LGPD e Setor Público - Aspectos Gerais e Desafios - Migalhas de Peso

10/12/2019 LGPD e setor público: aspectos gerais e desafios - Migalhas de Peso
CADASTRE-SE FALE CONOSCO
Segunda-feira, 9 de dezembro de 2019
LGPD e setor público: aspectos gerais e desafios

Angela Maria Rosso
A dependência absoluta em utilizar esses dados como insumo da economia, o potencial lucrativo, o surgimento de novos
mecanismos de tratamento e de novos modelos de negócios até então sequer imaginados, o assustador volume produzido em
cada segundo - que denominamos big data - as conclusões que podemos chegar a partir da sua análise para as mais diversas
áreas fez com que a União Europeia.
quinta-feira, 18 de abril de 2019
1 - INTRODUÇÃO
Dados pessoais são o combustível para o modelo econômico que hora se põe, uma economia que é alicerçada no
compartilhamento de conhecimento, de informações e de dados pessoais. Com a imprescindibilidade de utilizá-los e sem uma
regulamentação adequada, sem freios, portanto, uma série de abusos, tais como a utilização não autorizada de dados para
disparo de campanhas publicitárias, a comercialização dos dados pessoais para outros fins que não aqueles para os quais
foram coletados, começou a ocorrer. A evolução do conceito de privacidade levou-nos a perceber que o mau uso desses dados
tem a capacidade de violar de forma profunda e por vezes definitiva a dignidade humana deixando na sociedade um caminho de
discriminação e de falência dos mais fundamentais direitos humanos. Esta realidade provocou no mundo todo a necessidade de
discutir o tema que foi levado ao legislador culminando com a aprovação de leis que em suma tem o dever de tutelar o direito à
proteção de dados.
https://www.migalhas.com.br/dePeso/16,MI300585,31047-LGPD+e+setor+publico+aspectos+gerais+e+desafios 1/23
A dependência absoluta em utilizar esses dados como insumo da economia, o potencial lucrativo, o surgimento de novos
mecanismos de tratamento e de novos modelos de negócios até então sequer imaginados, o assustador volume produzido em
cada segundo - que denominamos big data - as conclusões que podemos chegar a partir da sua análise para as mais diversas
áreas fez com que a União Europeia, que desde 1995 já tinha a sua política de proteção de dados, edita-se um novo
regulamento - o GDPR1 - muito mais completo e abrangente, com modalidades de penalizações severas No Brasil não foi
diferente, embora com um tanto mais de morosidade legislativa, em 20, após quase uma década de discussões, por fim foi
criada a Lei Geral de Proteção de Dados - LGPD2.
Em vários aspectos a LGPD assemelha-se ao regulamento europeu sendo uma dessas semelhanças a sua aplicação
multisetorial e transversal, ou seja, a lei aplica-se às pessoas naturais e as pessoas de direito público e privado, respeitadas
algumas peculiaridades de cada setor para qualquer operação de tratamento de dados pessoais.
Discutir o efeito exercido pela LGPD no setor público se reveste de essencialidade visto que estamos diante de um regulamento
que trata da proteção de um novo direito fundamental e que ao Estado, nas figuras da administração direta ou indireta,
reserva tratamento diferenciado, permitindo-lhe alguns tratamentos não permitidos ao ente privado. Outro fator que merece
atenção a existência da lei de acesso à informação (LAI) com a qual a LGPD deve necessariamente conversar para que sejam
aplicadas de forma integrada. Além disso a pouca participação do setor público nas discussões que cercaram a aprovação da lei
e por fim as tentativas de manobra para afastar o setor público de seu alcance é que o tema ganha relevância e merece ser
discutido.
Assim, destacam-se como pontos merecedores de discussão o alcance sancionatório da lei, o modo como se aplica e a
interação necessária com a LAI. Neste texto através de uma análise do contexto atual de utilização de dados pessoais pela
Administração Pública buscamos demonstrar porque é vital que ela se adeque à LGPD apontando em quais pontos a
adequação deverá acontecer, também apresentaremos os limites a que se submete o Estado enquanto controlador de dados
pessoais. Chamamos a atenção para o fato de que devido à complexidade do tema e ao pouco amadurecimento das discussões
não temos qualquer pretensão exaurir a matéria, pelo contrário, pretendemos somente ventilar algumas perspectivas diante
desse novo e importante regramento.
2 - QUEM É O SETOR PÚBLICO

Para compreender qual o impacto que a Lei Geral de Proteção de Dados terá em cada ente que compõe o Setor Público é
mister recorrer às definições fornecidas pelo Direito Administrativo no tocante a sua constituição: “o ordenamento jurídico
brasileiro submete as variadas hipóteses de atuação da administração pública, nos três poderes e em todos os níveis da
Federação, ora a um regime jurídico tipicamente de direito público, ora a normas oriundas predominantemente do direito
privado” (ALEXANDRINO; PAULO, 2017, p. 11). Determinar qual a natureza jurídica do ente e em qual interesse age - se no
interesse público e em sua finalidade ou em regime concorrencial - no caso concreto é o primeiro passo para identificar como a
LGPD a ele se aplicará.
A nova lei dedica um capítulo com nove artigos (Capítulo IV) exclusivamente para abordar o tema “Tratamento de Dados
Pessoais pelo Setor Público” e indica que a integração com a LAI é necessária ao fazer referência expressa em seu artigo 23 o
qual transcrevemos:
“O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da lei 12.527,
de de novembro de 2011 [...]”, a LAI, por sua vez, prescreve o seguinte:
“I - os órgãos públicos integrantes da administração direta dos Poderes Executivo, Legislativo, incluindo as Cortes
de Contas, e Judiciário e do Ministério Público;
II - as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais

