Escolar Documentos
Profissional Documentos
Cultura Documentos
Guia LGPD Ufrn-V1 0-Maio de 2021
Guia LGPD Ufrn-V1 0-Maio de 2021
Proteção de
Dados Pessoais
Guia para servidores e colaboradores
Lei Geral de
Proteção de
Dados Pessoais
Guia para servidores e colaboradores
Ministério da Educação Brunno Santiago e Silva
Analista de Tecnologia da Informação,
Universidade Federal do matrícula nº 3159204.
Rio Grande do Norte Clarissa Lorena Alves Coelho Lins
Analista de Tecnologia da Informação,
Reitor matrícula nº 2134722.
José Daniel Diniz Melo Elias Jacob de Menezes Neto
Professor Adjunto, matrícula nº 2353000.
Vice-Reitor Jose Alfredo Ferreira Costa
Hênio Ferreira de Miranda Professor Titular, matrícula n° 1142787.
Manoel Bezerra da Costa Neto
Elaboração Analista de Redes e Comunicação de Dados
Comissão LGPD - Portaria Nº 973 / 2020 - R, da FUNPEC, matrícula nº 4480.
de 18 de agosto de 2020 publicada no Boletim Marcos Cesar Madruga Alves Pinheiro
de Serviço UFRN nº 161 de 19/08/2020 Professor Associado, matrícula nº 1525670.
Descumprimento e sanções 29
LGPD no dia-a-dia
03 O que preciso saber?
13
Dispensa de Consentimento 15
Medidas de Proteção 16
Compartilhamento de Dados 19
5
LGPD?
A Lei Geral de Proteção de Dados Pessoais
(LGPD) - oficialmente, Lei nº 13.709 de 14 de
agosto de 2018 - é a lei que regulamenta a
proteção dos dados pessoais de pessoas
estamos
falando?
LGPD | UFRN
A LGPD surge no contexto de grande desenvolvimento das tecnologias da informação e
comunicação (TIC), já que cada vez mais os dados se constituem como fator primordial para o
desenvolvimento de pesquisas, organizações e nações.
A internet permite um compartilhamento de dados sem Com os exemplos anteriores, já deu para perceber que
precedentes, de maneira relativamente fácil, causando uma os dados pessoais são dados críticos e que um eventual
revolução na maneira como trabalhamos, estudamos, con- vazamento dessas informações pode causar sérios danos,
sumimos conteúdo e aplicamos novas ideias para o desen- por exemplo, à privacidade, à intimidade, à honra e à ima-
volvimento da sociedade. gem da pessoa que teve seus dados compartilhados
Apesar dos grandes benefícios promovidos pelo com- indevidamente.
partilhamento de dados, esse cenário também provoca Dessa forma, a LGPD surgiu para estabelecer diretrizes
grandes desafios para pessoas e organizações na gestão sobre o tratamento de dados pessoais de pessoas natu-
e guarda desses dados. Existem tipos de dados que são rais realizadas por pessoas físicas ou jurídicas - públicas ou
secretos, classificados, restritos ou sensíveis, que merecem privadas.
uma maior atenção por parte desses atores. Uma patente Em síntese, a lei estabelece normas gerais e boas prá-
(método revolucionário de fazer alguma coisa nova, como ticas para a manipulação dos dados pessoais, disciplina
um novo material, por exemplo) de uma indústria precisa sanções em caso de descumprimento e cria uma nova
ser protegida contra acesso indevido de terceiros. estrutura responsável por fiscalizar o cumprimento dessas
O prontuário (conjunto de dados e documentos sobre orientações, a ANPD - Autoridade Nacional de Proteção de
a saúde, por exemplo) de um paciente, da mesma forma, Dados.
merece proteção especial pelas pessoas e organizações
que detém esses dados, já que um eventual vazamento
dessas informações pode constituir uma violação à privaci-
dade do paciente.
7
Dados
Pessoais
São informações relacionadas a pessoa natural identifi-
cada ou identificável.
Pessoal natural é qualquer tipo de pessoa física, o que
inclui alunos, servidores, colaboradores terceirizados, par-
ticipantes de projetos de pesquisa e sociedade em geral.
Exemplos: CPF, RG, endereço, estado cívil, endereço
Dados Pessoais
IP, dados de localização obtidos por GPS, cookies, etc.
Sensíveis
É um tipo de dado pessoal relacionado a origem racial ou
étnica, convicção religiosa, opinião política, filiação a sin-
dicato ou a organização de caráter religioso, filosófico ou
político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa
natural.
Exemplos: amostra de DNA, orientação sexual, dados
de filiação a partido político, dados sobre enfermidade,
prontuário médico, etc.
