REGISTRO DOI: 10.69849/revistaft/ni10202505082058
Raphael Eurípedes de Paiva1
RESUMO
A Lei Geral de Proteção de Dados (LGPD), estabelecida no Brasil em 2018, tem como objetivo principal reforçar a proteção e prevenção da privacidade de indivíduos e instituições. Com o aumento da conectividade digital e a crescente troca de informações pessoais entre usuários e sistemas interconectados, torna-se essencial implementar estratégias para garantir a proteção dessas informações. Este estudo tem como objetivo analisar os desafios e as estratégias adotadas pela administração pública brasileira para a implementação eficaz da LGPD. No contexto das instituições públicas, os dados são vistos como um ativo de valor significativo, o que torna imprescindível a criação de sistemas para gerenciar vulnerabilidades e assegurar o funcionamento adequado dessas instituições. A proteção de dados se torna ainda mais relevante no setor público, onde frequentemente são manipulados dados sensíveis. A metodologia adotada será uma revisão bibliográfica, buscando fontes acadêmicas e documentos legais sobre a LGPD, a segurança da informação e a proteção de dados pessoais. A análise será realizada de forma qualitativa, com ênfase na identificação de melhores práticas e dificuldades na aplicação da LGPD no setor público. Os resultados esperados incluem a identificação das principais barreiras enfrentadas pelas administrações públicas na implementação da LGPD, bem como as melhores práticas adotadas por instituições que conseguiram adequar-se à legislação.
Palavras-chave: Administração Pública, Lei Geral De Proteção De Dados (LGPD), Privacidade, Proteção de Dados, Segurança da Informação.
ABSTRACT
The General Data Protection Law (LGPD), established in Brazil in 2018, aims to primarily strengthen the protection and prevention of privacy for individuals and institutions. With the increasing digital connectivity and the growing exchange of personal information between users and interconnected systems, it becomes essential to implement strategies to ensure the protection of this information. This study aims to analyze the challenges and strategies adopted by the Brazilian public administration for the effective implementation of the LGPD. In the context of public institutions, data is seen as a significant asset, making it essential to create systems to manage vulnerabilities and ensure the proper functioning of these institutions. Data protection becomes even more relevant in the public sector, where sensitive data is frequently handled. The methodology adopted will be a literature review, seeking academic sources and legal documents on the LGPD, information security, and personal data protection. The analysis will be conducted qualitatively, with an emphasis on identifying best practices and challenges in applying the LGPD in the public sector. The expected results include the identification of the main barriers faced by public administrations in implementing the LGPD, as well as the best practices adopted by institutions that successfully adapted to the legislation.
Keywords: Public Administration, General Data Protection Law (LGPD), Privacy, Data Protection, Information Security.
1 INTRODUÇÃO
A Lei Geral de Proteção de Dados (LGPD), estabelecida no Brasil em 2018, visa reforçar a proteção e a prevenção da privacidade tanto de indivíduos quanto de instituições. O fluxo de informações que circula entre indivíduos e organizações através de várias plataformas destaca a urgência de tratar da segurança e da preservação dos dados, que ficam em risco quando ficam expostos e são acessados por terceiros (Barbosa et al, 2021).
A razão para a realização deste estudo se baseia no contexto atual, caracterizado pelo crescimento dos acessos e pela dependência da tecnologia e da interconectividade digital, fruto da rápida evolução dos sistemas de informação e do uso da Internet, que trazem numerosos benefícios e oportunidades para pessoas, empresas e governos (Freund et al, 2019). Contudo, essa situação também revela vulnerabilidades e ameaças que podem afetar a privacidade, a integridade e a disponibilidade das informações, tornando essencial a implementação de medidas voltadas à proteção dos dados que são compartilhados em diversos ambientes e plataformas (Baptista Junior; Dian, 2021).
Com a crescente quantidade de usuários se conectando a sistemas cada vez mais integrados e baseados na oferta de dados, é essencial implementar estratégias para a gestão e a preservação da proteção das informações pessoais. Assim, para as instituições públicas, os dados passaram a ser um ativo de valor inestimável, e a criação de sistemas que tratem das vulnerabilidades que surgem é fundamental para o seu funcionamento eficaz (Coutinho et al, 2017).
A ISO/IEC 27001 é o padrão global para a administração da segurança da informação, oferecendo orientações para a criação, execução e conservação do Sistema de Gestão de Segurança da Informação (SGSI) dentro das organizações. O SGSI é elaborado para garantir a escolha de controles de segurança que sejam adequados e proporcionais, a fim de resguardar os ativos de informação e transmitir confiança às partes interessadas (ABNT, 2006).
No Brasil, a norma ABNT NBR ISO/IEC 27002:2006 tem como meta a garantia da segurança da informação, focando na proteção da confidencialidade, integridade e disponibilidade das informações (ABNT, 2006). Hintzbergen et al. (2018) ressaltam outros elementos cruciais para a segurança da informação: a autenticidade, a confiabilidade e o não repúdio. A autenticidade refere-se à confirmação de que uma entidade é realmente o que afirma ser, assegurando a preservação de sua integridade. A confiabilidade está ligada à operação consistente de um sistema conforme os critérios esperados e, o não repúdio envolve a habilidade de demonstrar que um evento foi realizado pela entidade responsável.
A proteção de dados pessoais tornou-se um tema central nas discussões sobre segurança da informação, com a implementação da Lei Geral de Proteção de Dados (LGPD) no Brasil, em 2018. Esta legislação busca garantir a privacidade e a proteção dos dados de indivíduos, refletindo a crescente preocupação com a preservação da segurança de informações em um cenário de rápida transformação digital e interconectividade. No entanto, apesar das vantagens trazidas pela evolução dos sistemas de informação e pelo uso intensivo da internet, surgem vulnerabilidades e ameaças que expõem dados pessoais a acessos não autorizados, colocando em risco a privacidade e a integridade das informações (Barbosa et al, 2021; Freund et al., 2019).