entidades controladas direta ou indiretamente pela União, Estados, Distrito Federal e Municípios.” 3
Fazemos aqui uma importante ressalva ao enquadramento de algumas entidades referidas no inciso II, Parágrafo Único da LAI,
pois, estas, devido a sua natureza jurídica deverão transitar entre os capítulos II e IV da LGPD a depender da atividade que
desempenham ao tratar os dados. Em outras palavras, a finalidade a que está vinculado determinado tratamento dos dados
pessoais - se em regime de mercado, concorrencial, ou se para a consecução de políticas públicas - é que determinará se o
ente deve atender aos requisitos exigidos para o setor privado ou para o setor público previstos na LGPD. Esta é a prescrição do
art. 24 da LGPD ao determinar que empresas públicas e sociedades de economia mista por estarem sob a égide de um regime
especial (ou misto) deverão se adequar a depender do caso concreto: se atuarem de acordo com os requisitos do art. 173, CF4 -
explorando atividade econômica - devem atuar em conformidade com Capítulo II da LGPD; já nos casos em que a finalidade do
tratamento for a persecução do interesse público deverão atender o Capítulo IV.
Por isso, verificada a necessidade de tratar dados pessoais, primordialmente deve o ente público identificar sob qual condição
atua, uma vez que as consequências de atuar em regime concorrencial ou regime de finalidade pública são diferentes, desde os
requisitos a serem atendidos até às sanções previstas em eventual desrespeito à lei.
Entendemos que é nesse ponto que reside uma das grandes complexidades no tratamento dispensado aos entes públicos pela
LGPD, uma vez que pode acontecer de o mesmo dado ao ser utilizado para finalidades diversas requerer o atendimento de
requisitos diversos.
Necessário chamar a atenção para a equiparação realizada pelo art. 23, §4º que atribui aos serviços notariais e de registro
exercidos por delegação o mesmo tratamento dispensado aos entes públicos quando necessitarem realizar o tratamento de
dados pessoais.
3 - O MOVIMENTO PARA RETIRAR O SETOR PÚBLICO DO ALCANCE DA LEI
Poucas semanas antes da aprovação da Lei de Proteção de Dados no Congresso Brasileiro, enquanto ainda estava em
discussão nas comissões das casas, noticiou-se que o governo realizava manobras para modificar o texto que seguiria para
apreciação em plenário na tentativa de retirar várias obrigações da Administração Pública no tocante ao tratamento de dados
pessoais. Branco (20) destaca que os requisitos que almejava-se retirar eram os de transparência, da minimização do
tratamento, de necessidade da exposição da finalidade específica do tratamento, da possibilidade de correção dos dados e de
oposição ao tratamento por parte do sujeito dos dados, esvaziando assim a lei em relação ao setor público. Felizmente, tais
modificações não foram sequer apresentadas para votação e o texto aprovado contemplou completamente o setor público no
tocante a princípios e requisitos para tratamento dos dados pessoais.
Especialistas no tema afirmaram que caso essa manobra tivesse obtido êxito a legislação nacional seria incompatível com os
marcos regulatórios de outros países e representaria “uma quebra na harmonia do sistema, proporcionando menor clareza aos
cidadãos quanto aos seus direitos, diminuindo a confiança e a segurança jurídica” (LUCCA, 20).
Mesmo com a aprovação do texto contemplando também o setor público alguns itens a ele atinentes foram vetados pelo chefe
do executivo. O inciso II do artigo 23 que no texto originalmente aprovado assim constava5: II – sejam protegidos e preservados
dados pessoais de requerentes de acesso à informação, nos termos da lei 12.527, de de novembro de 2011 (Lei de Acesso à
Informação), vedado seu compartilhamento no âmbito do Poder Público e com pessoas jurídicas de direito privado.
Foi vetado com o argumento de inconstitucionalidade e por não atenderem ao interesse público sob a seguinte justificativa:
“O dispositivo veda o compartilhamento de dados pessoas no âmbito do Poder Público e com pessoas jurídicas de
direito privado. Ocorre que o compartilhamento de informações relacionadas à pessoa natural identificada ou
identificável é medida recorrente e essencial para o regular exercício de diversas atividades e políticas públicas. É o
caso, por exemplo, do banco de dados da Previdência Social e do Cadastro Nacional de Informações Sociais, cujas
informações são utilizadas para o reconhecimento do direito de seus beneficiários e alimentados a partir do
compartilhamento de diversas bases de dados administrados por outros órgãos públicos. Ademais, algumas
atividades afetas ao poder de polícia administrativa poderiam ser inviabilizadas, a exemplo de investigações no
âmbito do Sistema Financeiro Nacional, dentre outras.” (BRASIL, 20)
Também foi vetado o inciso II do §1º do artiigo 26 que trazia a possibilidade de transferir os dados pessoais “quando houver
previsão legal e a transferência for respaldada em contratos, convênios ou instrumentos congêneres” sob os argumentos de
que:
“A redação do dispositivo exige que haja, cumulativamente, previsão legal e respaldo em contratos, convênios ou
instrumentos congêneres para o compartilhamento de dados pessoais entre o Poder Público e entidades privadas. A
cumulatividade da exigência estabelecida no dispositivo inviabiliza o funcionamento da Administração Pública, já
que diversos procedimentos relativos à transferência de dados pessoais encontram-se detalhados em atos
normativos infralegais, a exemplo do processamento da folha de pagamento dos servidores públicos em instituições
financeiras privadas, a arrecadação de taxas e tributos e o pagamento de benefícios previdenciários e sociais,
dentre outros.” (BRASIL, 20)
Outro veto atingiu o artigo 28 cuja redação original era: “a comunicação ou o uso compartilhado de dados pessoais entre órgãos
e entidades de direito público será objeto de publicidade, nos termos do inciso I do caput do art. 23 desta Lei.” Neste caso, a
alegação foi de que: “A publicidade irrestrita da comunicação ou do uso compartilhado de dados pessoais entre órgãos e
entidades de direito público, imposta pelo dispositivo, pode tornar inviável o exercício regular de algumas ações públicas como
as de fiscalização, controle e polícia administrativa.” (BRASIL, 20)6
4 - POR QUE A LEI ABRANGE O SETOR PÚBLICO
Dentre todos os concentradores de dados pessoais o Estado se sobressai, afinal de contas é ele que controla ainda que
indiretamente a vida financeira, o acesso à saúde, eventuais processos judiciais colecionados durante a vida, dados
educacionais, dados trabalhistas do cidadão entre outros. Além disso, o Estado é também um empregador gigante, são milhares
de pessoas que vendem sua força de trabalho para os entes municipais, estaduais e federais da Administração Direta e Indireta.
Mais do que isso, o governo é também o maior acionista de grandes empresas de tecnologia que a pedido dele operam com
esses dados: os coletam, armazenam, utilizam, etc. Ou seja, deixar o setor público fora do alcance da LGPD seria um
verdadeiro atentado aos direitos fundamentais.
A inclusão do setor público no escopo da LGPD obriga-o a adequar-se investindo em questões de segurança que são muitas
