Proteção de Dados

Pessoais no Serviço
Público
Módulo

1 O Tratamento de Dados
Pessoais no Setor Público
Fundação Escola Nacional de Administração Pública

Presidente
Diogo Godinho Ramos Costa

Diretor de Educação Continuada

Paulo Marques

Coordenador-Geral de Educação a Distância

Carlos Eduardo dos Santos

Conteudista/s
Julierme Rodrigues da Silva (conteudista, 2019)

Curso produzido em Brasília 2019.

Enap, 2019

Enap Escola Nacional de Administração Pública

Diretoria de Educação Continuada
SAIS - Área 2-A - 70610-900 — Brasília, DF

Enap Fundação Escola Nacional de Administração Pública 2

Sumário
1. Lei Geral de Proteção de Dados Pessoais Brasileira........................ 5

2. Necessidade de Implementação versus Legislação e

Aplicabilidade................................................................................... 8

Enap Fundação Escola Nacional de Administração Pública 3

Enap Fundação Escola Nacional de Administração Pública 4
 1
Módulo
O Tratamento de Dados
Pessoais no Setor Público
1. Lei Geral de Proteção de Dados Pessoais Brasileira
A globalização e o rápido avanço
tecnológico dos meios de
comunicação apresentam novas
oportunidades como o comércio
internacional no espaço cibernético e
o compartilhamento em nível
mundial de dados e informações para
realização de pesquisa e
desenvolvimento. Com as
oportunidades, vêm também os
desafios de prover um intercâmbio
de dados e informações de maneira
segura e confiável sem expor os
dados dos cidadãos, organizações e
países a riscos como, entre outros, o
vazamento de informações sigilosas
como processo, fórmulas
patenteadas, segredos de negócio; a invasão da privacidade de cidadãos; e a exposição de
vulnerabilidades de fronteiras ou de infraestruturas críticas de um estado ou nação.

A informação é, atualmente, um dos ativos mais valiosos para as organizações de todo o mundo,
sejam elas públicas ou privadas. A Lei Geral de Proteção de Dados surgiu para atender a uma
necessidade global de intercambiar dados pessoais de maneira mais segura, mitigando os riscos
deste processo.

O dado é considerado pessoal quando permite a identificação, direta ou indireta, da pessoa

à qual o dado se refere, por exemplo: nome; sobrenome; data de nascimento; CPF; RG; CNH;
carteira de trabalho; passaporte; título de eleitor; endereço residencial ou comercial; telefone;
cookies; e endereço IP.

Ao se identificar uma pessoa por meio de uma combinação desse tipo de dado, é possível ter
acesso a algum dado sensível como origem étnica ou raça, convicção religiosa, opinião política,
filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à
saúde ou à vida sexual, dado genético ou biométrico.

Enap Fundação Escola Nacional de Administração Pública 5

A importância de se intercambiar dados pessoais e dados pessoais sensíveis de maneira segura
reside na necessidade de impedir que tais dados sejam utilizados para fraudes diversas, divulgados
sem autorização do titular, ou usados com intuito de discriminação ou perseguição política.

h,
Destaque,h
Em 14 de agosto de 2018, foi sancionada a Lei nº 13.709 – Lei Geral de Proteção
de Dados (LGPD) – que dispõe sobre a proteção de dados pessoais e altera a
Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet).

No Brasil, antes da LGPD, o Decreto nº 8.638, de 15 de janeiro de 2016, instituiu a Política de

Governança Digital no âmbito dos órgãos e das entidades da administração pública federal direta,
autárquica e fundacional. O artigo 4º do Decreto determina que:

Art. 4º O planejamento e a execução de programas, projetos e processos relativos à

governança digital pelos órgãos e pelas entidades da administração pública federal
direta, autárquica e fundacional deverão observar as seguintes diretrizes:

I - o autosserviço será a forma prioritária de prestação de serviços públicos disponibilizados

em meio digital;

II - serão oferecidos canais digitais de participação social na formulação, na

implementação, no monitoramento e na avaliação das políticas públicas e dos serviços
públicos disponibilizados em meio digital;

III - os dados serão disponibilizados em formato aberto, amplamente acessível e utilizável

por pessoas e máquinas, assegurados os direitos à segurança e à privacidade;

IV - será promovido o reuso de dados pelos diferentes setores da sociedade, com o

objetivo de estimular a transparência ativa de informações, prevista no art. 3º e no art.
8º da Lei nº 12.527, de 18 de novembro de 2011; e

V - observadas as disposições da Lei nº 12.527, de 2011, será implementado o

compartilhamento de dados entre os órgãos e as entidades da administração pública
federal direta, autárquica e fundacional, sempre que houver necessidade de simplificar
a prestação de serviços à sociedade.

