Trabalho de Conclusão de Curso

PÓS-GRADUAÇÃO EM
SEGURANÇA DIGITAL,
GOVERNANÇA E GESTÃO DE
DADOS

ALUNO: Sandro Lopes Ebbing

ORIENTADOR: Maurem Silva Rocha
 Sumário
´
1. RESUMO ................................................................................................................. 2
2. INTRODUÇÃO ........................................................................................................ 2
3. REFERENCIAL TEÓRICO...................................................................................... 3
4. PROPOSTA ............................................................................................................ 4
5. RESULTADOS E DISCUSSÕES ........................................................................... 5
6. CONSIDERAÇÕES FINAIS .................................................................................. 15
7. REFERÊNCIAS ..................................................................................................... 17
 ARTIGO CIENTÍFICO

Lei Geral de Proteção de Dados e a Base Legal no Poder Público

1. RESUMO
O Poder Público a despeito de toda diferenciação em relação ao
universo privado, também é sujeito à Lei Geral de Proteção de Dados quando
do tratamento de dados pessoais. A Lei 13.709/2018 traz o Capítulo IV
dedicado ao Poder Público. Este artigo explorará as bases legais em que se
baseia o tratamento de dados pessoais pela Administração Pública. Conforme
a LGPD determina, o Poder Público pode realizar o tratamento de dados
pessoais e dados pessoais sensíveis apenas em situações determinadas. As
situações se revestem de legalidade quando obedecidas as bases legais em
que se enquadram, no caso do Poder Público são 04 (quatro): Consentimento,
Legitimo Interesse, Cumprimento de Obrigação Legal ou Regulatória e na
realização de Políticas Públicas. Mesmo entres as bases legais possíveis de
utilização para tratamento de dados pelo Poder Público algumas são mais
indicadas do que outras. Cabe ao Controlador adequar ao caso fático à
norma.

PALAVRAS-CHAVE: LGPD; Lei 13.709/2018; Base Legal; Poder Público

2. INTRODUÇÃO
O Brasil inspirado na GPDR da União Europeia, e com
aproximadamente 8 anos de discussão no congresso, publicou em agosto de
2018 nossa Lei de Proteção a Dados Pessoais, Lei 13.709/2018, que entrou
em vigor em 18 de setembro de 2020. Desde então sob a égide da nova
norma, necessita-se adequar, tanto o mundo privado quanto o público,
quando do tratamento de dados pessoais.
O Poder Público por várias razões manipula dados, historicamente o faz,

2
seja para executar políticas públicas e por vários outros motivos, adequar-se à
LGPD não será tarefa corriqueira, exige mudança radical na cultura ora
corrente na esfera pública.
Xavier (2022) argumenta, que:
Já havia leis que abrangiam os temas privacidade e proteção de dados;
no entanto, a LGPD veio para consolidar um microssistema de
tratamento desses dados: quem, como, quando, onde, porque, com que
fim podem ser usados esses dados (XAVIER, 2022)

Há muito administração pública coleta dados de forma indiscriminada,

(sem se preocupar em atender os princípios elencados no artigo 6º, que são
Finalidade, Necessidade, Adequação e Segurança) para regular tal fato a lei
13.709/2018, doravante LGPD, dedicou o capítulo IV, dos art. 23 ao 36, ao
Poder Público e tratamento de dados pessoais. A ANPD – Autoridade
Nacional de Proteção de Dados publicou inúmeros documentos informativos,
entre eles o guia orientativo para tratamento de dados pelo Poder Público
(BRASIL, 2018), guia que será utilizado juntamente com outras fontes como
referências bibliográficas.

3. REFERENCIAL TEÓRICO
Segundo a ANPD (2022):
O termo “Poder Público” é definido na LGPD de forma ampla e inclui
órgãos ou entidades dos entes federativos (União, Estados, Distrito
Federal e Municípios) e dos três Poderes (Executivo, Legislativo e
Judiciário), inclusive das Cortes de Contas e do Ministério Público.
Assim, os tratamentos de dados pessoais realizados por essas
entidades e órgãos públicos devem observar as disposições da LGPD,
ressalvadas as exceções previstas no art. 4o da lei;
Também se incluem no conceito de Poder Público: os serviços notariais
e de registro (art. 23, § 4o); e as empresas públicas e as sociedades de
economia mista (art. 24), neste último caso, desde que não estejam
atuando em regime de concorrência; ou operacionalizem políticas
públicas, no âmbito da execução destas.

