Considerando as diretrizes apresentadas pelo TCU no acórdão TC nº 1384/2022 para a adequação da atuação dos órgãos públicos à proteção dos dados pessoais, analisa-se neste artigo a dimensão da conformidade do tratamento, fase imprescindível de demonstração da regularidade dos tratamentos de dados pessoais realizados.
O programa de compliance de dados pessoais deve abranger os procedimentos necessários para demonstrar que o tratamento de dados pessoais realizado pelo órgão ou ente público está de acordo com os princípios e as regras previstas na Lei Geral de Proteção de Dados (LGPD) e, de forma mais abrangente, com as normas que compõem o microssistema de proteção de dados pessoais no Brasil, bem como a comprovação de que os tratamentos são fundamentados em uma das bases legais previstas na legislação.
Para atingir esses objetivos contidos na dimensão da conformidade de tratamento, o TCU sugere que sejam abordados ao menos os aspectos referentes às:
(i) Finalidades das atividades de tratamento de dados pessoais: o objetivo é que o órgão identifique e documente as finalidades dos tratamentos de dados pessoais que ele realiza. Isso porque tais atividades de tratamento devem ser realizadas para “propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades”, observando, pois, o princípio da finalidade (art. 6º, inciso I da LGPD). Noutras palavras, o tratamento de dados pessoais só deve ser feito para atingir finalidade determinada, a qual deve se vincular a propósitos legítimos, bem identificados e delimitados, numa situação em que seja possível reconhecer o nexo entre o tratamento de dados realizado e a finalidade exposta. É essa finalidade indicada que vai guiar o tratamento de dados regular e legítimo, inclusive porque é vedado que esse tratamento depois seja feito de forma conflitante ou inconciliável com a finalidade originariamente declarada. Além disso, é essencial que o titular de dados seja informado acerca da finalidade que ampara o tratamento de dados pessoais, ou seja, dos propósitos indicados como justificativa para a realização da operação, devendo tal comunicação ser clara e acessível, de forma que o titular dos dados efetivamente compreenda o seu significado e o alcance das finalidades indicadas.
O órgão público também deverá avaliar se a coleta e o tratamento dos dados pessoais ocorre na exata medida do que é necessário para atingir aquelas finalidades identificadas. Ou seja, deve se demonstrar, nos termos do art. 6º, incisos II e III da LGPD, a observância do princípio da adequação, que diz respeito à compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento, e do princípio da necessidade, que determina a limitação do tratamento ao mínimo necessário para a realização de suas finalidades (de forma que só devem ser tratados os dados pertinentes, proporcionais e não excessivos em relação às finalidades identificadas para aquele tratamento de dados).
Por fim, o órgão público deve demonstrar que os dados pessoais coletados e tratados no âmbito de seus processos de trabalho não ficam retidos ou armazenados além do tempo necessário para o cumprimento das finalidades do tratamento. Isso porque o armazenamento dos dados tem um limite temporal diretamente ligado ao princípio da finalidade: nos termos do art. 15, inciso II, o término do tratamento dos dados pessoais se dará, dentre outros, em razão da verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance daquela finalidade desejada; e, regra geral, após o término do tratamento os dados pessoais devem ser eliminados (art. 16, caput).
(ii) Bases legais: o órgão público deve também identificar e documentar as bases legais que fundamentam cada uma das suas atividades de tratamento de dados pessoais. As bases legais são as hipóteses previstas em lei que autorizam e fundamentam juridicamente a realização do tratamento de dados pessoais: na LGPD, estão previstas no art. 7º (bases legais gerais) e no art. 11 (bases legais específicas para o tratamento de dados pessoais sensíveis), lembrando que um mesmo tratamento de dados pessoais pode se fundamentar em mais de uma base legal. Vale destacar que em seu Guia de Tratamento de Dados Pessoais pelo Poder Público, a ANPD analisou as bases legais que podem estar mais aproximadas das atividades dos órgãos públicos — consentimento, legítimo interesse, cumprimento de obrigação legal ou regulatória e execução de políticas públicas —, tendo destacado, inclusive, um certo caráter residual do consentimento nestas hipóteses (que fica afastado, por exemplo, nos casos em que o tratamento for necessário para o cumprimento de obrigações e atribuições legais).
Além disso, é importante que os órgãos públicos se atentem para a regra prevista no art. 23 da LGPD, no sentido de que o tratamento de dados pessoais pelo poder público deve ser realizado “para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público”.
(iii) Registro das operações de tratamento: o órgão público deve possuir um procedimento de registro (documentação) para consolidar as informações referentes às atividades de tratamento de dados pessoais que ele realiza, nos termos do art. 37 da LGPD. Para tanto, o TCU sugere, com fundamento nas regras da ABNT, a utilização de modelo de inventário, no qual devem ser correlacionadas minimamente as seguintes informações referentes a cada operação de tratamento: tipo de tratamento, propósitos do tratamento, descrição das categorias de dados pessoais, descrição das categorias de titulares e descrição geral das medidas de segurança adotadas.
(iv) Relatório de impacto à proteção de dados: o órgão público deve elaborar relatório de impacto à proteção de dados pessoais, ou seja, um documento que abranja tanto a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais quanto às medidas, às salvaguardas e aos mecanismos adotados para a mitigação desses riscos. Noutras palavras, o órgão público deverá analisar, no relatório de impacto, aspectos como os tipos de dados pessoais tratados, o local de armazenamento desses dados, para onde eles podem ser transferidos, etc., identificar os riscos de lesão à proteção de dados pessoais e às demais liberdades civis que estas operações podem acarretar e indicar as medidas de controle foram adotadas para eliminar ou minimizar esses riscos.
Vale ressaltar que, nos termos do art. 55-J, inciso XIII da LGPD, a ANPD poderá editar regulamentos e procedimentos sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais.
Assim, considerando a dimensão da conformidade de tratamento, o programa de compliance de dados pessoais deve prever instrumentos, procedimentos e documentos que demonstrem: (i) quanto à finalidade: que as finalidades dos tratamentos de dados foram bem definidas e comunicadas de forma clara ao titular dos dados; que o tratamento de dados é feito com observância dos princípios da adequação e da necessidade; e que o órgão público só armazena os dados pelo tempo estritamente necessário para atingir a finalidade proposta; (ii) quanto às bases legais: que o órgão público identifique corretamente e documente as bases legais que possam amparar suas atividades de tratamento de dados pessoais; (iii) quanto ao registro: que o órgão público mantenha procedimento de registro das operações de tratamento de dados pessoais por ele realizadas; e (iv) quanto ao relatório de impacto à proteção de dados pessoais: que o órgão público elabore o relatório de impacto e efetivamente implemente controles para mitigar os riscos identificados.
Fonte: JOTA. Leia matéria completa.