Imprimir Todas as Unidades Imprimir Unidades

A Lei Geral de Proteção de Dados (LGPD)

Legislação
Abrangência da lei
Princípios
LGPD
Agentes de Tratamento
Controladores
Operadores
Tratamento de Dados
Dados Pessoais
Operações
Definições

Legislação

Abrangência da lei

Por se tratar de uma legislação relativamente nova, não se sabe tudo sobre o seu alcance. Cabe esclarecer que:

  • Regula o tratamento de dados relacionados apenas a pessoas físicas; portanto, não se aplica aos dados de pessoas falecidas e jurídicas.
  • Aplica-se ao tratamento de dados utilizando ou não a internet e meios digitais.
  • Aplica-se a operações que ocorrem dentro do território brasileiro, mas também fora do país, nas seguintes situações: quando os dados forem coletados no Brasil; quando os dados forem relacionados a pessoas localizadas no território brasileiro; quando tiver por objetivo a oferta de produto e/ou serviços ao público brasileiro.
  • Não revoga ou impede a revogação de normas setoriais ou outras que também regulamentam dados pessoais.
  • Não se aplica ao tratamento de dados pessoais realizados por pessoa natural para fins exclusivamente particulares e não econômicos ou para fins exclusivamente jornalísticos, artísticos e acadêmicos.

Princípios da LGPD

Segundo o GBP (GUIA..., 2020), a LGPD também estabelece, em seu art. 6º, que o “tratamento de dados pessoais deve observar a boa-fé”, além de dez princípios fundamentais específicos. São eles:

I – Finalidade
Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
II - Adequação
Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
III - Necessidade
Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
IV - Livre acesso
Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
V - Qualidade dos dados
Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
VI - Transparência
Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
VII - Segurança
Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
VIII - Prevenção
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
IX - Não discriminação
Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
X - Responsabilização e prestação de contas
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Tratamento de dados

Conforme o constante no art. 5º, X, da LGPD, considera-se tratamento de dados qualquer atividade que utilize um dado pessoal na execução da sua operação, como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (BRASIL, 2018b).

O GBP (GUIA..., 2020) esclarece que, diferentemente do disposto no art. 31 da Lei n. 12.527/2011, a Lei de Acesso à Informação ou LAI, que confere proteção especial somente a dados pessoais com potencial de vulnerar os direitos de personalidade (dados pessoais sensíveis) (BRASIL, 2011b), os direitos e salvaguardas sobre dados pessoais da LGPD incidem sobre todos os tipos de dados pessoais.

Esclarece também que o princípio da finalidade para o tratamento de dados pessoais estabelecido na LGPD exige que os propósitos do tratamento sejam legítimos, específicos, explícitos e informados ao titular.

Dados pessoais e dados pessoais sensíveis

Dados pessoais: são informações relacionadas a uma pessoa natural identificada ou identificável, ou seja, qualquer informação que identifique ou possa identificar uma pessoa, como: nome, CPF, e-mail, endereço e outros.

Dados pessoais sensíveis: são informações sobre origem racial ou étnica, filiação a organização de caráter religioso, sindicatos, convicção religiosa, opinião política, dados referentes à saúde ou à vida sexual, dados genético ou biométrico vinculados a uma pessoa natural.

O GBP menciona o Decreto n. 10.046/2019 (BRASIL, 2019b), que discrimina os dados pessoais em atributos e dados cadastrais, conforme o esquema:

Atributos biográficos
Dados de pessoa natural relativos aos fatos da sua vida, tais como nome civil ou social, data de nascimento, filiação, naturalidade, nacionalidade, sexo, estado civil, grupo familiar, endereço e vínculos empregatícios.
Atributos biométricos
Características biológicas e comportamentais mensuráveis da pessoa natural que podem ser coletadas para reconhecimento automatizado.
Atributos genéticos
Características hereditárias da pessoa natural, obtidas pela análise de ácidos nucleicos ou por outras análises científicas.
Dados cadastrais
Informações identificadoras perante os cadastros de órgãos públicos, como atributos biográficos e números do CPF, CNPJ, RG, NIS, PIS, PASEP, Título de Eleitor etc.
Fonte: Brasil (2019b).
Decreto n. 10.046 de 9 de outubro de 2019, que dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.