A interconectividade digital e o aumento no volume de informações compartilhadas tornam a proteção de dados uma prioridade, especialmente no setor público, onde dados sensíveis são frequentemente manipulados. Dessa forma, é imprescindível que as administrações públicas adotem medidas eficazes para garantir a segurança das informações, evitando abusos e garantindo a transparência e a confiança dos cidadãos nos sistemas governamentais (Baptista Junior e Dian, 2021). A introdução de padrões internacionais, como a ISO/IEC 27001, para a gestão da segurança da informação, oferece um caminho para a implementação de controles adequados que assegurem a proteção dos dados no setor público (ABNT, 2006).
A metodologia do trabalho se classificou como sendo uma revisão bibliográfica, qualitativa. O trabalho objetivou analisar os principais desafios e estratégias adotadas pelo setor público para garantir a proteção dos dados pessoais e a conformidade com a legislação vigente. Os resultados esperados incluem a identificação das principais dificuldades enfrentadas pelas instituições públicas na implementação da LGPD, bem como a adoção de compliance digital para assegurar a proteção dos dados pessoais. Por fim, espera-se que este estudo contribua para o aprimoramento das práticas de gestão de dados pessoais na administração pública, oferecendo sugestões para a melhoria da conformidade com a LGPD e o fortalecimento da confiança dos cidadãos na administração pública.
2. METODOLOGIA
A metodologia da pesquisa foi caracterizada como bibliográfica e qualitativa, conforme definido por Gil (2020), a pesquisa bibliográfica é realizada com base em fontes já existentes, visando analisar e interpretar teorias, conceitos e práticas relacionadas ao tema investigado. Neste caso, a pesquisa se fundamentou em livros, artigos acadêmicos, e documentos legais relacionados à Lei Geral de Proteção de Dados (LGPD), segurança da informação e proteção de dados pessoais.
As fontes de inclusão se tratou diretamente da LGPD, com foco no setor público. Por outro lado, fontes desatualizadas, como publicações anteriores à promulgação da LGPD ou aquelas que não abordam diretamente a legislação e sua aplicação no setor público, foram excluídas.
A análise dos dados foi qualitativa em que conforme a abordagem sugerida por Gil (2020), enfatizou a interpretação das informações coletadas em vez de classificações numéricas. A primeira etapa consistiu no levantamento e seleção das fontes, que incluiu a coleta de publicações acadêmicas, documentos legais e normativos sobre a LGPD e sua implementação nas administrações públicas. A última etapa foi realizada a interpretação e discussão dos resultados, com foco em entender as dificuldades enfrentadas pelas administrações públicas e as melhores práticas adotadas por aquelas instituições que conseguiram implementar a LGPD com sucesso. Esse processo permitiu identificar soluções eficazes e contribuições para o fortalecimento da segurança da informação no setor público, além de aprimorar a confiança da sociedade nos processos governamentais.
3. DESENVOLVIMENTO
3.1 Lei Geral de Proteção de Dados – LGPD
A Lei Geral de Proteção de Dados (LGPD), formalmente conhecida como Lei nº 13. 709, promulgada em 14 de agosto de 2018, visa regular a utilização, o processamento, o armazenamento, o compartilhamento e a segurança de dados no Brasil, abrangendo tanto cidadãos quanto entidades, públicas ou privadas. Após um período de adaptação de dois anos, a lei entrou em plena vigência. O artigo 2º da LGPD define os princípios que orientam a aplicação do manejo de dados pessoais no Brasil:
“respeito à privacidade; controle sobre as informações pessoais; liberdade para se expressar, comunicar, informar e opinar; proteção da intimidade, da honra e da imagem; promoção do progresso econômico e tecnológico e inovação; liberdade de iniciativa, concorrência justa e proteção ao consumidor; direitos humanos, crescimento pessoal livre, dignidade e exercício da cidadania por indivíduos”.
Além dos princípios fundamentais, a LGPD inclui dez diretrizes (finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; e responsabilização e prestação de contas) que formam a base para compreender e promover boas práticas entre todos os envolvidos. Um dos aspectos a ressaltar é que a LGPD tem uma ampla aplicação e provoca transformações em organizações, tanto do setor público quanto privado.
3.2 COMPLIANCE
O termo compliance se origina do verbo em inglês to comply, que significa agir conforme a legislação. Em outras interpretações, compliance vai além do simples cumprimento de regras formais, sua compreensão deve ser vista de forma sistêmica, como um instrumento para reduzir riscos e manter princípios éticos (NUNES, 2019).
Alguns elementos que fazem parte dos programas de Compliance inclue: 1) avaliação constante dos riscos e atualização do programa; 2) elaboração de Códigos de Ética e Conduta, que definem como os colaboradores devem agir dentro da empresa; 3) uma estrutura organizacional que seja compatível com o risco das atividades; 4) envolvimento efetivo da alta direção; 5) autonomia e independência do departamento responsável pela supervisão do programa de compliance; 6) treinamentos regulares; 7) fomento a uma cultura empresarial que valorize a ética e o cumprimento das leis; 8) monitoramento contínuo dos controles e procedimentos implementados pelo programa de compliance; 9) instituições de canais seguros e abertos para comunicação sobre infrações e a criação de mecanismos de proteção aos denunciantes; 10) identificação, investigação e penalização de comportamentos que vão contra o programa de compliance (FRAZÃO; MEDEIROS, 2018).
No Brasil, o compliance na administração pública tem se consolidado como uma ferramenta fundamental para assegurar a ética, a integridade e a eficiência no setor público. A prática de compliance nesse contexto envolve a criação de mecanismos internos de controle que buscam prevenir, detectar e corrigir irregularidades, promovendo uma cultura organizacional voltada para o cumprimento das leis, regulamentos e princípios éticos. Com a promulgação da Lei nº 12.846/2013, conhecida como Lei Anticorrupção, e o fortalecimento de marcos normativos como a Lei de Acesso à Informação (Lei nº 12.527/2011) e a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), tornou-se cada vez mais evidente a necessidade de que órgãos e entidades públicas implementem programas estruturados de integridade (BRASIL, 2013; BRASIL, 2011; BRASIL, 2018).