A LGPD abrange a administração pública direta, indireta, empresas

públicas vinculando os três poderes (executivo, legislativo e judiciário) à sua
égide.
Segundo o Dicionário de Direito (2022):
O Poder Público corresponde a todos os poderes que competem ao
Estado na sua atuação perante a sociedade.
O Poder Legislativo (responsável pela criação e edição de leis),

3
 Judiciário (aquele que realiza o julgamento das lides com base nas
regras do ordenamento) e Executivo (responsável por governar e
garantir o interesse público) atuam em esferas distintas,
desempenhando atividades inerentes e assim definidas pelo
ordenamento como atividades típicas.
Segundo o artigo 2º, da constituição federal de 1988 São Poderes da
União, independentes e harmônicos entre si, o Legislativo, o Executivo
e o Judiciário.
Além das atividades típicas, esses poderes também desempenham
atividades que não são essenciais à sua função, assim denominadas
atividades atípicas. (DICIONÁRIO DE DIREITO, 2022).

Conforme observamos, segundo o Dicionário e Direito, o conceito de

Poder Público é bastante amplo, pois engloba os três poderes (Executivo,
Legislativo e Judiciário), mas não podemos esquecer que o Executivo e
subdivide em Administração Direta e Administração Indireta, abrangendo
também as Cortes de Contas que não se subordinam a nenhum poder.
Abordaremos as hipóteses que permitem que o Poder Público realize o
tratamento de dados pessoais.

4. PROPOSTA

4.1 A PROTEÇÃO DE DADOS COMO UM DIREITO FUNDAMENTAL

A Constituição Federal em seu art. 5.º, inciso X, protege a privacidade

assim: “são invioláveis a intimidade, a vida privada, a honra e a imagem das
pessoas, assegurado o direito a indenização pelo dano material ou moral
decorrente de sua violação”. (BRASIL, 1988)
A intimidade e a privacidade eram já tuteladas pela Carta Magna, e a
partir da promulgação da EC 115/2022, o direito à proteção dos dados obteve
status de direito fundamental, passando a figurar entre os direitos e garantias
fundamentais tutelados pela nossa Constituição Federal.
Quanto ao direito à proteção de dados pessoais, segundo o art. 5º, I da
LGPD, “o dado pessoal é a informação relacionada à pessoa natural
identificada ou identificável”, e em seu inciso V, o titular: “pessoa natural a
quem se referem os dados pessoais que são objetos de tratamento.”(BRASIL,

4
2018).
Junto com o Marco Civil da Internet, a Lei de Acesso à Informação, a
LGPD e agora a Constituição Federal também garante ao cidadão o direito a
proteção de seus dados pessoais, elencado como um direito fundamental.

4.2 PODER PÚBLICO E O TRATAMENTO DE DADOS PESSOAIS

As bases legais da LGPD são hipóteses que permitem o tratamento de

dados, ou seja, requisitos que devem ser atendidos para que possa haver a
coleta e tratamento de dados pessoais, o Poder Público também se submete
à essas bases. A seguir trataremos cada uma das bases legais descritas no
art. 7º da LGPD, as quais, possibilitam ao Poder Público o tratamento de
dados pessoais, e no caso de dados pessoais sensíveis, no art. 11º. Esses
dispositivos devem ser interpretados em conjunto e de forma sistemática com
os critérios adicionais previstos no art. 23, que complementam e auxiliam a
interpretação e a aplicação prática das bases legais no âmbito do Poder
Público (BRASIL, 2018).
Para Xavier (2022), conceitua base legal como
As hipóteses – ou bases – legais, portanto, são presunções
autorizativas para que um agente de tratamento, público ou privado,
possa realizar operações com dados pessoais, como a coleta,
classificação, utilização, acesso, transmissão, processamento,
armazenamento, eliminação, transferência, dentre outras.

