra. Procuradora Legislativa, Dra. Djenane Ferreira Cardoso Zanlochi, na qualidade de procuradora integrante do Setor Jurídico-Administrativo, em parecer acerca de matéria idêntica à ora em apreço – inclusive encaminhado a mim por essa D. Chefia – para fins de adaptação às normas prescritas pela LGPD faz se mister que, inicialmente, se proceda ao mapeamento dos dados pessoais, sensíveis ou não, em qualquer meio (físico, digital, nuvem, etc.), objeto de tratamento por esse Legislativo. Sugere-se que tal levantamento, e posteriores atos de análise de seu curso e execução de orientação e/ou aplicação de medidas de segurança[7] (artigo 46 da LGPD) aos dados pessoais levantados  seja  efetivado, de forma organizada, por grupo de servidores designados para tanto, preferencialmente representantes de todas as áreas meio e fim deste Legislativo (podendo inclusive se utilizar do Comitê Gestor de Segurança da Informação – Ato nº 1429/19).

 

Assim, aliado às providências e esclarecimentos já detalhados no brilhante parecer mencionado – que bem pontuou todas as questões objeto da consulta e que serão ainda melhor definidas e dimensionadas no processo de adaptação que deverá ser iniciado neste Legislativo – sugiro, de início, a adoção das seguintes diretrizes:

 

  • Acolher como norte, naquilo que for aplicável (vez que o Legislativo não atua na execução de políticas públicas), para início dos trabalhos de adaptação à LGPD no âmbito desta Edilidade o “Guia de Boas Práticas para Implementação da LGPD na Administração Pública Federal”, editado em primeira versão em 23 de março p.p., elaborado pelo Comitê Central de Governança de Dados instituído pelo Decreto Federal nº 10.046, de 9 de outubro de 2019 (gov.br/governodigital/pt-br/governanca-de-dados/guia-lgpd.pdf – cópia anexa);

 

  • Proceder-se à indicação dos agentes de tratamento no âmbito deste Legislativo, quais sejam, controlador (artigo 5º, inciso VI – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais) e operador (artigo 5º, inciso VII – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador). Posteriormente, controlador e operador deverão indicar o encarregado, para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), autoridade essa ainda não instituída até a presente data; sendo recomendado a estruturação de uma área de profissionais que futuramente auxiliem o encarregado no cumprimento de suas competências;

 

  • Adotar medidas sob as seguintes dimensões[8]:

 

estratégica – com definição de medidas de adequação do referencial estratégico aos princípios estabelecido no artigo 6º da LGPD;

 

organizacional – definindo uma estrutura organizacional multidisciplinar e que seja suficiente para apoiar a implementação de medidas de adequação definidas pelo plano estratégico – iniciando-se por meio do mapeamento dos dados;

 

operacional – fixando as medidas de adequação, inclusive com mudanças das já aplicadas, que deverão ser incorporadas aos processos organizacionais que lidam ou afetam os dados pessoais custodiados por esse Legislativo. Nesse ponto deverão ser analisados todos os ativos organizacionais existentes nesta Edilidade (bases de dados, documentos, equipamentos, locais físicos,  pessoas e sistemas) em que se procedem a tratamentos de dados no decorrer de todo seu ciclo de vida, até sua eventual eliminação;

 

comunicacional – explicitando ações de disseminação de conhecimento, conscientização e treinamento relacionado ao tema de proteção de dados neste Poder Legislativo. Promover ampla divulgação das medidas de adequação que serão implementadas, incorporando o tema de proteção de dados pessoais no dia a dia dos servidores em geral.

 

  • Elaborar o Relatório de Impacto à Proteção de Dados Pessoais previsto no artigo 5º, inciso XVII da LGPD, independentemente de solicitação futura por parte da Autoridade Nacional de Proteção de Dados – ANPD, outorgando então visibilidade e transparência à efetiva adequação (compliance) do Legislativo Paulistano à Lei Geral de Proteção de Dados Pessoais.

 

É o que recomendo, s.m.j., submetendo à apreciação superior.

 

 

São Paulo, 06 de maio de 2020.

 

 

ANDRÉA RASCOVSKI ICKOWICZ

Procuradora Legislativa CMSP

OAB/SP 130.317

 

Ref.: Pareceres JUD n. 1/2020, Parecer ADM 33/2020 e Parecer SLC n. 65 /2020

Solicitação de SGA em 24 de março de 2020

Assunto: Aplicações da LGPD no âmbito da Câmara Municipal de São Paulo

 

 

À SGA.

Sr. Secretário-Geral Administrativo,

 

Encaminho os bem-lançados pareceres elaborados pelo Setor Jurídico-Administrativo, em especial pela excelente abordagem trazida pela lavra da Dra. Djenane Ferreira Cardoso Zanlochi, pelo Setor de Licitações e Contratos, da lavra da Dra. Danielle Piacentini Stivanin, bem como considerações acrescentadas pela Dra. Andrea Rascovski Ickowicz, membro do comitê responsável pela Política de Segurança da Informação da Câmara, instituída pelo Ato n. 1.429, de 26 de março de 2019.

