Lei Geral de Proteção de Dados Pessoais (LGPD)

Noções sobre a Lei Geral de Proteção de Dados Pessoais

Esta síntese sobre a LGPD⁽ⁱ⁾ foi preparada a fim de facilitar o entendimento da lei para tratamento de dados pessoais constantes dos processos e documentos administrativos e acadêmicos da UFSCar e não para substituir a Lei!

Entretanto, com a atualização constante da LGPD em sua fonte de origem, recomenda-se enfaticamente que a LGPD seja consultada na íntegra e na fonte original (link externo) para tomada de decisão, assim como outras fontes complementares, para que sejam evitados conflitos com a legislação vigente.

Em caso de dúvidas no âmbito jurídico quanto à publicidade de informações, a Unidade UFSCar deverá consultar a Procuradoria Federal junto à UFSCar, seguindo os procedimentos indicados na Portaria Conjunta GR/PF nº 1, de 12 de novembro de 2019. (link externo)

1. Definição

A Lei Geral de Proteção de Dados (LGPD) dispõe sobre o tratamento de dados pessoais por pessoas e/ou entidades físicas e/ou jurídicas, com objetivo de proteger direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

2. Agentes Envolvidos

Os seguintes agentes estão envolvidos no tratamento de dados pessoais em um órgão ou entidade:

Titular de Dados: pessoa natural a quem se referem os dados pessoais objeto de tratamento; não inclui pessoa jurídica;
Controlador de Dados: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador de Dados: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

3. Princípios Fundamentais

Para o tratamento de dados, devem ser observadas a boa fé e os seguintes princípios, que garantem os direitos do titular de dados:

Finalidade: tratamento para fins legítimos, específicos, explícitos e informados ao titular, sem tratamento posterior incompatível com essas finalidades;
Adequação: compatibilidade do tratamento com finalidades e contextos, informados ao titular;
Necessidade: limitação do tratamento ao mínimo necessário para as finalidades, abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
Qualidade dos Dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Não Discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
Responsabilização e Prestação de Contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

4 .Previsão Legal para Tratamento de Dados

O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

O tratamento de dados pessoais pode ocorrer mediante as seguintes hipóteses legais:

sob consentimento do titular;
para cumprimento de obrigação legal ou regulatória pelo controlador;
pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
quando necessário para execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
para exercício regular de direitos em processo judicial, administrativo ou arbitral (Lei nº 9.307/1996);
para proteção da vida ou da incolumidade física do titular ou de terceiro;
para tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
quando necessário para atender interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
para proteção do crédito.

5. Quando a LGPD não se aplica

Casos em que não se aplica a LGPD no tratamento de dados pessoais:

quando realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
quando realizado para fins exclusivamente jornalístico e artístico;
quando realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
quando são provenientes de fora do território nacional e que não sejam objeto de uso compartilhado com agentes de tratamento brasileiros.

6. Tipologia de Dados Pessoais

São 4 tipos de dados pessoais que ajudam a identificar mais facilmente o que pode ser coletado:

Atributos Biográficos: dados da pessoa natural relativos aos fatos de sua vida, tais como: nome civil ou social, data de nascimento, filiação, naturalidade, nacionalidade, sexo, estado civil, grupo familiar, endereço e vínculos empregatícios;
Atributos Biométricos (sensíveis): características biológicas e comportamentais mensuráveis detectáveis por reconhecimento automatizado, tais como as digitais, íris ocular;
Atributos Genéticos (sensíveis): características hereditárias da pessoa natural obtidas pela análise de ácidos nucleicos ou análise laboratorial;
Dados Cadastrais: informações que identificam a pessoa perante cadastro em órgãos públicos, tais como: RG, CPF, Título de Eleitor, PIS, PASEP etc. Os atributos biográficos também são considerados dados cadastrais.

Atributos genéticos e biométricos se constituem em dados pessoais sensíveis, que devem ser coletados e tratados sob consentimento do titular.

7. Dados Pessoais Sensíveis

Dados Pessoais Sensíveis: dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

sob consentimento do titular;
sem consentimento do titular, nas hipóteses em que for indispensável para:
1. cumprimento de obrigação legal ou regulatória pelo controlador;
2. tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
3. realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
4. exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
5. proteção da vida ou da incolumidade física do titular ou de terceiro;
6. tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
7. tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
8. garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

8. Dados Pessoais de Crianças e de Adolescentes

Os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos.

