A data da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil ainda é incerta. Com as restrições impostas pela pandemia da Covid-19, a Medida Provisória (MP) 959/2020 define, dentre outros pontos, que a lei entraria em vigor em 3 de maio de 2021. Entretanto, a MP ainda não foi votada. Mesmo em meio à incerteza, o MPC/SC já trabalha internamente para adequar processos, rotinas, fluxos de informação e tratamento de dados.
Em 2019, um grupo de trabalho fez um estudo preliminar da LGPD e dos processos do MPC/SC. O grupo sugeriu, então, que uma comissão com caráter permanente fosse instituída para adequar os processos internos à legislação. Em 30 de março de 2020, a Procuradora-Geral de Contas, Cibelly Farias, criou por meio da Portaria MPC Nº 16/2020 a comissão, especificando suas competências. Na mesma data, a Portaria MPC Nº 17/2020 designa os servidores responsáveis por tais tarefas: Luiz Henrique Vieira, que coordena os trabalhos; Gisiela Klein, Ivan Correia, Patrick Barcelos Teixeira e Tiago Tomasini.
Essa comissão tem se reunido periodicamente, estudado a legislação, se inteirado da experiência em outros órgãos, participado de capacitações e treinamentos e levantado as demandas de cada setor do MPC/SC. Entre as primeiras tarefas está o mapeamento de processos internos, bem como o mapeamento dos dados pessoais que circulam pelo MPC/SC.
“Estamos na fase inicial, na qual precisamos entender como a LGPD se aplica ao Ministério Público de Contas. Mas já sabemos que é fundamental mapearmos os processos internos do órgão, bem como identificarmos todos os dados pessoais que passam pelo MPC e o caminho que eles percorrem. Para isso, precisamos do apoio de todos os setores e, mais que isso, precisamos que todos os servidores entendam a importância desse trabalho. A LGPD é uma lei complexa e exige mudanças importantes nos fluxos internos dos órgãos públicos“, comenta Luiz Henrique Vieira, coordenador da Comissão de Proteção de Dados no MPC/SC.
LGPD
Após oito anos de debates e redações, em 14 de agosto de 2018, o presidente Michel Temer sancionou a Lei Geral de Proteção de Dados do Brasil (LGPD), Lei 13.709/2018. A lei entraria em vigor este mês, permitindo às empresas e organizações um período de 18 meses para se adaptarem.
O objetivo da LGPD é preencher lacunas para substituir e/ou complementar a estrutura de mais de 40 diplomas legais que, de forma esparsa, regulamentam o uso de dados no país hoje. A principal influência para a criação da LGPD foi a GDPR (General Data Protection Regulation), que entrou em vigor em 2019 e regulamenta a questão para os países europeus. É a mais importante legislação recente sobre privacidade de dados, que passou a ser modelo para outros países.
Na mesma linha do regulamento europeu, a LGPD irá mudar a forma de funcionamento e operação das organizações ao estabelecer regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo um padrão mais elevado de proteção e penalidades para o não cumprimento da norma.
Alguns conceitos presentes na LGPD
- Dados pessoais: qualquer informação relacionada à pessoa natural identificada ou identificável.
- Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem à coleta, classificação, utilização, acesso, reprodução, processamento, armazenamento, eliminação, controle da informação, entre outros.
A coleta e processamento de dados deverá atentar às bases legais impostas pela lei. O novo texto prevê nove hipóteses que tornam lícitos os tratamentos de dados, com destaque a duas principais: fornecimento de consentimento e o legítimo interesse.
É necessária a obtenção de consentimento explícito pelo titular dos dados. Outra hipótese que autoriza o uso dos dados é o legítimo interesse do controlador, que poderá promover o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas.
A lei elenca dez princípios que as organizações devem obedecer quanto ao tratamento de dados, com destaque para o princípio da finalidade, da adequação, da necessidade e da transparência.
Atores envolvidos
A lei detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.
- O titular: é a pessoa física a quem se referem os dados pessoais.
- O controlador: é a organização ou pessoa física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.
- O operador: é a organização ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
- O encarregado: é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.