A Lei Geral de Proteção de Dados (LGPD) define regras e limites sobre o tratamento de dados pessoais, nos meios físicos e digitais, inclusive por instituições públicas. Para entender essa lei, é preciso saber o que ela considera como dados pessoais e o que significa tratamento de dados.
Dados pessoais – é qualquer informação que permita identificar, direta ou indiretamente, uma pessoa natural, tal como: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, endereço de IP (Protocolo da Internet) e cookies, entre outras.
Tratamento de dados pessoais – segundo a LGPD, é toda operação que envolva as informações pessoais. Isso significa: coletar, produzir, receber, classificar, utilizar, acessar, reproduzir, transmitir, distribuir, processar, arquivar, armazenar, eliminar, avaliar ou controlar a informação, modificar, comunicar, transferir, difundir ou extrair informações como as da lista acima.
Qual o objetivo da LGPD?
O intuito das regras estabelecidas na LGPD é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, ou seja, do cidadão. Outro avanço trazido pela Lei é a criação de um cenário de segurança jurídica, ao padronizar regulamentos e práticas para a proteção aos dados pessoais de todo cidadão que esteja no Brasil, seguindo parâmetros internacionais existentes.
A lei estabelece que alguns dados pessoais estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis (por exemplo, origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa) e dados pessoais sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação.
A quem se aplica?
A LGPD é aplicável a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que esse tratamento seja realizada no território nacional, tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou ainda quando os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Ou seja: a Lei estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há tratamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Ela determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso seja feito a partir de protocolos seguros e/ou para cumprir exigências legais.
Quando não se aplica?
A LGPD não se aplica quando os dados pessoais de alguém são tratados para fins exclusivamente: jornalísticos e artísticos; de segurança pública; de defesa nacional; de segurança do Estado; de investigação e repressão de infrações penais; e também para fins particulares. Ela também não se aplica a dados coletados fora do Brasil e que não sejam objeto de transferência internacional.
Permissão e exceções
Na LGPD, o consentimento do cidadão é considerado elemento essencial para que dados pessoais possam ser tratados. A lei traz ainda várias garantias ao cidadão, entre elas: solicitar a exclusão de seus dados pessoais; revogar o consentimento para utilização de dados pessoais; e transferir dados para outro fornecedor de serviços. O tratamento dos dados deve, ainda, levar em conta alguns requisitos, que devem ser previamente acertados e informados ao cidadão
Mas a Lei também prevê casos excepcionais em que o tratamento de dados independe de autorização do titular, como, por exemplo, para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos por meio de órgão de pesquisa (nesses casos, sempre que possível, os dados pessoais devem ser anonimizados, ou seja, é permitido usar as informações, desde que o titular não seja identificado); executar contratos nos quais o titular dos dados seja parte; defender direitos do titular dos dados em um processo; preservar a vida e a integridade física do titular ou de terceiro; amparar ações de profissionais das áreas da saúde ou sanitária; prevenir
fraudes contra o titular; proteger o crédito do titular; ou para atender a um interesse legítimo, que não viole direitos fundamentais do cidadão.
A Lei Geral de Proteção de Dados (LGPD) define regras e limites sobre o tratamento de dados pessoais, nos meios físicos e digitais, inclusive por instituições públicas. Para entender essa lei, é preciso saber o que ela considera como dados pessoais e o que significa tratamento de dados.
Dados pessoais – é qualquer informação que permita identificar, direta ou indiretamente, uma pessoa natural, tal como: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, endereço de IP (Protocolo da Internet) e cookies, entre outras.
Tratamento de dados pessoais – segundo a LGPD, é toda operação que envolva as informações pessoais. Isso significa: coletar, produzir, receber, classificar, utilizar, acessar, reproduzir, transmitir, distribuir, processar, arquivar, armazenar, eliminar, avaliar ou controlar a informação, modificar, comunicar, transferir, difundir ou extrair informações como as da lista acima.
Qual o objetivo da LGPD?
