Perguntas Frequentes

-> Quando a LGPD entrou em vigor?

A Lei nº 13.709, de 14 de agosto de 2018 entrou em vigor de maneira escalonada:

Em 28 de dezembro de 2018, com referência aos artigos 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam da constituição da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD).
Em 18 de setembro de 2020, com referência aos demais artigos da Lei, com exceção dos dispositivos que tratam da aplicação de sanções administrativas.
Em 1º de agosto de 2021, com referência aos artigos 52, 53 e 54, que tratam das sanções administrativas.

Mais informações:

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Perguntas Frequentes. Brasília: ANPD, 2021. Disponível em: https://www.gov.br/anpd/pt-br/acesso-a-informacao/perguntas-frequentes-2.... Acesso em: 13 maio 2021.

-> O Poder Público também está sujeito às disposições da LGPD?

Sim. Segundo a LGPD, o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública e na busca do interesse público.

Mais informações:

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 15 maio 2021.

-> O que muda com a Lei LGPD?

A LGPD permite que qualquer titular questione como as informações cadastradas pelo controlador ou operador de dados pessoais são usadas. Informações como nome completo, endereço, número de telefone, dados bancários, orientação sexual, preferência política, entre diversas outras. A Lei também define por qual razão e por quanto tempo eles mantêm essas informações salvas.

Mais informações:

TRIBUNAL REGIONAL ELEITORAL DE MINAS GERAIS. LGPD - Perguntas frequentes. Belo Horizonte, TER-MG, 2021. Disponível em: https://www.tre-mg.jus.br/o-tre/lei-geral-de-protecao-de-dados-pessoais-.... Acesso em: 14 maio 2021.

-> Em quais casos de tratamento de dados pessoais a LGPD não será aplicada?

Esta Lei não se aplica ao tratamento de dados pessoais:

I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II - realizado para fins exclusivamente:

a) jornalístico e artísticos; ou

b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 da Lei nº 13.709;

III - realizado para fins exclusivos de:

a) segurança pública;

b) defesa nacional;

c) segurança do Estado; ou

d) atividades de investigação e repressão de infrações penais; ou

IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

Os dados anonimizados não serão considerados dados pessoais para os fins da Lei 13.709, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.

§ 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

Mais informações:

-> O que é “tratamento” de dados pessoais?

É toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.

Mais informações:

-> O que são dados pessoais?

A LGPD adota um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável. Assim, além das informações básicas relativas ao nome, Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros que estejam relacionados com uma pessoa, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade. Segundo a LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa e que possa a identificar.

Mais informações:

BRASIL. Lei 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília, DF: Presidência da República, 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 15 maio 2021.

-> Quais são as bases legais para o tratamento de dados pessoais?

O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I - mediante o fornecimento de consentimento pelo titular;

II - para o cumprimento de obrigação legal ou regulatória pelo controlador;

III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da LGPD;

IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Mais informações:

-> O que são dados sensíveis?

É considerado sensível o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. São aqueles dados aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionados aos aspectos mais íntimos da personalidade do indivíduo.

Mais informações:

-> Quais são as bases legais para o tratamento de dados pessoais sensíveis?

A LGPD estabelece um rol taxativo das hipóteses que autorizam o tratamento de dados pessoais sensíveis, quais sejam:

I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Mais informações:

-> Como distinguir dados pessoais de dados pessoais sensíveis?

A LGPD expõe que dados pessoais são quaisquer informações relacionadas a alguma pessoa identificada ou que permitam a sua identificação. Já os dados pessoais sensíveis são aqueles que referem-se às questões mais delicadas da expressão da autonomia individual, tais como convicção religiosa, opinião política, dado genético ou biométrico.

Mais informações:

PROCURADORIA GERAL DO ESTADO DA BAHIA. Dados pessoais x dados pessoais sensíveis. Informativo LGPD: Lei nº 13.709, de 14 de agosto de 2018, ano 1, ed. 1, jul. 2020. Disponível em: http://www.pge.ba.gov.br/wp-content/uploads/2020/09/Informativo-LGPD-PGE.... Acesso em: 15 maio 2021.

-> O que é um dado anonimizado?

Dado anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível.