Enap Fundação Escola Nacional de Administração Pública 6

Para efetivar as diretrizes da governança digital, foi elaborado um documento com os objetivos
estratégicos, as metas, os indicadores e as iniciativas da Política de Governança Digital do Poder
Executivo Federal, que é a Estratégia de Governança Digital (EGD). A Estratégia de Governança
Digital para os anos 2016-2019 tem como tema principal a “Transformação Digital: cidadania e
governo”. A Estratégia parte do pressuposto de que:

Uma transformação vem ocorrendo em todo o mundo e

alcançará a cada um de nós. A economia do futuro é digital
e cresce a um ritmo 2,5 vezes superior aos demais setores.
Globalmente, deve representar US$ 23 trilhões em 2025 e,
localmente, atingir 25% do PIB Brasileiro já em 2021.

Dessa forma, nos últimos anos, o Governo Brasileiro tem acelerado o processo de transformação
digital, no intuito de cumprir o compromisso de simplificar e ampliar a oferta dos serviços
públicos.

O propósito da EGD é orientar e integrar as iniciativas de transformação digital dos órgãos

e entidades do Poder Executivo Federal, por meio da expansão do acesso às informações
governamentais, da melhoria dos serviços públicos digitais e da ampliação da participação social.

O documento Estratégia Brasileira para Transformação Digital (e-Digital) segue nesse mesmo
caminho, como podemos constatar nos trechos introdutórios do documento transcritos a seguir:

As rápidas transformações na economia e na sociedade

proporcionadas pelo ambiente digital impõem novos desafios
à atuação do governo. As ações estratégicas definidas têm
foco no papel do governo como habilitador e facilitador dessa
transformação digital no setor produtivo do país, na capacitação
da sociedade para essa nova realidade, e na atuação do Estado
como prestador de serviços e garantidor de direitos.

As tecnologias digitais estão cada vez mais presentes na vida

de todos: em casa, no trabalho, nas escolas, nos meios de
comunicação e nas relações sociais. Para que o Brasil possa
tirar pleno proveito da revolução digital, colhendo todos os
benefícios que a sociedade da informação e do conhecimento
tem a oferecer, a economia nacional deve se transformar,
com dinamismo, competitividade e inclusão, absorvendo a

Enap Fundação Escola Nacional de Administração Pública 7

 digitalização em seus processos, valores e conhecimento.

A economia do futuro será digital e deverá alcançar todos os

brasileiros. Não é possível conceber uma economia moderna
e dinâmica que não proporcione igualdade de oportunidades
em todas as regiões do País.

Nesse momento de transformação digital no qual o Brasil se situa, a oferta de produtos, serviços
e informações de governo por meio digital deve vir acompanhada do respectivo desenvolvimento
e implementação de medidas de segurança capazes de assegurar a adequada proteção dos dados
pessoais que são necessariamente tratados pelos produtos ou serviços ofertados, garantindo
assim direitos constitucionais como a privacidade, intimidade e a inviolabilidade da honra e da
imagem das pessoas.

Além disso, propriedades como a disponibilidade, a integridade, a confidencialidade e a

autenticidade da informação em nível nacional, precisam ser asseguradas, conforme disposto
pelo caput do art. 1º do Decreto nº 9.637, de 26 de dezembro de 2018.

Logo, o Brasil apresenta a LGPD como forma de enfrentar os desafios apresentados pelos
avanços da era digital e, ao mesmo tempo, assegurar direitos constitucionais. Além disso, é
preciso considerar o contexto transfronteiriço do espaço cibernético, no qual o Brasil necessita
se posicionar como fornecedor e consumidor de informações seguras, considerando todos os
aspectos da soberania nacional.

A LGPD altera o arcabouço legal brasileiro, apresentando novos conceitos, trazendo novas
obrigações para a Administração Pública (AP) e fortalecendo os direitos dos titulares de dados. A
AP, no papel de custodiante dos dados dos cidadãos, deve fornecer a segurança necessária para
proteger adequadamente os dados que custodia e/ou trata.

2. Necessidade de Implementação versus Legislação e

Aplicabilidade
Visão Geral sobre Medidas de Segurança

A Administração Pública, como custodiante dos dados dos cidadãos, deve assegurar nível de
segurança apropriado para proteger os dados custodiados e/ou tratados.Para que esse nível
de segurança seja alcançado, é imprescindível que os órgãos e entidades da AP se adequem ao
disposto na LGPD. Para isso, é necessária a implementação das medidas de segurança dispostas
no artigo 46 da LGPD, para se prover o nível de proteção adequado aos dados e aos tratamentos

Enap Fundação Escola Nacional de Administração Pública 8

que pretendem realizar ou já realizam, no âmbito das suas competências legais e/ou de políticas
públicas que executam. A implementação dessas medidas conduzirá o órgão à conformidade
com a LGPD.

h,
Destaque,h
Segundo o inciso VII do caput do art. 6º da LGPD, segurança é a “utilização
de medidas técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou difusão”. Logo, quando falamos de
medidas de segurança estamos falando de medidas técnicas ou de medidas
administrativas.

