O que é a LGPD?
A Lei Geral de Proteção de Dados Pessoais (LGPD), conhecida como Lei nº 13.709/2018, foi criada para garantir que as informações pessoais de cada cidadão sejam tratadas com respeito e segurança. Ela estabelece regras claras para o uso de dados, tanto por empresas privadas quanto por órgãos públicos. Com a LGPD, as pessoas têm mais controle sobre suas informações, sabendo como e por que seus dados estão sendo utilizados.
Na atual sociedade em que vivemos a informação circula de maneira rápida e em grande quantidade. A era digital trouxe muitas facilidades, mas também desafios. Nossos dados são constantemente coletados, armazenados e processados por diversas entidades, e isso traz a necessidade de proteção. A LGPD surge exatamente para garantir que o uso desses dados seja feito de forma ética e responsável, preservando a privacidade e os direitos de cada um de nós.
A Administração Pública lida diariamente com uma grande quantidade de dados pessoais. Pense, por exemplo, no departamento de trânsito do Distrito Federal, onde informações sobre veículos e condutores são constantemente processadas e compartilhadas. A LGPD exige que esses dados sejam tratados com cuidado, garantindo a segurança e a privacidade dos cidadãos. Além disso, a lei traz mais transparência nas ações do governo, o que fortalece a confiança da população nos serviços públicos prestados.
Na prática, a LGPD impõe que todos os órgãos públicos sigam algumas diretrizes importantes:
A LGPD é fundamental não apenas como uma exigência legal, mas como um compromisso ético com a sociedade. No âmbito do Departamento de Trânsito do Distrito Federal – DETRAN/DF, a aplicação da LGPD demonstra um cuidado real com as pessoas, protegendo suas informações e garantindo que os serviços oferecidos sejam cada vez mais transparentes e seguros.
⇅ Conceitos
Agentes de Tratamento | ➔ | O controlador e o operador |
Anonimização | ➔ | Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. |
Autoridade Nacional | ➔ | Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. |
Banco de Dados | ➔ | Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. |
Bloqueio | ➔ | Suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados. |
Consentimento | ➔ | Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. |
Controlador | ➔ | Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. |
Dado Anonimizado | ➔ | Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. |
Dado Pessoal | ➔ | Informação relacionada à pessoa natural identificada ou identificável. |
Dado Pessoal de Criança e de Adolescente | ➔ | O Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança. |
Dado Pessoal Sensível | ➔ | Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. |
Eliminação | ➔ | Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. |
Encarregado | ➔ | Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). |
Garantia da Segurança da Informação | ➔ | Capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da administração pública federal em seu âmbito de atuação. |
Garantia da Segurança de Dados | ➔ | Ver garantia da segurança da informação |
Interoperabilidade | ➔ | Capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING). |
Operador | ➔ | Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. |
Órgão de Pesquisa | ➔ | Órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico |
Relatório de Impacto à Proteção de Dados Pessoais | ➔ | Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. |
Titular | ➔ | Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. |
Transferência Internacional de Dados | ➔ | Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro. |
Tratamento | ➔ |
Toda operação realizada com dados pessoais. Como as que se referem a:
|
⇅ Fundamentos
O art. 2º da Lei nº 13.709, de 14 de Agosto de 2018 apresenta os fundamentos da disciplina da proteção de dados pessoais:
⇅ Princípios
O art. 6º da Lei Nº 13.709, de 14 de Agosto de 2018 – Informa que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
⇅ Direitos do Titular
O art. 9º da Lei Nº 13.709, de 14 de Agosto de 2018 – Informa sobre o direito do titular em ter acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
⇅ LGPD e o Poder Público
Segundo a LGPD (art. 23 e ss.), o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública e na busca do interesse público.
Com base nesse pressuposto, a lei estabelece que os órgãos públicos devem informar as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.
A LGPD veda ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso – exceto em algumas hipóteses, como nos casos de execução descentralizada de atividade pública que exija a transferência; nos casos em que os dados forem acessíveis publicamente; quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados.
