Guia da LGPD para o

Setor Público

Entenda a Lei Geral de Proteção de Dados Pessoais e os principais impactos para o setor público
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Neste guia, traremos os principais conceitos

da LGPD, informando de que forma ela pode
impactar você como servidor público, mas
antes de tudo, também como titular de
dados.
A primeira coisa que devemos entender é o
Introdução que é a LGPD.
O que é a LGPD? E comecemos pela nomenclatura escolhida:
o legislador a denominou de “Lei Geral”, pois
trata-se de uma lei que regula todo o tipo de
tratamento de dados, em qualquer contexto
econômico, e daí vem o nome “geral”.

Isso quer dizer que não importa qual o setor em

que está havendo o tratamento de dados, seja
público ou privado, ou se dentro do setor público
estamos falando da administração direta ou
indireta.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Justamente por isso que o artigo

1º já menciona que:

Esta Lei dispõe sobre o tratamento de dados

pessoais, inclusive nos meios digitais, por pessoa
natural ou por pessoa jurídica de direito público ou
privado, com o objetivo de proteger os direitos
fundamentais de liberdade e de privacidade e o
livre desenvolvimento da personalidade da pessoa
natural.

O tratamento massivo de dados ocorreu muito graças ao advento da internet

comercial, em que se possibilitou o tratamento e a organização de milhares
de dados em apenas um clique. Dessa forma, a guarda de milhares de
documentos que possibilitaram ter um histórico extremamente detalhado da
vida de todos nós nos mais variados contextos foi facilitada.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

E esse é o porquê dessa lei ser tão necessária

Nós não sabemos quem possui nossas informações pessoais, e nem de que
forma elas são utilizadas.

Quer exemplos?

Você já recebeu uma ligação de Você conhece alguém que após a

uma operadora de telefonia móvel aposentadoria recebeu inúmeras ofertas
com quem nunca teve contrato? de empréstimos consignados?

E se por acaso você já concedeu seu CPF ou biometria em farmácias, pedimos

que reflita:

Temos de fato uma finalidade legítima para coletar esses dados?

Ou estamos apenas correndo riscos alimentando banco de dados?
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

A verdade é que hoje os titulares de dados não possuem nenhum controle sobre
quem possui seus dados, o que o Governo e as empresas sabem sobre eles e como
essas informações podem ser utilizadas.

E a LGPD veio justamente para mudar isso.

Agora, vamos para os

conceitos
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Esses são os sujeitos protegidos pela lei,

pessoas como você, servidor público
Titulares de dados (estatutário ou não), um prestador de
serviços, um estagiário, enfim, todos somos
titulares de dados para fins da LGPD.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

A LGPD protege os dados da pessoa física

identificada ou identificável. Vamos
entender a diferença.

De acordo com a lei, alguns dados,

Pessoa física sozinhos, mostram quem é uma pessoa.
identificada e Outros dados pessoais precisam ser
somados a outras informações, para só
identificável
então sabermos quem é essa pessoa.

Vamos pensar nos seguintes dados: RG, CPF,

PIS, CTPS e número do beneficiário. Com
apenas um desses dados, nós conseguimos
saber diretamente quem é uma pessoa?
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Ou seja, apenas com um desses dados é

possível que uma pessoa seja diretamente
identificada.
Agora, vamos pensar em outros dados
pessoais, por exemplo, funcionária da
Sim, só existe um RG, um empresa “ABC do Brasil”. Vamos considerar
CPF, um PIS, uma CTPS e que essa empresa imaginária “ABC do
um número de Brasil” tem 15 funcionários. Somente com
essa informação, não é possível identificar
beneficiário… uma pessoa, pois existe mais de um
funcionário dentro da empresa “ABC do
Brasil”.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Entretanto, se adicionarmos outros

dados, como funcionário da empresa
“ABC do Brasil” que atua no
departamento de atendimento, temos
outro cenário.
Nesse exemplo, somando dois dados ou mais,
podemos dizer que uma pessoa é identificável.
Com essas duas informações é possível Ou seja, não basta um só dado. Mas se
identificar quem é essa pessoa? Se, por juntarmos alguns dados, conseguimos chegar em
exemplo, essa empresa tiver apenas uma pessoa.
um funcionário no departamento de
atendimento, vamos conseguir chegar
nessa pessoa. Se tiver mais de um
funcionário no atendimento, vamos
precisar de outros dados para que seja
possível identificar de quem estamos
falando.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Origem racial ou étnica