Trata-se de sugerir a adoção de medidas a fim de dar cumprimento à Lei Geral de Proteção de Dados no âmbito da edilidade paulistana. Em apertada síntese, recomenda-se:

  • Mapeamento dos dados pessoais, sensíveis ou não, em qualquer meio (físico, digital, nuvem etc.), objeto de tratamento por este legislativo. Sugere-se que tal levantamento, e posteriores atos de análise de seu curso e execução de orientação e/ou aplicação de medidas de segurança[9] (artigo 46 da LGPD) aos dados pessoais levantados seja efetivado, de forma organizada, por grupo de servidores designados para tanto, preferencialmente representantes de todas as áreas meio e fim deste legislativo (podendo inclusive se utilizar do Comitê Gestor de Segurança da Informação – Ato n. 1429/19).
  • Assim, aliado às providências e aos esclarecimentos já detalhados no parecer ADM 33/20, bem como às sugestões trazidas no bojo do Parecer SCL 65/2020, que bem pontuou todas as questões que são objeto da consulta e que serão ainda melhor definidas e dimensionadas no processo de adaptação que deverá ser iniciado neste legislativo – sugere-se, de início, a adoção das seguintes diretrizes:

 

  • Acolher como norte, naquilo que for aplicável (vez que o Legislativo não atua na execução de políticas públicas), para início dos trabalhos de adaptação à LGPD no âmbito desta edilidade o “Guia de Boas Práticas para Implementação da LGPD na Administração Pública Federal”, editado em primeira versão em 23 de março p.p., elaborado pelo Comitê Central de Governança de Dados instituído pelo Decreto Federal n. 10.046, de 9 de outubro de 2019 (gov.br/governodigital/pt-br/governanca-de-dados/guia-lgpd.pdf – cópia anexa);
  • Proceder-se à indicação dos agentes de tratamento no âmbito deste legislativo, quais sejam: controlador (artigo 5º, inciso VI – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais) e operador (artigo 5º, inciso VII – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador). Posteriormente, controlador e operador deverão indicar o encarregado, para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), autoridade essa ainda não instituída até a presente data; sendo recomendada a estruturação de uma área de profissionais que futuramente auxiliem o encarregado no cumprimento de suas competências;
  • Adotar medidas sob as seguintes dimensões[10]:

Estratégica – com definição de medidas de adequação do referencial estratégico aos princípios estabelecidos no artigo 6º da LGPD;

Organizacional – definindo uma estrutura organizacional multidisciplinar e que seja suficiente para apoiar a implementação de medidas de adequação definidas pelo plano estratégico, iniciando-se por meio do mapeamento dos dados;

Operacional – fixando as medidas de adequação, inclusive com mudanças das já aplicadas, que deverão ser incorporadas aos processos organizacionais que lidam com os dados pessoais custodiados por este legislativo ou que os afetem. Nesse ponto deverão ser analisados todos os ativos organizacionais existentes nesta edilidade (bases de dados, documentos, equipamentos, locais físicos, pessoas e sistemas) em que se procedem a tratamentos de dados no decorrer de todo o seu ciclo de vida, até sua eventual eliminação;

 

Comunicacional – explicitando ações de disseminação de conhecimento, conscientização e treinamento relacionado ao tema de proteção de dados neste poder legislativo. Promover ampla divulgação das medidas de adequação que serão implementadas, incorporando o tema de proteção de dados pessoais no dia a dia dos servidores em geral.

  • Elaborar o Relatório de Impacto à Proteção de Dados Pessoais previsto no artigo 5º, inciso XVII da LGPD, independentemente de solicitação futura por parte da Autoridade Nacional de Proteção de Dados (ANPD), outorgando, então, visibilidade e transparência à efetiva adequação (compliance) do Legislativo Paulistano à Lei Geral de Proteção de Dados Pessoais.

São as indicações que me parecem pertinentes, e que submeto à elevada apreciação de V. Sa.

 

São Paulo, 27 de maio de 2020.

 

 

MARIA NAZARÉ LINS BARBOSA

Procuradora-chefe legislativa

OAB/SP 106.017

 

[1] Lei Geral de Proteção de Dados Pessoais Comentada, Márcio Cots e Ricardo Oliveira, 3ª ed., Ed. Revista dos Tribunais, São Paulo, 2019, pg. 251.

[2] Postergação da vigência da LGPD: um remédio necessário?, www.conjur.com.br/2020-mai-01/direito-civil-atual-postergacao-vigencia-lei-geral-protecao-dados-remedio-necessario.

[3] “I – realizados por pessoa natural para fins exclusivamente particulares e não econômicos;

II – realizado para fins exclusivamente:

  1. jornalístico e artísticos; ou
  2. acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;

III – realizado para fins exclusivos de:

  1. segurança pública;
  2. defesa nacional;
  3. segurança do Estado; ou
  4. atividades de investigação e repressão de informações penais; ou

IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.”  

[4] www.migalhas.com.br/depeso/300585/lgpd-e-setor-publico-aspectos-gerais-e-desafios.

[5] Lei Geral de Dados Pessoais Comentada, Márcio Cots e Ricardo Oliveira, Ed. Revista dos Tribunais, 3ª edição, São Paulo, 2019, pg. 74).

[6] www.gob.br/governodigital/pt-br/gobernanca-de-dados/guia-lgpd.pdf.

[7] Adoção de medidas técnicas e administrativas aptas

[8] Cf. orientação do curso on line disponibilizado pela Escola Virtual.Gov, desenvolvido pela Escola Nacional de Administração Pública, sob o tema “Proteção de Dados Pessoais no Setor Público” – www.escolavirtual.gov.br/curso/290).

[9] Adoção de medidas técnicas e administrativas aptas.

[10] Cf. orientação do curso on-line disponibilizado pela Escola Virtual.Gov, desenvolvido pela Escola Nacional de Administração Pública, sob o tema “Proteção de Dados Pessoais no Setor Público” – www.escolavirtual.gov.br/curso/290).