Mais informações:

-> Qual a diferença de dados anônimos e dados pseudonimizados?

Dados anônimos são os dados pessoais cujo titular não pode ser identificado. Dados pseudonimizados são aqueles dados que, submetidos a tratamento, não oferecem a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente seguro.

Mais informações:

FEDERAÇÃO DE ENTIDADES EMPRESARIAIS DO RIO GRANDE DO SUL. Comissão Especial da Lei Geral de Proteção de Dados (LGPD). Porto Alegre: FEDERASUL, 2019. Disponível em: https://www.federasul.com.br/wp-content/uploads/2019/09/Cartilha-LGPD.pdf. Acesso em: 15 maio 2021.

-> O que a LGPD entende como “consentimento”?

Consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Mais informações:

-> Quais os principais atores no tratamento de dados pessoais, de acordo com a LGPD?

Os principais atores são o titular, o controlador, o operador, o encarregado e a Autoridade Nacional de Proteção de Dados (ANPD).

TITULAR: pessoa física a quem se referem os dados pessoais.

CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (inciso VI do art. 5º da LGPD). O controlador pode exercer diretamente o tratamento dos dados, mas pode, também, designar um operador.

OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (inciso VII do art. 5º da LGPD). Ambos, controlador e operador, recebem a nomeação de “agentes de tratamento” (inciso IX do art. 5º da LGPD).

ENCARREGADO: corresponde a uma pessoa inequivocamente investida nessa função (que, na legislação europeia, corresponde ao Data Protection Officer - DPO). Sua incumbência é de fazer a intermediação entre o titular e os agentes de tratamento, assim como entre estes agentes e a ANPD (inciso VII do art. 5º da LGPD);

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS : tem a missão de regular o setor de tratamento de dados pessoais. Está autorizada, portanto, a agir em proteção aos princípios e fundamentos da LGPD.

Mais informações:

BRASIL. Ministério da Economia. Secretaria de Governo Digital. Guias Operacionais para adequação à LGPD. Brasília, DF, 2020. Disponível em: https://www.gov.br/governodigital/pt-br/governanca-de-dados/guias-operac.... Acesso em: 15 maio 2021.

-> Qual a diferença entre controlador e operador?

A LGPD define como agentes de tratamento o controlador e o operador, os quais possuem diversas responsabilidades com relação às operações de tratamento de dados pessoais:

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Na prática, os agentes de tratamento são considerados sob o ponto de vista institucional, ou seja, a instituição é o agente de tratamento (controlador ou operador) e não uma área, equipe ou funcionário.

O mesmo raciocínio serve para o setor público: servidores e funcionários não podem ser considerados controladores. Não existe um cargo público de controlador de dados. Esse papel será assumido pelos entes federativos e agências estatais para os quais trabalham.

Mais informações:

KRASTINS, Alexandra; SERRAT, Clarisse Andreoly Monte; FERNANDES, Sarah; MORAES, Thiago Guimarães. Controlador ou Operador: quem sou eu? Cartilha sobre agentes de tratamento de dados pessoais. Brasília: LAPIN, 2021. Disponível em: https://lapin.org.br/wp-content/uploads/2021/04/Cartilha-Controlador-ou-.... Acesso em: 13 maio 2021.

-> O que é a Autoridade Nacional de Proteção de Dados Pessoais (ANPD)?

A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.

Mais informações:

-> Quem fiscaliza o cumprimento da LGPD?

O controle da LGPD será feito pela Autoridade Nacional de Proteção de Dados (ANPD). A ANPD foi criada pela Medida Provisória nº 869, de 27 de dezembro de 2018, posteriormente convertida na Lei nº 13.853, de 14 de agosto de 2019. Por sua vez, o Decreto nº 10.474, de 26 de agosto de 2020, aprovou a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da ANPD, com entrada em vigor na data de publicação da nomeação do Diretor-Presidente da ANPD no Diário Oficial da União.

Mais informações:

-> Sou servidor e lido com dados pessoais. O que devo fazer?

O tratamento de dados deve ser feito desde que seja fundamentado em uma das hipóteses legais, tenha o interesse público como objetivo e apresente informações claras a respeito da sua finalidade.

