Perguntas e respostas

1. O que é a Lei Geral de Proteção de Dados Pessoais (LGPD)?

A LGPD é aplicada ao tratamento de dados pessoais, dispostos em meio físico ou digital, realizado por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais. Estabelece regras específicas para o tratamento, uso e para a proteção da privacidade de dados pessoais.

A Lei nº 13.709, de 14 de agosto de 2018, entrou em vigor de maneira escalonada:

• Em 28 de dezembro de 2018, com referência aos artigos 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam da constituição da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD).

• Em 18 de setembro de 2020, com referência aos demais artigos da Lei, com exceção dos dispositivos que tratam da aplicação de sanções administrativas.

• Em 1º de agosto de 2021, com referência aos artigos 52, 53 e 54, que tratam das sanções administrativas.

2. O Poder Público também está sujeito às disposições da LGPD?

Sim. Segundo a LGPD, o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública e na busca do interesse público.

3. O que muda com a Lei LGPD?

A LGPD permite que qualquer titular questione como as informações cadastradas pelo controlador ou operador de dados pessoais são usadas. Informações como nome completo, endereço, número de telefone, dados bancários, orientação sexual, preferência política, entre diversas outras. A Lei também define por qual razão e por quanto tempo eles mantêm essas informações salvas.

4. O que são dados pessoais e dados pessoais sensíveis?

Os dados pessoais são informações relacionadas a pessoa natural identificada ou identificável. São exemplos de dados pessoais: nome, endereço, e-mail, identidade, CPF, dados de localização, endereço de IP (protocolo de internet), etc.

Os dados pessoais sensíveis são informações que podem causar impacto para a vida pessoal e/ou profissional do titular, caso expostos. Por exemplo, dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, etc.

5. Como distinguir dados pessoais de dados pessoais sensíveis?

A LGPD expõe que dados pessoais são quaisquer informações relacionadas a alguma pessoa identificada ou que permitam a sua identificação. Já os dados pessoais sensíveis são aqueles que se referem às questões mais delicadas da expressão da autonomia individual, tais como convicção religiosa, opinião política, dado genético ou biométrico.

6. O que é um dado anonimizado?

Dado anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível.

7. Quais são os principais atores da Lei Geral de Proteção de Dados Pessoais (LGPD)?

Na concepção da LGPD existe o papel do Controlador, do Operador, do Encarregado e do Titular dos dados.

O Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

O Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, ou seja, são aqueles que possuem acesso aos dados dos usuários.

O Encarregado é a pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, os Titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

O Titular é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Na UFPA, entende-se que os titulares dos dados pessoais podem ser Alunos, Servidores, Terceirizados, Parceiros e Comunidade.

8. O que é a Autoridade Nacional de Proteção de Dados Pessoais (ANPD)?

A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.

9. Quais são os tipos de tratamento de dados pessoais considerados pela LGPD?

O tratamento de dados pessoais refere-se a qualquer operação de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais e dados pessoais sensíveis.

10. Em quais situações a UFPA se enquadra para tratamento dos dados pessoais?

No caso da UFPA, atuante no setor público, a principal finalidade do tratamento está relacionada à execução de políticas públicas, devidamente previstas em lei, não havendo necessidade de consentimento do titular, nessa hipótese, conforme artigo 7º da LGPD:

O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (...) III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta lei;(...)

11. Em quais situações a Lei Geral de Proteção de Dados Pessoais (LGPD) não se enquadra para tratamento de dados pessoais?

A LGPD não se aplica ao tratamento de dados pessoais:

• por uma pessoa física, para fins exclusivamente particulares, e não econômicos;

• para fins exclusivamente jornalísticos, artísticos e acadêmicos;

• para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; e

• provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

12. Como os servidores devem proceder no tratamento dos dados pessoais?

Os servidores devem evitar qualquer tipo de tratamento dos dados pessoais que extrapole o objetivo da coleta desses dados, sem autorização dos titulares, ou seja, sem a previsão legal das hipóteses previstas na LGPD. Desta forma, no tratamento dos dados, as Unidades devem esclarecer a finalidade de cada dado pessoal solicitado, sendo necessária a avaliação constante quanto a necessidade ou não dos dados que estão sendo tratados. Portanto, deve-se evitar o compartilhamento indevido dos dados e a exposição desnecessária dos mesmos, como em páginas de internet e murais. Recomenda-se, por exemplo, a publicação de resultados de editais através do nome dos candidatos/número de matrícula/inscrição, ao invés do CPF dos titulares ou RG. 

13. Os dados pessoais podem ser compartilhados com outras instituições públicas?

O uso compartilhado de dados pessoais pelos Órgãos Públicos deve atender as finalidades específicas de execução de políticas públicas, como no caso de informações ao INSS, MEC, CGU, TCU etc. O compartilhamento dos dados dentro da administração pública no âmbito da execução de políticas públicas é previsto na lei e dispensa o consentimento específico (autorização específica dada pelo titular, para tratamento dos seus dados), sendo necessário especificar claramente que os dados serão compartilhados.

14. Quais sanções podem ser aplicadas à UFPA em caso de irregularidades perante a LGPD?

• • • • • • • Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na LGPD, ficam sujeitos às seguintes sanções administrativas aplicáveis pela ANPD:

            • advertência, com indicação de prazo para adoção de medidas corretivas;

            • publicização da infração após devidamente apurada e confirmada a sua ocorrência;

            • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

            • eliminação dos dados pessoais a que se refere a infração;

            • suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; 

            • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e 

            • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. 