O termo “Poder Público” é definido pela LGPD de forma ampla e inclui órgãos ou entidades dos entes federativos (União, Estados, Distrito Federal e Municípios) e dos três Poderes (Executivo, Legislativo e Judiciário), inclusive das Cortes de Contas e do Ministério Público. Assim, os tratamentos de dados pessoais realizados por essas entidades e órgãos públicos devem observar as disposições da LGPD, ressalvadas as exceções previstas no art. 4º da lei [4].
Também se incluem no conceito de Poder Público:
O art. 52, § 3°, estabelece quais sanções podem ser aplicadas às entidades e aos órgãos públicos, com expressa exclusão das penalidades de multa simples ou diária previstas na LGPD.
Agente de Tratamento
Os agentes de tratamento são figuras centrais na aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD). Eles são responsáveis por realizar o tratamento dos dados pessoais e devem seguir as diretrizes e obrigações previstas na lei. A LGPD define dois tipos principais de agentes de tratamento: o controlador e o operador.
Controlador: agente responsável por tomar as decisões sobre o tratamento de dados pessoais. Isso inclui definir as finalidades e os meios pelos quais os dados serão tratados. O controlador pode ser tanto uma pessoa İsica quanto jurídica, de direito público ou privado. No contexto da Administração Pública, por exemplo, o controlador poderia ser um órgão público que decide coletar e usar dados de cidadãos para prestar um determinado serviço.
Operador: realiza o tratamento de dados pessoais em nome do controlador, seguindo as instruções recebidas. O operador não decide como ou por que os dados são tratados; ele apenas executa as atividades conforme determinado pelo controlador. Um exemplo disso seria uma empresa contratada por um órgão público para gerenciar um banco de dados, onde a empresa atua como operadora seguindo as diretrizes do órgão controlador.
Relação entre Controlador e Operador: a LGPD exige que a relação entre controlador e operador seja clara e documentada. Ambos têm responsabilidades e podem ser responsabilizados em casos de incidentes com dados pessoais. Enquanto o controlador tem a obrigação principal de garantir que o tratamento esteja em conformidade com a lei, o operador também deve adotar medidas de segurança adequadas e reportar qualquer incidente ao controlador.
Outros Agentes de Tratamento: além do controlador e do operador, a LGPD menciona o Encarregado de Proteção de Dados (também conhecido como DPO, sigla em inglês para Data Protection Officer). Esse profissional é designado pelo controlador para atuar como um ponto de contato entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O Encarregado tem um papel consultivo, orientando a organização sobre as práticas de proteção de dados e auxiliando na conformidade com a LGPD.
Importância dos Agentes de Tratamento: a identificação e a definição clara dos agentes de tratamento são essenciais para a conformidade com a LGPD. Eles garantem que os direitos dos titulares dos dados sejam respeitados e que os dados sejam tratados de forma segura e transparente. No âmbito da Administração Pública, essa distinção é fundamental para que os órgãos possam cumprir suas obrigações legais e manter a confiança da população no uso de suas informações pessoais.
Identificação do Encarregado de Dados Setorial:
Dados Pessoais
Vamos falar sobre as diferentes categorias de dados pessoais previstas na Lei Geral de Proteção de Dados (LGPD). Cada categoria tem características específicas e merece uma abordagem distinta em termos de proteção e tratamento. Vou explicar de forma clara e direta para facilitar o entendimento.
Os dados pessoais são qualquer informação que identifique ou possa identificar uma pessoa. Exemplos comuns incluem nome, CPF, endereço, email, telefone, e até mesmo informações digitais, como um endereço IP. São essas informações que a LGPD busca proteger, garantindo que sejam tratadas de maneira justa e transparente, respeitando sempre os direitos do titular.
Dados Pessoais Sensíveis
Os dados pessoais sensíveis são uma categoria especial dentro dos dados pessoais, pois envolvem informações que, se mal utilizadas, podem causar discriminação ou violação de direitos fundamentais. Exemplos de dados sensíveis incluem:
Devido à sua natureza delicada, a LGPD impõe regras mais rígidas para o tratamento desses dados, exigindo que o consentimento do titular seja explícito e que haja uma justificativa clara e legítima para o seu uso.
