Usei a plataforma Querido Diário para descobrir o que 16 cidades brasileiras estão fazendo para lidar com a Lei Geral de Proteção de Dados
Estava preparando uma aula sobre proteção e publicação de dados para gestão pública e me veio uma pergunta à mente: que tipos de arranjos de governança e de processos de planejamento os municípios têm adotado para implementar a LGPD? O primeiro reflexo foi recorrer ao Google para buscar alguns exemplos. Mas, com a popularização do assunto, há muito ruído nos resultados e é fácil se perder diante de tanta informação.
Então fui direto à fonte: os diários oficiais. Na Open Knowledge Brasil lançamos, em julho deste ano, o Querido Diário (QD), uma plataforma pensada justamente para facilitar missões quase impossíveis como essa. Nesta primeira versão, há 16 cidades disponíveis — mas já sonhamos com a casa de centenas, pois os robôs que construímos colaborativamente com uma comunidade de dezenas de desenvolvedores já alcançam mais de 2.200 municípios (com mais apoio chegaremos lá!). Vamos ao “google” da gestão municipal, pois.
Este texto compila os achados com o termo “LGPD” — topei com medidas tão diversas que achei que valia o esforço de registrá-las para além da aula. Não tinha a pretensão de fazer algo exaustivo, nem sistemático, apenas um panorama de exemplos. Foram 111 resultados, abrangendo as cidades: Belém (PA), Belo Horizonte (MG), Campo Grande (MS), Cuiabá (MT), Florianópolis (SC), Goiânia (GO), João Pessoa (PB), Manaus (AM), Natal (RN), Rio de Janeiro (RJ), Salvador (BA), Teresina (PI) e Palmas (TO). Um bônus é a cidade de Jundiaí (SP) que, apesar de ainda não estar integrada diariamente à plataforma, como as outras, têm as publicações armazenadas até setembro de 2021.
Cidades que estão na plataforma mas não tinham nenhuma publicação com o termo “LGPD” são Boa Vista (RR), Feira de Santana (BA) e Maceió (AL). Ficam de fora também publicações que até podem tratar de proteção de dados mas não trazem o termo “LGPD”. Além, claro, de outras cidades que já têm medidas de implementação, mas ainda não estão centralizadas no QD.
Cláusulas contratuais
Algumas cidades estão fazendo alterações em contratos vigentes — ou aproveitando renovações e aditamentos — para inserir cláusulas específicas relacionadas à LGPD.
A boa notícia é que algumas delas têm como objetivo viabilizar a transparência. Em Belo Horizonte, em 19 de novembro de 2021, um contrato de Locação de Veículos da Guarda Civil Municipal foi alterado para incluir esse dispositivo, autorizando a publicação no Portal da Transparência de dados como CPF e nome dos representantes da empresa.
A mesma alteração aparece diversas vezes, em outros contratos. Não que eu considere esse dispositivo necessário: há óbvio interesse público na divulgação da identidade de pessoas naturais que assinam contratos com a Administração Pública. Na ausência de normas mais explícitas e gerais, no entanto, é de se esperar que os departamentos jurídicos queiram se “garantir” de eventuais questionamentos — que bom que, neste caso, a balança pendeu para o lado da publicidade dos atos administrativos.
Em Salvador, uma resolução publicada no diário oficial de 11 de março de 2020 pelo Comitê Municipal de Tecnologia e Inovação (Resolução nº 4 de 10/03/2021) recomenda a seguinte cláusula padrão para contratos de TI:
CLÁUSULA XX. Fica vedada a utilização, pela contratada, dos dados disponibilizados e/ou gerados pela Prefeitura Municipal do Salvador – PMS para quaisquer fins que não sejam previamente e expressamente permitidos.