8
Fatos
Para entender como a LGPD protege
seus dados, é preciso entender em quais
situações ela se aplica.
sobre a
LGPD
LGPD | UFRN
01 02 03
10
04 05 06
11
Papéis e atores no
tratamento de dados
Os agentes públicos que possuem acesso ou manipulam dados pessoais são classificados
como “controlador” e “operador”.
Controlador Operador
O “controlador” é a própria instituição, repre- Quando não for a própria instituição, o “operador”
sentada pelo Reitor, a quem compete as será a pessoa que realizar o tratamento em nome
decisões referentes ao tratamento de dados dela, como, por exemplo, uma empresa contratada
pessoais. para gerenciar o acervo funcional de servidores.
Os “operadores” realizam o tratamento de dados pessoais em nome do “controlador”. O “controlador” e os “operadores” devem manter
registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. Os
“operadores” devem realizar o tratamento segundo as instruções fornecidas pelo “controlador”, que verificará a observância das próprias
instruções e das normas sobre a matéria.
12
LGPD no
dia-a-dia
O que
preciso
saber?
LGPD | UFRN
Consentimento na utilização
dos dados pessoais
O consentimento é a manifestação livre, infor- • para a realização de estudos por órgão de
mada e inequívoca pela qual o titular (deten- pesquisa, garantida, sempre que possível, a
tor dos dados) concorda com o tratamento anonimização dos dados pessoais;
de seus dados pessoais para uma finalidade • entre outras situações previstas na LGPD.
determinada. Por regra, a LGPD afirma que o A maior parte das atividades da UFRN são
tratamento de dados pessoais deve ser prece- amparadas em uma das hipóteses de dispensa
dido de consentimento do titular desses dados de consentimento no tratamento de dados
(aluno, servidor, participante de pesquisa etc.). pessoais (pela administração pública, para
Existem situações, no entanto, em que é o tratamento e uso compartilhado de dados
permitido o tratamento dos dados com a dis- necessários à execução de políticas públi-
pensa do consentimento: cas previstas em leis), não sendo necessário
• para o cumprimento de obrigação legal ou o termo de consentimento para a execução
regulatória; desses processos vinculados a essas políticas
• pela administração pública, para o trata- públicas.
mento e uso compartilhado de dados neces-
sários à execução de políticas públicas
previstas em leis e regulamentos ou respal-
dadas em contratos, convênios ou instru-
mentos congêneres;
14
Dispensa de
Consentimento
Parte dos processos em execução na insti- de atendimento em serviços de saúde (caso
tuição não precisarão do Termo de Consenti- o atendimento seja no âmbito de projeto de
mento do titular dos dados pessoais para esse pesquisa ou extensão, ver seção “Projetos de
tipo de tratamento, já que se encaixam na hipó- Pesquisa e Extensão”);
tese de dispensa prevista no Art. 11, inc II, alínea • atendimento ao discente (serviço social,
“b”, da LGPD. atendimento médico e psicológico e estu-
Isso inclui, mas não se restringe a: dantes com necessidades educacionais
• matrícula de discentes com faixa etária supe- especiais);
rior a 18 anos (abaixo de 18 anos, ver seção • Abertura de processo administrativo que
“Dados de Crianças e Adolescentes”); contenha dados pessoais, para a petição ou
• informações pessoais coletadas no âmbito defesa de direitos.
de processo licitatório;
• utilização de dados pessoais na elaboração
Apesar da dispensa do consenti-
de contrato administrativo decorrente de
mento, a instituição é obrigada a seguir
processo licitatório;
as demais medidas de proteção previstas
• utilização de dados pessoais para cadastro e
na LGPD, especialmente aquelas rela-
manejo de acervo funcional de servidores;
cionadas à observância dos princípios
• anotação de dados de saúde, como laudos,
gerais e à garantia dos direitos do titular.
prontuários médicos e outras informações
15
Medidas de Proteção
Independentemente da exigência ou não de Termo de Consentimento, o controlador e o ope-
rador deverão aplicar medidas técnicas e administrativas de proteção a esses dados pessoais.
Isso inclui, mas não se restringe a:
16
Dados de Crianças e
Adolescentes
O tratamento de dados pessoais de crianças e necessidade educacional especial, etc); a coleta for necessária para contatar os
de adolescentes deverá ser realizado em seu • coleta e utilização de dados pessoais para pais ou o responsável legal, utilizados uma
melhor interesse, observados a LGPD, o ECA e participação em projeto de pesquisa ou única vez e sem armazenamento, ou para
legislações pertinentes. extensão; sua proteção, e em nenhum caso poderão
No caso desse público, o tratamento de • repasse a terceiros dos dados pessoais. ser repassados a terceiro sem o consenti-
dados pessoais deve ser precedido de con- As unidades que realizam o tratamento de mento prévio por um dos responsáveis.
