Precauções com

Dados Pessoais

Cuidar dos dados pessoais como gostaríamos que

os nossos dados fossem cuidados

Essa cartilha faz parte do Programa Permanente de Conscientização em Proteção de Dados Pessoais e Privacidade da UFRGS – PROPRIVACIDADE
Demais detalhes podem ser obtidos em https://ufrgs.br/proprivacidade
Versão 2023.10.06.16.07
 Precauções e cuidados adicionais com dados pessoais a partir da vigência da Lei nº 13.709/2018 (LGPD)

A partir da vigência da Lei nº 13.709/2018, que entrou em vigor em 18/09/2020, alguns termos definidos
nessa Lei serão utilizados frequentemente e precisam ser de conhecimento da comunidade acadêmica.

LGPD

A Lei nº 13.709/2018 (LGPD: Lei Geral de Proteção de Dados Pessoais) determina, em linhas gerais, o modo
e as condições em que os dados pessoais podem ser tratados no Brasil, define hipóteses de tratamento, os
direitos dos titulares, as obrigações e as consequências.

Dado pessoal Dado pessoal sensível

Informação relacionada à pessoa natural
identificada ou identificável.
Tratamento de dados
Toda operação realizada com dados pessoais,
como as que se referem à coleta, produção,
recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão
ou extração.
Tipo de dado pessoal sobre origem racial ou
étnica, convicção religiosa, opinião política,
filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à
saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa
natural.
Titular
Pessoa natural a quem se referem os dados
pessoais que são objetos de tratamento.

Responsabilização

Em organizações públicas, o agente público, que decide sobre como os dados pessoais serão tratados,
também pode ser responsabilizado em caso de incidente (vazamento, ...). A elaboração do “Relatório de
Impacto à Proteção de Dados Pessoais” pode evitar ou mitigar essa responsabilização. Veja detalhes a seguir.

Além das definições da LGPD há definições relacionadas ao tema em políticas da UFRGS:

Custodiante Dono de processo de trabalho

Pessoa física ou jurídica detentora da posse,
mesmo que transitória, de informação produzida
ou recebida pela Universidade.
Pessoa física que toma decisões sobre como será
o processo de trabalho, estipula as etapas do
processo, define o fluxo do processo e tem o
poder, por exemplo, de extinguir o respectivo
processo quando necessário.
 Precauções e cuidados adicionais com dados pessoais a partir da vigência da Lei nº 13.709/2018 (LGPD)

As precauções determinadas pela LGPD são adotadas pela UFRGS, porém convém citar exemplos de
medidas que precisam ser adotadas por todos envolvidos com dados pessoais:

Assegurar que o local de armazenamento de dados pessoais seja restrito a quem tem a atribuição de
utilizá-los. O acesso restrito deve ser estabelecido em locais que armazenam dados pessoais como
armários, salas, guaritas, documentos e planilhas impressas ou armazenadas em dispositivos eletrônicos,
A
e-mails, processos SEI, sistemas, entre outros, pois os locais e os meios que processam ou armazenam
dados pessoais são de acesso restrito às pessoas autorizadas e devem ser implementados procedimentos
de controle de acesso em locais que ainda não os possuam.

Assegurar que dados pessoais não sejam fornecidos a qualquer pessoa sem o consentimento do
respectivo titular desses dados (exceto dados de crianças, adolescentes ou pessoa com incapacidade
B civil, quando fornecidos ao responsável legal devidamente identificado). Os demais tratamentos dos
dados pessoais devem ser permitidos apenas às pessoas que precisam obrigatoriamente utilizá-los em
suas atribuições laborais dentro da UFRGS, apenas durante o período de sua atribuição e de acordo com
as atribuições e finalidades do tratamento.

C
Garantir que o descarte de material com dados pessoais impossibilite a leitura ou identificação desses
dados após o descarte.

Não reaproveitar papéis e dispositivos contendo dados pessoais para outros fins não relacionados às
D respectivas finalidades do tratamento. Nesse contexto, o termo “tratamento” é qualquer operação
realizada com dados pessoais, incluindo a coleta, o armazenamento, entre outras (art. 5º, X da LGPD).

Garantir que o envio de dados pessoais sob tutela da UFRGS a associações, sindicatos, entidades,
organizações, instituições nacionais ou estrangeiras seja realizado com o consentimento do titular dos
E dados pessoais, ou conforme obrigação legal, ou respaldado em contratos e convênios (art. 26, IV da
LGPD). Sempre respeitando as determinações da LGPD, em especial, as determinações referentes às
transferências internacionais de dados pessoais (arts. 33 a 36 da LGPD).