O mais importante nesse momento é deixar claro aos titulares o que está sendo feito com seus dados pessoais e não fazer nenhum tipo de tratamento que extrapole esse objetivo, sem autorização dos mesmos. Em um formulário de coleta na web, por exemplo, procure deixar clara a finalidade de cada informação ou conjunto de informações que estão sendo coletadas.

Ações e abstenções que também contribuem para a adequação:

adotar medidas de segurança no descarte de papéis ou documentos que contenham dados pessoais;
não deixar papéis e documentos à vista;
guardar papéis e documentos em local apropriado e seguro;
utilizar a opção sair ou desconectar para fechar qualquer sistema em uso;
evitar marcar as opções “Lembrar-me da senha” ou “Mantenha-me conectado”;
não compartilhar senha;
comunicar ao órgão competente falhas de segurança;
não usar o e-mail funcional para fins particulares;
não postar nas redes sociais dados pessoais e sensíveis de terceiros;
utilizar a função bloqueio quando se ausentar da estação de trabalho;
não deixar a tela do computador exposta/aberta quando estiver ausente, ainda que temporariamente, da estação de trabalho;
não fornecer dados pessoais por e-mail, telefone ou qualquer outro canal inapropriado.

Mais informações:

PROCURADORIA GERAL DO ESTADO DA BAHIA. Cartilha LGPD: Lei Geral de Proteção de Dados Pessoais. Bahia: PGE, 2020. Disponível em: http://www.pge.ba.gov.br/wp-content/uploads/2020/11/CARTILHA-LGPD-web.pdf. Acesso em: 15 maio 2021.

UNIVERSIDADE FEDERAL DE UBERLÂNDIA. LGPD Perguntas Frequentes. Uberlândia: UFU, 2021. Disponível em: http://www.ufu.br/clgpd#tab-0-3. Acesso em: 14 maio 2021.

-> Como a instituição se adequa à LGPD?

Para a adequação à LGPD, sugere-se a adoção de algumas ações básicas:

1. Mapeamento de dados

Refere-se à apuração multisetorial de quais dados são coletados, o local onde estão armazenados e o respectivo formato, políticas de acesso, justificativa para a coleta, usos, tempo de armazenamento, identificação quanto à transferência ou compartilhamento dos dados.

2. Programa de Governança em proteção de dados

Consiste na adoção de regras internas de conformidade, que devem ser atualizadas com base em informações obtidas a partir do monitoramento contínuo e avaliação periódica.

3. Avaliação dos Riscos

Diz respeito à análise sistemática de todos os aspectos relacionados ao tratamento de dados pessoais que identificará os processos vulneráveis suscetíveis à má utilização ou tratamento inadequado das informações. O relatório de impacto à proteção de dados pessoais apontará eventuais inconformidades que possam ocasionar prejuízos ao órgão durante o tratamento de dados.

4. Disseminação da cultura de proteção de dados

Envolve a realização de treinamentos internos para a apresentação e consolidação das políticas de proteção de dados e segurança da informação.

Mais informações:

-> O tratamento de dado pessoal de criança e de adolescente possui regramento específico?

Sim. O Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa de até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. O tratamento de dados pessoais de crianças só poderá ocorrer com o consentimento específico e em destaque por pelo menos um dos pais ou responsável legal (§1º do art. 14 da LGPD). O consentimento é excepcionado quando a coleta for necessária para contactar os pais ou responsável legal, na forma do § 3º do art. 14 da LGPD. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível, de forma a proporcionar a informação necessária aos pais ou ao responsável legal, e adequada ao entendimento da criança.

Mais informações:

BRASIL. Lei Federal nº 8.069, de 13 de julho de 1990. Dispõe sobre o Estatuto da Criança e do Adolescente e dá outras providências. Brasília, DF: Presidência da República, [1991]. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8069.htm. Acesso em: 15 maio 2021.

-> Como estudante, posso solicitar a exclusão de meus dados pessoais?

O Capítulo III da LGPD, que trata dos direitos do titular, em seu art. 18, inciso VI, diz que um desses direitos é a solicitação da eliminação de dados. Contudo, é necessário atenção ao inciso II do parágrafo 4º desse mesmo artigo, segundo o qual o controlador (no caso, a UFOP), pode indicar as razões de fato ou de direito que impeçam a execução dessa solicitação. Além disso, diz o art. 16: “Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I – Cumprimento de obrigação legal ou regulatória pelo controlador”.