sentimento específico por parte de um dos dados de crianças e adolescentes devem uti- O controlador deve manter pública a
responsáveis legais. O Estatuto da Criança lizar o Termo de Consentimento padronizado informação sobre os tipos de dados cole-
e do Adolescente (ECA) considera “criança” a pela instituição, e nele constar todas as possi- tados, a forma de sua utilização e os pro-
pessoa até doze anos de idade incompletos e bilidades de tratamento de dados, evitando ter cedimentos para o exercício dos direitos
“adolescentes” a faixa etária doze anos com- que solicitar o consentimento inúmeras vezes quanto ao acesso aos dados, existência
pleto e dezoito anos de idade. ao responsável pela criança ou adolescente. de tratamento desse público, etc. e deve
Isso inclui, mas não se restringe a: O consentimento deverá referir-se a finalida- realizar todos os esforços razoáveis para
• matrícula de discentes com faixa etária infe- des determinadas e específicas (autorizações verificar que o consentimento específico
rior a 18 anos; genéricas serão nulas). As informações deve- para esse público dado pelo responsável
• coleta e utilização de dados pessoais de dis- rão ser fornecidas de maneira simples, clara e pela criança, consideradas as tecnologias
centes para fins de execução de políticas acessível. disponíveis.
públicas (saúde, acompanhamento psico- Poderão ser coletados dados pessoais de
lógico, acompanhamento a estudante com crianças sem o consentimento apenas quando
17
Dados Pessoais
Anonimizados
Os dados anonimizados são aqueles relativo a do arquivo bruto, como nome completo,
titular que não possa ser identificado, conside- matrícula, CPF, entre outros dados que pos- Os dados anonimizados não serão con-
rando a utilização de meios técnicos razoáveis sam identificar os titulares de direitos dos siderados dados pessoais e não são pro-
e disponíveis na ocasião de seu tratamento. usuários. tegidos pela LGPD, EXCETO quando o
Atente-se que existe uma pseudoanoni- • Mascaramento de dados pessoais em processo de anonimização ao qual foram
mização, que é o tratamento por meio do qual documentos institucionais (anonimização), submetidos for revertido, utilizando
um dado perde a possibilidade de associação, mantendo-se a cópia original do arquivo exclusivamente meios próprios, ou
direta ou indireta, a um indivíduo, senão pelo (pseudoanonimização). quando, com esforços razoáveis, puder
uso de informação adicional mantida separada- Dessa forma, a anonimização é a utilização ser revertido (pseudoanonimização).
mente pelo controlador em ambiente contro- de meios técnicos razoáveis e disponíveis no
lado e seguro. momento do tratamento, por meio dos quais
Isso inclui, mas não se restringe a: um dado perde a possibilidade de associação,
• Exclusão de dados pessoais (nome, CPF, direta ou indireta, a um indivíduo.
e-mail, telefone, etc) coletados em formu-
lário online de inscrição em eventos sobre o
perfil dos participantes (vínculo institucional,
sexo, escolaridade, etc);
• Transmissão de estatísticas sobre pacientes a
18
Compartilhamento
de Dados
Os dados tratados pela Administração Pública • quando houver previsão legal ou a transfe-
deverão ser mantidos em formato interoperável rência for respaldada em contratos, convê-
e estruturado para o uso compartilhado, com nios ou instrumentos congêneres
vistas à execução de políticas públicas, à pres- • na hipótese de a transferência dos dados
publicamente;
19
Projetos de Pesquisa e
Extensão
Os projetos de pesquisa e extensão, devem, segurança previstas em regulamento especí-
sempre que possível, realizar a anonimização fico e que incluam, sempre que possível, a ano-
dos dados tratados no âmbito da execução do nimização ou pseudoanonimização dos dados,
projeto. bem como considerem os devidos padrões éti-
Apesar da LGPD prever a hipótese de dis- cos relacionados a estudos e pesquisas.
pensa de consentimento para a realização de A divulgação dos resultados ou de qual-
estudos por órgão de pesquisa, ela não exime quer excerto do estudo em nenhuma hipótese
o pesquisador de seguir as orientações dos poderá revelar dados pessoais.
Comitês de Ética em Pesquisa quanto ao tra- Caso o pesquisador utilize bases de
tamento de dados pessoais, especialmente dados que contenham dados pessoais públi-
quanto a utilização do TCLE - Termo de Con- cos, este deve considerar a finalidade, a boa-
sentimento Livre e Esclarecido. -fé e o interesse público que justificaram sua
Na realização de estudos em saúde disponibilização.
pública, os órgãos de pesquisa poderão ter
acesso a bases de dados pessoais, que serão
tratados exclusivamente dentro do órgão e
estritamente para a finalidade de realização de
estudos e pesquisas e mantidos em ambiente
controlado e seguro, conforme práticas de
20
Que princípios O controladores e os operadores que
realizam o tratamento dos dados deverão
observar as seguintes diretrizes no
devo me
momento da manipulação dos dados.
atentar ao
tratar dados
pessoais?