A resolução define o que se entende por “uso de dados” neste caso, sem prejuízo de outras definições, estas hipóteses: divulgação e venda de quaisquer dados; divulgação ou venda de estatísticas referentes aos dados; utilização de estatística ou do próprio dado para treinamento de algoritmos preditivos. Esta última é bastante interessante, pois toca num ponto crítico de contratos e doações de tecnologias. Por exemplo, a disponibilização de conexão WiFi, em que empresas oferecem serviços “grátis” e acabam usando os dados como insumo para algoritmos de inteligência artificial, ainda que os dados não identifiquem diretamente uma pessoa. O prazo para conclusão dos trabalhos foi prorrogado por mais 180 dias, em publicação de maio.
Pouco depois, o mesmo Comitê publicou a Resolução nº 8, de 12 de junho de 2020, que recomenda a todos os órgãos da administração municipal de Salvador que solicitem a fornecedores de contratos de bens e serviços vigentes e futuros uma declaração de conformidade com a LGPD, “naquilo que for aplicável”.
Sobre o assunto de coleta e análise de dados de usuários em serviços de conexão WiFi grátis, um questionamento apareceu no Rio de Janeiro, em uma licitação já em agosto de 2019. O Termo de Referência dizia que:
“em nenhuma hipótese a subconcessionária poderá fazer uso comercial, publicitário ou estatístico das informações dos usuários dos Pontos de Acesso WiFi”.
Uma empresa alegou que restringir o uso desses dados feriria os interesses do próprio município, pois haveria uma “potencial fonte de receitas acessórias” e usou a recém-aprovada LGPD como argumento para dizer que seria possível manter a privacidade ainda assim. O município esclareceu em publicação de 5 de agosto que a proteção de dados se referia aos logs de acesso, não ao perfil de usuários, dando a entender que a exploração comercial desses dados seria autorizada.
Em Goiânia, contratos também foram aditados para incluir cláusulas relativas à LGPD, como no extrato publicado em 1º de outubro de 2021 pela Companhia de Urbanização de Goiânia – COMURG. Depois de um trabalho razoável para encontrar a íntegra do Termo Aditivo no Portal da Transparência, verifiquei que as alterações são mais extensas que os casos anteriores — reforçando pontos da LGPD, ou explicitando responsabilidades. Neste caso, a contratada (por R$ 3,4 milhões) é uma empresa de tecnologia que tem no escopo de trabalho diversos serviços envolvendo dados:
Diferente da recomendação de Salvador, porém, uma das cláusulas prevê que a empresa pode colocar dados “da contratante”, assim como “dados de uso das soluções que serão utilizados de forma anônima”, para a finalidade de “aprimoramento das soluções, geração de informações e melhoria da usabilidade dos produtos”.
Ainda em Goiânia, um contrato de comodato para uso de licença de um software chamado “LogConsig” prevê um extenso “Termo de Confidencialidade, Proteção e Tratamento de dados”. A íntegra foi publicada na edição do diário oficial goianiense de 5 de maio de 2021 (página 71 em diante).
Responsabilidade de quem?
Em Florianópolis, a LGPD aparece nas cláusulas de Termos de Colaboração com Organizações da Sociedade Civil (OSCs) em diário oficial publicado em 9 de novembro de 2021. O texto é bastante abrangente, estabelecendo apenas que “as partes se comprometem a cumprir a Lei 13.709/2018”.
Em um pregão eletrônico realizado no Rio de Janeiro pela Companhia de Engenharia de Tráfego (CET), uma empresa participante ficou com dúvidas sobre um dispositivo parecido:
“as Partes se comprometem a cumprir com as obrigações legais e regulatórias em vigor relativas a privacidade e proteção de dados pessoais, bem como envidar esforços para estar em conformidade com as obrigações estabelecidas pela Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 ou “LGPD”), respondendo cada qual na medida das obrigações estabelecidas pela legislação aplicável”.