Na prática, isso significa que a administração pública passou a adotar códigos de ética, políticas anticorrupção, canais de denúncia seguros e treinamentos contínuos para servidores públicos. Também são instituídos programas de governança e integridade, com unidades específicas responsáveis por monitorar o cumprimento das normas e por fomentar uma atuação transparente e responsável. Os órgãos de controle interno, como as Controladorias-Gerais dos estados e municípios, além da Controladoria-Geral da União (CGU), têm papel central nesse processo, tanto no incentivo à criação desses programas quanto na fiscalização de sua efetividade (BRASIL, 2017).
O compliance público brasileiro também está fortemente associado à ideia de fortalecimento da confiança social nas instituições. Programas de integridade eficazes ajudam a reduzir a percepção de corrupção, melhoram a qualidade da gestão pública e garantem que as políticas públicas sejam executadas de maneira mais eficiente e justa. A própria estrutura de compliance precisa ser adaptada à realidade de cada órgão ou entidade, levando em consideração seu porte, complexidade e área de atuação, conforme orienta o Decreto nº 9.203/2017, que trata da política de governança da administração pública federal direta, autárquica e fundacional (BRASIL, 2017).
O compliance digital, impulsionado pela LGPD, exige dos órgãos públicos a adoção de programas de governança em privacidade, com políticas internas claras, processos de resposta a incidentes e mecanismos de participação social (BRASIL, 2018). Portanto, o compliance na administração pública brasileira não é apenas um conjunto de normas, mas uma verdadeira mudança de cultura institucional, que busca consolidar práticas de integridade, fortalecer a democracia e oferecer serviços públicos de qualidade para a sociedade (GIOVANINI, 2017).
3.3 LEI GERAL DE PROTEÇÃO DE DADOS (LGPD – LEI N° 13.709/20186)
Sancionada pelo presidente da República em 2018, a Lei Geral de Proteção de Dados (LGPD – Lei n° 13. 709/2018) entrou em vigor no Brasil em agosto de 2020. A legislação regula como os dados pessoais de usuários de serviços públicos e de clientes do setor privado devem ser tratados e surge em um cenário de mudanças econômicas, onde os dados pessoais se tornaram extremamente valiosos para as empresas.
A LGPD tem sua base de validade diretamente ligada à Constituição Federal, que assegura no artigo 5° o direito fundamental à privacidade:
Art. 5º Todos são iguais diante da lei, sem qualquer distinção, garantindo aos brasileiros e estrangeiros que residem no País a proteção do direito à vida, liberdade, igualdade, segurança e propriedade, conforme os seguintes termos: X – a intimidade, a vida privada, a honra e a imagem das pessoas são invioláveis, assegurando o direito a compensação pelo dano material ou moral que advenha de sua violação; XII – é protegido o sigilo das correspondências e das comunicações telegráficas, de dados e das comunicações telefônicas, exceto, no último caso, por ordem judicial, nas situações e na forma que a lei definir para fins de investigação criminal ou processo penal; Ao considerar o cenário contemporâneo da Era da Informação, em um mundo conectado por diferentes redes, o direito à privacidade e à intimidade se adapta para ser amplamente aplicável a qualquer dado pessoal de indivíduos que possa ser tratado pelo Estado ou por empresas.
Bessa (2020) menciona que “a terminologia ‘direito à autodeterminação informativa’ é um dos pilares explicitados na LGPD (art. 2º), junto à privacidade e à intimidade”. Esse princípio, afirma que cada pessoa é a única detentora de suas informações pessoais e, por isso, deve consentir com qualquer uso de seus dados por entidades públicas ou empresas.
A Lei Geral de Proteção de Dados Pessoais (LGPD), formalmente conhecida como Lei nº 13.709, de 14 de agosto de 2018, estabelece diretrizes para o tratamento de dados pessoais, com o objetivo de garantir a privacidade e a proteção dos dados dos cidadãos. A LGPD se aplica a qualquer operação de tratamento realizada no Brasil, independentemente do país em que o controlador dos dados esteja localizado, e tem como foco a proteção dos direitos fundamentais de liberdade e privacidade (BRASIL, 2018
A transparência é outro princípio crucial, pois exige que as práticas adotadas no tratamento dos dados sejam claramente comunicadas ao titular. A segurança e a prevenção são essenciais para garantir que os dados estejam protegidos contra acessos não autorizados e perdas acidentais. A LGPD estabelece o princípio da não discriminação, que veda o uso de dados para fins discriminatórios, ilícitos ou prejudiciais, e da responsabilização e prestação de contas, que impõe ao controlador a responsabilidade por adotar medidas eficazes para garantir o cumprimento da lei (BRASIL, 2018).
A LGPD também confere aos titulares de dados pessoais uma série de direitos, incluindo o direito de confirmação da existência de tratamento, o que permite ao titular saber se seus dados estão sendo tratados; o direito de acesso, que possibilita a obtenção de informações claras e gratuitas sobre os dados pessoais que estão sendo tratados; e o direito de correção, que garante ao titular a possibilidade de corrigir dados incompletos, inexatos ou desatualizados. Além disso, os titulares têm o direito de exclusão dos dados pessoais, salvo em situações onde a manutenção dos dados seja necessária para o cumprimento de obrigações legais ou contratuais. O direito à portabilidade também está presente, permitindo que o titular solicite a transferência de seus dados a outro fornecedor de serviços. Por fim, a LGPD garante o direito de revogar o consentimento, permitindo que o titular retire a autorização para o tratamento de seus dados a qualquer momento (BRASIL, 2018).
