Post Image

Texto por Augusto Lima

Com a chegada da Lei Geral de Proteção de Dados (LGPD) entidades de poder público e privado terão que atender uma série de requisitos para garantir privacidade e proteção dos dados pessoais processados em sua atividade.

Se sua empresa fornece serviços de software para entidades públicas deverá prestar atenção em alguns desses requisitos para garantir que essas entidades tenham capacidade de demonstrar o atendimento das exigências legais. Se seu produto fornece esse tipo de suporte, estará em condições de atender aos requisitos licitatórios que surgirão após a vigência da LGPD.

1. Adequação contratual. Órgãos públicos deverão realizar a adequação dos novos instrumentos convocatórios e dos contratos vigentes, se seu objetivo é continuar prestando o serviço, deverá observar com atenção os itens seguintes.

Fundamentação Legal:

Lei 13.709/2018, art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

Lei 13.709/2018, art. 26 O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei.

§ 1º É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto: IV – quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos.

§ 2º Os contratos e convênios de que trata o § 1º deste artigo deverão ser comunicados à autoridade nacional.

2. Órgãos públicos não poderão coletar dados pessoais além das suas competências legais. Seu software deverá garantir que os formulários de entrada desses dados não são inadequados ou excessivos para sua finalidade, sempre utilizando a quantidade mínima necessária de informação para garantir a prestação de serviço desejada.

Fundamentação legal:

Lei 13709/2018, art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Lei 13.709/2018, art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: 

I – Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

3. Órgãos públicos deverão estabelecer métodos de demonstrar que os princípios da LGPD estão sendo respeitados durante o desenvolvimento dos seus serviços em todas as fases (da concepção do produto até à prestação do serviço). Esse conceito é chamado de Privacy by Design. Também deve-se garantir que medidas de segurança são adotadas em todo esse ciclo.

Fundamentação legal:

Lei 13709/2018, art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

4. Os Órgãos Públicos deverão aplicar todos os princípios da LGPD a todo o tratamento de dados pessoais que ele realizar, seja esse dado de cidadão ou de servidor/funcionário e deve fornecer acesso facilitado a essas informações (possivelmente em algum portal de transparência). Seu software deve facilitar essa exigência e garantir de forma segura que esse dado, juntamente com a finalidade para o processamento desse dado só poderá ser fornecido ao seu proprietário.

Fundamentação legal:

Lei 13.709, Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Lei 13.709/2018, art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

VI – Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Lei 13.709/2018, art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

I – Finalidade específica do tratamento;

II – Forma e duração do tratamento, observados os segredos comercial e industrial;

5. O titular dos dados tem o direito de retificar suas informações, órgãos públicos devem fornecer essa possibilidade. Seu software está adequado para identificar um titular, apresentar seus dados e fornecer a possibilidade de correção desses dados?

Fundamentação legal:

Lei 13.709/2018, art. 18 O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:  

III – correção de dados incompletos, inexatos ou desatualizados;

6. Órgãos públicos devem manter um registro das operações dos tratamentos dos dados que realizar, caso você processe esses dados em sua prestação de serviços (transferir um backup para uma base de testes por exemplo. Obs.: ver sobre a definição de processamento no texto da Lei) você estará na condição de operador e deverá obedecer a esse requisito.

Fundamentação legal:

Lei 13.709/2018, art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Vale lembrar que esse não é um guia definitivo de adequação e que existem vários outros detalhes que precisam ser observados. Fiquem atentos para as designações da Autoridade Nacional de Proteção de Dados e para os demais requisitos legais da LGPD e também para outras Leis ou Decretos que devem ser atendidos (Marco Civil da Internet, Lei de Crimes Cibernéticos, Lei Acesso à Informação, Lei da Desburocratização, Lei da Liberdade Econômica, Decreto Nacional de Segurança Cibernética, etc.) a depender da natureza da prestação do seu serviço.

É recomendado procurar ajuda do seu setor jurídico, do seu DPO ou de empresas que possam fornecer esses serviços de consultoria para a adequação visando manter seu produto e seu serviço de acordo com a LGDP.

Augusto Lima

DPO

Membro do Comitê de Segurança da ANPPD