Convicção religiosa

Opinião política
Dado pessoal
Filiação a sindicato ou organização religiosa,
sensível filosófica ou política

Os dados pessoais sensíveis são os mais Saúde

delicados. Por quê? Porque são informações
das pessoas que se forem expostas ou
utilizadas do jeito errado, podem causar
Vida sexual
discriminação ou constrangimento para o
titular de dados. Genética

Biometria

É importante citar que, de acordo com a LGPD, os dados sensíveis são apenas esses que acabamos de
apresentar! Ou seja, fora esses, nenhum outro dado pessoal pode ser considerado como um dado
sensível.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Toda vez que na rotina da sua entidade

pública ocorrer tarefas onde existam dados
pessoais envolvidos, nós teremos uma
atividade de tratamento de dados pessoais.
A Lei traz como deverá ser realizado o
tratamento de dados dentro do Setor Público.
Tratamento de dados
pessoais De forma específica, o artigo 23 traz que o
tratamento de dados deverá ser realizado
para o atendimento de sua finalidade
pública, na persecução do interesse público,
com o objetivo de executar as competências
legais ou cumprir as atribuições legais do
serviço público.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

É preciso que haja o tratamento de

dados pelo Poder Público para que as
mais diversas atividades sejam
possíveis, mas a exposição de tais
dados, quando pessoais, deverão
observar as regras da LGPD para que E existe todo um mundo novo que o Poder
seja equilibrado o direito dos titulares Público precisa conhecer para estar
com as necessárias atividades adequado à Lei Geral de Proteção de
governamentais e, mais do que isso, os Dados.
cidadãos devem acompanhar e
fiscalizar a máquina pública, mas que a
finalidade seja para fins de interesse
público e que não viole a intimidade
ou a vida privada de nenhum indivíduo.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .
Em suma, todo órgão público deverá:
Nomear um encarregado de dados;
Capacitar seus servidores para entender
a importância da cultura da proteção de
dados;
Ter o registro de suas atividades que
envolvam dados pessoais;
Realizar o enquadramento legal dessas
atividades;
Comunicar à ANPD (Autoridade Nacional de
Proteção de Dados) acerca de contratos e
convênios que exijam o compartilhamento
de dados com entidades privadas;
Comunicar incidentes à ANPD;
Ter um canal de comunicação com o titular de
dados;
Ter um Relatório de Impacto à Proteção de
Dados;
Adequar seus instrumentos contratuais e
convênios.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

➔ Qual atividade ele está realizando?

Dessa forma, caberá ao
➔ Para qual finalidade?
gestor público ➔ Qual o interesse público dessa
atividade?
entender: ➔ Se está cumprindo suas atribuições
legais: qual o ato normativo que
respalda?
➔ Os dados que está colhendo
são adequados para essa
atividade?
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Assim, é capaz que você esteja pensando:

Por exemplo
será que existe compatibilidade entre a
Se eu trabalho em uma Prefeitura, há LGPD e a Lei de Acesso à Informação, uma
tratamento de dados quando vou vez que ambas parecem antagônicas?
emitir a cobrança de um IPTU, abertura
de certame para concurso público,
cadastro de cidadãos em campanhas
solidárias.

Se eu trabalho em qualquer órgão

público, há tratamento de dados em
processos licitatórios, emissão de
certidões, escrituras, recebimento de
denúncias, solicitações de usuários,
como poda de árvores, dentre outros.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Como compatibilizar se, em tese, uma lei nos

diz: proteja os dados pessoais e a outra:
mostrem os dados pessoais?
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .
Por isso a lei traz o que chamamos de
hipóteses legais, que são as situações
em que o tratamento de dados passa a
ser permitido.
O poder público pode, por exemplo,
continuar o tratamento de dados
pessoais desde que seja:
para atender obrigações legais;
para executar políticas públicas;
para cumprir com contratos;
dentre outras finalidades.
A concessão de férias para os servidores
públicos, por exemplo, é uma obrigação
legal, da mesma forma que colher dados do
sócio de uma empresa que está participando
de uma licitação também.
A administração pública pode continuar
coletando dados de pessoas carentes para
programas sociais, pois está executando
políticas públicas, dentre outros.
Até porque a LGPD não vem romper com
nenhum outro ato normativo, ela deverá
estar em consonância com as demais leis.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Por outro lado, é necessário avaliar a relação

entre necessidade e proporcionalidade.

Por exemplo: para que um cidadão participe

de um programa social, eu preciso coletar
Necessidade vs. quais informações? Quais são indispensáveis
Proporcionalidade para que ele participe?

