A Lei Geral de Proteção de Dados Pessoais- LGPD (Lei nº 13.709/2018). Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, realizado por pessoa física ou jurídica de direito público ou privado. O principal objetivo da lei é garantir mais segurança, privacidade e transparência no uso dos dados pessoais.
A Lei nº 13.709 foi publicada em 14 de agosto de 2018, entrando em vigor em 18 de setembro de 2020, à exceção das sanções administrativas, que passaram a ser exigíveis a partir de 1.º de agosto de 2021.
A LGPD foi criada com o objetivo de proporcionar ao cidadão brasileiro um controle maior sobre o tratamento de seus dados pessoais, inserindo regras que devem ser seguidas tanto por empresas privadas quanto públicas.
A LGPD prevê direitos aos titulares de dados pessoais, conforme os artigos 17 e 18 da lei. Fica assegurada a titularidade dos dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, além de consentimento expresso, correções e pronto atendimento caso queira excluir seus dados pessoais.
A LGPD garante proteção a todos os dados, em formato físico ou digital, cujos titulares sejam pessoas naturais. Portanto, a proteção de dados dada pela Lei Geral de Proteção de Dados não alcança os dados de pessoas jurídicas.
Para a LGPD foi adotado o conceito aberto de dado pessoal, definindo como a informação relacionada a uma pessoa natural identificada ou identificável. Assim, além das informações básicas relativas ao nome, Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros que estejam relacionados com uma pessoa, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade, além daqueles utilizados para formação do perfil comportamental de determinada pessoa e que possa a identificar.
É aquele dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. (Art. 5º, inciso II).
Dado anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível.
Dados anônimos são os dados pessoais cujo titular não pode ser identificado. Dados pseudonimizados são aqueles dados que, submetidos a tratamento, não oferecem a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente seguro.
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Art. 5, inciso X).
A LGPD define como agentes de tratamento o controlador e o operador, os quais possuem diversas responsabilidades com relação às operações de tratamento de dados pessoais:
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
No setor público: Não existe um cargo público de controlador de dados.
Sim. O Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa de até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. O tratamento de dados pessoais de crianças só poderá ocorrer com o consentimento específico e em destaque por pelo menos um dos pais ou responsável legal (§1º do art. 14 da LGPD). O consentimento é excepcionado quando a coleta for necessária para contatar os pais ou responsável legal, na forma do § 3º do art. 14 da LGPD. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível, de forma a proporcionar a informação necessária aos pais ou ao responsável legal, e adequada ao entendimento da criança.
A lei se aplica a qualquer operação que envolva o tratamento de dados pessoais e que seja realizada em território brasileiro. Mas, e se a empresa for sediada no exterior? Caso ela ofereça bens ou serviços para pessoas localizadas no Brasil e, para isso, coletar dados de usuários, a LGPD também se aplica!
Não se aplica para fins exclusivamente: jornalísticos e artísticos; de segurança pública; de defesa nacional; de segurança do Estado; de investigação e repressão de infrações penais; particulares (ou seja, a Lei só se aplica para pessoa física ou jurídica que gerencie bases com fins ditos econômicos).
O artigo 7.º da LGPD, define dez bases legais ou hipóteses autorizativas para o tratamento de dados pessoais, vejamos alguns exemplos:
Exemplo: o titular que, antes de efetuar o seu cadastramento em uma plataforma de e-commerce (comércio eletrônico), é direcionado para a leitura do termo de consentimento, no qual ele é informado o que será feito com seus dados pessoais, devendo aceitar ou não.
Exemplo: obrigações relacionadas ao tratamento de dados pessoais de funcionários, com a finalidade específica de efetivar a realização do pagamento de salários e benefícios.
Exemplo: política de controle de tabagismo. Situação em que a Secretaria de Saúde efetua o tratamento de dados pessoais de pessoas que fazem uso de cigarros com a finalidade de execução de políticas públicas de controle do tabagismo e conscientização social.
Exemplo: pesquisas e desenvolvimento científico, social e econômico como função administrativa do Estado, como as funções do Ministério da Ciência, Tecnologia, Inovações e Comunicações.
Exemplo: a formalização de um contrato entre duas partes com termos que permitem o uso de dados pessoais. Dessa forma, o tratamento de dados pode ser feito normalmente, pois, ao assinar o contrato, o titular dá permissão para que a empresa utilize essas informações.
Exemplo: uma parte desejar ingressar com ação judicial, administrativa ou arbitral em face da outra. Nesse sentido, não precisará de consentimento para que possa utilizar os dados, podendo se valer desta base para validar esse tratamento.
