O prefeito de São Paulo, Bruno Covas, assinou nesta terça-feira (15) o decreto que regulamenta a aplicação da Lei Geral de Proteção de Dados (LGPD) na cidade. O documento determina as responsabilidades dos órgãos municipais no tratamento das informações de usuários, esclarece o papel de entidades fiscalizadoras e estabelece normas para o compartilhamento de dados pessoais entre  organizações do poder público.

Embora sancionada em 2018, a LGPD entra em vigor somente a partir desta sexta-feira (18). A matéria cria normas sobre a coleta, armazenamento e tratamento dos dados pessoais em todo o Brasil. As regras determinam, por exemplo, o direito de usuários receberem atualizações claras e específicas sobre como empresas utilizam suas informações pessoais e solicitarem a exclusão desses dados.

Fiscalizador municipal

O novo decreto atribui à Controladoria Geral do Município (CGM) a responsabilidade de fiscalizar a execução da LGPD em São Paulo. O órgão será encarregado de receber reclamações de titulares sobre possíveis descumprimentos da lei, assim como prestar esclarecimentos e adotar providências.

A instituição vai responder à Autoridade Nacional de Proteção de Dados (ANPD), que é a entidade federal com a missão de zelar pelas normas em todo o território brasileiro. Vale notar que, apesar de sua importância para a execução da lei, o órgão ainda está em fase de estruturação. O papel da CGM é receber demandas da autoridade nacional e notificar as secretarias, subprefeituras e outras organizações municipais.

A controladoria vai solicitar informações aos órgãos e avaliar se os apontamentos da ANPD são adequados. Se for o caso, cabe à própria CGM cobrar das entidades a adoção das medidas impostas pela autoridade nacional. Do contrário, a instituição pode apresentar justificativas para questionar as imposições.

A LGPD deveria entrar em vigor no início de agosto. A validade da lei chegou a ser adiada para maio de 2021 por Medida Provisória. No fim de agosto, no entanto, o Senado Federal derrubou o artigo que determinava a extensão do prazo. Imagem: Pedro França/Agência Senado

Além disso, a CGM será responsável por orientar funcionários da administração pública a respeito das práticas a serem tomadas na proteção de dados pessoais, editar diretrizes para as entidades se adequarem aos parâmetros da LGPD, bem como providenciar a publicação de relatórios de impacto. As Secretarias e Subprefeituras terão que comprovar, em até 180 dias, que estão em conformidade com as normas da lei federal. Já órgãos da administração indireta devem apresentar seus respectivos planos de adequação no prazo de 90 dias.

As informações relativas ao tratamento de dados devem ser publicadas em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet e no Portal da Transparência.

Poder Executivo e transferência para entidades privadas

O Poder Executivo é encarregado de manter relatórios continuamente atualizados sobre o mapeamento dos dados pessoais existentes e os fluxos das informações entre as unidades municipais. As entidades públicas são obrigadas a promover estudos de análise de risco e fornecer relatórios de impacto sobre a proteção das informações pessoais de cidadãos, quando solicitado.

Em outras palavras, quando uma secretaria propuser uma iniciativa, a CGM pode solicitar informações de como o órgão pretende gerenciar os dados pessoais envolvidos e quais são os riscos presentes na atividade. Outro ponto importante é que as entidades municipais poderão compartilhar dados pessoais entre elas para atender a políticas públicas.

A troca de informações, porém, deve obedecer aos princípios estabelecidos na LGPD, como a limitação do tratamento ao mínimo necessário para a realização das atividades propostas. Já a transferência de dados pessoais para organizações privadas é proibida, mas  admite algumas exceções para a execução de projetos públicos. O compartilhamento também tem que atender somente ao objetivo específico e determinado da tarefa.

Também são permitidas as transferências de informações que já são públicas, como eventuais dados  disponíveis nos portais de transparência dos órgãos municipais. Outra exceção é quando houver previsão legal ou compartilhamento com respaldo da Autoridade Nacional de Proteção de Dados. Nesse caso, a Controladoria Geral do Município será responsável por fazer a ponte para garantir a permissão.

O decreto permite ainda a transferências de informações para iniciativas que visam aprimorar a proteção dos dados dos titulares e o combate a fraudes e irregularidades. Em todos os casos citados, as entidades privadas deverão assegurar que não haverá comprometimento da proteção dos dados repassados pelos órgão municipais.