Se for uma questão ligada à renda, faz

sentido eu pedir uma cópia do holerite, mas
se for uma campanha de vacinação, preciso
desses dados?
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Observe que a LGPD vem para

integrar o ordenamento jurídico
brasileiro, ela não colide, em regra,
com outras normas: ela soma. E o
cumprimento de obrigação legal é
justamente uma das bases legais que
autoriza o tratamento de dados.

De forma livre? Não! Dentro dos

limites para cumprimento da
obrigação legal imposta.
Essa avaliação é uma exigência legal, pois o artigo 23, inciso I,
diz que as atividades em que há o tratamento de dados, em
decorrência do exercício de uma atribuição legal, deverão ser
informadas, sendo discriminada a previsão legal, a finalidade,
os procedimentos e as práticas utilizadas para a execução
dessas atividades, em veículos de fácil acesso,
preferencialmente em seus sítios eletrônicos.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

A Lei de Acesso à Informação - LAI

Publicada em 2011, regula o acesso à informação, previsto na Constituição. Acesso à
informação pressupõe dados e muitos desses dados poderão ser pessoais, que são tratados
no âmbito da administração pública. Assim, qualquer pessoa poderá apresentar pedido
de acesso a informações aos órgãos e entidades, sendo a regra da LAI o acesso de
informações públicas de forma ampla e irrestrita. Contudo, a LAI não é um cheque em
branco. Se observarmos o artigo 31, por exemplo, é dito que:

Art. 31. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à
intimidade, vida privada, honra e imagem das pessoas, bem como às liberdades e garantias individuais.

§ 1º As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem:
I - terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem)
anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se
referirem; e
II - poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento
expresso da pessoa a que elas se referirem.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Assim, precisamos compatibilizar

essas duas leis para que o tratamento
de dados atenda ao interesse público,
mas também preserve a intimidade e a
vida privada dos titulares de dados.

Vamos ter que equilibrar os princípios

da legalidade, da publicidade e da
eficiência, que respaldam a LAI e toda
a máquina pública com os da
finalidade, adequação, necessidade e
transparência que são a base da LGPD
e buscam proteger o titular, enquanto
pessoa física.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Dessa forma, a privacidade e a Portanto, enquanto servidor público, você

proteção de dados pessoais já estão não deve utilizar dados que estão nas redes
previstas na LAI como ponto sociais, por exemplo, para fins ilícitos ou
importante a ser observado. desconhecidos pelo titular.

Em consonância com a LGPD, em seu

artigo 7º, § 3º, o tratamento de dados
pessoais cujo acesso é público deve
considerar a finalidade, a boa-fé e o
interesse público que justificaram sua
disponibilização.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

A lei diz que para que o Poder Público possa

fazer tais compartilhamentos, devem ser
atendidas as finalidades específicas de
Compartilhamento de execução de políticas públicas e atribuição
dados pessoais legal pelos órgãos e pelas entidades
públicas. O que vai muito ao encontro das
instruções do artigo 37 da Constituição e o
próprio princípio da legalidade.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

A lei proíbe, como regra, que o Poder Público transfira às entidades privadas dados
pessoais constantes de bases de dados a que tenha acesso, trazendo algumas exceções:

execução descentralizada de atividade pública que exija a transferência,

exclusivamente para esse fim específico e determinado;
nos casos em que os dados forem acessíveis publicamente;
quando houver previsão legal;
quando a transferência for respaldada em contratos, convênios ou instrumentos
congêneres;
ou transferência dos dados objetivar exclusivamente a prevenção de fraudes e
irregularidades.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Imagine que uma pessoa mal intencionada

invadiu o computador da sua instituição e
conseguiu visualizar diversos documentos
com dados pessoais de servidores.
Incidentes de Dados
Imagine que aconteceu uma enchente e
todos os documentos que estavam na
secretaria da sua prefeitura foram perdidos.

Sabe do que estamos falando?! Estamos falando de incidentes de dados pessoais!