A empresa pede esclarecimento, afirmando: a CET será CONTROLADORA dos dados, responsável pela tomada de decisão quanto ao tratamento; enquanto a contratada será OPERADORA, desempenhando suas atividades nos limites do que o órgão definir. Na resposta publicada no diário oficial de 8 de novembro de 2021, a CET carioca se limita a dizer que “as obrigações de cada parte são as previstas no Termo de Referência, no Edital e no Contrato”. (Essa distinção costuma mesmo gerar muitas dúvidas, e é tema de um guia muito útil do LAPIN).
Regulamentação e governança local
Algumas cidades já editaram normas específicas para ditar o funcionamento da LGPD no âmbito local. É o caso, por exemplo, do Rio de Janeiro, que já tem uma lei municipal aprovada pela Câmara de Vereadores e sancionada pelo prefeito que institui o Conselho Municipal de Proteção de Dados Pessoais e da Privacidade, publicada no diário oficial de 1º de setembro de 2021 (Lei Municipal nº 7.012/2021), com representação multisetorial (inclusive da sociedade civil).
No âmbito do poder executivo, o Rio elaborou, ainda, um “Programa Municipal de Proteção de Dados”. O Decreto Rio Nº 49.558, de 06 de outubro de 2021 trata de “procedimentos iniciais (…) visando à construção de uma cultura de proteção de dados pessoais”, e a política ganhou destaque na capa do diário oficial. Ainda em junho de 2020, a empresa pública de Tecnologia, IPLANRIO, havia realizado uma consulta pública para Registro de Preços para “prestação de serviços de levantamento e mapeamento de processos, sistemas e serviços que tratam dados pessoais visando à construção de programa de conformidade à LGPD”.
Cuiabá também editou norma própria que dispõe da implementação da LGPD: o Decreto nº 8.617, de 17 de setembro de 2021. O texto prevê duas instâncias de governança. Uma delas, o Conselho Gestor de Proteção de Dados Pessoais (CGPDP), é composto por representantes da alta gestão (autoridades máximas da Procuradoria, Gestão, Fazenda e Governo) e tem como principal competência a aprovação de normas específicas para a LGPD no âmbito municipal. A outra instância, de perfil técnico, é o Comitê Executivo de Proteção de Dados Pessoais, de que participam representantes da Controladoria, Procuradoria, Gestão e Fazenda. Estes deveriam ser nomeados em 30 dias pelo Prefeito (um mês depois da edição do primeiro decreto, o Decreto nº 8.687 alterou a regra para permitir que a autoridade de cada pasta nomeie seu representante). O Comitê fica responsável por encaminhar as propostas de planejamento, ações e regramentos para o Conselho Gestor.
Em Salvador, esse movimento aconteceu ainda no início de 2020. Por resolução do Comitê Municipal de Tecnologia e Inovação (Resolução nº 5 de 10/03/2021), publicada em 11 de março de 2020, foi criado um Grupo de Trabalho com a finalidade de “mapear a coleta e o uso de dados que tenham caráter pessoal e sugerir diretrizes de atuação conjunta”, com representantes de diversos órgãos e entidades municipais: Controladoria, Procuradoria, Companhia de Governança Eletrônica – COGEL, e secretarias de Gestão e Fazenda. O prazo de finalização dos trabalhos era de 45 dias.
A Prefeitura de Teresina publicou em 27 de outubro de 2021 o Plano Diretor de Tecnologia da da Informação e Comunicação (PDTIC 2021-2024), prevendo ações para adequação da Prefeitura à LGPD. O documento prevê, por exemplo, a criação de grupo de trabalho ou contratação de consultoria para levantamento de necessidades e elaboração de plano de ação. Já a prefeitura de Campo Grande contratou, em 22 de outubro de 2020, uma empresa para fazer o seu Plano Diretor de Tecnologia, também com a menção à LGPD.
Em João Pessoa, a Prefeitura determinou a criação do Comitê Intersecretarial de Análise da Aplicação da LGPD, composto por representantes da Controladoria, secretarias de Transparência, Administração, Planejamento e Receita e Procuradoria. A norma foi publicada em 5 de setembro de 2020 e o grupo tinha o prazo de 30 de novembro de 2020 para entregar um relatório final dos trabalhos ao prefeito.