A legislação define ainda as obrigações dos controladores e operadores de dados. O controlador é a pessoa física ou jurídica que toma as decisões sobre o tratamento dos dados, enquanto o operador realiza o tratamento desses dados em nome do controlador. Entre as principais obrigações, destacam-se a obtenção do consentimento explícito do titular, salvo em casos de dispensa de consentimento, como para o cumprimento de obrigações legais ou contratuais, e a manutenção de registros das atividades de tratamento, com informações sobre a finalidade, a base legal utilizada, os destinatários dos dados e as medidas de segurança adotadas. O controlador e o operador devem ainda implementar medidas de segurança para proteger os dados e notificar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares em caso de incidentes de segurança que possam gerar riscos ou danos (BRASIL, 2018).
A ANPD é o órgão responsável por fiscalizar o cumprimento da LGPD, regulamentar sua aplicação e promover boas práticas em proteção de dados. A ANPD tem o poder de aplicar sanções, como advertências, multas e a suspensão do tratamento de dados, em caso de descumprimento das disposições da lei (BRASIL, 2018).
Além de regulamentar o setor privado, a LGPD também se aplica ao setor público, o que significa que órgãos e entidades públicas devem adotar as diretrizes da lei no tratamento dos dados pessoais dos cidadãos. A legislação do setor público deve ser compatível com os princípios da administração pública, como a legalidade, impessoalidade, moralidade, publicidade e eficiência, assegurando que o tratamento de dados respeite os direitos dos cidadãos e contribua para uma administração pública mais transparente e eficiente (BRASIL, 2018).
3.4 LGPD NA ADMINISTRAÇÃO PÚBLICA
A conformidade dos órgãos públicos com a LGPD requer um levantamento detalhado sobre os processos internos que têm alguma relação com o manejo de dados pessoais e dados pessoais sensíveis. Esses dados são descritos pela legislação como “dado pessoal sobre origem racial ou étnica, crença religiosa, opinião política, filiação a sindicato ou a uma organização de caráter religioso, filosófico ou político, informações relacionadas à saúde ou à vida sexual, dados genéticos ou biométricos, quando associados a uma pessoa natural” (BRASIL, 2018).
Assim, cada órgão deverá formar um grupo de trabalho e escolher um responsável que atue como um canal de comunicação entre o controlador (que é a entidade que decide sobre o tratamento de dados), os titulares dos dados e a ANPD.
Quando uma pessoa busca um serviço público, geralmente faz um cadastro onde fornece, ao menos, seu nome, CPF e endereço. Ao receber essas informações ou outros dados pessoais, os servidores públicos devem, inicialmente, questionar-se sobre o motivo da coleta desses dados, pois a legislação determina que o tratamento deve adotar medidas que sejam proporcionais e estritamente necessárias ao bem público, refletindo o princípio da necessidade: “a limitação do tratamento ao mínimo indispensável para cumprir suas finalidades, englobando dados que sejam relevantes, proporcionais e não excessivos em relação aos objetivos do tratamento de dados” (BRASIL, 2018).
O princípio da necessidade obriga as entidades a não coletarem mais informações do que o necessário, o que, por consequência, implica que quanto maior a quantidade de dados coletados, maiores serão os riscos de vazamentos e de uso inadequado, o que pode resultar em punições conforme a LGPD. Nesse contexto, os funcionários precisam observar o princípio da finalidade, que é “realização do tratamento para objetivos legítimos, específicos, claros e comunicados ao titular, sem possibilidade de tratamento posterior de maneira incompatível com essas finalidades” (BRASIL, 2018).
Em termos gerais, a LGPD define que devem estar inclusos no RIPD desses órgãos a identificação do controlador, do operador e do encarregado de cada um, além da descrição do processo de tratamento, para verificar se o órgão está em conformidade com os princípios de finalidade, necessidade e adequação, que se relaciona à “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento” (BRASIL, 2018).
O conceito de “governança” tem se tornado cada vez mais comum nas organizações, sejam elas do setor público, do setor privado ou do terceiro setor. Essa expressão tem várias aplicações, mas pode ter significados distintos dependendo do contexto em que é utilizada e da perspectiva que se adota (MESSA, 2019). De acordo com Nardes, Altounian e Vieira (2018):
“A governança no setor público, ou governança pública, pode ser vista como a habilidade dos governos de avaliar, direcionar e monitorar a administração das políticas e serviços públicos, visando atender de forma eficaz às necessidades e demandas da população”.
Segundo Messa (2019, p. 194), a governança, em contextos públicos, representa um sistema de gestão governamental que possui quatro componentes: subjetivo: que considera as pessoas responsáveis e inseridas em um estado interativo: “governança” é exercida por agentes governamentais; material: que reflete a atividade realizada a “governança” se configura como uma ação que visa coordenar as necessidades e os interesses interdependentes, associando a criação e a implementação de políticas e projetos de interesse da coletividade; formal: que leva em conta o regime jurídico: a “governança” é aquela que opera dentro de parâmetros legais e legítimos; finalístico: é uma gestão voltada a solucionar questões sociais e a criar oportunidades para um desenvolvimento sustentável no futuro.
No Brasil, especialmente no contexto da Administração Pública Federal, o Decreto nº 9.203, datado de 22 de novembro de 2017, define de maneira mais abrangente a política de governança para a Administração Pública Federal, que inclui entidades diretas, autárquicas e fundacionais. Segundo essa norma, a governança pública é entendida como um “conjunto de ferramentas de liderança, estratégia e controle implementadas para avaliar, orientar e supervisionar a gestão, visando à implementação de políticas públicas e ao fornecimento de serviços que atendam ao interesse da sociedade” (BRASIL, 2017).
É essencial destacar que a integridade é apresentada neste Decreto como uma prática de caráter humano e comportamental que deve ser valorizada nas posições de liderança nas organizações, visando garantir as condições básicas necessárias para uma governança eficaz (ZENKNER, 2019).
O desejo principal está profundamente conectado à governança de maneira ampla: ações que correspondem ao interesse do público, com uma condução mais eficaz e eficiente das políticas públicas e da oferta de serviços à sociedade. No Brasil, antes mesmo da chegada da LGPD, o Decreto nº 8.638, de 15 de janeiro de 2016, estabeleceu a Política de Governança Digital para os órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional (BRASIL, 2016).