No caso das universidades, o impedimento da eliminação se dá por meio das seguintes bases legais:

Lei nº 8.159/1991, art. 1º: É dever do Poder Público a gestão documental e a proteção especial a documentos de arquivos, como instrumento de apoio à administração, à cultura, ao desenvolvimento científico e como elementos de prova e informação.
Portaria MEC nº 1.224/2013, que institui normas sobre a manutenção e guarda do Acervo Acadêmico das Instituições de Educação Superior (IES) pertencentes ao sistema federal de ensino: A tabela no Anexo I desta portaria define prazos de guarda de 100 anos e, em alguns casos, até mesmo guarda permanente.
Portaria MEC nº 315/2018:
- Art. 38: As IES e suas mantenedoras, integrantes do sistema federal de ensino, ficam obrigadas a manter sob sua custódia os documentos referentes às informações acadêmicas, conforme especificações contidas no Código de Classificação de Documentos de Arquivo Relativos às Atividades-Fim das Instituições Federais de Ensino Superior e na Tabela de Temporalidade e Destinação de Documentos de Arquivo Relativos às Atividades-Fim das Instituições Federais de Ensino Superior, aprovados pela Portaria AN/MJ nº 92, de 23 de setembro de 2011, e suas eventuais alterações.
- Parágrafo único: O acervo acadêmico será composto de documentos e informações definidos no Código e na Tabela mencionados no caput, devendo a IES obedecer a prazos de guarda, destinações finais e observações neles previstos.

Não se pode portanto, excluir os dados de nenhum estudante, mesmo que ele já tenha se desligado da universidade.

Mais informações:

BRASIL. Lei nº 8.159, de 8 de janeiro de 1991. Dispõe sobre a política nacional de arquivos públicos e privados e dá outras providências. Brasília, DF: Presidência da República, [1991]. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/L8159.htm. Acesso em: 15 maio 2021.

BRASIL. MINISTÉRIO DA EDUCAÇÃO. Portaria nº 1.224, de 18 de dezembro de 2013. Institui normas sobre a manutenção e guarda do Acervo Acadêmico das Instituições de Educação Superior (IES) pertencentes ao sistema federal de ensino. Brasília, DF: MEC, 2013. Disponível em: https://www.gov.br/conarq/pt-br/legislacao-arquivistica/portarias-federa.... Acesso em: 15 maio 2021.

BRASIL. MINISTÉRIO DA EDUCAÇÃO. Portaria nº 315, de 4 de abril de 2018. Dispõe sobre os procedimentos de supervisão e monitoramento de instituições de educação superior integrantes do sistema federal de ensino e de cursos superiores de graduação e de pós-graduação lato sensu, nas modalidades presencial e a distância. Brasília, DF: MEC, 2018. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 15 maio 2021.

UNIVERSIDADE FEDERAL DE UBERLÂNDIA. LGPD Perguntas Frequentes. Uberlândia: UFU, 2021. Disponível em: http://www.ufu.br/clgpd#tab-0-3. Acesso em: 14 maio 2021.

-> Sou servidor público e meus dados estão no Portal da Transparência. Com a LGPD isso muda?

Não. A questão da divulgação de dados de servidores foi objeto de questionamento, inclusive judicial, mas os tribunais (como o Tribunal Regional Federal da 1ª Região, o Tribunal Superior do Trabalho e o Supremo Tribunal Federal) já se manifestaram no sentido de permitir a publicidade dos dados. Em decisão unânime proferida em abril de 2011, os ministros do Supremo Tribunal Federal concluíram que “a pessoa que decide ingressar no serviço público adere ao regime jurídico próprio da Administração Pública, que prevê a publicidade de todas as informações de interesse da coletividade”. A remuneração dos agentes públicos é informação de interesse coletivo e fortalece o controle social, por isso, a princípio, não há mudança com a entrada em vigência da LGPD.

