Advocacia Pública em Estudo

LGPD

Poder público como controlador de dados: providências para mitigação de riscos

Casos revelam que responsabilização decorrente de falhas de segurança envolvendo dados são mais frequentes do que se possa imaginar

Crédito: unsplash

Lidar com os chamados incidentes de dados (“data breaches”) será, certamente, um dos maiores desafios que os gestores públicos enfrentarão a partir do início da vigência da Lei nº 13.709, de 14 de agosto de 2018 (a Lei Geral de Proteção de Dados – LGPD).

Casos recentes[1] revelam que a responsabilização decorrente de falhas de segurança envolvendo dados pessoais são mais frequentes do que se possa imaginar, e suas consequências, além de prejudiciais para os titulares dos dados indevidamente expostos, podem ensejar o pagamento de expressivas indenizações[2].

E, nesse contexto, é bastante delicada a situação da Administração Pública, que tem sob sua responsabilidade inúmeras bases contendo informações pessoais e pessoais sensíveis, obtidas, muitas vezes, de forma compulsória, a exemplo dos dados biométricos coletados para a emissão de documentos ou das informações coligidas com o monitoramento de movimentações financeiras.

Por essas razões, compete aos advogados públicos alertar os gestores para os riscos jurídicos a que estarão cada vez mais expostos, caso não busquem implementar medidas de adaptação às novas regras de proteção de dados.

Assim, uma série de providências tecnológicas, administrativas e jurídicas deverão ser rapidamente adotadas. Medidas como mapeamento de dados (“data mapping”), designação de encarregados pelo tratamento de dados (art. 41 da LGPD) e capacitação dos agentes da cadeia de tratamento são essenciais para o início desse processo de adequação. Também a instituição de boas práticas de gestão e de governança de dados serão essenciais para garantir que os programas, projetos e ações conduzidos pelo Poder Público estejam efetivamente em conformidade com o novo marco regulatório.

Nesta ordem de providências iniciais inclui-se também a necessidade de adequações dos instrumentos que respaldam o tratamento de dados pessoais por terceiros, como importante medida destinada a mitigar riscos.

Com efeito, à exceção de alguns poucos tratamentos que são realizados diretamente por agentes públicos (como as análises feitas por agentes fiscais de renda, por exemplo), a maior parte das operações com dados digitais costuma ser delegada a pessoas privadas, por meio de contratos administrativos ou outros instrumentos congêneres (convênios, contratos de concessão e outras formas de parcerias).

E nada há de errado com essas descentralizações negociais, que estão expressamente autorizadas pelos incisos I e IV do §1º do art. 26 da LGPD[3], dispondo a própria lei que o terceiro contratado, na condição de operador (pessoa que realiza o tratamento de dados pessoais em nome do controlador), responderá solidariamente pelos danos que sua atividade causar quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador (pessoa a quem competem as decisões referentes ao tratamento de dados pessoais).

Não obstante, nestas relações, os riscos de responsabilização recairão com maior intensidade sobre o Poder Público, pois o tratamento será realizado em seu nome e conforme suas instruções (art. 39 da LGPD), razão pela qual devem ser instituídos vínculos jurídico-obrigacionais capazes de compelir o operador a reforçar cautelas para não violar a legislação de proteção de dados (art. 43, II).

Desse modo, os instrumentos jurídicos que legitimem o acesso, transferência ou compartilhamento desses dados a terceiros devem detalhar as finalidades e os limites do tratamento autorizados; e as responsabilidades do contratado em caso de incidentes de segurança, a partir de matrizes de risco específicas.

Como decorrência, as cláusulas obrigacionais deverão contemplar regras que estabeleçam vedações à utilização dos dados para finalidades diversas, necessidade de eliminação dos dados após o término da execução contratual, adoção de planos de resposta a incidentes e remediação, responsabilidade por prejuízos causados ao contratante etc.

Considerando também o disposto nos arts. 46 e 47 da LGPD, o Poder Público deverá zelar para que seu operador adote medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, observados os padrões técnicos mínimos dispostos pela Autoridade Nacional de Proteção de Dados – ANPD, mesmo após seu tratamento.

Para tanto, os contratos ou demais instrumentos cuja execução envolva transferência de dados pessoais deverão descrever os “padrões técnicos” mínimos exigidos para a segurança dos sistemas onde as informações serão processadas e armazenadas, e, enquanto a ANPD não dispuser melhor a respeito (conforme previsto no §1º do art. 46 da LGPD), deverão ao menos espelhar as configurações técnicas mais utilizadas no mercado especializado.

Caso necessário, será também possível exigir que o futuro contratado apresente, para a execução do objeto, certificados de qualidade e segurança de suas técnicas e sistemas[4], valendo mencionar que o mercado já trabalha com certificações de qualidade voltadas especificamente para Sistema de Gerenciamento de Informações de Privacidade (Privacy Information Management System – PIMS), a exemplo da ISO/IEC 27701:2019 (Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines).

