Tratamento de dados pessoais pelas ICTs públicas: um guia de boas práticas para inovar processos de negócio à luz da LGPD

Abstract

Os avanços tecnológicos vivenciados nas últimas décadas reduziram fronteiras e tornaram cada vez mais acessível a troca de informações em ambientes digitais, ensejando problemas relacionados ao tratamento de dados pessoais e, consequentemente, riscos de invasão da privacidade de seus titulares. Por este motivo, em todo mundo, cada vez mais legislações procuram garantir a privacidade de titulares de dados pessoais. No Brasil, a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em setembro de 2020, implicando que processos sejam revistos e adequados, visando preservar os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural. No caso dos órgãos públicos e dos órgãos de pesquisa, em particular, a LGPD estabeleceu condições específicas para que o tratamento de dados pessoais possa ser realizado. Assim, todos os processos de negócio que tratam dados pessoias devem estar alinhados com os princípios e bases legais estabelecidos pela LGPD. E, no caso de órgãos públicos, devem estar aderentes à finalidade pública que o órgão desempenha. No caso de realização de estudos por órgãos de pesquisa, os dados devem ser preferencialmente anonimizados por ocasião da divulgação de resultados. Assim, o processo de conformidade com a LGPD não é uma tarefa trivial e deve ser realizado no órgão como um todo. Neste sentido, o presente trabalho teve por objetivo: identificar as melhores práticas que facilitem a adequação dos processos de negócio que envolvam o tratamento de dados pessoais no âmbito das ICTs públicas. Para tanto, o trabalho foi desenvolvido por meio de quatro etapas metodológicas que permitiram sistematizar o referencial teórico adequado ao seu desenvolvimento. Na primeira etapa foi realizada a revisão bibliográfica com o intuito de obter os resultados e respostas acerca da problematização apresentada neste trabalho. Na segunda, foi realizada uma análise descritiva funcional, a partir dos dados coletados, objetivando operacionalizar as descrições e explicações sobre as informações obtidas, de modo a proporcionar a validação das hipóteses levantadas. Na terceira, foram identificadas as boas práticas previstas na norma NBR/ISO 27701:2019 e nos normativos da Autoridade Nacional de Proteção de Dados, em especial no campo da pesquisa e desenvolvimento. E na quarta etapa, foram elaborados dois produtos tecnológicos: um artigo e um guia de boas práticas para o tratamento de dados pessoais pelas ICTs públicas. O resultado constatou que todos os órgãos devem adequar seus processos de negócio que tratam dados pessoais à LGPD, além disto, os órgãos públicos possuem obrigações específicas e as ICTs públicas, enquanto órgãos de pesquisa, devem observar requisitos específicos para obter a conformidade legal quando da realização de estudos que envolvam dados pessoais. Concluiu-se que o profissional ou equipe destinada a promover a conformidade com a LGPD, na ICT pública, necessitará de esforço adicional para acompanhar a evolução do tema, enquanto orienta a adoção de práticas para a conformidade com esta legislação, sendo o guia, elaborado como produto tecnológico deste trabalho, a consolidação das informações oriundas da identificação, análise e das melhores práticas formuladas pela ABNT, ANPD e Ministério da Gestão e da Inovação em Serviços Públicos em prol do incremento do nível de maturidade dos órgãos públicos quanto à proteção de dados pessoais e ao respeito dos direitos de seus titulares, podendo contribuir como um instrumento para que as ICTs públicas conduzam seu processo de conformidade de forma mais dinâmica e efetiva.