Avisar o Encarregado pelo Tratamento de Dados Pessoais (etdp@ufrgs.br) sobre o compartilhamento dos
F dados pessoais com organizações de direito privado ou internacionais, para a devida publicação em site
(art. 23, I da LGPD), ou aviso à Autoridade Nacional de Proteção de Dados (ANPD) (art. 27 da LGPD).

Notificar o Time de Resposta a Incidentes de Segurança da UFRGS (tri@ufrgs.br) sobre perda, roubo, furto
G ou extravio de dispositivo eletrônico e material impresso da UFRGS contendo dados pessoais de pessoas
vinculadas à UFRGS, ou sobre a divulgação indevida de dados pessoais (vazamento de dados), pois o
respectivo incidente será notificado à ANPD e aos titulares dos dados, caso acarrete risco ou dano
relevante aos titulares (art. 48 da LGPD).

Agir com elevada precaução no tratamento de dados pessoais, evitando expor a intimidade, afetar a
H honra e a imagem dos titulares, pois os dados pessoais sensíveis quando violados (vazados) podem
facilitar o acesso não autorizado a diversas informações íntimas e privadas dos titulares.

Garantir que as solicitações realizadas por titulares de dados pessoais, relativas aos direitos previstos
I na LGPD, sejam realizadas conforme orientações da página http://www.ufrgs.br/ufrgs/acessoainformacao/tratamento-
de-dados-pessoais.

Assegurar que os dados pessoais somente sejam acessados para a execução das atribuições relacionadas
J aos vínculos com a UFRGS e estritamente relacionadas às finalidades do tratamento. Quando finalizadas
essas atribuições, o acesso aos dados pessoais deve ser ajustado às novas circunstâncias.

Transmissões de vídeo fora do contexto de uma aula ou do âmbito da Universidade devem ser
K precedidas do consentimento específico para esse fim, obtido das pessoas cuja imagem, dados pessoais
ou dados pessoais sensíveis serão transmitidos. Além disso, devem ser adotadas precauções referentes
a direito de imagem e direito autoral patrimonial.
 Precauções e cuidados adicionais com dados pessoais a partir da vigência da Lei nº 13.709/2018 (LGPD)

Sites de formulários para coleta de dados pessoais, hospedagem ou edição de arquivos com dados
L pessoais, que armazenam dados fora do Brasil, realizam transferência internacional de dados pessoais e
devem atender às determinações dos arts. 33 a 36 da LGPD e dos arts. 13 a 15 da Política de Computação
em Nuvem. Esses sites podem submeter os titulares de dados pessoais à publicidade com base nos dados
fornecidos. O responsável pela escolha do site é responsável por verificar se os respectivos termos de uso
e política de privacidade atendem às determinações da legislação vigente e deve adotar as providências
necessárias em relação à transparência desse tratamento, consentimento, entre outras precauções.

M
Documentos com dados pessoais adicionados a processos no SEI, que não estejam sujeitos a controle
social ou transparência, devem ser adicionados com nível de acesso, no mínimo, “restrito”. Há tipos de
processo SEI que não permitem atribuir nível de acesso “restrito”. Nesse caso, consulte orientações em
https://www.ufrgs.br/proprivacidade/sei. Os dados pessoais excedentes e sem finalidade devem ser tarjados.

N
Os dados pessoais devem ser mantidos ou eliminados conforme critérios estipulados nos Arts. 17 e 18
da Política de Proteção de Dados Pessoais da UFRGS, disponível em:
https://www.ufrgs.br/proprivacidade/docs/UFRGS-PoliticaProtecaoDadosPessoais.pdf

Medidas Administrativas

O
Os responsáveis por sites que utilizam cookies para armazenar dados pessoais precisam implementar o
consentimento a cookies, conforme: https://www.ufrgs.br/proprivacidade/consentimento-cookies
Caso o site colete dados pessoais para oferta de serviço à comunidade acadêmica será necessário publicar
um termo de uso e política de privacidade, conforme: https://www.ufrgs.br/proprivacidade/termo-uso

P Os donos de processos de trabalho precisam providenciar a elaboração do Relatório de Impacto à Proteção

de Dados Pessoais para processos de trabalho que tratam dados pessoais, conforme critérios em:
https://ufrgs.br/proprivacidade/ripd

Q Contratos, convênios e instrumentos congêneres que envolvam recebimento ou envio de dados pessoais
devem ser adequados à LGPD, conforme: https://ufrgs.br/proprivacidade/contratos