Nas futuras contratações que tenham por objeto o desenvolvimento de soluções tecnológicas e que envolvam coleta e tratamento de dados pessoais (ferramentas, softwares, aplicativos etc.), deve a Administração também zelar para que o produto inclua técnicas de proteção à privacidade desde sua concepção (“privacy by design”), contemplando, sempre que possível, processos de anonimização e mecanismos de configuração que permitam que o tratamento de dados se dê com total respeito aos princípios descritos no artigo 6º da LGPD.

Ademais, pode se mostrar conveniente exigir, na fase de habilitação das licitações envolvendo serviços de Tecnologia da Informação, que os licitantes declarem, sob as penas da lei, que adotam políticas de boas práticas e de governança de dados (art. 50 da LGPD) e se encontram integralmente adequados às regras da LGPD.

A depender, ainda, da sensibilidade dos dados tratados, será recomendável que o controlador elabore o relatório de impacto à proteção de dados pessoais, definido pela LGPD como “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco” (art. 5º, XVII).

Outra importante providência que decorre diretamente do disposto no §2º do artigo 26 da LGPD é a de informar à ANPD os contratos, convênios, parcerias e outros ajustes existentes que envolvam a transferência a entidades privadas, com ou sem fins lucrativos, dados pessoais constantes de bases de sua responsabilidade.

Essas providências aqui inicialmente sugeridas certamente serão complementadas à medida em que os programas de governança em privacidade forem implantados pelos entes e entidades integrantes da Administração Pública, em seus respectivos âmbitos de atuação[5], observada também as normas complementares a serem editadas pela ANPD.

É claro que a adequação de todas as bases existentes não ocorrerá de forma imediata, tendo a própria LGPD, em seu art. 63, delegado à ANPD a expedição de normas sobre a adequação progressiva de bancos de dados constituídos até a data da entrada em vigor da lei.

Sem prejuízo, quanto mais rapidamente forem adotadas medidas para proteger os direitos dos cidadãos que confiaram seus dados à Administração Pública, mais chances ela terá de ver ilidida ou atenuada sua responsabilidade pelos incidentes que ocorrerão sob a égide da LGPD.

 


O advogado especialista em Direito Eleitoral Ricardo Penteado participou de webinar da Casa JOTA no dia 16/09/20. Veja como foi:

————————————

[1] Segundo levantamentos do escritório de advocacia DLA Piper, desde que a GDPR entrou em vigor, até 27 janeiro de 2020, a autoridade supervisora de proteção de dados europeia já havia recebido mais de 160 mil notificações de incidentes envolvendo dados pessoais (cf. https://www.dlapiper.com/en/uk/insights/publications/2020/01/gdpr-data-breach-survey-2020/).

[2] A exemplo do caso da agência de crédito privada Equifax, que em razão de um ataque cibernético que expôs informações pessoais de aproximadamente 150 milhões de cidadãos americanos, fechou um acordo coletivo que lhe custará 1,38 bilhões de dólares (cf. https://www.equifaxbreachsettlement.com/admin/services/connectedapps.cms.extensions/1.0.0.0/1be77f52-dd4f-410e-8128-b3d636e66486_1033_Amended_Final_Approval_Order_(3.17.2020).pdf). Outro caso emblemático recente foi o que envolveu dados de 88 mil pacientes do hospital americano Grays Harbor Community Hospital, resultando em acordo para pagamento de 185 milhões de dólares à título de compensação às vítimas (cf. https://ghchsettlement.com/wp-content/uploads/2020/08/Proposed-Final-Order-and-Judgement.pdf). No Brasil, onde a cultura de proteção de dados ainda é incipiente, a Netshoes assinou um Termo de Ajustamento de Conduta com o Ministério Público do Distrito Federal, em janeiro de 2019, se comprometendo a pagar 500 mil reais, a título de indenização por danos morais coletivos em razão de um incidente de segurança que comprometeu dados pessoais de quase 2 milhões de clientes (cf. https://www.mpdft.mp.br/portal/pdf/tacs/espec/TAC_Espec_2019_001.pdf).

[3] Dispõe o §1º do art. 26 da LGPD ser vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, ou “quando a transferência for respaldada em contratos, convênios ou instrumentos congêneres”.

[4] As Cortes de Contas, via de regra, apenas não aceitam que essas certificações sejam exigidas como requisito de habilitação ou critério para a qualificação de propostas em licitações, a exemplo das decisões tomadas nos Acórdãos 1085/2011 e 539/2015, ambos do plenário do TCU.

[5] O Decreto Federal nº 10.046, de 9 de outubro de 2019, regulamentou a governança no compartilhamento de dados no âmbito da administração pública federal e instituiu o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados. Já no Estado de São Paulo, o Decreto nº 64.790, de 13 de fevereiro de 2020, instituiu a Central de Dados do Estado de São Paulo – CDESP, a Plataforma Única de Acesso – PUA e o Comitê Gestor de Governança de Dados e Informações do Estado de São Paulo.


Cadastre-se e leia 10 matérias/mês de graça e receba conteúdo especializado

Cadastro Gratuito