Em continuidade à série de artigos elaborados para pontuar os direcionamentos apresentados pelo Tribunal de Contas da União (TCU) no acórdão TC nº 1384/2022 para que os órgãos públicos adequem sua atuação à proteção dos dados pessoais, trata-se agora dos levantamentos, adaptações e conformações que devem ser feitos considerando o contexto organizacional do ente público.
As diligências indicadas pelo TCU nesta segunda dimensão da conformação da atuação administrativa, em nosso sentir, constituem, juntamente com aquelas medidas sugeridas na primeira dimensão (sobre as quais tratamos no artigo anterior), providências de organização e preparação do ambiente institucional do órgão ou ente público para a adequação de suas atividades à nova realidade jurídica de proteção de dados pessoais. São elas:
1) O órgão ou ente público deve identificar quais são, além da Lei Geral de Proteção de Dados (LGPD), as normas que lhe são aplicáveis de forma específica — em razão de suas atividades e de sua interação com o setor privado, por exemplo — e que também cuidam do tema de proteção de dados pessoais. Isso porque a LGPD não é a única lei a tratar da matéria – na realidade, tecnicamente extrai-se do ordenamento jurídico brasileiro um verdadeiro microssistema de proteção de dados pessoais, em cujo centro estão a Constituição Federal e a LGPD, mas ao redor do qual orbitam diversas outras normas (como a LAI, o CDC, o Marco Civil da Internet, a CLT etc.) que podem trazer algum aspecto relevante e específico sobre a proteção de dados. Logo, uma das primeiras atividades do grupo especializado deve ser identificar a existência de alguma regra particular, específica referente à proteção de dados pessoais que deva ser observada pelo órgão público, além daquelas regras gerais decorrentes da previsão constitucional e da LGPD.
2) O órgão público deve categorizar os titulares de dados pessoais com os quais se relaciona (cidadão, cliente, servidor público, representante de fornecedor e terceirizado). Neste ponto, mais uma vez, parece-nos clara a inspiração do TCU em um verdadeiro programa de compliance de dados – vale pensar em uma analogia, por exemplo, com os programas de compliance anticorrupção em relação aos stakeholders externos e a elaboração de sistemas controle de riscos mais ou menos severos a depender do grau de exposição deste colaborador a riscos de envolvimento em atos de fraude ou de corrupção. No entanto, vale destacar que nem a LGPD nem a ANPD, em seus guias orientativos ou em suas normas regulamentares, fazem essa categorização dos titulares de dados pessoais, de forma que parece necessário se ter cautela quanto às consequências práticas que possam advir desta categorização, para que não se dispense, a partir daí, qualquer tipo de tratamento não igualitário ou discriminatório (ilegal e ilegítimo).
3) O órgão público deve verificar se existem e quem são os operadores, que realizam o tratamento de dados pessoais em seu nome (ou seja, seguindo as suas orientações, sem poder de decisão), de forma a garantir a efetividade da proteção dos dados em todas as operações de tratamento de dados pessoais realizadas por ou em nome do órgão público. Esta análise deve englobar, inclusive, a avaliação de eventuais contratos existentes entre o órgão público e os operadores, especialmente para averiguar se há a necessidade de melhor delimitar os papéis e as responsabilidades de cada uma das partes em relação às atividades de proteção de dados pessoais, prevenindo, assim, eventuais questionamentos judiciais e extrajudiciais futuros e reforçando a necessidade de que os operadores adotem todas as medidas necessárias à proteção dos dados pessoais que são compartilhados com eles.
4) O órgão público deve identificar eventuais hipóteses de controladoria conjunta de dados pessoais, a qual ocorre quando, existindo mais de um controlador com poder de decisão sobre o tratamento de dados, eles celebram um acordo para determinar, de forma conjunta, as finalidades e os elementos essenciais do tratamento de dados pessoais, inclusive as responsabilidades quanto ao cumprimento da LGPD, especialmente porque a referida situação pode atrair riscos diferenciados de violação dos dados pessoais e de inconsistência das informações armazenadas que devem ser considerados no mapa de riscos do programa de compliance de dados.
5) O órgão público deve identificar, dentre os seus processos de trabalho, aqueles nos quais são realizados tratamentos de dados pessoais. Esse reconhecimento é essencial para fundamentar o programa de compliance de dados porque é a partir deste levantamento e do mapeamento destes processos de trabalho que será possível avaliar os riscos inerentes a cada processo e identificar as informações relevantes de cada atividade de tratamento (como a finalidade do tratamento, a base legal em que se fundamenta, as categorias dos titulares dos dados envolvidos, os responsáveis, e existência de eventuais compartilhamentos de dados). Esse procedimento de identificação e mapeamento dos processos de trabalho também terá relevância para o cumprimento da regra prevista na LGPD segundo a qual “o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem”.
6) O órgão público deve identificar quais são os dados pessoais que ele trata bem como saber onde esses dados se encontram, isto é, se eles estão física ou digitalmente armazenados e onde (por exemplo, se em algum dispositivo de TI, como na nuvem ou em um USB ou congêneres, ou se em algum local físico como armários e pastas). Essas informações são necessárias para que se possa proceder a uma correta análise de riscos e planejar as medidas de segurança necessárias.
7) O órgão público deve realizar o mapeamento e a gestão dos riscos inerentes aos processos de trabalho em que ocorre o tratamento de dados pessoais, inclusive para definir quais os processos devem ser priorizados durante o procedimento de conformação das atividades à proteção dos direitos fundamentais. Ressalta-se que essa análise de riscos deve ser realizada de forma contínua, de forma que as consequências que podem ocorrer para o próprio órgão ou ente público e para os titulares dos dados pessoais caso esses riscos se materializem devem periodicamente ser objeto de análise e consideração. A administração pode se valer de seu prévio know-how na atividade de gestão de riscos — em especial na gestão de riscos de integridade — para realizar a gestão de riscos de seu programa de compliance de dados.
Entendemos que todas estas diligências devem estar também contempladas no Plano de Ação do órgão público — ou seja, o grupo especializado constituído para planejar as ações de adequação (que deve ser instituído na primeira dimensão da conformação) deverá prever, em seu programa de atuação, as tarefas de identificar, conhecer, catalogar, entender, avaliar e eventualmente conformar todos os grupos de informações elencados acima, indicando, inclusive, os responsáveis por executar cada uma das etapas deste trabalho bem como os prazos de finalização desta análise.
Isso porque, ao que nos parece, o procedimento proposto pelo TCU nesta segunda dimensão da conformação tem por objetivo promover o conhecimento do ambiente institucional e do “modelo de negócios” do órgão, ou seja, impulsionar aquele levantamento de informações e adequações iniciais necessários para subsidiar a avaliação dos riscos de tratamento irregular de dados, para indicar preliminarmente os controles que deverão ser implantados, para, então, fundamentar a própria elaboração de um programa de compliance de dados que efetivamente atinja seus três grandes objetivos de prevenção, detecção e resposta.
Fonte: JOTA. Leia matéria completa.