A Prefeitura de Goiânia também constituiu GT para implementação da LAI. A iniciativa foi publicada no diário oficial de 4 de setembro de 2020, e as providências de adequação tinham prazo de até 31 de julho de 2021 para serem concluídas.
Normas específicas de órgãos e entidades
Em algumas das cidades, mesmo havendo normas gerais ou na ausência delas, há órgãos e entidades que emitem suas próprias políticas. Em João Pessoa, a Superintendência Executiva de Mobilidade Urbana instituiu um Comitê Gestor de implementação da LGPD e Proteção de Dados (CGLGPD), composto por representantes de divisões internas como TI, RH, Patrimônio, Administrativo-Financeira, Controladoria e Assessoria Jurídica. A norma foi publicada no diário de 19 de julho de 2021.
Empresas públicas também podem emitir normas próprias para especificar o funcionamento da LGPD. É o caso da BELOTUR – Empresa Municipal de Turismo de Belo Horizonte, que publicou, no diário oficial de 9 de outubro de 2021, a Portaria nº 50/21, definindo hipóteses de tratamento de dados pessoais.
A Manaus Previdência, também uma empresa pública, revisou sua Política de Segurança da Informação e Comunicação. Em 7 de outubro de 2021, publicou a portaria no diário da cidade, incluindo entre as diretrizes menções à LGPD, além de definir a necessidade de nomeação de encarregados de proteção de dados e suas atribuições.
A menção mais antiga de preparação para implementação não vem de uma capital. A cidade de Jundiaí (SP), entre as que estão disponíveis no Querido Diário, publicou em 21 de novembro de 2019 um ato de sua empresa pública de TI. No texto, a empresa menciona a necessidade de adequação a partir de agosto do ano seguinte, e designa uma comissão própria para estudo e implantação de um programa voltado à LGPD.
Nomeação de pessoas encarregadas
A LGPD prevê, no caso de pessoas jurídicas de direito público, a nomeação de encarregados de proteção de dados (Art. 23). Ao exercer essa função, essas pessoas têm, entre suas atribuições (Art. 41), a missão de mediar as demandas de titulares de dados e os agentes de tratamento de dados (controladores e operadores), além de ser o ponto de contato com a Autoridade Nacional de Proteção de Dados.
No caso do Rio de Janeiro, o Decreto Nº 49.558/21 previu que essas nomeações deveriam ser feitas em até 60 dias, ou seja, até 7 de dezembro de 2021. Diversos órgãos municipais já fizeram isso, como a Secretaria Municipal de Infraestrutura (edição de 4/11), Fundação Jardim Zoológico (12/11), PREVI-RIO (29/10), Secretaria Municipal de Assistência Social (25/10), CET (15/10), JUV-RIO (13/10), entre outras.
Assim como o Rio de Janeiro, Cuiabá também prevê a nomeação de encarregados de dados em cada órgão, mas com uma característica curiosa: o servidor não pode estar lotado em unidades de tecnologia da informação. Também define que essa pessoa deve estar subordinada diretamente à autoridade máxima da pasta e ter experiência e conhecimento nas matérias relacionadas.
Vigilância epidemiológica X LGPD
Na capital mineira, uma Portaria da Secretaria Municipal de Saúde define regras para a realização de eventos em locais licenciados ou mediante licenciamento, publicada em 11 de novembro de 2021. Entre os procedimentos que devem ser observados pela organização, está a obrigação de manter, por 30 dias a partir do evento, a lista de nomes e CPFs de todos os participantes, em caso de necessidade de rastreamento epidemiológico.