O intuito das regras estabelecidas na LGPD é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, ou seja, do cidadão. Outro avanço trazido pela Lei é a criação de um cenário de segurança jurídica, ao padronizar regulamentos e práticas para a proteção aos dados pessoais de todo cidadão que esteja no Brasil, seguindo parâmetros internacionais existentes.
A lei estabelece que alguns dados pessoais estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis (por exemplo, origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa) e dados pessoais sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação.
A quem se aplica?
A LGPD é aplicável a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que esse tratamento seja realizada no território nacional, tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou ainda quando os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Ou seja: a Lei estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há tratamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Ela determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso seja feito a partir de protocolos seguros e/ou para cumprir exigências legais.
Quando não se aplica?
A LGPD não se aplica quando os dados pessoais de alguém são tratados para fins exclusivamente: jornalísticos e artísticos; de segurança pública; de defesa nacional; de segurança do Estado; de investigação e repressão de infrações penais; e também para fins particulares. Ela também não se aplica a dados coletados fora do Brasil e que não sejam objeto de transferência internacional.
Permissão e exceções
Na LGPD, o consentimento do cidadão é considerado elemento essencial para que dados pessoais possam ser tratados. A lei traz ainda várias garantias ao cidadão, entre elas: solicitar a exclusão de seus dados pessoais; revogar o consentimento para utilização de dados pessoais; e transferir dados para outro fornecedor de serviços. O tratamento dos dados deve, ainda, levar em conta alguns requisitos, que devem ser previamente acertados e informados ao cidadão
Mas a Lei também prevê casos excepcionais em que o tratamento de dados independe de autorização do titular, como, por exemplo, para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos por meio de órgão de pesquisa (nesses casos, sempre que possível, os dados pessoais devem ser anonimizados, ou seja, é permitido usar as informações, desde que o titular não seja identificado); executar contratos nos quais o titular dos dados seja parte; defender direitos do titular dos dados em um processo; preservar a vida e a integridade física do titular ou de terceiro; amparar ações de profissionais das áreas da saúde ou sanitária; prevenir
fraudes contra o titular; proteger o crédito do titular; ou para atender a um interesse legítimo, que não viole direitos fundamentais do cidadão.
A proteção de dados pessoais está disciplinada expressamente pelos seguintes fundamentos:
• o respeito à privacidade, ao assegurar os direitos fundamentais de inviolabilidade da intimidade, da honra, da imagem e da vida privada;
• a autodeterminação informativa, ao expressar o direito do cidadão ao controle sobre seus dados pessoais e íntimos;
• a liberdade de expressão, de informação, de comunicação e de opinião, que são direitos assegurados pela Constituição brasileira;
• o desenvolvimento econômico e tecnológico e a inovação, a partir da criação de um cenário de segurança jurídica em todo o país;
• a livre iniciativa, a livre concorrência e a defesa do consumidor, por meio de regras claras e válidas para todo o setor privado; e
• os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas.
De acordo com a LGPD, a boa-fé é uma premissa básica a ser seguida no tratamento de dados pessoais e, além dela, a Lei expõe outros princípios a serem seguidos:
Finalidade:
O tratamento de dados deve ser realizado para propósitos legítimos (ou seja, dentro da legalidade e dos limites de atuação da organização), específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Adequação:
O tratamento de dados deve ser compatível com as finalidades informadas ao titular, de acordo com o contexto. Ou seja: é proibido dizer que vai utilizar os dados de uma pessoa para um objetivo e usá-los para outro que não tenha sido informado a ela.
Necessidade:
Limita o tratamento de dados ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades. Ou seja: evita que sejam utilizados mais dados do que os necessários para cumprir a finalidade.
Livre acesso:
Garante ao titular dos dados a consulta facilitada e gratuita sobre como e quando a organização fará o tratamento das suas informações pessoais. O cidadão também tem o direito de acessar todos os dados pessoais que a organização detém sobre ele.