vezes negligenciadas (vide os casos divulgados de ataques ransomware7 à grandes hospitais públicos e à órgãos do
judiciário)8, e a atuar de forma a evitar a comercialização de dados pessoais para fins diferentes daqueles aos quais foram
coletados, conforme o recente caso vivenciado por uma empresa pública de tecnologia9. O governo tem se tornado cada vez
mais digital, basta uma rápida pesquisa nos repositórios (APP Store) para encontrarmos os mais variados aplicativos voltados
ao acesso a sistemas gerenciados pelo governo. Desde aplicativos que nos possibilitam verificar faturas de consumo de energia
elétrica, ou seja, dados sobre nosso consumo, aplicativos de recuperação de créditos de notas fiscais, de acesso a bancos
públicos, à agências reguladoras e outros serviços como INSS e FGTS, entre tantos outros, de acordo com pesquisa conduzida
pelo Internetlab (20) “a Administração Pública também passa a adotar gradativamente o uso de aplicações de internet como
estratégia para se aproximar de cidadãos e facilitar o acesso à informação e a prestação de determinados serviços”. No estudo
conduzido pelos pesquisadores do InternetLab foi verificado que vários desses aplicativos pedem permissões de acesso à
dados de geolocalização que quando vinculados a uma pessoa identificada ou identificável são considerados dados pessoais.
Além disso, muitos deles também solicitam permissão de acesso a todas as contas do usuário - de redes sociais ou não -
cadastradas no dispositivo em que são instalados. Esse tipo de acesso é considerado de alto risco e muitas vezes
desnecessário para o correto funcionamento do sistema, visto que o serviço permanece funcionando ainda que desabilitando
várias das permissões exigidas. Diante desses fatos os pesquisadores concluíram que o poder público não vem adotando boas
práticas de segurança e proteção de dados pessoais no desenvolvimento desses aplicativos, uma vez que adotam um tipo de
permissão abrangente e não esclarecem para qual finalidade específica deve ser concedida determinada permissão ou ainda
qual a política pública que está vinculada à coleta daquele dado ou ainda a base legal que permite tal procedimento. Esse modo
de operação contraria as melhores práticas de segurança da informação que orientam que seja utilizado o modelo de obtenção
de permissão específica, além disso, contrariando também os princípios expressos no artigo 6º da LGPD especialmente no que
diz respeito à finalidade, inciso I e minimização da coleta, inciso III.
No atendimento de seus serviços essenciais de arrecadação, previdência e assistência visando facilitar todo o processo de
gestão dessas áreas o Estado têm implantado sistemas como, por exemplo, o E-social que é um sistema que concentra toda a
vida previdenciária e profissional do cidadão10 cujo principal objetivo é:
“simplificar a prestação das informações referentes às obrigações fiscais, previdenciárias e trabalhistas, de forma a
reduzir a burocracia para as empresas [...] viabilizará garantia aos diretos previdenciários e trabalhistas,
racionalizará e simplificará o cumprimento de obrigações, eliminará a redundância nas informações prestadas pelas
pessoas físicas e jurídicas, e aprimorará a qualidade das informações das relações de trabalho, previdenciárias e
tributárias”
resultando em uma enorme concentração de dados pessoais, muitos deles dados sensíveis. Outros exemplos de sistemas em
que a administração pública trata dados pessoais é o sistema do IRPF que apresenta todas as informações financeiras do
indivíduo, dos Sistemas de Saúde gerenciados pelo Datasus, e por fim devemos citar o DNI - Documento Nacional de Identidade
criado pela lei 13.444/17 que reunirá em um único documento digital os dados de identificação da pessoa natural inclusive o
número do CPF, sendo que o art. 11 da referida lei assim preceitua:
“O poder público deverá oferecer mecanismos que possibilitem o cruzamento de informações constantes de bases
de dados oficiais, a partir do número de inscrição no CPF do solicitante, de modo que a verificação do cumprimento
de requisitos de elegibilidade para a concessão e a manutenção de benefícios sociais possa ser feita pelo órgão
concedente“ (BRASIL, 2017)
explicitando, assim, uma hipótese de compartilhamento de dados entre os órgãos públicos.
Para além dos sistemas, o país tem buscado avançar também em setores relacionados à inteligência artificial e internet das
coisas (IOT) tendo inclusive lançado planos de ações, nesse sentido Magrani (20, p. 81) destaca que:
“O poder público demonstra já estar atento aos benefícios da IoT, entendendo que esta surge como importante
ferramenta voltada para os desafios da gestão pública, prometendo, a partir do uso de tecnologias integradas e do
processamento massivo de dados, soluções mais eficazes para problemas como poluição, congestionamentos,
criminalidade, eficiência produtiva, entre outros. Já existem exemplos de aplicações de IoT pelo país, e essas
experiências tendem a aumentar”.
Um dos principais pontos de atenção do poder público em se tratando de IoT está na melhoria da segurança pública e algumas
dessas iniciativas já começam a se concretizar, por exemplo, algumas cidades têm implantado sistemas de monitoramento por
câmeras que transmitem imagens em tempo real 24 horas por dia, 7 dias por semana. Longe ainda de equiparar o Brasil à
China11, onde a vigilância está integrada ao dia a dia de forma quase indissociável o uso de câmeras de vigilância pelo setor
público tem se ampliado e não podemos esquecer que estes dados são pessoais e que, embora já protegidos pelo direito de
imagem previsto no Código Civil, também recebem guarida na LGPD devendo o seu controlador, no caso o setor público,
responsabilizar-se pelo seu uso dentro da finalidade, bem como por garantir sua segurança assegurando assim sua proteção. A
evidência de que essa cultura deve ser difundida e adotada dentro do setor público são os primeiros sinais de uso indevido de
imagens obtidas, como no caso em que agentes públicos se utilizando do acesso ao sistema de câmeras que tinham
observavam e divulgavam imagens de banhistas do sexo feminino em uma praia brasileira12.
Diante do cenário apresentado, impossível se pensar uma lei de proteção de dados efetiva sem que o setor público estivesse
incluído. A Administração Pública direta e indireta em todas as esferas - federal, estadual e municipal - é um grande controlador
de dados pessoais e em um Estado democrático de direito deve se submeter às leis também no que tange a proteção de dados.
5 - QUANDO A LGPD NÃO SE APLICA
O artigo 4º é de suma importância no que toca ao tratamento de dados realizado pela Administração Pública, especialmente no
que diz respeito ao seu inciso III, visto que afasta a incidência da LGPD quando o tratamento de dados pessoais for
Realizado para fins exclusivos de:
a) Segurança pública;
b) Defesa nacional;
c) Segurança do Estado; ou
d) Atividades de investigação e repressão de infrações penais;
A importância da não-incidência se dá na medida em que é a Administração Pública que detém a posse e controla todos os
dados do sistema prisional, por exemplo, bem como é sua atribuição investigar qualquer ação que coloque em risco a segurança
