Lei Geral de Proteção de Dados: aspectos relevantes para as unidades gestoras de Regimes Próprios de Previdência Social.

Lei Geral de Proteção de Dados: aspectos relevantes para as unidades gestoras de Regimes Próprios de Previdência Social.

Sancionada em 14 de agosto de 2018, a L13709/18, a Lei Geral de Proteção de Dados (LGPD) está plenamente em vigor desde 01/08/2021. Tal lei regulamenta em âmbito nacional as atividades de tratamento de dados pessoais (dados), realizadas em meios digitais ou físicos, por pessoa natural (física) ou por pessoa jurídica, de direito público (entes da administração pública direta e indireta) ou de direito privado (sociedades empresárias, sociedades civis, associações, fundações etc.), devendo-se entender por: (i) dados pessoais (dados), qualquer informação relacionada a pessoa natural (física) seja ela identificada (certa e individualizada) ou identificável; e por (ii) tratamento de dados: qualquer atividade que envolva dados, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados.

Independentemente da forma como constituída – seja como órgão da Administração Direta, autarquia ou fundo contábil – uma unidade gestora de RPPS está submetida à LGPD e, por isso, deve implementar um programa permanente para assegurar sua adequação legal, mesmo porque a lei confere especial regulação ao tratamento de dados por parte da Administração Pública, que somente pode realiza-lo: (i) para atendimento de finalidade pública; (ii) na persecução do interesse público; (iii) com o objetivo de executar as competências legais; ou (iv) cumprir as atribuições legais do serviço público.

Além disso referidas unidades gestoras devem: (i) manter informações claras e atualizadas, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos, a respeito (a) das hipóteses em que realiza tratamento de dados; (b) dos procedimentos e as práticas adotadas para a execução dessas atividades; (c) da previsão legal para o tratamento; e (d) da finalidade para o tratamento; (ii) indicar um Encarregado de Proteção de Dados que, de um modo geral, deverá atuar como canal de comunicação entre a instituição pública, os titulares dos dados e a ANPD (órgão regulador e fiscalizador); (iii) orientar os servidores da instituição pública a respeito das práticas a serem tomadas em relação à proteção de dados; além de (iv) executar outras atribuições previstas em normas complementares.  

Outro ponto relevante está relacionado com o compartilhamento de dados com entidades privadas. Nesse caso, a lei exige, em regra, o consentimento do titular, devendo a hipótese ser comunicada à ANPD, a menos que: (i) a lei não exija o consentimento na hipótese; (ii) em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico; (iii) nos casos em que os dados forem acessíveis publicamente; (iv) quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; (v) na hipótese da transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou resguardar a segurança e a integridade do titular dos dados, vedado o tratamento para outras finalidades.

Em relação à governança de dados, a LGPD estabelece que os agentes de tratamento devem estruturar um programa integrado com sua estrutura geral de governança, que: (i) evidencie a existência de políticas internas e processos que assegurem o cumprimento de normas e boas práticas de proteção de dados; (ii) seja aplicável a todo o conjunto de dados que estejam sob seu controle; (iii) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados; (iv) estabeleça políticas e salvaguardas adequadas baseadas em processo de avaliação de riscos associados à privacidade; (v) assegure confiabilidade, transparência e participação do titular;  (vi) opere um plano de resposta a incidentes; e (viii) seja atualizado com base em contínuo monitoramento interno e externo; e (ix) seja avaliado periodicamente.

Por fim, a LGPD impõe aos agentes de tratamento de dados a adoção de medidas de prevenção, detecção, repressão e correção, capazes de garantir a (i) confidencialidade (proteção contra a disponibilização ou divulgação não autorizadas); (ii) integridade (proteção contra alterações não autorizadas); e (iii) disponibilidade (garantia de acesso e utilização sob demanda por uma entidade autorizada) de dados.

A implementação das medidas de conformidade legal deve ocorrer de modo coordenado e segundo uma das muitas metodologias já experimentadas pelo mercado. Em razão da especialidade da matéria, a contratação de uma consultoria é investimento que se impõe, especialmente em razão dos riscos associados à não conformidade legal, tais como as que estão previstas no artigo 52 da LGPD; na L12.527/2011 (Lei de Acesso à Informação); na L8429/92 (Lei de Improbidade Administrativa), ou mesmo nas leis que instituem o regime jurídico dos servidores públicos, valendo considerar, ainda, o risco dos titulares de dados eventualmente violados demandarem judicialmente a reparação dos danos sofridos.


Leia também:

Marketing Arima

Deixe uma resposta