Dias antes, em 23 de outubro, a prefeitura havia publicado um regulamento específico para o funcionamento de jogos de futebol profissional. Nele, também estabelecia a necessidade de registrar e armazenar por 30 dias dados dos participantes (torcedores, funcionários, colaboradores e organizadores), com nome completo, CPF e telefone, para fins de rastreamento epidemiológico.
O Prefeito de Florianópolis, que preside o Consórcio Nacional de Vacinas das Cidades Brasileiras – CONECTAR, publicou, em anexo do diário oficial de 24 de setembro de 2021, uma resolução que cria um Programa de Conformidade com a LGPD, determinando a necessidade de criar um plano de ação, uma política de privacidade e um Grupo de Trabalho para conduzir os trabalhos em 90 dias.
(Des)alinhamento com a transparência
As regulamentações locais ainda não parecem ter ido fundo na necessidade de articular as políticas de proteção de dados e de transparência. No Decreto já mencionado de Cuiabá, essa menção aparece como uma diretriz da Política Municipal de Proteção de Dados Pessoais: “o alinhamento com as boas práticas de transparência e as regras definidas na Lei Federal n.º 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação – LAI), e seus substitutos normativos”.
No Rio, a transparência aparece como princípio nos “considerandos” de sua política municipal. A transparência e a abertura de dados não são mencionadas entre as atribuições do futuro Conselho Municipal, criado por lei aprovada na Câmara e com representação de diversos setores.
Mas, ainda no Rio, há uma menção promissora no “Plano de Desenvolvimento Sustentável e Ação Climática” da cidade, publicado em sua íntegra no diário oficial de 7 de julho de 2021. Na Estratégia 3, vinculada ao tema de “Cidade Inteligente” e concurso de inovação, há uma ação específica que trata de abertura de dados. A ação IE6.6.2 fala em “Promover em cada secretaria meta anual de abertura de dados, tendo como referência a LGPD”, até 2026.
A Superintendência de Mobilidade de João Pessoa menciona, no final da portaria que criou o CGLGPD, que essa instância deverá “atuar de forma coordenada com os demais comitês formados para promover a transparência dos órgãos do Poder Executivo Municipal”.
Capacitação
Sinais de que os municípios começam a promover ou contratar capacitação sobre a LGPD também aparecem nos diários oficiais, mas ainda de forma muito pontual. Em Natal, em 20 de outubro de 2020, foi publicada a contratação de um Workshop sobre a LGPD no valor de R$ 9.600, pelo Instituto de Gestão Risco e Compliance. A publicação não especifica para quantas pessoas.
Belém (PA) contratou, por R$ 16.031,07, uma formação para três pessoas no tema “Data Protection Officer”, fornecida pela empresa Dayrus Centro Educacional e Processamento de Dados. A informação foi publicada na edição de 17 de dezembro de 2020 do diário da cidade.
Em Palmas (TO), um edital de credenciamento de servidores para exercer atividades de instrutoria na Escola de Governo de Palmas publicado em 8 de outubro de 2021 traz a LGPD como um dos tópicos requisitados.
No Rio, cinco servidores da IPLANRIO fizeram o curso “UX para projeto de conformidade LGPD”, no valor de R$ 3.375, segundo despacho de 26 de agosto de 2020. Um ano antes, a empresa havia contratado, por R$ 8.800 e para 20 pessoas, o curso “Lei Geral de Proteção de Dados – LGPD”.
A menção mais antiga de contratação de capacitação é em Manaus, em 5 de julho de 2019, que a empresa “Estratégia Treinamentos” oferece, por R$ 2.080, duas vagas de servidores no “Curso de Compliance com a LGPD”.
*Uma observação importante: todas as menções nos diários oficiais estão com link do arquivo original ou armazenado no QD. O arquivo de algumas cidades, porém, vem sem a extensão “.PDF”, mas não estão corrompidos. Para abri-los, basta adicionar manualmente a extensão ou escolher a opção “abrir com” o seu leitor de PDF (ex: Acrobat reader) no seu computador.
Deixe um comentário