pública ou do próprio Estado. São casos em que as atividades se revestem de caráter puramente estatal e protegem a
Administração Pública de qualquer responsabilidade quanto aos tratamentos realizados. Entretanto, considerando que esse
leque de situações é amplo e que a alegação de que é preciso garantir a segurança tem sido utilizada como justificativa para
inúmeras violações da privacidade - historicamente tem se entendido que é necessário privilegiar uma em detrimento de outra -
a lei traz algumas exigências para que sua aplicação seja afastada, assim, o tratamento dos dados nos casos enumerados no
art. 4º, III exige legislação específica e deve respeitar todos os princípios constitucionais atinentes. Por exemplo, a lei
12.654/1213 é a base legal que afasta a aplicação da LGPD ao regulamentar a coleta de material genético de pessoas presas.
A redação original do §2º, vedava que o tratamento nas circunstâncias enumeradas no artigo 4º, III fosse realizado em por
pessoa de direito privado e quando tal tratamento ocorresse sob a tutela de pessoa jurídica de direito público havia a
necessidade de comunicar a autoridade nacional de proteção de dados. Entretanto, a edição da Medida Provisória nº 869 de
201814 alterou a prescrição do §2º retirando a obrigatoriedade da comunicação a autoridade. O §3º também passou por uma
grande alteração fazendo com que pessoas jurídicas de direito privado desde que controladas pelo Poder Público possam
realizar o tratamento dos dados de segurança pública ou do Estado, defesa nacional ou atividades de investigação e repressão
de infrações penais. A MP15 ainda revogou o §4º que no texto original da LGPD proibia que bancos de dados com esse tipo de
informação fossem tratados em sua totalidade por pessoa jurídica de direito privado, flexibilizando assim a norma.
6 - QUANDO O SETOR PÚBLICO PODE TRATAR OS DADOS
O principal requisito permissivo para o tratamento de dados pessoais pela Administração Pública é o que está presente no artigo
7º, III
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de
políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos
congêneres, observadas as disposições do Capítulo IV desta lei;
Execução de políticas públicas é, portanto, a principal e indubitavelmente a melhor justificativa para que o setor público realize
qualquer tipo de tratamento de dados. Sendo este um conceito muito amplo, dando larga margem para a manipulação dos
dados pessoais pelo setor público, uma vez que é inerente à própria existência do Estado a consecução de políticas públicas.
Esse requisito está intimamente ligado a outros dois previstos no artigo 23 “atendimento de sua finalidade pública, na
persecução do interesse público” e “com o objetivo de executar as competências legais ou cumprir as atribuições legais do
serviço público”. Tal previsão encontra guarida no princípio da supremacia do interesse público que é princípio
constitucionalmente previsto, conforme Pietro (2018, p.132). “Esse princípio está presente tanto no momento da elaboração da
lei quanto no momento da sua execução em concreto pela Administração Pública. Ele inspira o legislador e vincula a autoridade
administrativa em toda a sua atuação”. Assim podemos compreender que “se a lei tem em vista atender ao interesse geral, que
não pode ceder diante do interesse individual” é neste sentido que deve ser também realizado o tratamento de dados e nesse
caso resta claro que há dispensa do atendimento de qualquer outro dos requisitos previstos no artigo 7º e nos parece ser este o
fundamento do qual a administração pública deve se valer para realizar o tratamento de dados.
7 - OBRIGAÇÕES QUE O ESTADO ASSUME AO REALIZAR O TRATAMENTO DE DADOS PESSOAIS
Ainda que atendendo requisito de execução da finalidade pública o ente recebe da LGPD algumas atribuições que devem ser
cumpridas quando do tratamento de dados pessoais, estes requisitos, estabelecidos especificamente para o setor público estão
previstos nos incisos do artigo 23:
I - Sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados
pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as
práticas utilizadas para a execução dessas atividades [...]
Assim, o Estado não se exime de informar quando está realizando tratamento16 dos dados por meio de informações claras e
atualizadas - atendendo ao princípio da transparência: art. 6º, VI - garantia, aos titulares, de informações claras, precisas e
facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento; sobre a previsão legal que
embasa/justifica tal tratamento;
O rol de bases legais autorizadoras do tratamento de dados pessoais pela Administração Pública encontra previsão no inciso III
do artigo 7 e inclui leis, regulamentos, contratos, convênios ou instrumentos congêneres. Alguns questionamentos surgem neste
ponto em relação aos instrumentos autorizadores do tratamento, seria uma portaria, por exemplo, um instrumento apto a
autorizar o tratamento de dados pessoais pelo setor público?17 ; Finalidade - atendendo assim ao princípio previsto no artigo 6º,
I “realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de
tratamento posterior de forma incompatível com essas finalidades”
O inciso III do artigo 23, por sua vez, exige que seja indicado um encarregado que nos termos da própria lei deverá conhecer do
tratamento de dados realizados, bem como comunicar-se com titulares de dados e com a Autoridade Nacional de Proteção de
Dados entre outras atribuições.
Embora, com presença menos intensa no setor público há casos em que o consentimento do titular dos dados precisa ser
colhido e considerado, é o que ocorre com os sistemas que permitem a restituição de parcela do ICMS obtido pela emissão de
notas fiscais, como, por exemplo, nos sistemas Nota Fiscal Paulista e Nota Fiscal Paraná.
Além de atender os requisitos supracitados a Administração Pública não se exime do dever de garantir o cumprimento de todos
os demais princípios enumerados no artigo 6º: adequação, necessidade, livre acesso, qualidade dos dados, segurança,
prevenção, não discriminação e responsabilização e prestação de contas. Há que se ressaltar que estes princípios se aplicam
independentemente da base legal utilizada para justificar o tratamento de dados e por isso deve a Administração Pública
preocupar-se em garantir que eles sejam atendidos em relação a todos os dados pessoais em seu poder.
8 - O COMPARTILHAMENTO DOS DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA
Os artigos 25, 26 e 27 da LGPD encarregam-se de descrever como e quando pode/deve ocorrer o compartilhamento dos dados
pessoais geridos pelo setor público. Primeiramente, a lei exige que tais dados sejam mantidos em formato interoperável quando
forem utilizados para a consecução de políticas públicas, prestação de serviços públicos, armazenamento, eliminação, avaliação
ou controle da informação, modificação, comunicação, transferência, difusão ou extração; descentralização e disseminação do
acesso à informação, evitando assim que o mesmo dado necessite ser coletado várias vezes para diversos órgãos diferentes.
Entretanto, a justificante finalidade específica é imprescindível sempre que houver necessidade de compartilhamento dos dados