Dados Pessoais de Acesso Público
Os dados pessoais de acesso público são aqueles que já estão disponíveis ao público de forma legítima, como informações divulgadas em diários oficiais, registros públicos ou informações tornadas públicas voluntariamente pelo titular. Apesar de serem de acesso público, esses dados ainda estão sujeitos à LGPD, e o seu tratamento deve respeitar a finalidade original para a qual foram tornados públicos.
Dados Anonimizados
Os dados anonimizados são aqueles que, após passar por um processo técnico, não podem ser associados a uma pessoa específica, nem mesmo com o uso de métodos avançados de reidentificação. Na prática, isso significa que o titular dos dados não pode ser identificado. A LGPD não impõe as mesmas restrições para o tratamento de dados anonimizados, desde que o processo de anonimização seja efetivo e irreversível.
⇅ Curiosidades sobre a Natureza dos Dados Pessoais
Contexto Dinâmico: Um dado pessoal pode mudar de categoria dependendo do contexto. Por exemplo, uma foto pode não ser considerada um dado sensível, mas se revelar informações sobre a saúde ou crenças religiosas de uma pessoa, passa a ser.
Dado Reversível: A anonimização de dados precisa ser irreversível para que a LGPD os considere anonimizados. Se houver qualquer possibilidade de reidentificação, eles devem ser tratados como dados pessoais.
Finalidade Específica: Um princípio essencial da LGPD é a necessidade de definir claramente a finalidade para a qual os dados são coletados e utilizados. Isso vale para todas as categorias de dados pessoais.
Conforme o Programa Institucional de Privacidade de Dados do Instituto Nacional de Propriedade Industrial (INPI), os dados pessoais, em caráter geral, podem, ainda, ser classificados em:
⇅ Legislação
⇅ Autoridade Nacional de Proteção de Dados (ANPD)
A Autoridade Nacional de Proteção de Dados foi criada pela Medida Provisória nº 869, de 2018, convertida na Lei nº 13.853, de 08 de julho de 2019, que alterou a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709, de 14 de agosto de 2018), e passou a funcionar efetivamente com a nomeação de seu primeiro Diretor-Presidente, em 05 de novembro de 2020.
No ano de 2022, um novo marco se evidenciou: a Medida Provisória nº 1.124, de 13 de junho de 2022, convertida na Lei nº 14.460, de 25 de outubro de 2022, alterando a Lei nº 13.709/2018, e transformando a Autoridade Nacional de Proteção de Dados em autarquia de natureza especial. Já em 23 de janeiro de 2023, foi publicado o Decreto nº 11.401, passando a vincular a ANPD ao Ministério da Justiça e Segurança Pública.
A estrutura regimental e o quadro de cargos da Autoridade foi definida e aprovada pelo Decreto nº 10.474, de 26 de agosto de 2020, alterada pelo Decreto nº 10.975, de 22 de fevereiro de 2022, e, posteriormente, pelo Decreto nº 11.202, de 21 de setembro de 2022.
É importante destacar que a ANPD possui autonomia técnico-decisória, com patrimônio próprio, sendo responsável por zelar pela proteção dos dados pessoais, por orientar, regulamentar e fiscalizar o cumprimento da legislação. Nesse âmbito de atuação, destacam-se as seguintes as funções:
A ANPD é, portanto, o órgão central de interpretação da Lei Geral de Proteção de Dados, cabendo a ela estabelecer normas e diretrizes para a sua implementação, buscando zelar pela garantia do direito de todos os brasileiros terem seus dados pessoais devidamente protegidos.
DETRAN-DF
SAM Lote A Bloco B - Edifício Sede do Detran/DF CEP 70.620-000 Central de Atendimento ao Cidadão: 154 (para quem está no DF) ou 0800 644 0154 (para quem está fora do DF)