Qualidade dos dados:
Garante aos titulares exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
Transparência:
Garante ao cidadão informações claras, precisas e facilmente acessíveis sobre qual é o tratamento de dados pessoais realizado pela organização e quem são os agentes desse tratamento, desde que não haja violação de segredo comercial e/ou industrial.
Segurança:
Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Prevenção:
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais
Não discriminação:
Impossibilidade de realização do tratamento de dados para fins discriminatórios, ilícitos ou abusivos
Responsabilização e prestação de contas:
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
A LGPD prevê que o tratamento de dados só pode ser realizado nas seguintes hipóteses:
1) Mediante o consentimento do cidadão titular dos dados, excetuados os casos previsto na LGPD;
2) Para o cumprimento de obrigação legal ou regulatória pelo controlador;
3) Na Administração Pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
4) para a realização de estudos por órgão de pesquisa – garantida, sempre que possível, a anonimização dos dados pessoais;
5) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
6) para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei n. 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
7) para a proteção da vida ou da integridade física do titular ou de terceiro;
8) para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
9) quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
10) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
O direito mais elementar da pessoa física em termos de proteção de dados é o de titularidade de seus dados pessoais, o que significa que o cidadão é o dono das informações sobre si mesmo e, por isso, tem o direito de, a qualquer momento:
1) Obter confirmação de uma pessoa ou organização sobre se ela detém e utiliza dados;
2) Acessar sempre que quiser todos os seus dados pessoais mantidos pelo controlador;
3) Solicitar a correção de dados pessoais incompletos, errados ou desatualizados;
4) Pedir a anonimização, o bloqueio ou a eliminação de dados que sejam considerados desnecessários, excessivos ou tratados sem atendimento às regras da LGPD;
5) Exigir a portabilidade de seus dados pessoais, caso queira transferi-los a outro fornecedor de serviço;
6) Pedir a eliminação dos dados pessoais, quando for retirada a permissão concedida anteriormente para o tratamento desses dados;
7) Saber com quem seus dados foram compartilhados por aquela pessoa ou organização;
8) Ser informado sobre a possibilidade de não autorizar o tratamento de dados pessoais e sobre quais as consequências se ele negar essa permissão;
9) Revogar o consentimento dado anteriormente para o tratamento de seus dados pessoais.
A Lei Geral de Proteção de Dados Pessoais também determina que o cidadão tem direito de saber, de forma clara e adequada:
– Como, quando e para quê seus dados pessoais serão utilizados;
– Quem decide sobre o tratamento dos dados pessoais
– Quais as responsabilidades dos agentes que realizarão o tratamento dos dados
– Quais os direitos da pessoa ou organização interessada nesses dados.
O direito mais elementar da pessoa física em termos de proteção de dados é o de titularidade de seus dados pessoais, o que significa que o cidadão é o dono das informações sobre si mesmo e, por isso, tem o direito de, a qualquer momento:
1) Obter confirmação de uma pessoa ou organização sobre se ela detém e utiliza dados;
2) Acessar sempre que quiser todos os seus dados pessoais mantidos pelo controlador;
3) Solicitar a correção de dados pessoais incompletos, errados ou desatualizados;
4) Pedir a anonimização, o bloqueio ou a eliminação de dados que sejam considerados desnecessários, excessivos ou tratados sem atendimento às regras da LGPD;
5) Exigir a portabilidade de seus dados pessoais, caso queira transferi-los a outro fornecedor de serviço;
6) Pedir a eliminação dos dados pessoais, quando for retirada a permissão concedida anteriormente para o tratamento desses dados;
7) Saber com quem seus dados foram compartilhados por aquela pessoa ou organização;
8) Ser informado sobre a possibilidade de não autorizar o tratamento de dados pessoais e sobre quais as consequências se ele negar essa permissão;
9) Revogar o consentimento dado anteriormente para o tratamento de seus dados pessoais.