pessoais para a consecução de alguma política pública.
A regra expressa no artigo 26 é de vedação ao compartilhamento dos dados em posse da Administração Pública com entidades
privadas, exceto nos casos em que a transferência se faça necessária com o fim específico e determinado de execução
descentralizada da atividade pública. De acordo com Pietro (2018, p. 573), a descentralização administrativa ocorre quando há
“distribuição de competências de uma para outra pessoa, física ou jurídica” que é o que ocorre nos casos em que o Estado
atribui para uma empresa pública, uma autarquia, uma sociedade de economia mista, uma fundação pública ou um consórcio
público a execução de um serviço público ou ainda como ocorre no caso das concessões, autorizações e permissões, onde um
ente privado executa um serviço público em nome do Estado. Originalmente a LGPD permitia o compartilhamento dos dados
estão publicamente acessíveis, que são aqueles dados cuja exposição foi autorizada pelo titular dos dados, contudo essa
disposição foi reescrita pela MP nº 869 de modo que para o compartilhamento de dados nos termos do caput do art. 26 basta
que seja indicado um encarregado18, ou seja, ampliou-se enormemente o espectro de situações em que é legal a transferência
de dados pelo Poder Público a entidades privadas. A MP também incluiu os incisos IV, V, VI que apresentam outras exceções à
vedação da transferência dos dados pessoais em posse da Administração Pública para entes do setor privado.
O artigo 27, por sua vez, determina que em regra deve existir consentimento do proprietário dos dados para que eles possam
ser compartilhados entre a Administração Pública e algum ente privado, exceção feita aos casos de dispensa do
consentimento19 quando necessários para execução da atividade pública e nas exceções previstas no artigo 26 acima descritas.
A MP 869 também alterou a redação do artigo 27 retirando a necessidade de informar o compartilhamento à Autoridade
Nacional de Proteção de Dados como originalmente previsto.
9 - RESPONSABILIZAÇÃO DO SETOR PÚBLICO PELO TRATAMENTO DE DADOS PESSOAIS
Neste quesito, demonstra-se clara a necessidade da Autoridade Nacional de Proteção de dados, visto que está entre suas
funções indicar as medidas cabíveis para cessar a violação da proteção de dados causada ou facilitada por alguma entidade da
Administração Pública.
Faz-se mister discutir acerca de qual a responsabilidade do ente sobre os dados que estão sob sua guarda, é preciso
compreender que não é porque os dados estão publicamente disponíveis - como é caso por exemplo das remunerações dos
servidores públicas que estão expostas no Portal da Transparência20 - que ele deixa de ser um dado pessoal, informação
publicamente acessível não é necessariamente uma informação pública. Por isso, é importante notarmos que nesse caso
específico existe uma base legal - Lei de Acesso à Informação - que determina que tais dados devem ser expostos. Com
respaldo na finalidade específica de tornar transparente os gastos efetuados pela Administração Pública com seu pessoal, para
que qualquer cidadão possa fiscalizar eventuais abusos cometidos, como, por exemplo, o descumprimento do teto salarial
constitucionalmente previsto. Todavia, embora estejam públicos tais dados ainda devem ser protegidos, visto que não podem ser
utilizados para qualquer outra finalidade que não aquela prevista na LAI, não podendo um terceiro captá-los para fazer listas de
fornecimento de crédito, por exemplo, ou a Administração Pública cedê-los para que terceiros os utilizem para qualquer fim.
Em relação à responsabilidade posterior do Estado em caso de uso desses dados por terceiros que se aproveitaram de uma
exposição calcada na legalidade é um ponto que deve ensejar discussões.
10 - DA TRANSFERÊNCIA INTERNACIONAL DE DADOS REALIZADA PELA ADMINISTRAÇÃO PÚBLICA
A LGPD prevê alguns casos em que a Administração Pública pode realizar operações de transferência internacional de dados,
uma vez que um dos objetivos da regulamentação é favorecer o fluxo de dados pessoais desde que eles estejam
adequadamente protegidos, estas situações estão previstas no artigo 3321, de forma mais direta nos incisos I, III, IV, VI, VII de
forma primária e outros incisos que podem ser utilizados secundariamente. E envolvem o cumprimento a acordos de cooperação
internacional, a execução de políticas públicas ou atribuições do serviço público, quando a transferência tiver a finalidade de
proteger a vida ou a incolumidade física do titular ou de terceiro ou quando estiverem acordadas em instrumentos de direito de
internacional com fins de cooperação jurídica e ela ocorrer entre órgãos públicos de inteligência, investigação e persecução,
aqui podemos exemplificar o MLAT - Acordo de Assistência Judiciária em Matéria Penal22.
De toda a forma ao necessitar realizar tais transferências existindo dúvida acerca do grau de proteção fornecido pelo país
destinatário dos dados as pessoas jurídicas referenciadas pelo artigo 1º da LAI23 podem requerer parecer da autoridade
nacional.
11 - DAS SANÇÕES A QUE A ADMINISTRAÇÃO PÚBLICA SE SUBMETE
As sanções administrativas a que se submetem os entes públicos são de certa forma mais brandas daquelas a que se
submetem os entes privados e estão estabelecidas no §3º do artigo 52, sendo elas:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
Embora não se tenha a punição de multa para entes públicos, sanções como o bloqueio dos dados pessoais podem causar
grande impacto na atuação pública e mais uma vez é mister ressaltar que as empresas públicas e sociedades de economia
mista que atuem em regime de concorrência conforme a determinação constitucional se submetem também a sanção
pecuniária. Novamente o legislador optou por deixar explícito que além da LGPD o setor público se submete a outros ditames
legais, quais sejam, a lei de Improbidade Administrativa24, o Estatuto do Servidor Público Federal25 e a Lei de Acesso à
Informação.
12 - CONCLUSÃO
A Administração Pública vem ao longo do tempo aderindo às inovações tecnológicas a ponto de se autointitular como Brasil -
país digital26. Valendo-se de aplicativos que buscam aproximar governo e cidadão INSS, FGTS, Bolsa Família, entre outros, ou
que tem como objetivo facilitar a vida da sociedade, como o e-título, a CNH Digital, o Meu Imposto de Renda, está entre os
maiores controladores de dados do país. Diante destes fatos, nos chamou atenção o pouco interesse que o setor público
demonstrou ao não participar dos debates que antecederam a aprovação da Lei Geral de Proteção de Dados bem como a
posterior tentativa de colocar-se fora de seu alcance demonstrado o quão despreparadas estão as entidades públicas diante da
nova lei.
Devemos fazer menção ao fato de que existem muitos pontos obscuros e que deverão pautar as discussões durante e mesmo
após a implementação das regras de conformidade no setor público, entretanto, parece-nos que tal como o que recentemente
ocorreu nos países europeus na implantação do GDPR, a administração pública tem andado a passos lentos quando se trata de
adequação à lei. Conforme apresentamos no texto, são vários os aplicativos que coletam dados desnecessários para o seu
