A Lei Geral de Proteção de Dados (LGPD) alterou significativamente a maneira como instituições, sejam públicas ou privadas, devem lidar com informações pessoais no Brasil. Embora sua aplicação seja frequentemente associada às empresas privadas, a lei também se faz presente – e de forma muito relevante – no contexto público.
Entidades governamentais, como ministérios, secretarias, autarquias e estatais, lidam diariamente com grandes volumes de informações sobre cidadãos. Se, por um lado, há a obrigação de transparência estabelecida na Lei de Acesso à Informação (LAI), por outro é preciso resguardar a privacidade dos titulares de dados conforme a LGPD.
Como conciliar a necessidade de publicidade de atos públicos, elemento essencial do regime democrático, com a salvaguarda de informações pessoais, igualmente fundamental para o respeito à dignidade e aos direitos individuais?
A resposta passa, necessariamente, pelo entendimento de que privacidade e transparência não são conceitos opostos. O maior desafio está em encontrar o equilíbrio, adotando procedimentos capazes de proteger dados sensíveis e, ao mesmo tempo, manter a clareza das ações do Estado diante da sociedade.
Neste artigo, discutiremos os principais desafios da LGPD na Administração Pública, traremos exemplos práticos e apontaremos boas práticas para órgãos governamentais, além de destacar as oportunidades que a lei oferece para o setor público.
No setor público, a Lei de Acesso à Informação (LAI) exige que órgãos governamentais divulguem dados de interesse coletivo ou geral, permitindo à população fiscalizar a gestão pública e promover a participação social. Porém, a mesma lei reconhece exceções quando informações são consideradas pessoais ou sensíveis, o que se entrelaça diretamente com as diretrizes da LGPD.
A LGPD, por sua vez, estabelece princípios como finalidade, adequação e necessidade para o tratamento de dados pessoais, determinando limites claros de coleta, processamento, armazenamento e compartilhamento dessas informações. Ao contrário do que alguns temem, a nova lei não tem a intenção de inviabilizar o acesso a dados. Pelo contrário: ela busca garantir que as informações compartilhadas contemplem a finalidade pública, mas também protejam o direito fundamental à privacidade.
Esse aparente “conflito” pode ser resolvido com procedimentos adequados de anonimização, pseudoanonimização ou análise prévia de quais partes da informação precisam ou não ser divulgadas. Dessa forma, é plenamente possível cumprir as obrigações de transparência previstas na LAI ao mesmo tempo em que se assegura que dados pessoais não sejam expostos indiscriminadamente.
Diversos órgãos públicos enfrentam dificuldades para adequar seus setores à LGPD, especialmente por limitações orçamentárias e operacionais. Ferramentas de segurança da informação, sistemas de criptografia e procedimentos de gestão de risco exigem investimentos que muitas repartições não têm como prioridade ou sequer tinham previsto em seus orçamentos.
Historicamente, a cultura no setor público brasileiro enfatiza a transparência de atos e informações, mas sem o mesmo grau de conscientização acerca de privacidade. É comum que dados de cidadãos apareçam em relatórios, planilhas e documentos de acesso amplo, o que pode gerar riscos de exposição indevida.
Mudar essa mentalidade requer treinamentos sobre proteção de dados no governo, campanhas de conscientização e o envolvimento dos gestores para efetivar uma transformação efetiva.
Muitas bases de dados governamentais foram desenvolvidas antes da LGPD e, em alguns casos, antes mesmo de existir uma preocupação formal com segurança digital. Essa realidade revela um dos maiores desafios da LGPD em prefeituras pequenas, que frequentemente operam com sistemas governamentais desatualizados.
Modernizar esses sistemas requer mapeamento criterioso de processos, avaliação de riscos e, muitas vezes, a substituição ou integração de plataformas tecnológicas. É um processo demorado, que envolve não apenas a área de TI, mas também ajustes na própria legislação interna de cada órgão.
Por razões operacionais, órgãos públicos costumam compartilhar dados entre si – por exemplo, um município pode repassar informações para uma secretaria estadual ou para um ministério.
Sem protocolos específicos que estabeleçam quem acessa o quê, por quanto tempo e para qual finalidade, há elevado risco de uso indevido ou até mesmo de vazamentos. Isso é especialmente sensível em um cenário de crescente integração de bases de dados entre órgãos públicos.
A LGPD exige bases legais bem definidas para esse compartilhamento e a correta fundamentação jurídica é essencial para evitar sanções futuras.
Embora muitos pensem que as penalidades sejam voltadas apenas ao setor privado, a LGPD também prevê sanções para entes públicos em caso de descumprimento. Ainda que a Autoridade Nacional de Proteção de Dados (ANPD) possa adotar uma abordagem gradual ou educativa, não se pode descartar a possibilidade de multas e restrições, principalmente quando há reincidência ou descaso na adoção de práticas de conformidade.
A LGPD introduziu a figura do encarregado de dados ou Data Protection Officer (DPO). Uma das boas práticas para nomeação do DPO governamental é garantir que esse profissional tenha clareza quanto à sua atuação que é, além de garantir que a instituição cumpra a lei, mediar possíveis conflitos entre a demanda por transparência (defendida pela LAI) e a proteção da privacidade de terceiros.
O DPO, muitas vezes, atua como elo entre os diversos departamentos de um órgão, analisando fluxos de dados e estabelecendo normas e diretrizes de segurança da informação. Ele também se responsabiliza por responder a eventuais solicitações dos titulares de dados, como pedidos de retificação ou exclusão, e por articular planos de resposta a incidentes de segurança.
