Privacidade e Proteção de Dados Pessoais

Lei n° 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD) objetiva proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade de cada indivíduo, regulando a forma como os dados pessoais são tratados por instituições públicas e privadas.

Segundo a LGPD, dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável. Logo, um dado é considerado pessoal quando permite a identificação direta ou indireta do indivíduo. Exemplos: nome, sobrenome, data de nascimento, documentos pessoais etc.

A lei ainda classifica alguns dados pessoais como sensíveis. São aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Diante da importância do tema, a LGPD estabeleceu diferentes princípios norteadores do tratamento de dados pessoais. Esses princípios reforçam o fato de que a nova lei busca modificar completamente a cultura e a tutela jurídica de dados pessoais na era da informação. Eis os princípios:

  • Livre Acesso e Transparência
  • Adequação
  • Necessidade
  • Qualidade de dados Dados
  • Segurança e Prevenção
  • Responsabilização e Prestação de Contas
  • Não Discriminação

Conheça o Termo de Esclarecimento sobre Tratamento de Dados Pessoais e a Política de privacidade e termos de uso.

A LGPD entende por tratamento toda operação realizada com dados pessoais, como produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

À vista disso, o tratamento de dados pessoais só poderá ser realizado nas seguintes situações:

  • Mediante o fornecimento de consentimento pelo titular;
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • Pela Administração Pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da LGPD;
  • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Por outro lado, os dados pessoais sensíveis só poderão ser tratados nas hipóteses a seguir:

  • Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
  • Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
    • Cumprimento de obrigação legal ou regulatória pelo controlador;
    • Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

  • Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  • Proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
  • Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Quando os dados pessoais forem referentes a crianças e adolescentes, o tratamento deverá ser realizado em seu melhor interesse.

Ao tempo em que a LGPD prevê a possibilidade de tratamento de dados, subordina as respectivas operações aos direitos do titular. São eles:

  • Confirmação da existência de tratamento (informação);
  • Acesso aos dados;
  • Correção de seus dados (incompletos, inexatos ou desatualizados);
  • Anonimização, bloqueio ou eliminação de dados (desnecessários, excessivos ou em desconformidade com a Lei);
  • Portabilidade dos dados;
  • Eliminação dos dados pessoais tratados com o consentimento do titular (exceto Artigo 16);
  • Informação sobre entidades com as quais os dados foram compartilhados;
  • Informação sobre a possibilidade de não fornecer consentimento e consequências;
  • Revogação do consentimento.

Formulário de Contato com a Ouvidoria pode ser usado para solicitação dos direitos do titular previsto na Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18) para o Tribunal Regional Eleitoral da Paraíba (TRE-PB).

Identificação do controlador e do encarregado pelo tratamento de dados pessoais na Justiça Eleitoral na Paraíba:

No âmbito da Justiça Eleitoral na Paraíba, o controlador é a Presidência do TRE-PB (Av. Princesa Isabel, 201, Centro, João Pessoa, PB, (83)3512-1250, 3512-1251 e 3512-1241 e ptre@tre-pb.jus.br) e o encarregado pelo Tratamento de Dados Pessoais é a Ouvidoria (Av. Princesa Isabel, 201, Centro, João Pessoa, PB, (83)3512-1381, 3512-1450 e 3512-1451 e ouvidoria@tre-pb.jus.br).

Segundo a LGPD, controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Nessa função, deverá indicar o encarregado de tratamento de dados pessoais, que é a pessoa incumbida de atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Suas atividades estão relacionadas com: aceitação de reclamações e comunicações dos titulares seguidas pela respectiva prestação de esclarecimentos e adoção de providências; recebimento de comunicações da autoridade nacional e adoção das correspondentes medidas; orientação aos funcionários e aos contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais. Além destas, cumpre ao encarregado a execução das demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Ainda na função de controlador dos dados pessoais que coleta, constituem obrigações do TRE-PB:

  • Elaborar relatório de impacto à proteção de dados pessoais;
  • Informar o titular do dado pessoal sobre alterações nas informações que caracterizam o tratamento dos dados;
  • Adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse;
  • Realizar todos os esforços razoáveis para verificar que o consentimento a para o tratamento de dados pessoais de crianças foi dado por seu responsável, consideradas as tecnologias disponíveis;
  • Fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial;
  • Criar e manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse;
  • Comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
  • Reparar os danos patrimonial, moral, individual ou coletivo causados em razão do exercício de atividade de tratamento de dados pessoais, decorrentes de violação à legislação de proteção de dados pessoais.

O uso compartilhado de dados pessoais pelo Poder Público deve:

  • Atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e entidades públicas;
  • Respeitar os princípios de proteção de dados pessoais previstos no art. 6º da LGPD.

Quando houver infração à LGPD em decorrência do tratamento de dados pessoais por órgãos públicos, a Autoridade Nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação, solicitando aos agentes públicos a publicação de relatórios de impacto à proteção de dados pessoais e sugerindo a adoção de padrões e de boas práticas para o tratamento de dados pessoais.

O controlador e os operadores (sendo estes últimos os responsáveis pelo tratamento de dados pessoais, no âmbito de suas competências) poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

Constitui medida recomendável a ser implementada o desenvolvimento de política de governança de dados precedida de mapeamento de dados realizados.