O dado pessoal sensível, conforme o disposto no art. 5º, II, da LGPD (BRASIL, 2018b), é relacionado à origem racial ou étnica, à convicção religiosa, à opinião política, à filiação a sindicato ou organização de caráter religioso, à convicção filosófica ou política, à saúde ou à vida sexual, a dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

Os atributos biográficos, incluídos os dados cadastrais, deverão ser confrontados de modo a identificar a ocorrência de dados pessoais sensíveis. Os atributos biométricos e genéticos, quando vinculados a uma pessoa natural, são dados pessoais sensíveis por definição legal.

Segundo o GBP (GUIA..., 2020), a LGPD determina o tratamento de dados pessoais sensíveis apenas em situações indispensáveis, cabendo ao controlador o ônus da prova da indispensabilidade desse tratamento. Assim, os órgãos e entidades públicas que realizarem o tratamento dos dados pessoais sensíveis deverão dar publicidade à referida dispensa de consentimento, nos termos do art. 23, I, da LGPD, in verbis:

Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos (BRASIL, 2018b).

Operações

Mencionadas operações de tratamento de dados são conceituadas pelo GBP, conforme segue:

  1. Acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique.
  2. Armazenamento: ação ou resultado de manter ou conservar em repositório um dado.
  3. Arquivamento: ato ou efeito de manter registrado um dado, embora já tenha perdido a validade ou esgotada a sua vigência.
  4. Avaliação: análise do dado com o objetivo de produzir informação.
  5. Classificação: maneira de ordenar os dados conforme algum critério estabelecido.
  6. Coleta: recolhimento de dados com finalidade específica.
  7. Comunicação: transmissão de informações pertinentes a políticas de ação sobre os dados.
  8. Controle: ação ou poder de regular, determinar ou monitorar as ações sobre o dado.
  9. Difusão: ato ou efeito de divulgação, propagação, multiplicação dos dados.
  10. Distribuição: ato ou efeito de dispor de dados de acordo com algum critério estabelecido.
  11. Eliminação: ato ou efeito de excluir ou destruir dado do repositório.
  12. Extração: ato de copiar ou retirar dados do repositório em que se encontrava.
  13. Modificação: ato ou efeito de alteração do dado.
  14. Processamento: ato ou efeito de processar dados visando organizá-los para obtenção de um resultado determinado.
  15. Produção: criação de bens e de serviços a partir do tratamento de dados.
  16. Recepção: ato de receber os dados no final da transmissão.
  17. Reprodução: cópia de dado preexistente obtido por meio de qualquer processo.
  18. Transferência: mudança de dados de uma área de armazenamento para outra, ou para terceiro.
  19. Transmissão: movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.
  20. Utilização: ato ou efeito do aproveitamento dos dados.

Definições contratuais

Em relação ao tratamento de dados para o cumprimento das determinações da LGPD, os pontos que podem ser definidos por contrato são:

  1. Objeto
  2. Duração
  3. Natureza
  4. Finalidade
  5. Tipos de dados pessoais envolvidos
  6. Direitos e obrigações
  7. Responsabilidades.

Tanto o controlador como o operador devem manter registro das operações de tratamento de dados. O operador poderá definir elementos não essenciais do tratamento como medidas técnicas.

A responsabilidade, em caso de dano, é, em regra, do controlador, sendo excepcionada no caso de tratamento irregular pelo operador, situação em que responderão solidariamente, conforme o art. 42, § 1º, I, da LGPD (BRASIL, 2018b).

Agentes de tratamento

Controladores

O controlador é o agente responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e para definir a finalidade desse tratamento. Entre essas decisões incluem-se as instruções fornecidas a operadores contratados para a realização de um determinado tratamento de dados pessoais.