Conforme os objetivos que devem ser atingidos através da Estratégia de Governo Digital englobam: proporcionar serviços públicos digitais que sejam simples e fáceis de usar, centralizados em uma única plataforma e com uma avaliação da satisfação disponível; oferecer amplo acesso a informações e dados abertos do governo, permitindo a prática da cidadania e a inovação em tecnologias digitais; incentivar a integração e a interoperabilidade das bases de dados governamentais; promover políticas públicas fundamentadas em dados e evidências, além de serviços preditivos e personalizados, com o uso de tecnologias emergentes; implementar a Lei Geral de Proteção de Dados no âmbito do Governo federal, garantido a segurança das plataformas de governo digital; fornecer identificação digital ao cidadão; adotar a tecnologia de serviços e processos governamentais em nuvem como parte da estrutura tecnológica da administração pública federal; otimizar as infraestruturas de tecnologia da informação e comunicação; e capacitar equipes governamentais com habilidades digitais (BRASIL, 2020).
Um exemplo prático da Governança de Dados pode ser encontrado na criação da plataforma de Análise de Dados voltada para a Administração Pública, chamada “GovData” a plataforma oferece uma infraestrutura para armazenamento e hospedagem, possibilitando a combinação de grandes quantidades de dados, com o objetivo de: 1) usar ferramentas de análise e cruzamento de dados para gerar informações que ajudem na tomada de decisões; 2) facilitar a desburocratização através do acesso centralizado às informações do governo, simplificando a prestação de serviços públicos; 3) aumentar a transparência, permitindo a análise de contas públicas para combater fraudes; 4) adotar tecnologias avançadas no processamento de grandes volumes de dados, garantindo respostas rápidas; 5) assegurar a proteção e a confidencialidade, mantendo a individualidade das bases de dados; 6) promover a economia por meio do uso compartilhado da infraestrutura e da otimização do consumo de dados, o que ajuda a reduzir custos.
Os principais benefícios que muitas organizações obtêm ao incorporar a Governança de Dados em sua estrutura são: 1) mudança cultural: dados e informações são reconhecidos como ativos estratégicos valiosos na Administração Pública; 2) a gestão das atividades de coleta, armazenamento, proteção, planejamento, controle e garantia da qualidade dos dados é centralizada em uma única estrutura, possibilitando a redução de despesas e melhor aproveitamento dos recursos; 3) desenvolvimento de uma cultura que utiliza indicadores de processo, qualidade e desempenho de dados e informações: a meta é alinhar a Governança de Dados com a Gestão Pública; 4) entendimento de dados e informações através da adoção de um vocabulário comum sobre definições de dados: isso amplia e melhora a difusão do conhecimento entre as pessoas, ou seja, a transição do capital intelectual para o capital estrutural; 5) clareza sobre as principais necessidades de dados e informações da Administração Pública, para determinar o que é verdadeiramente importante na utilização de dados e estabelecer prioridades para futuras implementações e mudanças; 6) diminuição da quantidade de informações redundantes; 7) criação de mecanismos formais de segurança para o acesso e a disponibilização de dados e informações; 8) governança dos dados administrados pela Administração Pública.
Para enfrentar desafios, a LGPD foi criada no Brasil, para introduzir novos conceitos e obrigações para a Administração Pública, além de estabelecer mecanismos de proteção para garantir os direitos dos titulares de dados, destacando-se entre eles o “Programa de Governança em Privacidade”, que, em outra terminologia, pode ser chamado de “Programa de Compliance Digital”.
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709 de 14 de agosto de 2018, estabeleceu um marco regulatório para o tratamento de dados pessoais no Brasil, com o intuito de garantir a proteção da privacidade dos cidadãos, regular a coleta, o uso e a transmissão de dados, e assegurar que o tratamento desses dados seja realizado de maneira transparente e segura (BRASIL, 2018). Embora a LGPD tenha um grande impacto no setor privado, ela também se aplica à administração pública, que deve seguir seus princípios e regras quando se trata de dados pessoais de cidadãos.
No contexto da administração pública, a LGPD obriga os órgãos e entidades públicas a adotarem medidas que assegurem a proteção dos dados pessoais dos cidadãos (BRASIL, 2018). O tratamento de dados pessoais no setor público, seja em nível federal, estadual ou municipal, deve ser realizado de maneira a respeitar os direitos dos titulares dos dados, ou seja, os cidadãos cujas informações são coletadas e processadas. Isso inclui garantir que os dados sejam usados apenas para fins específicos, que o tratamento seja transparente e que os cidadãos possam acessar suas informações, corrigir ou excluí-las quando necessário (BRASIL, 2018).
A LGPD na administração pública se insere em um cenário de modernização da gestão pública, onde a tecnologia e o uso de dados são cada vez mais presentes nas políticas públicas, serviços administrativos e no relacionamento com os cidadãos (BRASIL, 2018). No entanto, a lei impõe uma série de desafios para os órgãos públicos, que precisam garantir a proteção de dados enquanto oferecem serviços públicos eficientes. Por exemplo, quando um cidadão acessa um serviço público online ou interage com sistemas eletrônicos da administração, seus dados pessoais são coletados, e é preciso que o órgão público esteja em conformidade com a LGPD ao processar essas informações (BRASIL, 2018).
Entre as obrigações da administração pública, destacam-se a necessidade de justificar legalmente a coleta e o tratamento de dados pessoais, por meio de uma base legal clara, como a execução de políticas públicas, a proteção da segurança pública ou a execução de contratos administrativos (BRASIL, 2018). A lei também exige que os órgãos públicos tenham um encarregado de proteção de dados pessoais (DPO), uma figura que atua na supervisão e orientação sobre o cumprimento da LGPD dentro das organizações, tanto no setor privado quanto público (BRASIL, 2018).