O tratamento de dados pessoais de Crianças e de Adolescentes somente poderá ocorrer nas seguintes hipóteses:

sob consentimento de um dos pais ou responsável(is) legal(is);
sem consentimento, somente quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro.

9. Direitos do Titular

Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.

Direitos do Titular em relação ao Controlador de Dados:

confirmação da existência de tratamento;
acesso aos dados;
correção de dados incompletos, inexatos ou desatualizados;
anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
portabilidade dos dados a outro fornecedor, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
eliminação dos dados pessoais tratados com consentimento do titular, exceto art. 16 desta Lei;
informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

10. Tratamento de Dados pelo Poder Público

O tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para atendimento de finalidade pública, para interesse público, com objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

sejam informadas as hipóteses para o tratamento, previsão legal, finalidade, procedimentos e práticas, em veículos de fácil acesso, preferencialmente sítios eletrônicos;
seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais;
Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, devendo atender a finalidades de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados;
É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado;
A comunicação ou o uso compartilhado será informado à autoridade nacional e dependerá de consentimento do titular, exceto nos casos previsto nesta lei;
A autoridade nacional poderá solicitar aos órgãos e às entidades do poder público operações e informações sobre tratamento de dados pessoais, e poderá emitir parecer técnico para garantir o cumprimento desta Lei.

11. Ciclo de Vida do Tratamento de Dados

O ciclo de tratamento de dados ocorre desde a recepção até a exclusão dos dados pessoais e/ou dos ativos organizacionais onde se encontram os dados:

Coleta de Dados: coleta, produção e recepção de dados pessoais em meios impressos ou eletrônicos;
Retenção de Dados: armazenamento ou arquivamento de dados pessoais em meios impressos ou eletrônicos;
Processamento de Dados: qualquer operação que envolva classificação, reprodução, processamento, utilização ou controle da informação, assim como extração e modificação dos dados pessoais;
Compartilhamento de Dados: qualquer operação que envolva transmissão, distribuição, comunicação, transferência, difusão e uso compartilhado dos dados pessoais;
Eliminação de Dados: qualquer operação que envolva exclusão dos dados pessoais armazenados em banco de dados, seja em meios impressos ou eletrônicos ou descarte dos ativos organizacionais (documentos ou equipamentos) em que se encontram os dados pessoais.

12. Término do Tratamento de Dados

O término do tratamento dos dados deve ocorrer nas seguintes hipóteses:

finalidade alcançada ou dados deixaram de ser necessários para a finalidade;
fim do período de tratamento;
comunicação do titular, sob direito de revogação do consentimento, resguardado o interesse público;
determinação da autoridade nacional, sob violação.

Os dados pessoais serão eliminados após o término do tratamento, autorizada a conservação para as seguintes finalidades:

cumprimento de obrigação legal ou regulatória pelo controlador;
estudo por órgão de pesquisa, garantida anonimização dos dados;
transferência a terceiro, sob penas desta lei;
uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

13. Base Legal

A LGPD deve ser consultada on-line, não é recomendado que a mesma seja salva em PDF para consulta, pois a Lei vem sofrendo alterações constantes.
É mais garantida a consulta à fonte original, no site do Governo Federal para que seja efetivamente cumprida em sua versão mais atual.

Lei nº 13.709, de 14 de agosto de 2018 (LGPD) (link externo). Lei Geral de Proteção de Dados Pessoais (LGPD). (Redação dada pela Lei nº 13.853, de 2019);
Lei nº 13.853, de 8 de julho de 2019 (link externo). Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências;
Decreto nº 10.046, de 9 de outubro de 2019 (link externo). Dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados;
Instrução Normativa sgd/me nº 117, de 19 de novembro de 2020 (link externo). Dispõe sobre a indicação do Encarregado pelo Tratamento dos Dados Pessoais no âmbito dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional.

Versão para Download

Noções sobre a Lei Geral de Proteção de Dados Pessoais (documento em PDF - 148.6 kB)