LGPD

Dados pessoais sensíveis são informações que dizem respeito à origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, além de dados referentes à saúde, à vida sexual, e também informações genéticas ou biométricas, sempre que estejam vinculadas a uma pessoa viva identificada direta ou indiretamente.

De forma mais simples, podemos dizer que dados pessoais sensíveis são aqueles que, caso sejam utilizados de maneira inadequada, podem gerar discriminação ou colocar o titular em situações de risco, violando seus direitos e liberdades fundamentais.

De acordo com a LGPD, o tratamento de dados refere-se a toda e qualquer operação realizada com dados pessoais ou dados pessoais sensíveis. Isso inclui, entre outras ações: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração dessas informações.

Essa definição é bastante abrangente e cobre todo o ciclo de vida dos dados, desde a sua coleta até a sua eventual exclusão. Em termos práticos, qualquer forma de interação com dados pessoais — mesmo que simples ou rotineira — já se enquadra como uma atividade de tratamento perante à LGPD.

Por exemplo, ao enviar uma mensagem pelo WhatsApp, você está tratando dados, pois ocorre coleta, transmissão e armazenamento de informações. O mesmo vale para o envio de e-mails, compartilhamento de fotos, gravações de voz ou vídeos. Todas essas ações envolvem operações previstas na LGPD como formas de tratamento de dados.

No campo jurídico, o termo “pessoa natural” é utilizado para designar o ser humano enquanto indivíduo, em oposição à pessoa jurídica, que corresponde a entidades legalmente constituídas, como empresas, associações ou instituições.

A pessoa natural é, portanto, um indivíduo vivo, com existência física e capacidade para adquirir direitos e contrair obrigações. Trata-se da pessoa física em sua dimensão jurídica, dotada de identidade, personalidade e titularidade de direitos fundamentais — como o direito à vida, à liberdade, à integridade física e psíquica, à privacidade, entre outros.

Além dos direitos, a pessoa natural também possui deveres e responsabilidades diante da sociedade e do Estado, sendo reconhecida como sujeito de direitos desde o nascimento com vida, conforme previsto na legislação brasileira.

De forma objetiva, o titular é a pessoa natural a quem se referem os dados pessoais que estão sendo tratados, conforme definido pela LGPD. Em outras palavras, o titular é você ou qualquer indivíduo que tenha seus dados pessoais ou dados pessoais sensíveis envolvidos em alguma operação de tratamento.

No contexto da Fundação CECIERJ, podem ser considerados titulares, por exemplo:

• Docentes;
• Discentes;
• Tutores;
• Servidores públicos de carreira;
• Funcionários públicos comissionados;
• Terceirizados;
• Visitantes;
• Candidatos em processos seletivos;
• Entre outros.

O titular é o centro da proteção assegurada pela LGPD, sendo detentor de uma série de direitos sobre seus dados, como o acesso, correção, eliminação e informação sobre o tratamento realizado.

Sim. Como uma instituição pública, a Fundação CECIERJ está plenamente sujeita às disposições da LGPD.

Ao realizar o tratamento de dados pessoais e dados pessoais sensíveis, a Fundação CECIERJ deve agir com o propósito de atender ao interesse público e cumprir suas atribuições legais como prestadora de serviço público. Para garantir transparência, é fundamental que a Fundação CECIERJ informe de forma clara, acessível e atualizada as hipóteses legais que autorizam o tratamento desses dados. Essas informações devem estar disponíveis em seus canais oficiais, abrangendo as finalidades, os procedimentos e as práticas adotadas.

Além disso, em conformidade com a LGPD, a Fundação CECIERJ designou um Encarregado pelo Tratamento de Dados Pessoais (DPO – Data Protection Officer), responsável por garantir a conformidade da instituição com a legislação, bem como por atuar como canal de comunicação entre a universidade, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

O Encarregado pelo Tratamento de Dados Pessoais na Fundação CECIERJ é o Sr. Léo Farias, Assessor da Presidência, vinculado diretamente à Chefia de Gabinete.

Ele foi oficialmente designado para essa função pela Portaria CECIERJ nº 649, de 15 de outubro de 2024.