Além disso, a administração pública deve adotar práticas de governança de dados para assegurar que as informações sejam tratadas de forma segura (BRASIL, 2018). Isso envolve a implementação de medidas de segurança para prevenir incidentes de vazamento de dados, o treinamento dos servidores públicos sobre a importância da proteção de dados pessoais e o desenvolvimento de políticas claras de transparência e responsabilização, de modo que os cidadãos possam saber exatamente como seus dados são tratados e por que estão sendo coletados (BRASIL, 2018).
Em caso de incidentes de segurança que envolvam dados pessoais, a administração pública deve seguir as regras estabelecidas pela LGPD e notificar os titulares dos dados afetados, bem como a Autoridade Nacional de Proteção de Dados (ANPD), no caso de riscos ou danos significativos aos direitos dos cidadãos (BRASIL, 2018). Este procedimento garante que os titulares tenham a possibilidade de tomar ações imediatas para mitigar qualquer impacto que o incidente possa causar.
Ademais, a LGPD exige que a administração pública adote práticas de monitoramento e auditoria contínuos para garantir o cumprimento da lei e manter a integridade dos dados, além de promover uma cultura de privacidade e proteção de dados no ambiente público (BRASIL, 2018). A implementação de um programa de compliance digital, com a criação de normas e boas práticas de governança, é essencial para assegurar que os órgãos públicos estejam sempre alinhados com os princípios da lei e atualizados em relação às melhores práticas em proteção de dados pessoais (BRASIL, 2018).
Em termos de governança, a LGPD também aponta para a importância da transparência, principalmente no que diz respeito ao tratamento de dados pessoais em processos públicos, como cadastros, benefícios sociais, processos administrativos, entre outros (BRASIL, 2018). A população deve ser informada sobre a finalidade do uso de seus dados, sobre como podem acessar suas informações, corrigir dados imprecisos e até solicitar a exclusão, quando aplicável. Isso ajuda a promover a confiança entre os cidadãos e o governo, essencial para o fortalecimento da democracia e da eficiência dos serviços públicos (BRASIL, 2018).
Dessa forma, a LGPD na administração pública representa um importante avanço na construção de uma gestão pública mais moderna, transparente e responsável, que respeita os direitos fundamentais dos cidadãos e, ao mesmo tempo, utiliza os dados pessoais de maneira ética e segura (BRASIL, 2018). Ao aplicar as diretrizes da LGPD, a administração pública não só cumpre uma obrigação legal, mas também fortalece a relação de confiança com a população, contribuindo para uma sociedade mais justa e protegida (BRASIL, 2018).
3.5 COMPLIANCE DIGITAL NA ADMINISTRAÇÃO PÚBLICA
Os programas de compliance, conforme explicita CUEVA (2020), são ferramentas de governança direcionadas a assegurar que as políticas públicas sejam formuladas e executadas de maneira mais eficiente. No contexto da administração pública, esses programas devem promover uma transformação cultural e comportamental, estabelecendo normas de conduta que todos os agentes públicos devem seguir, a fim de evitar situações de violação da integridade. Através da implementação desses programas na Administração Pública, busca-se uma atuação fundamentada na ética, na probidade e no interesse coletivo. Isso gera eficácia na Integridade Governamental, proporcionando um maior nível de confiança e segurança nas instituições e órgãos públicos.
Uma das inovações trazidas pela LGPD é a referência explícita ao Programa de Governança em Privacidade, ou Programa de Compliance Digital, que tem a capacidade de assegurar, a adequação de processos e políticas internas com o objetivo de proteger os dados pessoais sob a responsabilidade do órgão ou entidade.
Os objetivos do Programa de Compliance Digital podem ser identificados no artigo 50 da LGPD, que estabelece a criação de normas de boas práticas e de governança que definem as condições de organização, o regime de operação, os procedimentos, incluindo reclamações e solicitações de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diferentes envolvidos no tratamento, as iniciativas educacionais, os mecanismos internos de supervisão e mitigação de riscos e outros aspectos pertinentes ao tratamento de dados pessoais (BRASIL, 2018). De acordo com a LGPD, o Programa de Compliance Digital precisa seguir certos requisitos básicos, que são:
“a) o comprometimento do controlador em implementar processos e políticas internas que garantam o cumprimento abrangente das normas e boas práticas relacionadas à proteção de dados pessoais; b) ser aplicável a toda a gama de dados pessoais que estão sob sua responsabilidade, independentemente de como foram coletados; c) ser ajustado à estrutura, à dimensão e ao volume de suas operações, assim como à sensibilidade dos dados que estão sendo tratados; d) estabelecer políticas e proteções adequadas com base em um processo de avaliação sistemática de impactos e riscos à privacidade; e) ter como meta construir uma relação de confiança com o titular, através de uma atuação transparente que garanta mecanismos de participação do titular; f) estar integrado à sua estrutura de governança geral e criar e aplicar mecanismos de supervisão tanto internos quanto externos; g) dispor de planos para resposta a incidentes e remediação; e h) ser constantemente atualizado com base em informações coletadas por meio de monitoramento contínuo e avaliações regulares” (BRASIL, 2018).
Entre os requisitos mínimos mencionados, destaca-se o objetivo de criar um vínculo de confiança com o proprietário dos dados, através de uma atuação clara e de mecanismos de envolvimento do titular. Esse objetivo se alinha ao que se espera de uma boa administração pública, que é um pilar essencial para a gestão governamental, além de ser crucial para a elaboração e implementação das políticas públicas no país, visando oferecer serviços de qualidade à sociedade (BRASIL, 2018).
Nesse contexto, Messa (2019, p. 237) destacou a importância do controle social e da participação popular no processo de transformação digital e na consolidação da governança de dados: É um processo em evolução no uso das tecnologias de informação e comunicação pela Administração Pública, que busca promover não apenas a eficiência administrativa, mas também possibilitar o controle social e a participação da população, com estruturas e medidas que facilitam o acesso à informação pública, visando aprimorar a entrega de serviços públicos aos cidadãos. Como se pode perceber, é fundamental que a sociedade se sinta parte integrante e responsável pela conservação de um ambiente social positivo.