5. RESULTADOS E DISCUSSÕES

5.1 Consentimento

Conforme a definição legal (art. 5º, XII, LGPD), o consentimento é a

“manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada”.
Adicionalmente, no caso de dados sensíveis, o consentimento deve ser
fornecido “de forma específica e destacada, para finalidades especificas” (art.
11º, I, LGPD).
Segundo o dicionário Houaiss, consentimento é:

5
 Substantivo masculino
Ato ou efeito de consentir
1 manifestação favorável a que (alguém) faça (algo); permissão, licença
2 manifestações de que se aprova (algo); anuência, aquiescência,
concordância
3 tolerâncias, condescendência
4 uniformidade de opiniões, concordância de declarações, acordo de
vontade das partes para se alcançar um objetivo comum (DICIONÁRIO
HOUAISS, 2022)

Desta forma, a autorização deve ser formal e inequívoca, devendo ainda

o titular ter conhecimento do fim para que seus dados serão tratados, ficando
restrita somente tal tratamento, sendo vedadas finalidades genéricas. A
qualquer tempo o titular pode revogar tal consentimento.
O art. 8º determina, ainda, em caso de consentimento por escrito o texto
deverá ser claro o suficiente, dando ênfase e clareza, do motivo pelo qual está
dando seu consentimento.
(...) o titular dos dados pessoais deve dar seu consentimento para o
controlador tratar seus dados pessoais de forma clara, livre, sem
coação, inequívoca, com base na transparência da informação da
finalidade do tratamento – uma vez que o art. 8º, § 4º torna nulo o
consentimento para autorizações de tratamento genéricas - e por
escrito ou outro meio que demonstre indubitavelmente a vontade real
do titular.” (BRASIL, 2018).

Sendo assim, a utilização da base legal do consentimento para

tratamento de dados pelo Poder Público pressupõe possibilitar ao titular dos
dados autorizar ou não tal tratamento e a qualquer momento que deseje
também poder revogar tal consentimento. Devemos lembrar que, o
consentimento deve ser evitado quando existe um desnível, ou seja, quando o
proprietário dos dados for hipossuficiente na relação.

Exemplo:
A Câmara municipal de um município oferta aos munícipes a
possibilidade de acompanhamento da tramitação de Projetos de Leis,
encaminhando informações, bastando que o cidadão se inscreva em uma lista
de e-mail para esta exclusiva finalidade. O munícipe que não se inscrever,
não deixará de receber nenhum serviço fundamental nem de exercitar
qualquer direito ofertado pelo município, considerando que as mesmas
informações estarão disponíveis no site da Câmara Municipal.

6
5.2 Legítimo Interesse

Uma das bases legais que permitem o tratamento de dados pessoais

pelo Poder Público é o Legítimo interesse, “exceto no caso de prevalecerem
direitos e liberdades fundamentais do titular que exijam a proteção dos dados
pessoais” (art. 7o, IX, LGPD). Portanto veda o tratamento de dados pessoais
sensíveis (BRASIL, 2018).
O artigo 10 (BRASIL, 2018), traz uma regulação a respeito da utilização
dessa base legal:
O legítimo interesse do controlador somente poderá fundamentar
tratamento de dados pessoais para finalidades legítimas, consideradas
a partir de situações concretas, que incluem, mas não se limitam a:
I - apoio e promoção de atividades do controlador; e
II - proteção, em relação ao titular, do exercício regular de seus direitos
ou prestação de serviços que o beneficiem, respeitadas as legítimas
expectativas dele e os direitos e liberdades fundamentais, nos termos
desta Lei.
1º Quando o tratamento for baseado no legítimo interesse do
controlador, somente os dados pessoais estritamente necessários para
a finalidade pretendida poderão ser tratados.
2º O controlador deverá adotar medidas para garantir a transparência
do tratamento de dados baseado em seu legítimo interesse.
3º A autoridade nacional poderá solicitar ao controlador relatório de
impacto à proteção de dados pessoais, quando o tratamento tiver como
fundamento seu interesse legítimo, observados os segredos comerciais
e industriais.