A identificação do controlador deve partir do conceito legal e dos parâmetros auxiliares indicados no guia, considerando o contexto fático e as circunstâncias relevantes do caso. Exemplificando, o Godat  (AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS, 2021) ressalta que o papel do controlador pode decorrer expressamente de obrigações estipuladas em instrumentos legais e regulamentares, ou em contrato firmado entre as partes.

Assevera que a efetiva atividade desempenhada por uma organização pode guardar distância do definido em disposições jurídicas formais. Desse modo, deve-se avaliar se o suposto controlador é, de fato, o responsável pelas principais decisões relativas ao tratamento. Nesse mesmo sentido, menciona as orientações do European Data Protection Board (EDPB) de que os conceitos de controlador e operador são funcionais e que eles visam alocar responsabilidade de acordo com os papéis reais das partes; o status legal de controlador ou operador deve ser determinado por suas ações concretas em uma determinada situação, muito embora haja designação formal de um ator como controlador ou operador em contrato, por exemplo.

Conforme o Código Civil, as pessoais jurídicas de direito público interno são os entes federados (União, Distrito Federal, estados, e municípios), e as entidades, como as autarquias e fundações. Segundo o Godat, a LGPD atribuiu aos órgãos públicos obrigações típicas de controlador, indicando que as obrigações devem ser distribuídas entre as principais unidades administrativas despersonalizadas que integram a pessoa jurídica de direito público e realizam o tratamento de dados pessoais.

No caso do Ministério da Saúde, a União é o controlador perante a LGPD, mas o exercício das atribuições de CONTROLADOR cabe ao Ministério da Saúde, por força da distribuição interna de competência (desconcentração administrativa).

Sendo assim, nas operações de tratamento de dados pessoais conduzidas por órgãos públicos despersonalizados, a pessoa jurídica de direito público a que os órgãos sejam vinculados é a controladora dos dados pessoais e, portanto, responsável pelo cumprimento da LGPD. Contudo, em razão do princípio da desconcentração administrativa, o órgão público despersonalizado desempenhará funções típicas de controlador de dados, de acordo com as obrigações estabelecidas na LGPD. Essa conclusão refere-se apenas à administração pública direta, já que a administração indireta segue o regramento de pessoa jurídica estabelecido pela LGPD.

O Godat orienta que o fator distintivo para a identificação do controlador é o poder de tomar decisões referentes ao tratamento de dados pessoais (art. 5º, VI, da LGPD), assim:

I - o tratamento não precisa ser realizado diretamente pelo CONTROLADOR, admitindo-se que esse forneça instruções para que um terceiro (OPERADOR) realize o tratamento em seu nome (art. 5º, VII, art. 39);
II - mantido o controle e influência pelo CONTROLADOR sobre as principais decisões, isto é, os elementos essenciais para o cumprimento da finalidade do tratamento, é usual e legítimo que as decisões a respeito dos elementos não essenciais do tratamento sejam realizadas pelo OPERADOR, por exemplo, escolha de softwares, equipamentos e medidas de prevenção e segurança que serão utilizadas no tratamento;
III - o CONTROLADOR é responsável por definir, além da finalidade, outros elementos essenciais relativos ao tratamento, como a natureza dos dados pessoais e a duração do tratamento (AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS, 2021).

Operadores

O Godat ressalta que a principal diferença entre o controlador e o operador é o poder de decisão, na medida em que a área de atuação do operador restringe-se ao cumprimento das finalidades estabelecidas pelo controlador.

O operador é o agente responsável por realizar o tratamento de dados em nome do controlador e conforme a finalidade por ele delimitada, conforme definido no art. 5º, VII, da LGPD: “Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”; reforçado pelo art. 39 desse mesmo diploma:

“O operador deverá realizar o tratamento segundo instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria” (BRASIL, 2018b).