Mais informações:

BRASIL. Supremo Tribunal Federal. Recurso extraordinário com agravo 652.777 do município de São Paulo. Constitucional. publicação, em sítio eletrônico mantido pelo município de São Paulo, do nome de seus servidores e do valor dos correspondentes vencimentos. Legitimidade. Relator: Min. Teori Zavascki. 23 abr. 2015. Disponível em: https://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=8831570. Acesso em: 15 maio 2021.

UNIVERSIDADE FEDERAL DE SERGIPE. Lei Geral de Proteção de Dados: guia de orientações sobre a lei nº 13.709/2018. Sergipe: UFS, 2020. Disponível em: http://governanca.ufs.br/uploads/page_attach/path/10073/CARTILHA_LGPD_.p... em: 15 maio 2021.

-> A LGPD se aplica apenas ao tratamento de dados pessoais coletados na internet?

Não. A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenham como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente desses dados pessoais terem sido coletados em meios físicos ou digitais.

Mais informações:

-> É permitido pela LGPD o uso compartilhado de dados entre órgãos da administração pública?

Sim. Entretanto, o uso compartilhado de dados pessoais pelo Poder Público deve atender às finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, como informações ao INSS, condição social, fiscalizações etc.

Mais informações:

UNIVERSIDADE FEDERAL DE SERGIPE. Lei Geral de Proteção de Dados: guia de orientações sobre a Lei nº 13.709/2018. Sergipe: UFS, 2020. Disponível em: http://governanca.ufs.br/uploads/page_attach/path/10073/CARTILHA_LGPD_.pdf. Acesso em: 15 maio 2021.

-> É permitida a transferência de dados entre o Poder Público e o setor privado?

É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

em casos de execução descentralizada de atividade pública que exija a transferência exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
nos casos em que os dados forem acessíveis publicamente, observadas as disposições da LGPD;
quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou
na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

Mais informações:

-> O que é privacy by design e privacy by default?

Privacy by design (privacidade desde a concepção) diz respeito ao emprego de meios para se preservar a privacidade durante todo o ciclo de vida dos dados pessoais. No caso, a privacidade é base para a arquitetura dos sistemas e processos desenvolvidos, de modo a possibilitar, pelo formato disponibilizado e pelo serviço prestado, condições que permitam ao titular de dados pessoais preservar a sua privacidade e o formato em que ocorre o tratamento dos seus dados.

Privacy by default (privacidade por padrão) representa a instituição de que todas as ferramentas para preservar a privacidade estejam acionadas como padrão, isto é: a configuração padrão já confere a maior expectativa de privacidade possível ao titular de dados pessoais. Os agentes de tratamento devem, pois, desde o esboço até a execução de produtos, projetos ou serviços, implementar medidas técnicas, administrativas e de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

A partir da sua vigência, todos os procedimentos criados ou programas implementados para o desempenho da atividade deverão já estar adequados à LGPD, conforme o art. 46, § 2º.

Mais informações:

ASSOCIAÇÃO DOS REGISTRADORES CIVIS DE PESSOAS NATURAIS DO ESTADO DE SÃO PAULO. O impacto da LGPD nas atividades dos registradores civis de pessoas naturais do estado de SP. São Paulo: ARPENSP, 2020. Disponível em: https://infographya.com/files/Cartilha_ARPENSP_-_LGPD.pdf. Acesso em: 15 maio 2021.

-> Quais os princípios para que uma cultura de privacidade desde a concepção (privacy by design) seja instituída?

O conceito de privacidade desde a concepção indica que a privacidade e a proteção de dados devem ser consideradas desde o início e durante todo o ciclo de vida do projeto, sistema, serviço, produto ou processo. Conforme o Guia de Boas Práticas da LGPD, tal privacidade pode ser alcançada por meio da aplicação de sete princípios fundamentais:

proativo, e não reativo; preventivo, e não corretivo;
privacidade deve ser o padrão dos sistemas de TI ou práticas de negócio;
privacidade incorporada ao projeto (design);
funcionalidade total;
segurança e proteção de ponta a ponta durante o ciclo de vida de tratamento dos dados;
visibilidade e transparência;
respeito pela privacidade do usuário.

Mais informações:

-> O que é a “autodeterminação informativa” mencionada na LGPD?