Mesmo com a inclusão do artigo 10, as condições ali explicitadas são

vagas, deixando margem à interpretação quando da utilização dessa base
legal.
O artigo 37, ainda exige o registro do tratamento dos dados efetuados
tanto pelo controlador quanto pelo operador, especialmente no caso da
utilização do Legítimo Interesse. “ Art. 37. O controlador e o operador devem
manter registro das operações de tratamento de dados pessoais que
realizarem, especialmente quando baseado no legítimo interesse” (BRASIL,
2018).
Ressalta-se que o legítimo interesse não se estende ao operador, sendo
uma base legal somente do controlador.
Para que o operador possa avaliar se a base legal do legítimo interesse
pode ou não ser usada, a Autoridade Independente do Reino Unido, criou um
template denominado Legitimate Interests Assessment ou Teste de
Proporcionalidade do Legítimo Interesse (BOHRER, 2022). Esse teste é

7
composto de 4 etapas sucessivas, quais sejam:
Teste de Propósito, onde se verifica se o interesse do controlador
atende a uma finalidade específica;
Teste de Necessidade, onde se verifica se o tratamento é realmente
necessário para se atender a necessidade identificada na etapa
anterior;
Teste de Balanceamento entre os interesses do controlador e os
direitos do titular dos dados. Nesta etapa deve-se considerar as
expectativas, direitos e liberdades do titular dos dados em relação à
necessidade do operador.
Aprovação e Salvaguardas. Finalmente deve-se avaliar se realmente
existe o legítimo interesse e justificar a resposta. Caso seja identificado
riscos ao titular dos dados, o controlador deve apresentar instrumentos
para a mitigação de tais riscos (BOHRER, 2022; ICO, 2022)

Tanto o consentimento, quanto o legitimo interesse, são limitados

quando da utilização para tratamento de dados pelo Poder Público, e sua
utilização deve ser precedida de minuciosa avaliação em relação ao custo-
benefício de sua utilização e a possibilidade de penalização pela ANPD, se
considerado inadequado o motivo pelo qual foi aplicada tal base. A Própria
ANPD (2022) em seu guia orientativo para tratamento de dados pessoais pelo
Poder Público, ressalta que o uso de tal base é “inapropriada quando o
tratamento de dados pessoais é realizado de forma compulsória ou quando for
necessário para o cumprimento de obrigações e atribuições legais do Poder
Público”.
Exemplo:
Uma Prefeitura Municipal trata dados de seus servidores
(colaboradores) quando das configurações para autenticação desses
servidores em seus sistemas, com o intuído de evitar que softwares
maliciosos possam vir a gerar vulnerabilidades. Por não se tratar de atividades
inerentes à ao Poder Público, pode utilizar a base legal do legitimo interesse
para tal tratamento. Tal tratamento deve ser revestido de medidas para
garantir a transparência de tal procedimento e realizado o registro dessas
atividades.

5.3 Cumprimento de Obrigação Legal ou Regulatória

O artigo 7º, inciso II, da LGPD prevê a possibilidade do tratamento de

dados ser realizado para o Cumprimento de Obrigação Legal ou Regulatória

8
pelo controlador, também o artigo 11, inciso II, (BRASIL, 2018), traz essa
previsão para dados sensíveis.
O guia aborda essa base legal segundo dois contextos normativos:
normas de conduta e normas de organização.
Segundo Barroso (2009), as normas de conduta seriam aquelas
“destinadas a reger, diretamente, as relações sociais e o
comportamento das pessoas. Normas de conduta [...] preveem um fato
e a ele atribuem um efeito jurídico”. Ou seja, as normas preveem um
fato e uma implicação jurídica para esse fato.
Já as normas de organização são aquelas criadas para estruturação de
órgãos e entidades, estabelecendo suas competências e atribuições.
Tais normas “em lugar de disciplinarem condutas, as normas de
organização, também chamadas de normas de estrutura, instituem
órgãos, atribuem competências, definem procedimentos” (BARROSO,
2009).
Assim, o cumprimento de obrigações legal e regulatório pode ser uma
necessidade gerada por normas de conduta ou de organização. No
primeiro caso, o agente de tratamento do setor público deve
obrigatoriamente cumprir uma determinação legal expressa, sob pena
de sofrer uma consequência prevista no ordenamento jurídico.
Na segunda hipótese, o tratamento se dará para atendimento à
finalidade da existência daquele órgão ou instituição pública, para
cumprimento de suas atribuições legais, razão de sua existência.
(XAVIER, 2022).

Conforme assevera o art. 7o, II, e no art. 11, II, a, da LGPD, e reforçada
pelo disposto no art. 23 da mesma lei, o tratamento de dados pessoais no
setor público deverá ser realizado “com o objetivo de executar as
competências legais ou cumprir as atribuições legais do serviço público”
(BRASIL, 2018), observando-se o interesse público e o atendimento da
finalidade pública do controlador.