funcionamento, ou seja, não se adota a minimização da coleta, também não se verifica nos diversos sistemas existentes
explicações sobre a finalidade específica para qual o dado é coletado.
De toda forma, a finalidade execução de políticas públicas, autorizadora do tratamento de dados pessoais, fornece um escopo
muito amplo e que consegue justificar grande parte das operações que envolvem dados pessoais realizadas pelo setor público
e entendemos que este será o fator fundamental a ser considerado quando da realização dos mapeamentos e dos relatórios de
impacto. Identificar qual finalidade pública será atendida também servirá para separar as situações em que os entes públicos
que atuam em regime de concorrência no mercado deverão atender aos requisitos próprios do tratamento de dados definidos
para o setor público ou quando se submeterão aos requisitos e sanções aplicados aos entes privados.
Neste momento existem muito mais questionamentos do que convicções acerca de como se dará a implementação da LGPD
pela Administração Pública e aqui ressalta-se também a essencialidade da existência da Autoridade Nacional de Proteção de
Dados, uma vez que cabe a ela orientar e determinar muitos requisitos acerca da aplicação da lei. Outros pontos controversos e
que tem motivado discussões é se a Administração Pública poderia utilizar o legítimo interesse como requisito justificador do
tratamento dos dados pessoais e a que tipo de responsabilidade se submete o ente em caso de inobservância dos ditames da
lei. Além disso, faz-se necessário olhar com cautela para definir quais instrumentos podem ser utilizados como base legais
justificadoras do tratamento de dados pessoais?
Outro tema que deverá ser profundamente discutido é a interseção necessária - determinada pela própria LGPD - entre a Lei de
Acesso à Informação e a Lei Geral de Proteção de Dados, há pontos de aparente conflito entre os dois regramentos que devem
ser interpretados de forma a harmonizar os dois regulamentos.
Os impactos da LGPD na sociedade serão gigantes, acreditamos que em um futuro próximo ela se eleve a um patamar de
importância muito próximo daquele em que está o Código de Defesa do Consumidor, sendo que o setor público precisa sair da
inércia em que está desde quando a regulamentação ainda era um projeto de lei em discussão. Capacitar pessoas para atuarem
como encarregados, realizar mapeamentos e relatórios de impactos, aplicar novas metodologias como o framework Privacy by
Design27 no desenvolvimento de seus sistemas e serviços, investir em segurança da informação. Salientamos que se o cenário
reveste-se de complexidade no setor privado, no setor público há outras variantes complicadoras desde o fato de que o
processo de aquisições de soluções é moroso na Administração Pública - porque ela deve seguir os ditames licitatórios - até o
fato de que é necessário treinar pessoal em uma estrutura grandiosa como é o Estado, tudo isso exige tempo e estratégia. O
primeiro passa rapidamente por isso, a segunda precisa ser emergencialmente definida.
___________
1 GDPR - General Data Protection Regulation
2 LGPD - Lei nº 13.709/2018
3 LAI - Lei nº 12.527/2012 Lei de Acesso à Informação - art. 1º, Parágrafo Único.
4 Art. 173. Ressalvados os casos previstos nesta Constituição, a exploração direta de atividade econômica pelo Estado só será
permitida quando necessária aos imperativos da segurança nacional ou a relevante interesse coletivo, conforme definidos em
lei.
§ 1º A lei estabelecerá o estatuto jurídico da empresa pública, da sociedade de economia mista e de suas subsidiárias que
explorem atividade econômica de produção ou comercialização de bens ou de prestação de serviços, dispondo sobre:
I - sua função social e formas de fiscalização pelo Estado e pela sociedade;
II - a sujeição ao regime jurídico próprio das empresas privadas, inclusive quanto aos direitos e obrigações civis, comerciais,
trabalhistas e tributários;
III - licitação e contratação de obras, serviços, compras e alienações, observados os princípios da administração pública;
IV - a constituição e o funcionamento dos conselhos de administração e fiscal, com a participação de acionistas minoritários;
V - os mandatos, a avaliação de desempenho e a responsabilidade dos administradores.
§ 2º As empresas públicas e as sociedades de economia mista não poderão gozar de privilégios fiscais não extensivos às do
setor privado.
§ 3º A lei regulamentará as relações da empresa pública com o Estado e a sociedade.
§ 4º A lei reprimirá o abuso do poder econômico que vise à dominação dos mercados, à eliminação da concorrência e ao
aumento arbitrário dos lucros.
§ 5º A lei, sem prejuízo da responsabilidade individual dos dirigentes da pessoa jurídica, estabelecerá a responsabilidade desta,
sujeitando-a às punições compatíveis com sua natureza, nos atos praticados contra a ordem econômica e financeira e contra a
economia popular.
5 Os artigos vetados da Lei nº 13.709/2018 e as razões do veto encontram-se disponíveis em:
6 No momento em que este texto é escrito tais vetos permanecem e ainda não foram apreciados pelo Congresso Nacional,
entretanto, o veto que mais causa estranheza e que traz questionamentos é aquele aplicado ao artigo 26, uma vez que em
nosso entendimento retirou do texto uma importante exceção à vedação ao compartilhamento dos dados e que influencia
diretamente na transferência de dados entre o setor público e o setor privado.
7 Ransomware – código malicioso que utilizando criptografia torna inacessíveis os dados armazenados em um equipamento e
para que seja feito o desbloqueio e restabelecido o acesso do usuário aos dados é exigido um resgate. Disponível para consulta
em: Acesso em 20/12/2018
8 No ano de 2017 vários ataques de ransomwares (sequestro de dados) aconteceram no mundo inteiro e o Brasil foi um dos
países mais atingidos. Os ataques que em regra exploram falhas já conhecidas em sistemas operacionais desatualizados
demonstraram a fragilidade do setor público em relação à implementação de políticas de segurança. Vários hospitais tiveram
suas atividades prejudicadas em virtude dos ataques. Disponível para consulta em: Acesso em 15/12/2018.
9 O Ministério Público tem investigado a existência de venda de dados pessoais pelo Serpro - empresa pública do governo
federal - a empresa por sua vez alega que a utilização dos dados era autorizada pela Portaria nº 457 de 2016 do Ministério da
Fazenda que trata do compartilhamento de bases de dados da administração pública federal. O caso segue em investigação.
Mais informações disponíveis em . Acesso em 15 dez. 2018.
10 Conforme explicação disponibilizada no site do sistema E-social “os empregadores passarão a comunicar ao Governo, de
forma unificada, as informações relativas aos trabalhadores, como vínculos, contribuições previdenciárias, folha de pagamento,
comunicações de acidente de trabalho, aviso prévio, escriturações fiscais e informações sobre o FGTS”. Disponível em: Acesso
em 15 dez. 2018.
11 A China tem dominado o cenário das inovações quando se trata de vigilância e de reconhecimento facial. Disponível em:
Acesso em 25/11/2018.
12 Caso amplamente noticiado e disponível em: Acesso em 12 dez. 2018.