Links relacionados

Perguntas Frequentes: https://www.ufrgs.br/proprivacidade/faq

Exemplos de Boas Práticas: https://www.ufrgs.br/proprivacidade/exemplos

A finalidade é a razão ou motivo pelo qual os dados pessoais são tratados, justifica os tratamentos
e fornece os elementos para informar o titular dos dados.
Em conformidade à LGPD (art. 7 e 11), os tratamentos de dados pessoais somente podem ser
realizados pela UFRGS de acordo com as seguintes finalidades:

Por intermédio do consentimento do titular dos dados pessoais ou de seu responsável legal.
O consentimento é uma manifestação livre, não condicionada, pela qual o titular concorda com tratamentos
específicos de seus dados pessoais para determinadas e claras finalidades. O consentimento pode ser
1
revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e
facilitado. Cabe a quem obteve o consentimento o ônus da prova de que o consentimento foi obtido em
conformidade com o disposto na LGPD. O consentimento deve ser utilizado apenas em situações de exceção,
pois pode ser revogado pelo titular, impossibilitando a continuidade do uso dos dados pessoais obtidos e
impossibilitando a continuidade de processos de trabalho que dependam desses dados pessoais.
 Precauções e cuidados adicionais com dados pessoais a partir da vigência da Lei nº 13.709/2018 (LGPD)

É dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular ou
para demais finalidades mencionadas a seguir:

2 Para cumprimento de obrigação legal ou regulatória.

Para tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis
3
e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.

4
Para execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o
titular dos dados pessoais, a pedido do titular.

5 Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

6 Para proteção da vida ou incolumidade física do titular ou de terceiros.

Para tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de
7
saúde ou autoridade sanitária.

8 Para garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação.

9 Para proteção do crédito.

Para realização de estudos e pesquisas, em situações que a UFRGS assume o papel de órgão de pesquisa, com
10
a coleta, a gestão e o armazenamento dos dados pessoais sob responsabilidade da UFRGS.
1. Nas pesquisas em que a UFRGS apenas intermedeie o contato entre o pesquisador e o respondente,
devem ser adotadas as seguintes precauções:
I. obter consentimento prévio para o envio de e-mails e para o tratamento de dados pessoais coletados
dos titulares envolvidos;
II. avisar, em cada e-mail, que a UFRGS está apenas intermediando o contato entre o pesquisador e o
respondente;
III. proporcionar forma de cancelar o recebimento do respectivo tipo de e-mail (revogar o
consentimento) no rodapé de cada e-mail; e
IV. utilizar remetente exclusivo para pesquisas intermediadas por determinada unidade acadêmica, para
que a revogação não afete o recebimento de outros tipos de e-mails.
2. A identificação de pessoas em publicações científicas requer prévio consentimento e, sempre que
possível, deve ser realizada a anonimização dos dados pessoais durante todos os procedimentos da
pesquisa (art. 31, § 3º, II da Lei 12.527/2011 e LGPD).

Para atender aos interesses legítimos da UFRGS, exceto nos casos que prevaleça os direitos e liberdades
11
fundamentais do titular. Nessa hipótese (art. 10 da LGPD), somente pode ser realizado o tratamento de dados
pessoais não sensíveis estritamente necessários às finalidades legítimas e consideradas a partir de situações
concretas, que incluem, mas não se limitam a:
I. apoio e promoção de atividades; e
II. proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o
beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.
1. O tratamento por “legítimo interesse” requer:
I. elaboração de Relatórios de impacto à proteção de dados pessoais (RIPD), abrangendo a análise dos
interesses (finalidades) versus os direitos e liberdades do titular dos dados pessoais e a
proporcionalidade dos dados pessoais perante as finalidades, bem como as precauções à proteção
dos dados e à privacidade; e
II. divulgação ampla das finalidades aos envolvidos e esclarecimento sobre a forma facilitada de solicitar
a eliminação dos seus dados pessoais no tratamento à respectiva finalidade.
2. As evidências dos itens supracitados devem ser armazenadas para futuras comprovações em auditorias.
 Precauções e cuidados adicionais com dados pessoais a partir da vigência da Lei nº 13.709/2018 (LGPD)

A LGPD estabelece os seguintes princípios:

Finalidade Transparência

Realização do tratamento para propósitos Garantia, aos titulares, de informações claras, precisas
legítimos, específicos, explícitos e informados ao e facilmente acessíveis sobre a realização do
titular, sem possibilidade de tratamento posterior tratamento e os respectivos agentes de tratamento,
de forma incompatível com essas finalidades. observados os segredos comercial e industrial.