Exemplo: em casos de emergências e situações graves. Quando as informações sobre saúde são indispensáveis para garantir a vida ou o bem-estar do titular ou terceiro.
Exemplo: quando nome, endereço e telefone são obtidos e, constando no termo para qual finalidade se presta, principalmente quando existe o compartilhamento de informações comerciais com outras redes e parceiros de clínicas, hospitais, ou instituições do mesmo grupo, planos de saúde, seguradoras etc.
Exemplo: segurança dos sistemas de informação. Situação em que uma entidade pública efetua o tratamento de dados pessoais dos seus servidores com a finalidade específica de garantir a segurança dos sistemas utilizados para promover a autenticação dos usuários e garantir que não haja a inserção de vulnerabilidades na rede interna por parte de softwares maliciosos.
Exemplo: uma situação em que o titular tem suas informações tratadas por instituição financeira que precisa avaliar a possibilidade de concessão ou não de crédito.
Já no artigo 11.º da LGPD, constam 8 (oito) bases legais ou hipóteses autorizativas para o tratamento de dados pessoais sensíveis, vejamos alguns exemplos
Exemplo: o titular disponibiliza suas informações sobre sua origem racial ou étnica em inscrições nos exames como concursos públicos para obtenção do direito a cotas raciais.
Exemplo: uma prefeitura decreta a obrigatoriedade do comprovante de vacinação do titular em estabelecimentos públicos e privados.
Exemplo: quando adotadas medidas urgentes em função da emergência de saúde pública decorrente do coronavírus.
Exemplo: a utilização do resultado do exame de uma pessoa que é diagnosticada com HIV – positivo para fins de estudos científicos e conscientização social.
Exemplo: a utilização da prova de DNA, com dados genéticos, em uma demanda investigatória de paternidade.
Exemplo: quando o uso de dados sobre a saúde do titular é essencial em um setor ou serviço de emergência que presta cuidados primários.
Exemplo: o compartilhamento de informações sobre prontuários médicos entre serviços de saúde.
Exemplo: a realização de cadastramento de dados biométricos para identificação do titular nas urnas eletrônicas em eleições.
A LGPD permite que qualquer titular questione como as informações cadastradas pelo controlador ou operador de dados pessoais são usadas. Informações como nome completo, endereço, número de telefone, dados bancários, orientação sexual, preferência política, entre diversas outras. A Lei também define por qual razão e por quanto tempo eles mantêm essas informações salvas, ou até pedir a exclusão desses dados dos seus servidores.
Entre as diretrizes previstas na LGPD, estão: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, bem como, responsabilização e prestação de contas. Em suma, os dados pessoais só podem ser coletados com o consentimento do titular, que precisa ser informado da finalidade da coleta. É do titular o direito de acesso aos dados coletados, assim como a solicitação de correção de informações, de exclusão, de portabilidade ou de revogação do consentimento.
O consentimento do titular é a permissão dada por meio de uma declaração para que empresa/órgão possa coletar e utilizar dados específicos para uma finalidade previamente determinada e esclarecida. Ou seja, é preciso ser sempre claro quando se explica como os dados serão utilizados e se ater à finalidade prevista.
A Autoridade Nacional de Proteção de Dados – ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.
Sim. Segundo a LGPD, o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública e na busca do interesse público.
O mais importante nesse momento é deixar claro aos titulares de dados o que está sendo feito com seus dados pessoais e não fazer nenhum tipo de tratamento que extrapole esse objetivo, sem autorização dos titulares.
Além disso, deve-se ter o cuidado de não compartilhar os dados pessoais aos quais você tem acesso com ninguém, de dentro ou fora do CREA/RN.
Ações e abstenções que também contribuem para a adequação:
adotar medidas de segurança no descarte de papéis ou documentos que contenham dados pessoais;
não deixar papéis e documentos à vista;
guardar papéis e documentos em local apropriado e seguro;
utilizar a opção sair ou desconectar para fechar qualquer sistema em uso;
evitar marcar as opções “Lembrar-me da senha” ou “Mantenha-me conectado”;
não compartilhar senha;
comunicar a Gerência de Tecnologia da Informação falhas de segurança;
não usar o e-mail funcional para fins particulares;
não postar nas redes sociais dados pessoais e sensíveis de terceiros;
utilizar a função bloqueio quando se ausentar da estação de trabalho;
não deixar a tela do computador exposta/aberta quando estiver ausente, ainda que temporariamente, da estação de trabalho;
não fornecer dados pessoais por e-mail, telefone ou qualquer outro canal inapropriado. Veja aqui o passo a passo de como requerer o Serviço de Acesso à Informação – SIC do CREA/RN: https://transparencia.crea-rn.org.br/e-sic/
Não. A questão da divulgação de dados de servidores foi objeto de questionamento, inclusive judicial, mas os tribunais (como o Tribunal Regional Federal da 1ª Região, o Tribunal Superior do Trabalho e o Supremo Tribunal Federal) já se manifestaram no sentido de permitir a publicidade dos dados. A remuneração dos agentes públicos é informação de interesse coletivo e fortalece o controle social, por isso, a princípio, não há mudança com a entrada em vigência da LGPD.