Além disso, o profissional deve demonstrar conhecimento apropriado para desempenhar a função tanto nos aspectos técnicos do Compliance quanto na rotina da Administração, o que inclui processos, pessoas, estratégias, desafios, entre outros. Além da formação, é necessário ter um perfil que possibilite agir de maneira proativa e, em seu desempenho diário, ser reconhecido, respeitado, ter boa habilidade de comunicação e persuasão, além de saber se relacionar adequadamente em todos os níveis hierárquicos (GIOVANINI, 2017, p. 461).
Estar em compliance é mais do que apenas seguir as leis. Como explicam Éryta Karl e Rodrigo Pironti (2019), a conformidade legal é um requisito fundamental em um Estado de Direito, onde as normas são institucionalizadas e guiadas pelo princípio da legalidade. Estar em Compliance vai além do direito estabelecido e deve ser visto como um autêntico compromisso social voltado para a ética na administração e pela oferta de serviços públicos de alta qualidade. O Programa de compliance digital na administração pública é uma medida estratégica fundamental para garantir que os órgãos públicos respeitem as normas e boas práticas relacionadas à proteção de dados pessoais, especialmente em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), instituída pela Lei nº 13.709/2018. A implementação desse programa visa assegurar que os dados dos cidadãos sejam tratados com transparência, segurança e responsabilidade, visando a confiança pública e o aprimoramento dos serviços prestados pela administração pública (BRASIL, 2018).
A administração pública brasileira, em sua transição para um governo mais digitalizado, está cada vez mais imersa no processo de coleta, tratamento e compartilhamento de dados pessoais. Nesse cenário, o compliance digital se torna uma ferramenta crucial para prevenir o uso indevido das informações e proteger a privacidade dos cidadãos. Esse programa envolve a criação de políticas e processos internos que visam a conformidade com a LGPD, garantindo que os dados pessoais sejam coletados, armazenados e utilizados de maneira ética e em conformidade com a legislação vigente (CUEVA, 2020).
Além de cumprir os requisitos legais, o compliance digital na administração pública busca melhorar a eficiência administrativa ao estabelecer normas claras de governança e segurança da informação. Isso inclui a implementação de medidas de segurança como criptografia, autenticação e controle de acesso, que são essenciais para proteger os dados de incidentes de segurança, como vazamentos e ataques cibernéticos. A transparência no tratamento de dados também é uma prioridade, permitindo que os cidadãos saibam exatamente como seus dados são utilizados e tenham a possibilidade de corrigir ou excluir informações que possam estar incorretas (BRASIL, 2018).
Outro ponto fundamental do compliance digital é a avaliação de impactos e riscos à privacidade. Antes de qualquer operação que envolva dados pessoais, os órgãos públicos devem realizar uma análise minuciosa sobre os potenciais riscos ao tratamento de dados e adotar medidas mitigadoras adequadas. Esse processo, conhecido como Análise de Impacto à Proteção de Dados (DPIA), é uma exigência prevista pela LGPD para assegurar que o tratamento de dados seja feito de forma consciente e sem prejudicar os direitos dos cidadãos (BRASIL, 2018).
O Programa de Compliance Digital não apenas contribui para a conformidade com a legislação, mas também fortalece a credibilidade da administração pública. A confiança pública é um pilar fundamental para o bom funcionamento do Estado, e a transparência na gestão dos dados pessoais pode ser vista como um mecanismo para aumentar essa confiança. A partir da implementação do compliance digital, os cidadãos podem ter a certeza de que seus dados estão sendo tratados com seriedade, respeitando sua privacidade e seus direitos. Esse processo também possibilita o controle social sobre as ações do governo, promovendo uma gestão pública mais aberta e acessível à sociedade (MESSA, 2019).
Embora os benefícios do compliance digital na administração pública sejam evidentes, a implementação desse programa enfrenta desafios significativos. A mudança na cultura organizacional dos órgãos públicos é um obstáculo, pois muitas vezes os servidores não estão preparados para lidar com as novas exigências da LGPD e com as tecnologias envolvidas. Isso exige capacitação contínua dos profissionais da área pública e o desenvolvimento de uma mentalidade voltada para a proteção de dados (GIOVANINI, 2017). Além disso, as limitações orçamentárias de muitas administrações públicas podem dificultar a adoção de tecnologias avançadas de segurança da informação, o que representa um desafio adicional para a implementação do programa de compliance digital.
Por fim, a criação de um vínculo de confiança entre os cidadãos e a administração pública é um dos principais objetivos do programa de compliance digital. Quando os cidadãos percebem que seus dados estão sendo tratados com ética e responsabilidade, há um fortalecimento das relações entre a população e o Estado. Além disso, o compliance digital permite a eficiência administrativa por meio da melhoria dos processos internos, promovendo uma gestão pública mais ágil e com maior capacidade de entrega de serviços de qualidade (BRASIL, 2018). Esse processo é fundamental para assegurar que os dados pessoais dos cidadãos sejam protegidos, ao mesmo tempo que o governo se torna mais eficiente e transparente em suas operações.
4 CONSIDERAÇÕES FINAIS
Este estudo buscou analisar o impacto da Lei Geral de Proteção de Dados (LGPD) na gestão de dados pessoais no setor público brasileiro, destacando a importância de garantir a segurança da informação em um cenário digital crescente. A proteção de dados pessoais emergiu como uma prioridade, com a transformação digital e a interconectividade entre sistemas, o que gerou novas vulnerabilidades que necessitam de respostas eficazes das instituições públicas.
Este estudo contribui para o aprimoramento das práticas de gestão de dados pessoais na administração pública, apresentando sugestões para fortalecer a conformidade com a LGPD, como a capacitação contínua dos profissionais de TI, a adoção de tecnologias de segurança mais eficazes e a implementação de auditorias regulares. Espera-se que os resultados apresentados sirvam como base para uma melhoria contínua na proteção de dados pessoais, oferecendo uma gestão mais eficiente e transparente, promovendo maior confiança dos cidadãos nos serviços públicos e, na integridade das informações compartilhadas com as instituições governamentais.