5.3.1 Princípio da Legalidade na Administração Pública

O Princípio da Legalidade possui um importante papel nos atos das

pessoas que fazem parte da Administração Pública, de forma direta ou
indireta, temos a determinação constitucional do artigo 37, caput:
“A Administração Pública Direta e Indireta de qualquer dos poderes da
União, dos Estados e Distrito Federal e dos Municípios obedecerá aos
princípios de legalidade, impessoalidade, moralidade, publicidade e
eficiência (…)”.(BRASIL, 2018)

Os órgãos públicos devem agir quando a lei diz para agir. Por isso, o
Princípio da Legalidade acompanha qualquer ato, decisão ou negócio
realizado pela Administração e faz parte da construção da fé pública que

9
possui os atos praticados pelos funcionários públicos.
Como vimos no caso de Cumprimento de Obrigação Legal ou
Regulatória o Poder Público tem a prerrogativa de realizar o tratamento de
dados pessoais, inclusive dados sensíveis. De todas as bases legais até
agora estudadas esta é a que mais se adequa ao tratamento de dados
pessoais pelo Poder Público, inclusive por estar respaldada em legislação a
necessidade de tal tratamento.
Para a utilização da Base legal do Cumprimento de Norma Legal ou
Regulatória é necessário que se responda duas perguntas, implícitas não art.
7º, II da LGPD BRASIL:

1) É possível identificar a obrigação legal ou regulatória específica que determina

o tratamento dos dados?
2) O titular dos dados será informado da realização do tratamento dos dados?

Para que seja passível de utilização desta base legal, as questões

acima devem ser respondidas afirmativamente. Devemos lembrar ainda que
não se encaixam em tal base, obrigações instituídas por meio de contratos.

Exemplo
Uma Prefeitura Municipal faz o tratamento de dados pessoais e dados
pessoais sensíveis quando da contratação de um servidor, ou seja,
obedecendo uma legislação que regula esse ato. Note-se que a base legal do
Consentimento não é adequada para situações trabalhistas, pois existe uma
parte hipossuficiente na relação, que é o servidor, e este poderia sentir-se
coagido a dar o consentimento.

5.4 Execução de Políticas Públicas

Segundo o Guia Orientativo para Tratamento de Dados pelo Poder

Público (ANPD, 2022):
O inciso III do art. 7o da LGPD estabelece que a “administração
pública” pode realizar “o tratamento e uso compartilhado de dados
necessários à execução de políticas públicas previstas em leis e
regulamentos ou respaldadas em contratos, convênios ou instrumentos
congêneres”. Por sua vez, em relação aos dados sensíveis, o art. 11, II,
b, refere-se ao “tratamento compartilhado de dados necessários à

10
 execução, pela administração pública, de políticas publicas previstas
em leis ou regulamentos”.

Para a aplicação dessa base legal, faz-se necessário a correta

compreensão do que seja Administração Pública e de Política Pública.

(1) Administração pública

Segundo Di Pietro (2015, p. 83), há dois sentidos nos quais se utiliza a

expressão Administração Pública, sendo elas:
a) Em sentido subjetivo, formal ou orgânico, ela designa os entes que
exercem a atividade administrativa; compreende pessoas jurídicas,
órgãos e agentes públicos incumbidos de exercer uma das funções em
que se triparte a atividade estatal: a função administrativa;
b) Em sentido objetivo, material ou funcional, ela designa a natureza da
atividade exercida pelos referidos entes; nesse sentido, a
Administração Pública é a própria função administrativa, que incumbe,
predominantemente, ao Poder Executivo.

Segundo Di Pietro (2015, p. 91),

Predominantemente, a função administrativa é exercida pelos órgãos
do Poder Executivo; mas (...) os demais Poderes do Estado também
exercem, além de suas atribuições predominantes (...) algumas funções
tipicamente administrativas.