LGPD | UFRN
Finalidade Transparência
01 Realização do tratamento para propósitos legíti-
mos, específicos, explícitos e informados ao titu-
06 Garantia, aos titulares, de informações claras,
precisas e facilmente acessíveis sobre a realiza-
lar, sem possibilidade de tratamento posterior de ção do tratamento e os respectivos agentes de
forma incompatível com essas finalidades; tratamento, observados os segredos comercial e
industrial;
Adequação
02 Compatibilidade do tratamento com as
finalidades informadas ao titular, de acordo com o 07 Segurança
Utilização de medidas técnicas e administrativas
contexto do tratamento; aptas a proteger os dados pessoais de acessos
não autorizados e de situações acidentais ou ilíci-
tas de destruição, perda, alteração, comunicação
Necessidade
03 Limitação do tratamento ao mínimo necessário
ou difusão;
Prevenção
para a realização de suas finalidades, com abran-
gência dos dados pertinentes, proporcionais e
08 Adoção de medidas para prevenir a ocorrência
de danos em virtude do tratamento de dados
não excessivos em relação às finalidades do tra-
pessoais;
tamento de dados;
04 Livre acesso
Garantia, aos titulares, de consulta facilitada e
09 Não discriminação
Impossibilidade de realização do tratamento para
fins discriminatórios ilícitos ou abusivos;
gratuita sobre a forma e a duração do tratamento,
bem como sobre a integralidade de seus dados
Responsabilização e
pessoais;
10 prestação de contas
Qualidade dos dados
05 Garantia, aos titulares, de exatidão, clareza, rele-
vância e atualização dos dados, de acordo com a
Demonstração, pelo agente, da adoção de medi-
das eficazes e capazes de comprovar a obser-
vância e o cumprimento das normas de proteção
necessidade e para o cumprimento da finalidade de dados pessoais e, inclusive, da eficácia dessas
de seu tratamento; medidas.
22
Direitos dos
Titulares
LGPD | UFRN
Os titulares dos dados
pessoais são as pessoas
naturais (físicas) que têm
os seus dados pessoais
armazenados na instituição.
24
O titular dos dados pessoais tem direito a obter da instituição,
em relação aos dados do titular por ele tratados, a qualquer
momento e mediante requisição:
25
O titular dos dados pessoais tem direito a obter da instituição,
em relação aos dados do titular por ele tratados, a qualquer
momento e mediante requisição:
27
Boas práticas de governança
O controlador deve implementar mecanismos de governança na instituição, que contemplem,
no mínimo:
b) seja aplicável a todo o conjunto de dados f) esteja integrado a sua estrutura geral de
pessoais que estejam sob seu controle, inde- governança e estabeleça e aplique mecanis-
pendente dos métodos de coleta; mos de supervisão internos e externos;
c) seja adaptado à estrutura, à escala e ao g) conte com planos de resposta a incidentes e
volume de tratamento, bem como à sensibili- remediação; e
dade dos dados tratados;
h) seja atualizado constantemente com base
d) estabeleça políticas e salvaguardas adequa- em informações obtidas a partir de monitora-
das com base em processo de avaliação siste- mento contínuo e avaliações periódicas.
mática de impactos e riscos à privacidade;
28
Descumprimento e sanções
O servidor público que concorrer ou colaborar, direta ou indiretamente, no descumprimento
das diretrizes da LGPD, poderá sofrer sanções previstas na Lei 8.112/90 (Regime Jurídico
Único), Lei 8.429/92 (Lei de Improbidade Administrativa) e na Lei 12.527/11 (Lei de Acesso à
Informação).
Ao órgão ou entidade pública, poderão ser período máximo de 6 (seis) meses, prorrogável
adotadas as seguintes sanções: por igual período, até a regularização da ativi-
- advertência, com indicação de prazo para dade de tratamento pelo controlador;
adoção de medidas corretivas; - suspensão do exercício da atividade de
- publicização da infração após devidamente tratamento dos dados pessoais a que se refere
apurada e confirmada a sua ocorrência; a infração pelo período máximo de 6 (seis)
- bloqueio dos dados pessoais a que se meses, prorrogável por igual período;
refere a infração até a sua regularização; - proibição parcial ou total do exercício de
- eliminação dos dados pessoais a que se atividades relacionadas a tratamento de dados.
refere a infração;
- suspensão parcial do funcionamento do
banco de dados a que se refere a infração pelo
29
Referências
Lei n° 13.709/2018, Lei Geral de Proteção dos
Dados – LGPD.