Conheça, a seguir, uma metodologia para que os órgãos públicos identifiquem quais medidas
de segurança precisam ser implementadas para reduzir o nível de risco ao qual o órgão, na
condição de agente de tratamento, está exposto. Vamos aprender, a partir de uma abordagem
prática, como o órgão público vai aplicar internamente as determinações constantes da LPGD, do
ponto de vista das medidas de segurança.
Escopo de Aplicação do Tratamento de Dados Pessoais

Antes de decidir pela implementação de quaisquer medidas de segurança, é necessário que o

órgão público identifique a aplicabilidade da Lei, seu escopo de atuação enquanto órgão público,
bem como as limitações (vedações) às quais está submetido. Os artigos 3º e 4º da LGPD tratam
desses assuntos.

Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural
ou por pessoa jurídica de direito público ou privado, independentemente do meio, do
país de sua sede ou do país onde estejam localizados os dados, desde que:

I - a operação de tratamento seja realizada no território nacional;

II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou

serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou

III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:

I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II - realizado para fins exclusivamente:

a) jornalístico e artísticos; ou

Enap Fundação Escola Nacional de Administração Pública 9

 b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;

III - realizado para fins exclusivos de:

a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou

IV - provenientes de fora do território nacional e que não sejam objeto de comunicação,

uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de
transferência internacional de dados com outro país que não o de proveniência, desde
que o país de proveniência proporcione grau de proteção de dados pessoais adequado
ao previsto nesta Lei.

§1º O tratamento de dados pessoais previsto no inciso III será regido por legislação
específica, que deverá prever medidas proporcionais e estritamente necessárias ao
atendimento do interesse público, observados o devido processo legal, os princípios
gerais de proteção e os direitos do titular previstos nesta Lei.

§ 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo
por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica
de direito público, que serão objeto de informe específico à autoridade nacional e que
deverão observar a limitação imposta no § 4º deste artigo.

§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às

exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis
relatórios de impacto à proteção de dados pessoais.

§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata
o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo
por aquela que possua capital integralmente constituído pelo poder público.

h,
Destaque,h
A LGPD não revoga ou impede a aplicação de normas setoriais que também
regulamentam dados pessoais, que devem continuar sendo observadas.

Do Consentimento

A regra geral estabelecida pela LGPD é de que as operações de tratamento somente poderão
ocorrer mediante o fornecimento de consentimento pelo titular dos dados.

Enap Fundação Escola Nacional de Administração Pública 10

 Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes
hipóteses: I - mediante o fornecimento de consentimento pelo titular;

Art. 11 O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes
hipóteses: I - quando o titular ou seu responsável legal consentir, de forma específica e
destacada, para finalidades específicas;

Porém, os artigos 6, 7, 9, 11 e 26 da LGPD preveem para a AP a prerrogativa de tratar dados sem

o consentimento do titular, desde que esteja executando políticas públicas previstas em leis ou
regulamentos.

Art. 11.
O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes
hipóteses:

II- sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável
para:
b) tratamento e uso compartilhado de dados necessários à execução, pela
administração pública, de políticas públicas previstas em leis ou regulamentos;

Art. 6º, incisos, I, III, e X:

O tratamento de dados deve possuir “propósitos legítimos, específicos, explícitos e
informados ao titular”, deve ser “limitado ao mínimo necessário para a realização das
suas finalidades” e a AP deve “demonstrar a adoção de medidas eficazes e capazes de
comprovar a observância e o cumprimento das normas de proteção de dados pessoais”.

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes
hipóteses:

III- pela administração pública, para o tratamento e uso compartilhado de dados

necessários à execução de políticas públicas previstas em leis, regulamentos ou
respaldadas em contratos, convênios ou instrumentos congêneres, observadas as
disposições do Capítulo IV desta Lei;

Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de

seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva,
acerca de, entre outras características previstas em regulamentação para o atendimento
do princípio do livre acesso:

Enap Fundação Escola Nacional de Administração Pública 11

 I – finalidade específica do tratamento;

Art. 26. O uso compartilhado de dados pessoais pelo poder público deve atender a
finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos
e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais
elencados no art. 6º desta Lei.

Vale ressaltar que, apesar de a AP possuir essa prerrogativa, todas as obrigações e direitos da Lei
nº 13.709 deverão ser observadas.

Art. 7°, §6º: A eventual dispensa da exigência do consentimento não desobriga os agentes
de tratamento das demais obrigações previstas nesta Lei, especialmente da observância
dos princípios gerais e da garantia dos direitos do titular.

Enap Fundação Escola Nacional de Administração Pública 12