13 Lei nº 12.654/2012.
14 MP nº 869 de 27 de Dezembro de 2018 altera a Lei nº 13.709/2018 para dispor sobre a proteção de dados pessoais e para
criar a Autoridade Nacional de Proteção de Dados, e dá outras providências.
15 A MP nº 869 alterou vários dispositivos da LGPD e no momento em que escrevemos este texto ela está pendente de votação
no Congresso Nacional, de forma que ainda pode ser revogada, emendada ou ainda aprovada modificando assim o texto da
LGPD.
16 Artigo 5º, X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
17 Vide nota de rodapé 9.
18 Art. 26, §1º III, Lei nº 13.709/2018 - se for indicado um encarregado para as operações de tratamento de dados pessoais, nos
termos do art. 39 - redação dada pela MP nº 869/2018.
19 Art. 7º, §4, Lei nº 13.709/2018 É dispensada a exigência do consentimento previsto no caput deste artigo para os dados
tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei cc art. 11, II -
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em
leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da
Lei nº 9.307, de 23 de setembro de 1996
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em
sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
20 Portal da Transparência - criado a partir de determinação legal da LAI o portal da transparência tem como objetivo oferecer
informações acerca da Administração Pública, inclusive gastos e pode ser consultado em: http://www.portaltransparencia.gov.br/
acesso em 18 dez. 2018.
21 Art. 33 Lei nº 13.709/2018 - Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes
casos:
I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta
Lei;
II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de
proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de
investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
V - quando a autoridade nacional autorizar a transferência;
VI - quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo
dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia
sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
IX - quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.
Parágrafo único. Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único do art.
1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), no âmbito de suas competências legais, e
responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional a avaliação do nível de proteção a dados
pessoais conferido por país ou organismo internacional.
22 MLAT - Mutual Legal Assistance Treaty - o Acordo de Assistência Judiciária em Matéria Penal entre o Governo da República
Federativa do Brasil e o Governo dos Estados Unidos da América - é um acordo internacional que pretende facilitar a troca de
informações envolvendo questões penais entre os dois países e que no momento está tendo a sua constitucionalidade
questionada através da ADC 51.
23 LAI - Lei de Acesso a informação - vide título 2 do artigo
24 Lei de Improbidade Administrativa - Lei nº 8.429 de 2 jun. 1992.
25 Estatuto do servidor público - Lei nº 8.112 de 11 dez. 1990;
26 Disponível em:< https://brasilpaisdigital.com.br/> Acesso em 20/12/2018
27 Privacy by design - metodologia para desenvolvimento de produtos e serviços prevista como obrigatória na LGPD. Tem como
objetivo garantir a privacidade do usuário por padrão desde a concepção do projeto do produto ou serviço.
___________
ALEXANDRINO M.; PAULO V. Direito Administrativo Descomplicado. Rio de Janeiro: Forense; São Paulo: Método, 2017, 27 ed.
BRANCO S. O Estado quer seus dados pessoais mas sem transparências nem direitos. Acesso em: 20 nov. 2018.
BRASIL. Constituição, 1988. Diário Oficial da União, Brasília, DF, 5 out. 1988. Acesso em: 20 dez. 2018.
eSocial. Escrituração digital das obrigações fiscais, previdenciárias e trabalhistas. Acesso em 15 de dez. 2018.
Lei 12.527 de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5o, no inciso II do § 3o do art. 37 e
no § 2o do art. 216 da Constituição Federal; altera a Lei no 8.112, de 11 de dezembro de 1990; revoga a Lei no 11.111, de 5 de maio de 2005,
e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras providências. Diário Oficial da União, Brasília, DF, 18 nov. 2011. Acesso
em: 20 dez. 2018.
Lei 13.709 de 15 de agosto de 2018 - Veto. Acesso em: 20 dez. 2018.
Lei 13.709 de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil
da Internet). Diário Oficial da União, Brasília, DF, 14 ago. 2018. Acesso em 20 dez. 2018.
Lei nº 13.444 de 11 de maio de 2017. Dispõe sobre a Identificação Civil Nacional (ICN). Diário Oficial da União, Brasília, DF, 12 mai. 2017.
Acesso em 16 dez. 2018.
PIETRO, M. S. Direito Administrativo. Rio de Janeiro: Forense, 2018.
INTERNETLAB. Por que se preocupar com o que o Estado faz com nossos dados pessoais?. Acesso em: 05 dez. 2018.
LUCCA, C. Manobra no Senado tenta retirar o setor público da Lei de Proteção de Dados. Acesso em: 20 nov. 2018.
MAGRANI, E. A Internet das coisas. Rio de Janeiro: FGV Editora, 2018.
___________
*Angela Maria Rosso é especialista em Direito Eletrônico.
Comentar Enviar por e-mail voltar para o topo