Autodeterminação informativa é o direito que cada indivíduo tem de controlar e proteger seus dados pessoais. É um dos fundamentos da disciplina de proteção de dados pessoais, de acordo com o art. 2º, inciso II, da LGPD, compreendido como forma de garantir o controle do cidadão sobre suas próprias informações. Ou seja, certifica que o titular tenha domínio sobre os seus dados pessoais, ainda que o tratamento dessas informações seja legítimo. O seu reconhecimento assegura que todos os dados pessoais sejam protegidos, indo além do conceito de intimidade, trazendo a privacidade para o âmbito procedimental.

Sua aplicação, como a dos demais direitos fundamentais, não é absoluta. Por isso, é possível o tratamento de dados sem o consentimento do titular, desde que haja uma base legal para tanto. Além disso, os princípios também possibilitam maior controle sobre os dados por parte dos titulares, como a garantia de que somente os dados necessários para determinada finalidade serão tratados.

Mais informações:

MARIA, Isabela; PICOLO, Cynthia. Autodeterminação informativa: como esse direito surgiu e como ele me afeta? Laboratório de Pesquisa Direito Privado e Internet - LAPIN, 27 abr. 2021. Disponível em: https://lapin.org.br/2021/04/27/autodeterminacao-informativa-como-esse-d.... Acesso em: 14 maio 2021.

-> O que seria o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)?

O RIPD é um instrumento importante de verificação e demonstração da conformidade do tratamento de dados pessoais realizado pela instituição e serve tanto para a análise quanto para a documentação do tratamento dos dados pessoais. O RIPD visa descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como as medidas, salvaguardas e mecanismos de mitigação de risco.

Mais informações:

BRASIL. Ministério da Economia. Secretaria de Governo Digital. Guias Operacionais para adequação à LGPD. Brasília, DF, [2020]. Disponível em: https://www.gov.br/governodigital/pt-br/governanca-de-dados/guias-operac.... Acesso em: 15 maio 2021.

-> O que seria o Termo de Uso conforme a LGPD?

O Termo de Uso advém de a consciência do controlador e operador ser transparente com o titular de dados pessoais e comunicar como as atividades de tratamento desses dados observam os princípios dispostos no art. 6º da LGPD. Em cumprimento aos princípios da publicidade e da transparência e a fim de assegurar aos cidadãos amplo acesso às informações, os termos devem ser regularmente atualizados a fim de refletir, de modo claro e preciso, as finalidades de coleta, uso, armazenamento, tratamento e proteção dos dados pessoais dos titulares, que comumente serão utilizados pelo órgão e entidade no exercício de suas competências legais ou execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos semelhantes.

Mais informações:

-> O que seria a Política de Privacidade conforme a LGPD?

Política de Privacidade é um documento informativo pelo qual o prestador de serviço transparece ao usuário a forma como o serviço realiza o tratamento dos dados pessoais e como fornece privacidade ao usuário.

A Política de Privacidade, que faz parte do Termo de Uso, origina-se da responsabilidade de os agentes de tratamento de dados serem transparentes com o titular de dados e informarem como as atividades de tratamento de dados atendem os princípios dispostos no art. 6º da LGPD. Portanto, o documento é, ao mesmo tempo, um dever do controlador e um direito do titular.

Mais informações:

-> Qual a diferença do Termo de Uso e da Política de Privacidade?

Termo de Uso ou Contrato de Termo de Uso é um documento que estabelece as regras e condições de uso de determinado serviço. Caso o Termo de Uso seja aceito pelo usuário, a utilização do serviço será vinculada às cláusulas dispostas nele.

Já a Política de Privacidade, que faz parte do Termo de Uso, é um documento informativo pelo qual o prestador de serviço transparece ao usuário a forma como o serviço realiza o tratamento dos dados pessoais e como fornece privacidade ao usuário.

Mais informações:

-> O que é Inventário de Dados Pessoais (IDP)?

O IDP atende à determinação da Lei nº 13.709/2018 no que se refere à manutenção de registro do levantamento do tratamento de dados pessoais realizado pela instituição. Consiste no registro das operações de tratamento dos dados pessoais realizadas pela instituição (art. 37 da LGPD).