Não. A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenham como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente desses dados pessoais terem sido coletados em meios físicos ou digitais.
Sim. Entretanto, o uso compartilhado de dados pessoais pelo Poder Público deve atender às finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas.
É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
em casos de execução descentralizada de atividade pública que exija a transferência exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527/2011 (Lei de Acesso à Informação);
nos casos em que os dados forem acessíveis publicamente, observadas as disposições da LGPD;
quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou
na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
A Política de Privacidade é um documento informativo pelo qual o prestador de serviço transparece ao usuário a forma como o serviço realiza o tratamento dos dados pessoais e como fornece privacidade ao usuário.
Observância da publicidade das bases de dados não pessoais como preceito geral e do sigilo como exceção;
garantia de acesso irrestrito aos dados, os quais devem ser legíveis por máquina e estar disponíveis em formato aberto, respeitadas as Leis nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), e nº 13.709, de 14 de agosto de 2018 (LGDP);
descrição das bases de dados com informação suficiente sobre estrutura e semântica dos dados, inclusive quanto à sua qualidade e à sua integridade;
completude de bases de dados, as quais devem ser disponibilizadas em sua forma primária, com o maior grau de granularidade possível, ou referenciar bases primárias, quando disponibilizadas de forma agregada;
atualização periódica, mantido o histórico, de forma a garantir a perenidade de dados, a padronização de estruturas de informação e o valor dos dados à sociedade e a atender as necessidades de seus usuários;
respeito à privacidade dos dados pessoais e dos dados sensíveis, sem prejuízo dos demais requisitos elencados, conforme a LGDP;
intercâmbio de dados entre órgãos e entidades dos diferentes poderes e esferas da Federação, respeitado o disposto no art. 26, da LGDP; e
fomento ao desenvolvimento de novas tecnologias destinadas à construção de ambiente de gestão pública participativa e democrática e à melhor oferta de serviços públicos.
A transparência ativa ocorre quando há disponibilização da informação de maneira espontânea (proativa), ou seja, qualquer interessado poderá acessá-la diretamente no sítio do órgão.
A transparência passiva, por outro lado, depende de uma solicitação do cidadão. Esta ocorre por meio dos pedidos de acesso à informação. Desse modo, o órgão ou entidade deve se mobilizar no sentido de oferecer uma resposta à demanda. No CREA/RN, através do link: https://transparencia.crea-rn.org.br/e-sic/
As informações de interesse público, geral ou coletivo, tais como:
informações sobre procedimentos licitatórios, inclusive os respectivos editais e resultados, bem como a todos os contratos celebrados;
dados gerais para o acompanhamento de programas, ações, projetos e obras de órgãos e entidades.
Documentos que contenham informações pessoais de pessoa identificada ou identificável, como:
número da Carteira de Identidade (RG);
Cadastro de Pessoas Físicas (CPF);
estado de saúde do servidor ou familiares;
informações financeiras;
informações patrimoniais;
alimentandos;
dependentes;
pensões;
endereços;
número de telefone;
e-mail;
origem racial ou étnica;
orientação sexual;
convicções religiosas;
convicções filosóficas ou morais;
opiniões políticas;
filiação sindical;
filiação partidária;
filiação a organizações de caráter religioso, filosófico ou político.
Documento preparatório utilizado como fundamento de tomada de decisão ou de ato administrativo, tais como: notas técnicas, pareceres, notas informativas ou outros documentos que subsidiem decisões dos dirigentes em documentos sobre políticas econômica, fiscal, tributária, monetária, regulatória, dentre outros.
Confira o texto oficial na íntegra
Lei nº 13.709, 14/08/2018
Data da última modificação deste conteúdo: 17/10/2023 13:16:42
Data de criação desta página: 17/10/2023 13:16:14