REFERÊNCIAS
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão de Segurança da Informação – Requisitos. Rio de Janeiro: ABNT, 2006.
ABNT – ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27002:2006 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2006.
BAPTISTA JUNIOR, M. R.; DIAN, P. H. LGPD e a Administração Pública: desafios e perspectivas na proteção de dados pessoais. Revista Brasileira de Políticas Públicas, v. 11, n. 2, p. 85-105, 2021.
BARBOSA, L. C.; OLIVEIRA, T. R. F.; SOUZA, M. P. Proteção de dados pessoais: um estudo sobre a LGPD e a segurança da informação. Revista de Direito, Governança e Novas Tecnologias, v. 6, n. 2, p. 45-63, 2021.
BESSA, L. F. Proteção de dados pessoais: a função e os limites do consentimento. São Paulo: Revista dos Tribunais, 2020.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 1988. Diário Oficial da União, Brasília, DF, 5 out. 1988.
BRASIL. Constituição (1988). Constituição da República Federativa do Brasil de 1988. Diário Oficial da União, Brasília, DF, 5 out. 1988.
BRASIL. Decreto nº 8.638, de 15 de janeiro de 2016. Institui a Política de Governança Digital da administração pública federal direta, autárquica e fundacional. Diário Oficial da União, Brasília, DF, 18 jan. 2016.
BRASIL. Decreto nº 9.203, de 22 de novembro de 2017. Aprova a Política de Governança Pública e institui o Sistema de Governança Pública no âmbito da Administração Pública Federal. Diário Oficial da União, 2017.
BRASIL. Decreto nº 9.203, de 22 de novembro de 2017. Dispõe sobre a política de governança da administração pública federal direta, autárquica e fundacional. Diário Oficial da União, Brasília, DF, 22 nov. 2017.
BRASIL. Estratégia de Governo Digital 2020-2022. Ministério da Economia, Secretaria de Governo Digital. Brasília, 2020.
BRASIL. Lei Geral de Proteção de Dados Pessoais (LGPD): Lei nº 13.709, de 14 de agosto de 2018. Diário Oficial da União: Brasília, DF, 15 ago. 2018.
BRASIL. Lei nº 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5º da Constituição Federal. Diário Oficial da União, 2011.
BRASIL. Lei nº 12.846, de 1º de agosto de 2013. Dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira. Diário Oficial da União, 2013.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Institui a Lei Geral de Proteção de Dados Pessoais. Diário Oficial da União, 2018.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Diário Oficial da União, 2018.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Diário Oficial da União: seção 1, Brasília, DF, 15 ago. 2018.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União: seção 1, Brasília, DF, 15 ago. 2018.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Diário Oficial da União, Brasília, DF, 15 ago. 2018.
COUTINHO, R. M.; FERREIRA, C. A.; LIMA, P. F. A importância da segurança da informação no setor público: desafios e perspectivas. Revista Gestão & Tecnologia, v. 17, n. 2, p. 87-104, 2017.
CUEVA, Ricardo Villas Bôas. Programas de compliance na administração pública. In: BOTREL, Mário Vinícius Claussen (coord.). Compliance e Integridade nas Empresas e na Administração Pública. 2. ed. São Paulo: Revista dos Tribunais, 2020.
FRAZÃO, R.; MEDEIROS, C. P. Compliance: fundamentos e práticas de implementação nas organizações. São Paulo: Saraiva Educação, 2018.
FREUND, J.; RONNEBERG, T.; FRANK, K. Governança de TI e segurança da informação: fundamentos e práticas. São Paulo: Atlas, 2019.
GIOVANINI, F. Compliance: Teoria e Prática. 1ª ed. São Paulo: Editora Atlas, 2017.
GIOVANINI, Marco Aurélio. Compliance: aspectos teóricos e práticos. In: CARVALHO, Marcílio Toscano Franca Filho (coord.). Tratado de Compliance. Salvador: JusPodivm, 2017. p. 445-471.
HINTZBERGEN, J.; SMIT, M.; VRIES, R. de. Fundamentos de segurança da informação: proteção de sistemas e redes de computadores. 2. ed. Rio de Janeiro: Alta Books, 2018.
KARL, Éryta; PIRONTI, Rodrigo. Compliance na administração pública e a busca por serviços públicos de qualidade. In: BOTREL, Mário Vinícius Claussen (coord.). Compliance e Integridade nas Empresas e na Administração Pública. 2. ed. São Paulo: Revista dos Tribunais, 2019.
MESSA, A. Governança pública e governo eletrônico: abordagens e práticas. In: MORAES, Regiane Helena de; PIMENTEL, Letícia Moreira. Direito Digital: inovação, proteção de dados e novos paradigmas. Belo Horizonte: Fórum, 2019. p. 185-197.
MESSA, Ana Frazão. A proteção de dados pessoais como instrumento de promoção do controle social na Administração Pública. In: PINHEIRO, Patrícia Peck; SOUZA, Danilo Doneda (orgs.). Proteção de Dados Pessoais: a função e os limites do consentimento. 1. ed. São Paulo: Revista dos Tribunais, 2019. p. 223-239.
NARDES, A.; ALTOUNIAN, S.; VIEIRA, S. Governança pública: o desafio do Brasil. 2. ed. Brasília: Tribunal de Contas da União, 2018.
NUNES, A. J. Compliance: teoria e prática. 2. ed. Belo Horizonte: Fórum, 2019.
ZENKNER, P. Governança, integridade e responsabilidade no setor público. In: MORAES, Regiane Helena de; PIMENTEL, Letícia Moreira. Direito Digital: inovação, proteção de dados e novos paradigmas. Belo Horizonte: Fórum, 2019. p. 199-212.
1Graduado em Direito pela Universidade de Uberaba – UNIUBE
E-mail: raphaelpaiva55@yahoo.com