O Encarregado atua como ponto de contato entre a Universidade, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD), garantindo o cumprimento da LGPD na instituição.

De acordo com a LGPD, o Artigo 41, § 2º, estabelece as seguintes responsabilidades do Encarregado pelo Tratamento de Dados Pessoais:

1. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
2. Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar as providências necessárias;
3. Orientar os funcionários e contratados da instituição sobre as práticas relacionadas à proteção de dados pessoais;
4. Executar outras atribuições determinadas pelo controlador ou previstas em normas complementares.

Além disso, as atribuições do Encarregado pelo Tratamento de Dados Pessoais incluem:

• Auxiliar na gestão dos processos relacionados ao tratamento de dados pessoais, orientando e aconselhando a implementação de boas práticas e governança;

• Registro e comunicação de incidentes de segurança;
• Registro das operações de tratamento de dados pessoais;
• Relatório de impacto à proteção de dados pessoais;
• Mecanismos internos de supervisão e mitigação de riscos relativos ao tratamento de dados;
• Medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer tratamento inadequado ou ilícito;
• Processos e políticas internas para assegurar o cumprimento da LGPD e das normas da ANPD;
• Instrumentos contratuais que regulem questões relativas ao tratamento de dados pessoais;
• Transferências internacionais de dados;
• Regras de boas práticas, governança e programas de governança em privacidade;
• Produtos e serviços que adotem design compatível com a LGPD, incluindo privacidade por padrão e limitação da coleta ao mínimo necessário;
• Outras atividades e decisões estratégicas relacionadas ao tratamento de dados pessoais.

Ao receber comunicações da ANPD, o Encarregado deve:

• Encaminhar a demanda para as unidades internas competentes;
• Fornecer orientação e assistência necessárias ao agente de tratamento;
• Indicar expressamente o representante do agente de tratamento perante a ANPD para processos administrativos, quando essa função não for exercida pelo próprio Encarregado.

Além disso, os setores da Fundação CECIERJ devem garantir apoio ao Encarregado pelo Tratamento de Dados Pessoais para o exercício de suas funções e divulgar sua identidade e contatos em seus canais eletrônicos, como formulários, editais etc, garantindo transparência e fácil acesso à comunidade.

LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)

Encarregado pelo Tratamento de Dados Pessoais da Fundação CECIERJ:

• Leonardo Costa Farias
• E-mail: dpo@cecier.edu.br
• Site: www.cecierj.edu.br/lgpd
• Unidade SEI: CHEGAB 

A LGPD foi promulgada em 2018 e tem como objetivo regulamentar o tratamento de dados pessoais para garantir o livre desenvolvimento da personalidade e a dignidade da pessoa humana. Para isso, a lei estabelece uma série de regras a serem seguidas pelos Agentes de Tratamento, incluindo o Poder Público.

O termo “Poder Público” é definido pela LGPD de forma ampla e inclui órgãos ou entidades dos entes federativos (União, Estados, Distrito Federal e Municípios) e dos três Poderes (Executivo, Legislativo e Judiciário), inclusive das Cortes de Contas e do Ministério Público. Assim, os tratamentos de dados pessoais realizados por essas entidades e órgãos públicos devem observar as disposições da LGPD, ressalvadas as exceções previstas no art. 4º da lei.

A LGPD visa, ainda, assegurar que dados pessoais sejam utilizados de forma transparente e com fins legítimos, ao mesmo tempo garantindo os direitos dos titulares. Especificamente em relação ao Poder Público, a LGPD (art. 55–J, xi e xvi) prevê que a Autoridade Nacional de Proteção de Dados (ANPD) pode solicitar informe específico sobre o âmbito, a natureza dos dados e demais detalhes envolvidos na operação, bem como realizar auditorias sobre o tratamento de dados pessoais. O art. 52, § 3°, estabelece quais sanções podem ser aplicadas às entidades e aos órgãos públicos, com expressa exclusão das penalidades de multa simples ou diária previstas nesta Lei.

A ANPD é o órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para sua implementação, no que se inclui a deliberação administrativa, em caráter terminativo, sobre a interpretação da lei e sobre as suas próprias competências e casos omissos (art. 55–K, parágrafo único; art. 55–J, xx).