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Um incidente de dados pessoais é Integridade de dados pessoais quer dizer

qualquer problema que acontece e causa que os dados pessoais devem estar corretos
uma quebra de (1) confidencialidade, (2) e devem ser mostrados sem qualquer
integridade, (3) ou disponibilidade de alteração, ou seja, se acontece alguma coisa
dados pessoais. que atinge esses dados pessoais, se eles são
alterados, destruídos, sejam esses dados
eletrônicos ou físicos, em papel, vamos ter
Confidencialidade de dados pessoais uma quebra da integridade.
quer dizer que os dados pessoais só
podem ser conhecidos por pessoas que
estão autorizadas, ou seja, se os dados
pessoais forem acessados por alguém
que não é autorizado, vamos ter uma
quebra da confidencialidade.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Disponibilidade de dados pessoais

quer dizer que os dados pessoais podem
ser acessados sempre que for necessário,
que devem estar à disposição sempre
para quem precisar deles, ou seja, se
acontece alguma coisa com esses dados
pessoais e eles não ficam totalmente à
disposição para serem utilizados, vamos
ter uma quebra da disponibilidade.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .
Sempre que acontecer um incidente
de dados na sua empresa, isso deve ser
informado primeiramente para o
titular de dados, que tem direito de
saber se aconteceu algo com os dados
pessoais dele.
A LGPD exige que os titulares de dados
sempre sejam notificados se acontecer
algum incidente!
Além disso, a LGPD também manda que a
Autoridade Nacional de Proteção de Dados
(ANPD) também seja informada. A ANPD é o
órgão que cuida dos dados pessoais em todo o
Brasil,.
Assim, no dia a dia. é muito bom estarmos atentos
para que nenhum incidente de dados aconteça.
Mas se acontecer, as medidas de notificação
devem ser providenciadas.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .
Sanções
Além da responsabilidade de indenizar o
titular dos dados, a LGPD prevê sanções de
caráter administrativo na hipótese de seu
descumprimento.
As instituições que não respeitarem a lei
estão sujeitas às seguintes penalidades:
➔ Advertência;
➔ Multa de até 2% do faturamento da
instituição ou do grupo limitada, no total, a R$
50 milhões por infração;
➔ Ter a sua infração amplamente divulgada,
após devidamente apurada e confirmada a
sua ocorrência;
➔Bloqueio dos dados pessoais correspondentes
à infração até a sua regularização;
➔ Eliminação dos dados pessoais
correspondentes à infração.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Estas sanções podem ser aplicadas

cumulativamente, por dia e infração,
mas sempre com base na gravidade e
extensão da violação.

Todas as sanções serão precedidas de

um procedimento administrativo que
garanta a ampla defesa do infrator.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

As sanções serão aplicadas considerando

as particularidades de cada caso e os
seguintes parâmetros e critérios:
Reincidência;

Gravidade e natureza das infrações e Grau do dano;

dos direitos pessoais afetados; Cooperação do infrator;
As normas de segurança e padrões Adoção reiterada e demonstrada de
técnicos; mecanismos e procedimentos internos
Boa-fé do infrator; capazes de minimizar o dano;

Vantagem auferida ou pretendida pelo Adoção de política de boas práticas e

infrator; governança;

Condição econômica do infrator; Pronta adoção de medidas corretivas;

Obrigações específicas para os diversos Proporcionalidade entre a gravidade da falta e

envolvidos no tratamento; a intensidade da sanção.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

E não é só a ANPD que fiscaliza a LGPD.

Ministério Público, Defensorias
Públicas, Procon e associações em
geral também estão permitidos a exigir
o cumprimento de todas as normas da
LGPD.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Sem falar na quantidade crescente de titulares de dados, que tiveram algum direito
violado, entrando com ação judicial contra instituições, públicas e privadas.

Agora, vamos conhecer

alguns casos reais de
incidentes e ação
judicial
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Vazamento de dados no Ministério da Saúde

https://g1.globo.com/economia/tecnologia/noticia/2020/12/02/nova-falha-do-ministerio-da-saude-expoe-dados-de-243-milho
es-de-brasileiros-na-internet-diz-jornal.ghtml
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

Vazamento de dados no ConecteSUS

https://g1.globo.com/saude/noticia/2021/12/10/problemas-no-conectesus-antes-de-ataque-hacker-sistema-teve-polemica-co
m-alteracao-de-dados-e-falhas.ghtml
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... .

INSS indenizará segurada por compartilhamento ilegal

de dados

https://www.migalhas.com.br/quentes/368271/inss-indenizara-segurada-por-compartilhamento-ilegal-de-dados
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ....

Este material é um oferecimento da Quer saber como ajudamos mais de 2.000

DPOnet - a melhor plataforma de instituições, públicas e privadas, a entrarem
gestão da privacidade e proteção de em conformidade com a LGPD?
dados do Brasil.
Entre em contato:

DIRETORIA COMERCIAL
32 9 8842-9669 – Alisson Morais
32 9 9827-2497 – Gustavo Malatesta
contato@focosolucoesintegradas.com.br