Perguntas e respostas

A LGPD é aplicada ao tratamento de dados pessoais, dispostos em meio físico ou digital, realizado por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais. Estabelece regras específicas para o tratamento, uso e para a proteção da privacidade de dados pessoais.

A Lei nº 13.709, de 14 de agosto de 2018, entrou em vigor de maneira escalonada:

 

Sim. Segundo a LGPD, o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública e na busca do interesse público.

 

A LGPD permite que qualquer titular questione como as informações cadastradas pelo controlador ou operador de dados pessoais são usadas. Informações como nome completo, endereço, número de telefone, dados bancários, orientação sexual, preferência política, entre diversas outras. A Lei também define por qual razão e por quanto tempo eles mantêm essas informações salvas.

 

Os dados pessoais são informações relacionadas a pessoa natural identificada ou identificável. São exemplos de dados pessoais: nome, endereço, e-mail, identidade, CPF, dados de localização, endereço de IP (protocolo de internet), etc.

Os dados pessoais sensíveis são informações que podem causar impacto para a vida pessoal e/ou profissional do titular, caso expostos. Por exemplo, dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, etc.

 

A LGPD expõe que dados pessoais são quaisquer informações relacionadas a alguma pessoa identificada ou que permitam a sua identificação. Já os dados pessoais sensíveis são aqueles que se referem às questões mais delicadas da expressão da autonomia individual, tais como convicção religiosa, opinião política, dado genético ou biométrico.

 

Dado anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível.

 

Na concepção da LGPD existe o papel do Controlador, do Operador, do Encarregado e do Titular dos dados.

O Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

O Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, ou seja, são aqueles que possuem acesso aos dados dos usuários.

O Encarregado é a pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, os Titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

O Titular é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Na UFPA, entende-se que os titulares dos dados pessoais podem ser Alunos, Servidores, Terceirizados, Parceiros e Comunidade.

 

A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.


O tratamento de dados pessoais refere-se a qualquer operação de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais e dados pessoais sensíveis.

 

No caso da UFPA, atuante no setor público, a principal finalidade do tratamento está relacionada à execução de políticas públicas, devidamente previstas em lei, não havendo necessidade de consentimento do titular, nessa hipótese, conforme artigo 7º da LGPD:

O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (...) III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta lei;(...)

 

A LGPD não se aplica ao tratamento de dados pessoais:

 

Os servidores devem evitar qualquer tipo de tratamento dos dados pessoais que extrapole o objetivo da coleta desses dados, sem autorização dos titulares, ou seja, sem a previsão legal das hipóteses previstas na LGPD. Desta forma, no tratamento dos dados, as Unidades devem esclarecer a finalidade de cada dado pessoal solicitado, sendo necessária a avaliação constante quanto a necessidade ou não dos dados que estão sendo tratados. Portanto, deve-se evitar o compartilhamento indevido dos dados e a exposição desnecessária dos mesmos, como em páginas de internet e murais. Recomenda-se, por exemplo, a publicação de resultados de editais através do nome dos candidatos/número de matrícula/inscrição, ao invés do CPF dos titulares ou RG. 


O uso compartilhado de dados pessoais pelos Órgãos Públicos deve atender as finalidades específicas de execução de políticas públicas, como no caso de informações ao INSS, MEC, CGU, TCU etc. O compartilhamento dos dados dentro da administração pública no âmbito da execução de políticas públicas é previsto na lei e dispensa o consentimento específico (autorização específica dada pelo titular, para tratamento dos seus dados), sendo necessário especificar claramente que os dados serão compartilhados.

 

 

O Capítulo III da LGPD, que trata dos direitos do titular, em seu art. 18, inciso VI, diz que um desses direitos é a solicitação da eliminação de dados. Contudo, é necessário atenção ao inciso II do parágrafo 4º desse mesmo artigo, segundo o qual o controlador (no caso, a UFPA), pode indicar as razões de fato ou de direito que impeçam a execução dessa solicitação. Além disso, diz o art. 16: “Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I – Cumprimento de obrigação legal ou regulatória pelo controlador”.

 

Não. A questão da divulgação de dados de servidores foi objeto de questionamento, inclusive judicial, mas os tribunais (como o Tribunal Regional Federal da 1ª Região, o Tribunal Superior do Trabalho e o Supremo Tribunal Federal) já se manifestaram no sentido de permitir a publicidade dos dados. Em decisão unânime proferida em abril de 2011, os ministros do Supremo Tribunal Federal concluíram que “a pessoa que decide ingressar no serviço público adere ao regime jurídico próprio da Administração Pública, que prevê a publicidade de todas as informações de interesse da coletividade”. A remuneração dos agentes públicos é informação de interesse coletivo e fortalece o controle social, por isso, a princípio, não há mudança com a entrada em vigência da LGPD.

Mais informações:

BRASIL. Supremo Tribunal Federal. Recurso extraordinário com agravo 652.777 do município de São Paulo. Constitucional. publicação, em sítio eletrônico mantido pelo município de São Paulo, do nome de seus servidores e do valor dos correspondentes vencimentos. Legitimidade. Relator: Min. Teori Zavascki. 23 de abril de 2015. Disponível em: (https://redir.stf.jus.br/paginadorpub/paginador.jsp?docTP=TP&docID=8831570).
 

Não. A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenham como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente desses dados pessoais terem sido coletados em meios físicos ou digitais.


O mais importante nesse momento é deixar claro aos titulares o que está sendo feito com seus dados pessoais e não fazer nenhum tipo de tratamento (ver pergunta 3) que extrapole esse objetivo, sem autorização dos mesmos. Em um formulário de coleta na web, por exemplo, procure deixar clara a finalidade de cada informação, ou conjunto de informações, que estão sendo coletadas.

Além disso, deve-se ter o cuidado de não compartilhar os dados pessoais aos quais você tem acesso com ninguém, de dentro ou fora da universidade. E por compartilhamento, entende-se: conceder acesso a bancos de dados, enviar e-mails com dados pessoais para qualquer pessoa, tramitar documentos físicos (papel) ou deixá-los acessíveis sem procedimentos de segurança, entre quaisquer outras medidas que você mesmo possa identificar no seu dia-a-dia para proteger os dados com os quais você tem contato.

Lembre-se, estamos falando de uma mudança de cultura em toda a universidade e o cuidado com os dados pessoais é responsabilidade de cada um. 63% dos vazamentos de dados são causados por erro humano, então, fique atento!

Eventualmente, a UFPA disponibilizará cursos e eventos de capacitação para melhor orientá-lo sobre as boas práticas a serem adotadas.


É importante deixar o mínimo de dados pessoais expostos, seja em websites, seja em murais físicos. Se há uma lista da turma com as notas dos estudantes que esteja pública, coloque o nome/número de matrícula, ao invés de CPF, por exemplo.

Se há vídeos em que os estudantes estejam expostos, uma alternativa é solicitar seu consentimento por escrito antes de publicá-lo. Contudo, lembre-se de que você deverá manter um arquivo desses consentimentos e de que eles poderão ser revogados pelos estudantes a qualquer momento, então uma alternativa melhor talvez fosse fazer um tratamento na imagem de maneira que aquele estudante não possa ser identificado(a).

Lembre-se, nada (além do que está previsto nos Incisos II a X do art. 7º da Lei 13.709/2018) deve ser feito com os dados dos estudantes sem seu consentimento. Na dúvida, procure sempre anonimizar os dados com os quais você lida e nunca os compartilhar com terceiros, seja de dentro ou de fora da universidade.