Além disso, a ANPD detém competência exclusiva para aplicar as sanções administrativas previstas na LGPD, com prevalência de suas competências sobre outras correlatas de entidades e órgãos da administração pública no que se refere à proteção de dados pessoais (art. 55–K).

Assim, a ANPD possui competência originária, específica e uniformizadora no que concerne à proteção de dados pessoais e à aplicação da LGPD, previsão legal que deve ser interpretada de forma a se compatibilizar com a atuação de outros entes públicos que possam eventualmente tratar sobre o tema. A esse respeito, a LGPD (art. 55–J, § 3º) estabelece que a ANPD deve atuar em coordenação e articulação com outros órgãos e entidades públicas, visando assegurar o cumprimento de suas atribuições com maior eficiência e promover o adequado funcionamento dos setores regulados.

O servidor público que infrinja a LGPD também é passível de responsabilização administrativa pessoal e autônoma, conforme o art. 28 do Decreto Lei n° 4.657, de 4 de setembro de 1942 (Lei de Introdução às normas do Direito Brasileiro). Dessa forma, tratar dados pessoais indevidamente, como, por exemplo, vendendo banco de dados, alterando ou suprimindo cadastros de forma inadequada ou usando dados pessoais para fins ilegítimos pode levar à responsabilização do servidor público que praticou o ato ilegal.

Segundo entendimento firmado por unanimidade pelo Supremo Tribunal Federal, se forem desobedecidas as diretrizes da LGPD, o Estado responderá objetivamente pelos danos causados às pessoas. E o servidor público que dolosamente violar o dever de publicidade estabelecido no artigo 23, I, da LGPD responderá por ato de improbidade administrativa, do artigo 11, IV, da Lei 8.429/1992. Os ministros concederam interpretação conforme a Constituição ao Decreto 10.046/2019, que trata do compartilhamento de dados no âmbito da administração pública federal e instituiu o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.

A observância dos princípios (art. 6º, LGPD) constitui parte essencial do tratamento de dados pessoais. Os princípios previstos na LGPD deverão observar a boa-fé e estão descritos, a seguir:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Como regra geral, os princípios devem ser interpretados em conjunto e de forma sistemática com as disposições do Capítulo IV da LGPD (arts. 23 a 30), no qual se encontram normas específicas direcionadas ao Poder Público.

O compartilhamento de dados pessoais é a operação de tratamento pela qual órgãos e entidades públicos conferem permissão de acesso ou transferem uma base de dados pessoais a outro ente público ou a entidades privadas visando ao atendimento de uma finalidade pública. De forma mais específica, a lgpd utiliza o termo “uso compartilhado de dados”, que é definido como a “comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.” 