A Lei Geral de Proteção de Dados Pessoais também determina que o cidadão tem direito de saber, de forma clara e adequada:
– Como, quando e para quê seus dados pessoais serão utilizados;
– Quem decide sobre o tratamento dos dados pessoais
– Quais as responsabilidades dos agentes que realizarão o tratamento dos dados
– Quais os direitos da pessoa ou organização interessada nesses dados.
Você possui direitos sobre os seus dados pessoais garantidos pela LGPD (Lei nº 13.709/2018) e pode exercê-los no TCDF entrando em contato com a Ouvidoria pelo e-mail ouvidoria@tc.df.gov.br
Todas as ações realizadas por órgãos, instituições, agentes e servidores públicos são disciplinadas pelos princípios constitucionais da legalidade (que significa poder fazer apenas o que é permitido por lei, dentro de suas competências) e do interesse público (o bem comum como única finalidade). Logo, esses pressupostos também se aplicam no caso do tratamento de dados pessoais de cidadãos.
Os órgãos públicos devem informar, em meios de fácil acesso, preferencialmente em seus sites oficiais:
– Em que situações, no exercício de suas competências, realizam o tratamento de dados pessoais;
– A previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução do tratamento de dados pessoais.
Além disso, a LGPD proíbe o Poder Público de transferir para entidades privadas dados pessoais que constem em bases de dados a que tenha acesso. Porém, há algumas exceções:
1) quando a entidade privada for responsável por executar uma atividade pública que exija o acesso a esses dados;
2) quando os dados forem acessíveis publicamente, ou seja, não forem sensíveis e nem estiverem cobertos por sigilo;
3) quando houver uma lei específica que autorize essa transferência de dados ou quando a transferência for respaldada em contratos, convênios ou instrumentos do mesmo gênero; ou
4) quando a transferência dos dados tiver como objetivo, exclusivamente, prevenir fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados.
No âmbito da LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento, o controlador e o operador.
O controlador é definido pela Lei como a pessoa ou a organização (pública ou privada), que toma as decisões referentes ao tratamento de dados pessoais. Outro ponto previsto pela LGPD é que o controlador deverá indicar um encarregado pelo tratamento de dados pessoais.
Na Administração Pública, o controlador é o próprio órgão ou entidade pública, representado pela autoridade a quem cabe adotar as decisões sobre o tratamento de tais dados.
Isso significa que o Tribunal de Contas do Distrito Federal (TCDF), sendo uma instituição pública, é o próprio controlador dos dados pessoais que estão sob sua guarda e responsabilidade.
Já o operador é a pessoa ou organização (pública ou privada), que realiza o tratamento de dados pessoais em nome do controlador. Nessa categoria de operador, estão incluídos os agentes públicos que exerçam a função de tratamento de dados, e também as organizações diversas daquela representada pelo controlador e que exerçam atividade de tratamento de dados no âmbito de contrato ou instrumento congênere.
No Tribunal de Contas do Distrito Federal, são operadores pessoas jurídicas ou físicas contratadas pela Corte para realizar o tratamento de dados, conforme as instruções a serem definidas pelo próprio Tribunal.
Quem garante o cumprimento das normas de proteção de dados é a Autoridade Nacional de Proteção de Dados (ANPD), órgão vinculado à Presidência da República e criado pela Lei n. 13.853, de 8 de julho de 2019, que também promoveu algumas alterações na Lei Geral de Proteção de Dados.
A ANPD é responsável, entre outros pontos, por elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação; divulgar à população as normas, as políticas públicas sobre proteção de dados pessoais e as medidas de segurança; e promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.
A mesma lei que criou a ANPD também criou o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, cujas atribuições envolvem a proposição de diretrizes estratégicas para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade, a confecção de relatórios anuais de avaliação da política nacional e a realização de debates e audiências públicas sobre a proteção de dados pessoais.
Lei 13.709, 14 /8/18 – Lei Geral de Proteção de Dados.
Decreto nº 10.474 de 26 de agosto de 2020 publicado no Diário Oficial da União – Aprova a estrutura da ANPD.