15. Quais comportamentos (ações e abstenções) básicos contribuem para evitar o vazamento de dados?

• adotar medidas de segurança no descarte de papéis ou documentos que contenham dados pessoais;

• não deixar papéis e documentos à vista;

• guardar papéis e documentos em local apropriado e seguro;

• utilizar a opção sair ou desconectar para fechar qualquer sistema em uso;

• evitar marcar as opções “Lembrar-me da senha” ou “Mantenha-me conectado”;

• não compartilhar senha;

• comunicar ao órgão competente falhas de segurança;

• não usar o e-mail funcional para fins particulares;

• não postar nas redes sociais dados pessoais e sensíveis de terceiros;

• utilizar a função bloqueio quando se ausentar da estação de trabalho;

• não deixar a tela do computador exposta/aberta quando estiver ausente, ainda que temporariamente, da estação de trabalho; e

• não fornecer dados pessoais por e-mail, telefone ou qualquer outro canal inapropriado.

16. O usuário pode solicitar a exclusão de dados pessoais?

O Capítulo III da LGPD, que trata dos direitos do titular, em seu art. 18, inciso VI, diz que um desses direitos é a solicitação da eliminação de dados. Contudo, é necessário atenção ao inciso II do parágrafo 4º desse mesmo artigo, segundo o qual o controlador (no caso, a UFPA), pode indicar as razões de fato ou de direito que impeçam a execução dessa solicitação. Além disso, diz o art. 16: “Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I – Cumprimento de obrigação legal ou regulatória pelo controlador”.

17. A LGPD impede a publicação dos dados do servidor público no Portal da Transparência?

Não. A questão da divulgação de dados de servidores foi objeto de questionamento, inclusive judicial, mas os tribunais (como o Tribunal Regional Federal da 1ª Região, o Tribunal Superior do Trabalho e o Supremo Tribunal Federal) já se manifestaram no sentido de permitir a publicidade dos dados. Em decisão unânime proferida em abril de 2011, os ministros do Supremo Tribunal Federal concluíram que “a pessoa que decide ingressar no serviço público adere ao regime jurídico próprio da Administração Pública, que prevê a publicidade de todas as informações de interesse da coletividade”. A remuneração dos agentes públicos é informação de interesse coletivo e fortalece o controle social, por isso, a princípio, não há mudança com a entrada em vigência da LGPD.

Mais informações:

BRASIL. Supremo Tribunal Federal. Recurso extraordinário com agravo 652.777 do município de São Paulo. Constitucional. publicação, em sítio eletrônico mantido pelo município de São Paulo, do nome de seus servidores e do valor dos correspondentes vencimentos. Legitimidade. Relator: Min. Teori Zavascki. 23 de abril de 2015. Disponível em: (https://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=8831570).
 

18. A LGPD se aplica apenas ao tratamento de dados pessoais coletados na internet?

Não. A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenham como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente desses dados pessoais terem sido coletados em meios físicos ou digitais.

19. Sou servidor e lido com dados pessoais. O que devo fazer?

O mais importante nesse momento é deixar claro aos titulares o que está sendo feito com seus dados pessoais e não fazer nenhum tipo de tratamento (ver pergunta 3) que extrapole esse objetivo, sem autorização dos mesmos. Em um formulário de coleta na web, por exemplo, procure deixar clara a finalidade de cada informação, ou conjunto de informações, que estão sendo coletadas.

Além disso, deve-se ter o cuidado de não compartilhar os dados pessoais aos quais você tem acesso com ninguém, de dentro ou fora da universidade. E por compartilhamento, entende-se: conceder acesso a bancos de dados, enviar e-mails com dados pessoais para qualquer pessoa, tramitar documentos físicos (papel) ou deixá-los acessíveis sem procedimentos de segurança, entre quaisquer outras medidas que você mesmo possa identificar no seu dia-a-dia para proteger os dados com os quais você tem contato.

Lembre-se, estamos falando de uma mudança de cultura em toda a universidade e o cuidado com os dados pessoais é responsabilidade de cada um. 63% dos vazamentos de dados são causados por erro humano, então, fique atento!

Eventualmente, a UFPA disponibilizará cursos e eventos de capacitação para melhor orientá-lo sobre as boas práticas a serem adotadas.

20. Sou professor e publico dados de estudantes ou videoaulas em meu website. O que muda?

É importante deixar o mínimo de dados pessoais expostos, seja em websites, seja em murais físicos. Se há uma lista da turma com as notas dos estudantes que esteja pública, coloque o nome/número de matrícula, ao invés de CPF, por exemplo.

Se há vídeos em que os estudantes estejam expostos, uma alternativa é solicitar seu consentimento por escrito antes de publicá-lo. Contudo, lembre-se de que você deverá manter um arquivo desses consentimentos e de que eles poderão ser revogados pelos estudantes a qualquer momento, então uma alternativa melhor talvez fosse fazer um tratamento na imagem de maneira que aquele estudante não possa ser identificado(a).

Lembre-se, nada (além do que está previsto nos Incisos II a X do art. 7º da Lei 13.709/2018) deve ser feito com os dados dos estudantes sem seu consentimento. Na dúvida, procure sempre anonimizar os dados com os quais você lida e nunca os compartilhar com terceiros, seja de dentro ou de fora da universidade.