LGPD e Setor Público - Aspectos Gerais e Desafios - Migalhas de Peso

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

LGPD e Setor Público - Aspectos Gerais e Desafios - Migalhas de Peso

Uploaded by

Copyright:

Available Formats

10/12/2019 LGPD e setor público: aspectos gerais e desafios - Migalhas de Peso

CADASTRE-SE FALE CONOSCO

Segunda-feira, 9 de dezembro de 2019

LGPD e setor público: aspectos gerais e desafios

quinta-feira, 18 de abril de 2019

2 - QUEM É O SETOR PÚBLICO

II - as autarquias, as fundações públicas, as empresas públicas, as sociedades de economia mista e demais

3 - O MOVIMENTO PARA RETIRAR O SETOR PÚBLICO DO ALCANCE DA LEI

4 - POR QUE A LEI ABRANGE O SETOR PÚBLICO

explicitando, assim, uma hipótese de compartilhamento de dados entre os órgãos públicos.

5 - QUANDO A LGPD NÃO SE APLICA

Realizado para fins exclusivos de:

d) Atividades de investigação e repressão de infrações penais;

6 - QUANDO O SETOR PÚBLICO PODE TRATAR OS DADOS

7 - OBRIGAÇÕES QUE O ESTADO ASSUME AO REALIZAR O TRATAMENTO DE DADOS PESSOAIS

8 - O COMPARTILHAMENTO DOS DADOS PESSOAIS PELA ADMINISTRAÇÃO PÚBLICA

9 - RESPONSABILIZAÇÃO DO SETOR PÚBLICO PELO TRATAMENTO DE DADOS PESSOAIS

10 - DA TRANSFERÊNCIA INTERNACIONAL DE DADOS REALIZADA PELA ADMINISTRAÇÃO PÚBLICA

11 - DAS SANÇÕES A QUE A ADMINISTRAÇÃO PÚBLICA SE SUBMETE

I - advertência, com indicação de prazo para adoção de medidas corretivas;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

VI - eliminação dos dados pessoais a que se refere a infração;

1 GDPR - General Data Protection Regulation

2 LGPD - Lei nº 13.709/2018

I - sua função social e formas de fiscalização pelo Estado e pela sociedade;

V - os mandatos, a avaliação de desempenho e a responsabilidade dos administradores.

§ 3º A lei regulamentará as relações da empresa pública com o Estado e a sociedade.

5 Os artigos vetados da Lei nº 13.709/2018 e as razões do veto encontram-se disponíveis em:

12 Caso amplamente noticiado e disponível em: Acesso em 12 dez. 2018.

17 Vide nota de rodapé 9.

a) cumprimento de obrigação legal ou regulatória pelo controlador;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

a) cláusulas contratuais específicas para determinada transferência;

c) normas corporativas globais;

d) selos, certificados e códigos de conduta regularmente emitidos;

V - quando a autoridade nacional autorizar a transferência;

VI - quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

23 LAI - Lei de Acesso a informação - vide título 2 do artigo

24 Lei de Improbidade Administrativa - Lei nº 8.429 de 2 jun. 1992.

25 Estatuto do servidor público - Lei nº 8.112 de 11 dez. 1990;

26 Disponível em:< https://brasilpaisdigital.com.br/> Acesso em 20/12/2018

Lei 13.709 de 15 de agosto de 2018 - Veto. Acesso em: 20 dez. 2018.

PIETRO, M. S. Direito Administrativo. Rio de Janeiro: Forense, 2018.

MAGRANI, E. A Internet das coisas. Rio de Janeiro: FGV Editora, 2018.

*Angela Maria Rosso é especialista em Direito Eletrônico.

Comentar Enviar por e-mail voltar para o topo

You might also like