• ( a ) Formalização e registro: O uso compartilhado de dados pessoais pelo Poder Público deve ser formalizado, seja em atenção às normas gerais que regem os procedimentos administrativos, seja em atenção à obrigatoriedade de registro das operações de tratamento, conforme disposto no art. 37 da LGPD. Para tanto, recomenda-se a instauração de processo administrativo, do qual constem os documentos e as informações pertinentes, incluindo análise técnica e jurídica, conforme o caso, que exponham a motivação para a realização do compartilhamento e a sua aderência à legislação em vigor. Além disso, recomenda-se que o compartilhamento seja estabelecido em ato formal, a exemplo de contratos, convênios ou instrumentos congêneres firmados entre as partes. Outra possibilidade é a expedição de decisão administrativa pela autoridade competente, que autorize o acesso aos dados e estabeleça os requisitos definidos como condição para o compartilhamento;
• (b) Objeto e finalidade: Independentemente da opção adotada para a formalização e registro, os dados pessoais, objeto de compartilhamento, devem ser indicados de forma objetiva e detalhada, limitando-se ao que for estritamente necessário para as finalidades do tratamento, em conformidade com o princípio da necessidade. Por sua vez, a finalidade deve ser específica, com a indicação precisa, por exemplo, de qual iniciativa, ação ou programa será executado, ou, ainda, de qual atribuição legal será cumprida mediante o compartilhamento dos dados pessoais. Nessa linha, o art. 26 da LGPD estabelece que “o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei.” Finalidades descritas de forma genérica ou indeterminada contrariam as disposições da LGPD, além de precedentes firmados pelo Supremo Tribunal Federal (STF) em casos similares;
• (c) Hipótese legal de Tratamento: O terceiro requisito a ser atendido para o uso compartilhado de dados pessoais pelo Poder Público é a definição da base legal, conforme art. 7º ou, no caso de dados sensíveis, art. 11 da LGPD, nos termos das orientações apresentadas neste Guia. Recomenda-se, nesse sentido, que o ato que autoriza ou formaliza o compartilhamento contenha expressa indicação da base legal utilizada;
• (d) Duração do tratamento: O tratamento de dados pessoais é um processo com duração definida, após o qual, em regra, os dados pessoais devem ser eliminados, observados as condições e os prazos previstos em normas específicas que regem a gestão de documentos e arquivos. Vale ressaltar que o art. 16 da LGPD estabelece hipóteses gerais em que é autorizada a conservação de dados pessoais. A delimitação do período de duração do uso compartilhado dos dados também é relevante para o fim de reavaliação periódica do instrumento que autorizou o compartilhamento, incluindo a possibilidade de sua adequação a novas disposições legais e regulamentares ou a previsão de novas medidas de segurança, de acordo com as tecnologias disponíveis. Portanto, o instrumento que autoriza ou formaliza o compartilhamento deve estabelecer, de forma expressa, o período de duração do uso compartilhado dos dados, além de esclarecer, conforme o caso, se há a possibilidade de conservação ou se os dados devem ser eliminados após o término do tratamento;
• (e) Transparência e direitos dos titulares: Os atos que regem e autorizam o compartilhamento de dados pessoais devem prever as formas de atendimento ao princípio da transparência (art. 6º, vi), assegurando a disponibilização de informações claras, precisas e facilmente acessíveis aos titulares sobre a realização do compartilhamento e sobre como exercer seus direitos, conforme as orientações apresentadas neste Guia. Constitui uma boa prática divulgar, na página eletrônica dos órgãos e das entidades responsáveis, as informações pertinentes, nos termos do art. 23, i, da lgpd. Adicionalmente, recomenda-se que sejam delimitadas as obrigações das partes no que se refere: (i) à divulgação das informações exigidas pela lgpd; e (ii) às responsabilidades e aos procedimentos a serem observados visando ao atendimento de solicitações apresentadas pelos titulares;
• ( f ) Prevenção e segurança: Também é importante que sejam estabelecidas as medidas de segurança, técnicas e administrativas, que serão adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 6º, vii, e 46, da LGPD). Estas medidas, que devem ser proporcionais aos riscos às liberdades civis e aos direitos fundamentais dos cidadãos envolvidos no caso concreto, deverão estar previstas nos atos que regem e autorizam o compartilhamento dos dados;
• (g) Outros requisitos: Além dos indicados acima, pode ser necessário atender a outros requisitos, que decorram das peculiaridades do caso concreto ou de determinações provenientes de normas específicas. É o caso de eventual novo compartilhamento ou transferência posterior dos dados, a ser efetuado pelo recebedor dos dados no âmbito do próprio setor público ou para entes do setor privado. Entre outras possibilidades, o instrumento que rege o uso compartilhado dos dados pode vedar a realização de novo compartilhamento ou, ainda, autorizá-lo sob determinadas condições, observadas as normas aplicáveis. Por exemplo, no caso de dados pessoais disponibilizados para a realização de estudos em saúde pública, a LGPD veda que o órgão de pesquisa responsável transfira os dados a terceiro (art. 13, § 2º).

Deve ficar claro, em suma, quais dados pessoais serão compartilhados, bem como por que e para que serão compartilhados. Por exemplo, o ato formal pode prever que “serão compartilhados com a Entidade Pública x os dados pessoais que constam da base de dados do Órgão Público y, consistentes em nome, CPF e endereço residencial, para a finalidade específica de realização de cadastro e identificação de cidadãos aptos ao recebimento do benefício social de que trata a Lei n.º xyz”. Por fim, em qualquer hipótese, deve ser avaliada a compatibilidade entre a finalidade original da coleta e a finalidade do compartilhamento dos dados.