Conforme leciona Di Pietro (2015), Administração Pública em sentido

subjetivo remete à quem exerce aos órgãos que compõe a Administração
Pública Direta e Indireta, não importando qual função exerçam. Já no sentido
objetivo remete às funções/atividades exercidas, não importando quem as
exerça.
Logo, conforme o disposto, em sentido subjetivo, a Administração
Pública é composta por todos os órgãos integrantes das pessoas jurídicas
políticas, quais sejam, a União, os Estados, os Municípios e o Distrito Federal,
sendo estes considerados órgãos da Administração Direta do Estado.
Não se limita a eles, no entanto, a atividade administrativa, que é, por
vezes, transferida a pessoas jurídicas com personalidade de direito público ou
privado. Estas compõem a Administração Indireta do Estado.
Nesse sentido, Mello (2015, p. 153) dispõe:
(...) o Estado tanto pode prestar por si mesmo as atividades
administrativas, como pode desempenhá-las por via de outros sujeitos,
caso em que estará perante a chamada descentralização. (...) nesta
hipótese ora o Estado transfere o exercício de atividades que lhe são
pertinentes para particulares, ora cria pessoas auxiliares suas, para
desempenhar os cometimentos dessarte descentralizado

11
 Portanto, após a conceituação de administração pública, infere-se que a
Execução de Políticas Públicas, pode ser utilizada aos 3 poderes, que sejam,
Administrativo, Legislativo e Judiciário, inclusive Tribunais de Contas e do
Ministério Público, desde que, no exercício de atribuições administrativas com
vistas a execução de políticas públicas.

(2) Politicas Públicas

O conceito de política pública não é definido na LGPD. Portanto

utilizaremos conceito existentes e aceitos pelo Direito Administrativo
(CARVALHO, 2020):
Nas palavras de Diogo de Figueiredo Moreira Neto, políticas públicas
traduzem “[...] um complexo de processos jus políticos, destinado à
efetivação dos direitos fundamentais”. Em alusão à lição de Maria Paula
Dallari Bucci, políticas públicas constituem “[...] programas de ação
governamental visando a coordenar os meios à disposição do Estado e
as atividades privadas, para a realização de objetivos socialmente
relevantes e politicamente determinados” Ainda, segundo a autora,
políticas públicas “são metas coletivas conscientes e, como tais, um
problema de direito público, em sentido lato”. Assim, por exemplo,
erradicar o analfabetismo no Brasil seria uma política pública ao
envolver um plano de múltiplas atividades, vários atores públicos e
privados, alocação de recursos, aferição contínua de resultados.
O fundamento que justifica o aparecimento das políticas públicas é a
própria existência dos direitos sociais – aqueles, dentre o rol de direitos
fundamentais do homem, que se concretizam por meio de prestações
positivas do Estado. Enquanto os direitos individuais, ditos direitos
fundamentais de primeira geração, consistem em liberdades, os direitos
sociais, ditos de segunda geração, consistem em poderes, que “só́
podem ser realizados se for imposto a outros (incluídos aqui os órgãos
públicos) um certo número de obrigações positivas”.

Políticas Públicas são o conjunto de ações desencadeadas pelo

governo, no sentido de atender determinados setores da sociedade civil. A
necessidade da existência de políticas públicas advém ada necessidade de
regular e fazer acontecer direitos sociais, classificados como de segunda
geração, que somente acontecem quando impostos a outros determinadas
obrigações positivas, que se caracterizam por obrigações de fazer.
Quanto ao aspecto material, uma politica pública envolve, em geral, a
definição de um programa ou ação governamental específico, a ser executado
por uma entidade ou por um órgão público. Nessa linha, Bucci (1997) destaca
que
Como tipo ideal, a política pública deve visar a realização de objetivos
definidos, expressando a seleção de prioridades, a reserva de meios
necessários à sua consecução e o intervalo de tempo em que se
espera o atingimento dos resultados.

12
 Por fim, também na hipótese de execução de política pública deve ser
observado o disposto no art. 23 da LGPD, em especial a exigência de que o
tratamento seja realizado para o atendimento da finalidade pública, na
persecução do interesse público, com o objetivo de executar as competências
legais ou cumprir as atribuições legais do serviço público.
Lembremo-nos de que o art. 11, I, b, da LGPD (BRASIL, 2018), não faz
referência às políticas públicas instituídas em ajustes contratuais. Por isso, no
caso de tratamento de dados sensíveis pelo poder público, a base legal é
mais restrita.
Conforme recomendação do Guia Orientativo para Tratamento de
Dados Pessoais pelo Poder Público (ANPD, 2022):
Recomenda-se que o conceito de política pública seja interpretado de
forma ampla, de modo a abranger qualquer programa ou ação
governamental, definido em instrumento formal, isto é, lei, regulamento
ou ajuste contratual, conforme o caso, cujo conteúdo inclui, em regra,
objetivos, metas, prazos e meios de execução.