De uma forma geral, esse registro mantido pelo IDP envolve a descrição de informações em relação ao tratamento de dados pessoais realizado pelo órgão ou entidade, como:

atores envolvidos (os agentes de tratamento e o encarregado);
finalidade (o que a instituição faz com o dado pessoal);
hipótese (arts. 7º e 11 da LGPD);
previsão legal;
dados pessoais tratados pela instituição;
categoria dos titulares dos dados pessoais;
tempo de retenção dos dados pessoais;
instituições com as quais os dados pessoais são compartilhados;
transferência internacional de dados (art. 33 da LGPD); e
medidas de segurança atualmente adotadas.

O IDP é um documento importante de governança de dados pessoais e de subsídio para avaliação de impacto à proteção de dados pessoais, com vistas a verificar a conformidade da instituição no que se refere ao preconizado pela LGPD.

Mais informações:

-> Para a promoção da transparência ativa de dados, com a LGPD em vigor, o poder público deverá observar quais requisitos?

Observância da publicidade das bases de dados não pessoais como preceito geral e do sigilo como exceção;
garantia de acesso irrestrito aos dados, os quais devem ser legíveis por máquina e estar disponíveis em formato aberto, respeitadas as Leis nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), e nº 13.709, de 14 de agosto de 2018 (LGDP);
descrição das bases de dados com informação suficiente sobre estrutura e semântica dos dados, inclusive quanto à sua qualidade e à sua integridade;
permissão irrestrita de uso de bases de dados publicadas em formato aberto;
completude de bases de dados, as quais devem ser disponibilizadas em sua forma primária, com o maior grau de granularidade possível, ou referenciar bases primárias, quando disponibilizadas de forma agregada;
atualização periódica, mantido o histórico, de forma a garantir a perenidade de dados, a padronização de estruturas de informação e o valor dos dados à sociedade e a atender as necessidades de seus usuários;
respeito à privacidade dos dados pessoais e dos dados sensíveis, sem prejuízo dos demais requisitos elencados, conforme a LGDP;
intercâmbio de dados entre órgãos e entidades dos diferentes poderes e esferas da Federação, respeitado o disposto no art. 26 da LGDP; e
fomento ao desenvolvimento de novas tecnologias destinadas à construção de ambiente de gestão pública participativa e democrática e à melhor oferta de serviços públicos.

Mais informações:

BRASIL. Lei nº 14.129, de 29 de março de 2021. Dispõe sobre princípios, regras e instrumentos para o Governo Digital e para o aumento da eficiência pública e altera a Lei nº 7.116, de 29 de agosto de 1983, a Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), a Lei nº 12.682, de 9 de julho de 2012, e a Lei nº 13.460, de 26 de junho de 2017. Brasília, DF: Presidência da República, 2021. Disponível em: http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2021/Lei/L14129.htm. Acesso em: 15 maio 2021.

-> Qual a diferença entre transparência ativa e transparência passiva?

A transparência ativa ocorre quando há disponibilização da informação de maneira espontânea (proativa). É o que ocorre, por exemplo, com a divulgação de informações na Internet, de modo que qualquer interessado possa acessá-las diretamente.

A transparência passiva, por outro lado, depende de uma solicitação do cidadão. Ela ocorre por meio dos pedidos de acesso à informação. Desse modo, o órgão ou entidade deve se mobilizar no sentido de oferecer uma resposta à demanda.

Mais informações:

CONTROLADORIA-GERAL DA UNIÃO. Aplicação da Lei de Acesso à informação na Administração Pública Federal. 4. ed. Brasília, DF: CGU, 2019. Disponível em: https://www.gov.br/acessoainformacao/pt-br/central-de-conteudo/publicaco.... Acesso em: 16 maio 2021.

-> O que os órgãos e as entidades deverão divulgar na internet, sem prejuízo da legislação em vigor?