Essa função, no entanto, não se restringe a um trabalho técnico. O DPO deve ter habilidades de comunicação para conduzir treinamentos e trabalhar a conscientização de servidores, promovendo uma cultura de proteção de dados que permeie toda a instituição. Além disso, ele deve ser capaz de dialogar com a alta administração, justificando investimentos e recursos necessários para a adequação.
Apesar dos desafios, eixstem caminhos claros para que a Administração Pública avance rumo à conformidade.
Identificar onde estão os dados pessoais, quem os utiliza, para qual finalidade e por quanto tempo são armazenados. Esse primeiro passo é fundamental para enxergar possíveis vulnerabilidades e pontos de atenção.
Elaborar documentos que definam protocolos de tratamento, acesso e compartilhamento de dados, bem como prazos de retenção. Políticas de privacidade e termos de uso, adaptados à realidade do órgão, ajudam a padronizar a atuação dos servidores. Para isso, recomenda-se adotar um modelo de política de privacidade para administração pública adaptado ao contexto da instituição.
A proteção de dados deve ser entendida como responsabilidade de todos os servidores, não apenas do departamento de TI ou do DPO. Investir em capacitações, palestras e workshops faz toda a diferença para evitar falhas humanas, que são, em muitos casos, as principais causas de incidentes.
Desde práticas simples, como manter softwares atualizados e utilizar senhas fortes, até soluções mais complexas, como criptografia e sistemas de detecção de intrusões, cada órgão deve adotar medidas alinhadas à criticidade das informações que lida. Isso inclui o uso de ferramentas de anonimização de dados governamentais, principalmente em bases com informações sensíveis. Criar processos de backup e ter planos de continuidade de negócios também é essencial.
Não basta ter um encarregado no papel. Ele precisa de autonomia para fazer recomendações e reportar inconformidades. Quando o encarregado tem poder de voz perante a direção, maiores são as chances de sucesso na adoção de práticas de proteção de dados.
O mercado dispõe de soluções de software para gestão de consentimentos, verificação de incidentes e geração de relatórios de risco. Embora haja custo envolvido, essas ferramentas agilizam a adequação e facilitam a transparência das ações.
Imagine que uma secretaria municipal de saúde precise compartilhar dados sobre um programa de vacinação com a secretaria estadual. Os relatórios contêm informações como CPF, endereço e condição clínica dos pacientes.
Segundo a LGPD, existe base legal para esse compartilhamento, pois é parte de uma política pública. Porém, o tratamento de dados sensíveis (informações de saúde) demanda cuidados adicionais. Por isso, cabe ao órgão realizar a devida pseudoanonimização ou anonimização, respeitando as boas práticas de LGPD para órgãos governamentais.
Nos últimos anos, ocorreram vazamentos envolvendo informações pessoais de brasileiros oriundas de bases públicas. Em alguns casos, dados de beneficiários de programas sociais foram expostos indevidamente por falta de protocolos de segurança. Episódios como esses geram desgaste na imagem do órgão responsável, além de potencializarem fraudes e golpes contra os cidadãos.
Ao se deparar com um incidente, a administração deve ter procedimentos claros de resposta: conter o problema, investigar a origem, notificar a ANPD (quando exigido) e comunicar os titulares dos dados afetados. A ausência de um plano de ação pode agravar ainda mais os impactos reputacionais e legais.
A GEP Compliance oferece suporte completo para órgãos públicos que buscam se adequar à LGPD de maneira eficaz. Isso abrange diferentes serviços, dentre os quais se destacam:
Na GEP Compliance é possível acessar estudos de caso, materiais informativos e brochuras que detalham como cada um desses serviços pode ser implementado no contexto da Administração Pública.
A adoção da LGPD no âmbito governamental não deve ser vista como um obstáculo, mas como uma oportunidade de modernização e eficiência dos serviços públicos. Ao garantir a proteção de dados pessoais, a Administração Pública demonstra responsabilidade e respeito pelos direitos dos cidadãos, fomentando uma relação de maior confiança entre governo e sociedade.
A conformidade com a LGPD permite não apenas evitar sanções, mas também reduzir custos com gestão de dados após a LGPD, promover maior eficiência e melhorar a relação entre governo e cidadão.
É fundamental que os gestores públicos se conscientizem de que a privacidade pode, sim, coexistir com a transparência. Ao adotar medidas técnicas, administrativas e culturais para proteger dados, os órgãos públicos atendem às exigências legais sem perder a essência de publicidade de suas ações. A chave está em realizar uma análise criteriosa dos processos internos e investir na capacitação de profissionais que compreendam as exigências da LGPD e saibam equilibrá-las com a LAI.
Por fim, contar com empresas especializadas em compliance e segurança da informação, como a GEP Compliance, potencializa a capacidade de gerenciar riscos e implantar uma cultura de proteção de dados sólida. O suporte especializado ajuda a estruturar uma estratégia completa de adequação, que inclui mapeamento de riscos, políticas de privacidade, formação de equipes internas, adoção de tecnologias adequadas e monitoramento constante. Dessa forma, a Administração Pública pode seguir firme em seu compromisso com a transparência, ao mesmo tempo em que assegura a preservação dos direitos individuais, demonstrando um compromisso ético e legal imprescindível no mundo contemporâneo.
Entre em contato com nossos especialistas que vamos te ajudar!
Acesse, em primeira mão, as nossas principais notícias diretamente em seu e-mail
Contatos
R. Ferreira Lima, 238, 2º Andar, Centro, Florianópolis - SC, 88015-420
Nossas Atuações
Consultoria
Assessoria
Auditoria
GEP Soluções em Compliance © 2024 - Anfi Consulting