Portanto, a base legal de Execução de Políticas Públicas, deve ser

utilizada por controladores que sejam pessoas jurídicas de direito público, mas
que podem se utilizar de operadores que sejam pessoas jurídicas de direito
privado.
Para enquadramento nessa base legal, deve-se avaliar (ANPD, 2022, p.
26):
• O controlador é pessoa jurídica de direito público?
• Não sendo pessoa jurídica de direito público, o operador é empresa
pública ou sociedade de economia mista que realizará o tratamento
para a execução de políticas públicas, e não para atividades
inerentes ao regime de concorrência?
• O tratamento do dado se dará para a execução de política pública
prevista em lei e regulamento ou respaldadas em contratos,
convênios ou instrumentos congêneres?
• (...) É possível identificar claramente a Lei, regulamento ou outro
instrumento legal que identifique a política pública que exige o
tratamento dados pessoais?
• O titular do dado será informado da lei, regulamento ou de outro
instrumento legal que especifique a política pública que determine o
tratamento dos dados pessoais?
• Será indicado um encarregado para garantir a comunicação do
órgão ou entidade pública como titular dos dados e com a
Autoridade Nacional de Proteção de Dados, que verificará a
observância do cumprimento das normas referentes à execução da
política publica em questão?

Para que seja passível de utilização desta base legal, as questões

13
acima devem ser respondidas afirmativamente, para que estejam também em
estrita consonância como determinado pela LGPD.

Exemplo:
A Secretaria da Saúde realiza o tratamento de dados pessoais de
pessoas portadoras de hipertensão arterial, atendidas em UBS – Unidades
Básicas de Saúde, para fins de planejamento de execução de Política Pública
de Controle e Prevenção à Hipertensão Arterial e suas consequências,
infartos, AVC’s e outras. A política foi instituída em norma infralegal, da qual
constam entre outros elementos, objetivos, competências e meios de
financiamento. Os dados pessoais são tratados pela própria secretaria da
saúde e eventualmente compartilhados com a autarquia responsável por
executar o programa de orientação e auxílio a portadores de hipertensão, por
envolver dados sensíveis, o tratamento dos dados pessoais é realizado com
base no artigo 11, II, B da LGPD. A finalidade é específica de execução de
política pública, estabelecida em regulamento, em conformidade com a LGPD.

14
6. CONSIDERAÇÕES FINAIS

O tratamento de dados pessoais pelo Poder Público, como vimos,

obedece severas regras determinadas pela LGPD, devido ao pouco tempo de
efetiva vigência da norma, aspectos práticos de sua utilização, ainda são de
difícil percepção.
O Poder Público deve urgentemente organizar-se para poder cumprir o
determinado pela LGPD, pois a coleta de dados é fato cotidiano na esfera
pública. Então, o que fazer com os dados já coletados? Estão bem
armazenados? Estão em formato intercambiável? Existem medidas de ciber
segurança? Definir processos de tratamento de dados pessoais que sejam
aderentes aos fundamentos e princípios elencados nos artigos 2º e 6º da
respectivamente da LGPD, é fundamental.
Cada base legal que permite que o Poder Público realize o tratamento
de dados pessoais deve ser muito bem avaliada antes de sua utilização.
Como vimos, cada situação exige sua base legal específica. Dentre as 04
(quatro) bases legais abordadas duas garantem inegavelmente o direito do
tratamento de dados, são elas - o tratamento para Cumprimento de Obrigação
Legal ou Regulatória e o tratamento no caso de Execução de Políticas
Públicas. A Constituição de 1988 estabelece diretrizes para a execução de
Políticas Públicas respaldando mais ainda a necessidade do tratamento dos
dados envolvidos.
Também albergado sob o manto da Constituição Federal de 1988, a
base legal do Cumprimento de Obrigação Legal ou Regulatória, desfruta dos
efeitos advindos da obediência do Princípio da Legalidade, que quando
aplicado no Poder Público difere diametralmente do efeito sobre o cidadão.
Quando se fala de Princípio da Legalidade na CF art. 5º, inciso II, “ninguém
será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de
lei”, os indivíduos têm ampla liberdade para fazerem o que quiserem, desde
que não seja um ato, um comportamento ou uma atividade proibida por lei.
Já, quando falamos de Princípio da Legalidade aplicado no Poder
Público, referenciamos o art. 37, caput do texto constitucional “a
Administração Pública Direta e Indireta de qualquer dos poderes da União,

15
dos Estados e Distrito Federal e dos Municípios, obedecerá aos princípios
de legalidade, impessoalidade, moralidade, publicidade e eficiência (...)”,
compreende-se que o Poder Público pode fazer apenas o que a Lei permitir.
Apesar de a LGPD ter completado já 4 anos de sua publicação, órgãos
públicos estão muito aquém do mínimo desejável em sua adequação para o
fiel atendimento à lei. Há que se considerar, que principalmente os municípios,
em sua imensa maioria, vive um dia a dia caótico, sendo suas ações
meramente reativas às situações que se apresentam; a ausência de estrutura
administrativa, de pessoal e a falta de planejamento, fazem com que o
processo de adequação do município à LGPD seja postergado e tratado com
indiferença.
Uma efetiva atuação da ANPD junto ao Poder Público é fundamental,
mas o cidadão deve amadurecer e passar a dar a importância que seus dados
pessoais merecem, reivindicando seus legítimos direitos.

16
7. REFERÊNCIAS
ANPD. Tratamento De Dados Pessoais Pelo Poder Público. Disponível em:
<https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-
final.pdf> Acesso em: 14/08/2022

BARROSO, L. R. Curso de direito constitucional contemporâneo. São Paulo: Saraiva, 2009

BOHRER, Jerusa. O que é LIA (Legitimate Interests Assessment) na LGPDF e como fazê-lo?
Disponível em: <https://www.implementandoalgpd.com.br/blog/o-que-e-lia-legitimate-interests-
assessment-na-lgpd-e-como-faze-lo/> Acesso em: 07/09/2022.

BRASIL. Constituição (1988). Constituição da República Federal do Brasil. Brasília. DF: Senado
Federal: Centro Gráfico, 1988.

BRASIL. Lei 13.709, de 14 de agosto de 2018. Lei Geral de Dados Pessoais (LGPD). Redação
dada pela Lei n. 13.853, de 2019. Brasília, DF: Senado Federal, 2018.

BUCCI, Maria Paula Dallari. Políticas públicas e direito administrativo. Revista de informação
legislativa, v. 34, n. 133, p. 89-98, 1997.

CARVALHO, Osvaldo Ferreira de. As políticas públicas como concretização dos direitos
sociais. Revista de Investigações Constitucionais, v. 6, p. 773-794, 2020.

DI PIETRO, Maria Sylvia Zanella. Direito administrativo. 28ª edição. São Paulo: Atlas, 2015.

DICIONARIO DE DIREITO. O que é Poder Público? Para que serve? Conceito e Importância.
Disponível em: < https://dicionariodireito.com.br/poder-publico> Acesso em: 05/09/2022.

DICIONÁRIO HOUAISS. Consentimento. Disponível em:

<https://houaiss.uol.com.br/corporativo/apps/uol_www/v6-0/html/index.php#1> Acesso em:
06/09/2022.

ICO - Information Comissioner's Office. How do we apply legitimate interests in practice?

Disponível em: <https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-
data-protection-regulation-gdpr/legitimate-interests/how-do-we-apply-legitimate-interests-in-
practice/> Acesso em: 08/09/2022.

MELLO, Celso Antônio Bandeira de. Curso de Direito Administrativo, 32ª edição. São Paulo:
Malheiros Editores, 2015.

XAVIER, Fabio Correia. LGPD no Setor Público: Boas práticas para a jornada de adequação.
Disponível em:
<https://books.google.com.br/books?id=q8BvEAAAQBAJ&dq=Correa+Xavier,+Fabio.+LGPD+no+Se
tor+P%C3%BAblico:+Boas+pr%C3%A1ticas+para+a+jornada+de+adequa%C3%A7%C3%A3o&hl=
pt-BR&source=gbs_navlinks_s> Acesso em: 05/09/2022.

17