O orçamento anual de despesas e receitas públicas do Poder ou órgão independente;
a execução das despesas e receitas públicas, nos termos dos arts. 48 e 48-A da Lei Complementar nº 101, de 4 de maio de 2000;
os repasses de recursos federais aos Estados, aos Municípios e ao Distrito Federal;
os convênios e as operações de descentralização de recursos orçamentários em favor de pessoas naturais e de organizações não governamentais de qualquer natureza;
as licitações e as contratações realizadas pelo Poder ou órgão independente;
as notas fiscais eletrônicas relativas às compras públicas;
as informações sobre os servidores e os empregados públicos federais, bem como sobre os militares da União, incluídos nome e detalhamento dos vínculos profissionais e de remuneração;
as viagens a serviço custeadas pelo Poder ou órgão independente;
as sanções administrativas aplicadas a pessoas, a empresas, a organizações não governamentais e a servidores públicos;
os currículos dos ocupantes de cargos de chefia e direção;
o inventário de bases de dados produzidos ou geridos no âmbito do órgão ou instituição, bem como catálogo de dados abertos disponíveis;
as concessões de recursos financeiros ou as renúncias de receitas para pessoas físicas ou jurídicas, com vistas ao desenvolvimento político, econômico, social e cultural, incluída a divulgação dos valores recebidos, da contrapartida e dos objetivos a serem alcançados por meio da utilização desses recursos e, no caso das renúncias individualizadas, dos dados dos beneficiários.

Mais informações:

-> Quais documentos devem ter o acesso público para todas as pessoas, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)?

As informações de interesse público, geral ou coletivo. Exemplos:

informações sobre procedimentos licitatórios, inclusive os respectivos editais e resultados, bem como a todos os contratos celebrados;
dados gerais para o acompanhamento de programas, ações, projetos e obras de órgãos e entidades.

Fundamento legal: art. 8º, §1º, inciso IV, da Lei 12.527/2011 c/c art. 7º, §3º, inciso V do Decreto 7.724/2012.

Mais informações:

BRASIL. Ministério da Economia. Secretaria Especial de Desburocratização, Gestão e Governo Digital. Secretaria de Gestão. Orientação Conjunta nº 1//2021/ME/CGU. Transparência no processo administrativo eletrônico. Brasília, DF: Presidência da República, 2021. Disponível em: https://www.gov.br/economia/pt-br/assuntos/processo-eletronico-nacional/.... Acesso em: 15 maio 2021.

-> Quais documentos devem ter acesso restrito a agentes públicos legalmente autorizados e à própria pessoa a quem a informação se referir, mediante identificação, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)?

Documentos que contenham informações pessoais de pessoa identificada ou identificável, como:

número da Carteira de Identidade (RG);
Cadastro de Pessoas Físicas (CPF);
estado de saúde do servidor ou familiares;
informações financeiras;
informações patrimoniais;
alimentandos;
dependentes;
pensões;
endereços;
número de telefone;
e-mail;
origem racial ou étnica;
orientação sexual;
convicções religiosas;
convicções filosóficas ou morais;
opiniões políticas;
filiação sindical;
filiação partidária;
filiação a organizações de caráter religioso, filosófico ou político.

Fundamento legal: Art. 31 da Lei nº 12.527, de 2011.

Mais informações:

-> Quais documentos devem ter o acesso restrito a agentes públicos legalmente autorizados e interessados, mediante identificação, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)?

Documento preparatório utilizado como fundamento de tomada de decisão ou de ato administrativo. Exemplos:

notas técnicas, pareceres, notas informativas ou outros documentos que subsidiem decisões dos dirigentes em documentos sobre políticas econômica, fiscal, tributária, monetária, regulatória etc.;
documentos que tragam argumentos e conteúdo para os processos que culminarão na edição de ato normativo.

Fundamento legal: Art. 20 do Decreto nº 7.724/2012.

Informações protegidas por legislação específica, como sigilo fiscal, bancário, comercial, empresarial e contábil. Exemplos: ofícios, extratos, relatórios, atas etc. que contenham informações fiscais, bancárias, comerciais, empresariais ou contábeis protegidas por sigilo.

Fundamento legal: Diversos.

Mais informações:

-> Quais as consequências da falta de adequação à LGPD?

Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na LGPD, ficam sujeitos a sanções administrativas, aplicáveis pela Autoridade Nacional.

Para as entidades e órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011, poderá ser aplicado:

advertência, com indicação de prazo para adoção de medidas corretivas;
publicização da infração após devidamente apurada e confirmada a sua ocorrência;
bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
eliminação dos dados pessoais a que se refere a infração;
suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

O disposto não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.

Mais informações: