A Lei n. 13.709, de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados Pessoais - LGPD, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Boa parte dos processos de trabalho de uma instituição pública passam pelo tratamento de dados pessoais. Via de regra, estes dados são coletados para atender uma finalidade específica e ao longo do tempo podem ser utilizados em diversos processos de trabalho.
A LGPD veio para organizar a forma como os dados pessoais devem ser tratados, estabelecendo as medidas de segurança necessárias a todas as etapas do tratamento deles, bem como os principais responsáveis pelo tratamento desses.
A implementação da LGPD trará significativas mudanças na ordem de tratamento, recepção e gestão dos dados pessoais, representando maior segurança para Instituição e seus usuários, que terão garantia de observância de seus direitos, especialmente quanto à utilização legítima dos dados para as finalidades para os quais foram colhidos.
A LGPD está dividida em 10 capítulos e 65 artigos.
O capítulo I é dedicado às disposições gerais, nele são encontrados os princípios que fundamentam a proteção de dados pessoais (art. 2º), o âmbito de aplicação territorial da lei (art. 3º) e conceitos básicos (art. 5º).
Estão expressamente estabelecidos na LGPD os seguintes fundamentos (art. 2º):
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Além disso, o art. 4º da Lei apresenta, de forma taxativa, as situações de tratamento de dados pessoais excluídas de sua regulamentação, quais sejam:
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II - realizado para fins exclusivamente jornalísticos, artístico e acadêmico (aplicando-se a esta última hipótese os arts. 7º e 11 da LGPD);
III - realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, ou;
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.
Em relação à classificação dos dados pessoais, é feita a distinção entre dados pessoais e dados pessoais sensíveis (art. 5º).
O dado é considerado pessoal quando permite a identificação, direta ou indireta, da pessoa à qual se refere, como, por exemplo, nome, sobrenome, data de nascimento, CPF, RG, CNH, carteira de trabalho, passaporte, título de eleitor, endereço residencial ou comercial, telefone, etc. Já o dado sensível é o caracterizado como íntimo, podendo ser utilizado para fins discriminatórios, como, por exemplo, referente à origem étnica ou raça, à convicção religiosa, à opinião política, à filiação a sindicato ou organização de caráter religioso, filosófico ou político, à saúde ou à vida sexual, a aspecto dado genético ou biométrico.
Segundo o inciso X, do art. 5º da nova Lei, considera-se “tratamento de dados” qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo, coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
A seguir, em detalhes, cada uma das operações de tratamento, conforme explicação apresentada no Guia de Boas Práticas para Implementação da LGPD na Administração Pública Federal:
ACESSO - ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique;
ARMAZENAMENTO - ação ou resultado de manter ou conservar em repositório o dado;
ARQUIVAMENTO - ato ou efeito de manter registrado o dado embora já tenha perdido a validade ou esgotado a sua vigência;
AVALIAÇÃO - analisar o dado com o objetivo de produzir informação;
CLASSIFICAÇÃO - maneira de ordenar os dados conforme algum critério estabelecido;
COLETA – recolhimento dos dados com finalidade específica;
COMUNICAÇÃO - transmitir informações pertinentes a políticas de ação sobre os dados;
CONTROLE - ação ou poder de regular, determinar ou monitorar as ações sobre o dado;
DIFUSÃO - ato ou efeito de divulgação, propagação, multiplicação dos dados;
DISTRIBUIÇÃO - ato ou efeito de dispor dos dados de acordo com algum critério estabelecido;
ELIMINAÇÃO - ato ou efeito de excluir ou destruir o dado do repositório;
EXTRAÇÃO - ato de copiar ou retirar os dados do repositório em que se encontrava;
MODIFICAÇÃO - ato ou efeito de alteração do dado;
PROCESSAMENTO - ato ou efeito de processar os dados visando organizá-los para obtenção de um resultado determinado;
PRODUÇÃO - criação de bens e de serviços a partir do tratamento dos dados;
RECEPÇÃO - ato de receber os dados ao final da transmissão;
REPRODUÇÃO - cópia do dado preexistente obtido por meio de qualquer processo;
TRANSFERÊNCIA - mudança dos dados de uma área de armazenamento para outra, ou para terceiro;
TRANSMISSÃO - movimentação dos dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos, etc.;
UTILIZAÇÃO - ato ou efeito do aproveitamento dos dados.
Entre os principais papéis definidos na Legislação, merecem ser destacados o titular, o controlador, o operador e o encarregado pelo tratamento de dados pessoais (os últimos três são identificados como agentes de tratamento de dados pessoais), que possuem suas atribuições definidas na própria Lei, da seguinte forma:
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5º, V);
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º, VI);
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, VII);
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
As atividades de tratamento de dados pessoais deverão observar os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas, como previsto no art. 6º da Lei.
No capítulo II são apresentados os requisitos para o tratamento de dados pessoais, dados pessoais sensíveis, dados pessoais de criança e de adolescente, e as hipóteses de término do tratamento de dados.
No artigo 7° estão previstas as bases legais de tratamento de dados pessoais, que constituem dez hipóteses, e os requisitos para execução de tal procedimento:
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
IX - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
§ 1º (Revogado).
§ 2º (Revogado).
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.
§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.
No caso do setor público, a principal finalidade do tratamento está relacionada à execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres (inciso III, art. 7º). O tratamento para cumprimento de obrigação legal ou regulatória pelo controlador também é uma hipótese comum no serviço público (inciso II, art. 7º). Nessas duas situações, o consentimento do titular de dados é dispensado.
Outrossim, o consentimento do titular pode ser necessário para finalidades determinadas. Quando isso ocorrer, as autorizações genéricas para o tratamento de dados pessoais serão consideradas nulas.
Os direitos dos titulares são apresentados no capítulo III, com estabelecimento dos mecanismos de exercícios desses direitos, descrição dos prazos e formas de atendimento das requisições.
O capítulo IV é dedicado ao tratamento de dados pessoais pelo Poder Público e a sua responsabilização em caso de infração à LGPD.
O capítulo V trata da transferência internacional de dados, e o capítulo VI trata dos agentes de tratamento de dados pessoais, da responsabilidade dos agentes e do ressarcimento de danos.
O capítulo VII trata da segurança e das boas práticas a serem adotadas no tratamento de dados pessoais, enquanto o capítulo VIII trata da fiscalização da proteção de dados pessoais, apresentando o rol de sanções administrativas que podem ser aplicadas pela ANPD.
O capítulo IX trata especificamente da Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República, e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
Por fim, o capítulo X trata das disposições finais e transitórias.
Confira o texto completo da Lei Geral de Proteção de Dados Pessoais - LGPD.