Proteção de Dados Pessoais

Lei de Acesso à Informação e Lei Geral de Proteção de Dados

A Lei n° 12.527/2011, conhecida como Lei de Acesso à Informação (LAI), teve por escopo dispor sobre o acesso a informações previsto na Constituição, obrigando os órgãos públicos a dar publicidade de seus atos, tornando a divulgação como regra e o sigilo exceção. Veio com o objetivo de inibir más condutas, prevenir a corrupção e extinguir o sigilo eterno de informações, estabelecendo prazos para sua disponibilização. Foi um meio de dar transparência à utilização dos recursos públicos em todos os níveis federativos, estimulando o controle por parte da sociedade, sendo considerada um salto positivo em relação à garantia de acesso à informação pública.

Ocorre que a LAI também trata dados pessoais e, sendo assim, pautada no tripé confidencialidade, integridade e disponibilidade, todos alinhados com os princípios da prevenção e da segurança, associa-se às disposições da Lei Geral de Proteção de Dados (LGPD), aprovada em agosto de 2018, mas com vigência a partir de agosto de 2020, que surgiu para criar um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária e dentro do país e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil.

Nesse contexto, a LAI previu no art. 31 uma seção inteira dedicada às informações pessoais (tratamento, acesso divulgação e restrição) e no art. 32, a responsabilização dos agentes públicos que descumprirem os deveres de zelo, sigilo e transparência com as informações públicas e pessoais.

Nos órgãos públicos, portanto, LAI e LGPD devem ser observadas em harmonia para que se complementem e se equilibrem, de maneira que, por exemplo, a negação de acesso a uma informação contrária ao interesse público não caracterize um controle irrestrito, quando se tratar de informação particular.

Vejamos um pouco mais sobre a nova LGPD.

Lei Geral de Proteção de Dados Pessoais

A Lei n° 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais – LGPD - objetiva proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade de cada indivíduo, regulando a forma como os dados pessoais são tratados por instituições públicas e privadas.

Segundo a LGPD, dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável. Ou seja, um dado é considerado pessoal quando ele permite a identificação direta ou indireta do indivíduo, como por exemplo: nome, sobrenome, data de nascimento, documentos pessoais etc.

A lei ainda classifica alguns dados pessoais como sensíveis: são aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

Princípios da LGPD

A LGPD estabeleceu diferentes princípios norteadores do tratamento de dados pessoais. Esses princípios reforçam o fato de que a nova lei busca modificar completamente a cultura e a tutela jurídica de dados pessoais na era da informação.

  • Livre Acesso e Transparência
  • Adequação
  • Necessidade
  • Qualidade de dados Dados
  • Segurança e Prevenção
  • Responsabilização e Prestação de Contas
  • Não Discriminação

Tratamento de Dados Pessoais

A LGPD entende como tratamento toda operação realizada com dados pessoais, como por exemplo coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

O tratamento de dados pessoais, segundo a LGPD, só poderá ser realizado nas seguintes situações:

  • Mediante o fornecimento de consentimento pelo titular;
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
  • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Por outro lado, os dados pessoais sensíveis só poderão ser tratados nas seguintes hipóteses:
  • Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
  • Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
    • Cumprimento de obrigação legal ou regulatória pelo controlador;
    • Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
    • Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
    • Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
    • Proteção da vida ou da incolumidade física do titular ou de terceiro;
    • Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
    • Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Quando os dados pessoais forem referentes a crianças e adolescentes, o tratamento deverá ser realizado em seu melhor interesse.

Obrigações dos controladores

Nos termos da LGPD, o TRE-PB é o controlador dos dados pessoais que coleta. Nesse sentido, são obrigações do TRE-PB como controlador:

  • Elaborar relatório de impacto à proteção de dados pessoais;
  • Informar o titular do dado pessoal sobre alterações nas informações que caracterizam o tratamento dos dados;
  • Adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse;
  • Realizar todos os esforços razoáveis para verificar que o consentimento a para o tratamento de dados pessoais de crianças foi dado por seu responsável, consideradas as tecnologias disponíveis;
  • Fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial;
  • Manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse;
  • Comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares;
  • Reparar os danos patrimonial, moral, individual ou coletivo causados em razão do exercício de atividade de tratamento de dados pessoais, decorrentes de violação à legislação de proteção de dados pessoais.

Direitos dos Titulares

O titular tem o direito de:

  • Confirmar a existência de tratamento (Informação);
  • Acessar os dados;
  • Correção de seus dados (incompletos, inexatos ou desatualizados);
  • Anonimização, bloqueio ou eliminação de dados (desnecessários, excessivos ou em desconformidade com a Lei);
  • Portabilidade dos dados;
  • Eliminação dos dados pessoais tratados com o consentimento do titular (exceto Artigo 16);
  • Informação sobre entidades com as quais os dados foram compartilhados;
  • Informação sobre a possibilidade de não fornecer consentimento e consequências;
  • Revogação do consentimento.

Registro de Processamento de Dados Pessoais e Encarregado

O TRE-PB como órgão controlador deverá criar e manter um registro das operações de tratamento de dados que realizar, devendo indicar o encarregado de tratamento de dados pessoais, cujas atividades se relacionam com a aceitação de reclamações e comunicações dos titulares; prestação de esclarecimentos e adoção de providências; recebimento de comunicações da autoridade nacional e adoção de providências;> Orientação aos funcionários e aos contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; execução das demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Compartilhamento de dados no âmbito da Administração Pública

O uso compartilhado de dados pessoais pelo Poder Público deve:

  • Atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas;
  • Respeitar os princípios de proteção de dados pessoais elencados no Artigo 6º da LGPD.

Responsabilidades

Quando houver infração à LGPD em decorrência do tratamento de dados pessoais por órgãos públicos, a Autoridade Nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação. A Autoridade Nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.

 

Boas Práticas e Governança

Os controladores e operadores pelo tratamento de dados pessoais, no âmbito de suas competências, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

O desenvolvimento de uma política de governança de dados precedida de um mapeamento de dados realizados é uma medida recomendável a ser implementada pelo setor público.

 

Dúvidas Frequentes