Adequação Segurança

Compatibilidade do tratamento com as Utilização de medidas técnicas e administrativas aptas

finalidades informadas ao titular, de acordo com a proteger os dados pessoais de acessos não
o contexto do tratamento. autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração e comunicação ou difusão
Necessidade não autorizada pelo titular dos dados ou por ordem
judicial.
Limitação do tratamento ao mínimo necessário
para a realização de suas finalidades, com Responsabilização e prestação de contas
abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às
finalidades do tratamento de dados. Demonstração, pelo agente, da adoção de medidas
eficazes e capazes de comprovar a observância e o
cumprimento das normas de proteção de dados
Não discriminação pessoais e, inclusive, da eficácia dessas medidas.

Impossibilidade de realização do tratamento para

fins discriminatórios ilícitos ou abusivos. Qualidade dos dados

Garantia, aos titulares, de exatidão, clareza, relevância

Prevenção
e atualização dos dados, de acordo com a necessidade
e para o cumprimento da finalidade de seu tratamento.
Adoção de medidas para prevenir a ocorrência de
danos em virtude do tratamento de dados
pessoais.
Princípios no cotidiano da Universidade

A Política de Segurança da Informação da UFRGS determina que o acesso às informações produzidas ou

custodiadas pela UFRGS, que não sejam de domínio público, deve ser limitado às atribuições necessárias ao
desempenho das respectivas atribuições. Qualquer outra forma de uso, em conformidade com a LGPD, que
extrapole as atribuições necessárias ao desempenho das atividades, necessitará de prévia autorização formal,
pelo custodiante e condicionado ao aceite a termo de sigilo e responsabilidade, quando aplicável.

Portanto, qualquer operação com o dado pessoal precisa ser compatível com as finalidades e com o contexto
do tratamento, limitando o tratamento ao mínimo necessário às finalidades e aos dados pertinentes, com
dados pessoais proporcionais e não excessivos, com propósitos legítimos, específicos, explícitos, tempestivos
e informados ao titular, utilizando medidas técnicas e administrativas aptas a proteger os dados de acessos
não autorizados à finalidade, de situações acidentais ou ilícitas e da ocorrência de danos.
 Precauções e cuidados adicionais com dados pessoais a partir da vigência da Lei nº 13.709/2018 (LGPD)

Acesso a dados pessoais após o falecimento do titular

A LGPD não se aplica ao caso, pois a LGPD somente rege a proteção, privacidade e direitos de dados pessoais de
pessoas naturais. Entretanto, o art. 55 do Decreto nº 7.724/2012 determina algumas precauções.

Pessoa Natural

Ser humano, sujeito de direitos e deveres. A existência da pessoa natural termina com a morte, conforme art. 6°
do Código Civil brasileiro.

Lei de Acesso à Informação § 1º As informações pessoais, a que se refere este artigo, relativas à
(12.527/2011) intimidade, vida privada, honra e imagem:
I - Terão seu acesso restrito, independentemente de classificação
Art. 31. O tratamento das
de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua
informações pessoais deve ser feito
data de produção, a agentes públicos legalmente autorizados e
de forma transparente e com
à pessoa a que elas se referirem; e
respeito à intimidade, vida privada,
honra e imagem das pessoas, bem II - poderão ter autorizada sua divulgação ou acesso por terceiros
como às liberdades e garantias diante de previsão legal ou consentimento expresso da pessoa a
individuais. que elas se referirem.
§ 2º Aquele que obtiver acesso às informações de que trata este
artigo será responsabilizado por seu uso indevido.
§ 3º O consentimento referido no inciso II do § 1º não será exigido quando as informações forem
necessárias:
I - à prevenção e diagnóstico médico, quando a pessoa estiver física ou legalmente incapaz, e
para utilização única e exclusivamente para o tratamento médico;
II - à realização de estatísticas e pesquisas científicas de evidente interesse público ou geral,
previstos em lei, sendo vedada a identificação da pessoa a que as informações se referirem;
III - ao cumprimento de ordem judicial;
IV - à defesa de direitos humanos; ou
V - à proteção do interesse público e geral preponderante.
§ 4º A restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá
ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular
das informações estiver envolvido, bem como em ações voltadas para a recuperação de fatos
históricos de maior relevância.

Demais termos e princípios podem ser conhecidos na própria LGPD:

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
Em caso de dúvidas, o Encarregado pelo tratamento de dados pessoais da UFRGS (etdp@ufrgs.br) deve ser consultado.
Informações sobre cursos podem ser obtidas em: www.ufrgs.br/proprivacidade

Os processos de trabalho envolvendo dados pessoais que originem violações a direitos constantes na LGPD estão sujeitos
às sanções dessa Lei. A ausência de providências ou a não observância das determinações da LGPD podem acarretar
repercussões negativas à UFRGS e em sanções administrativas, civis e penais, isoladas ou cumulativamente, aos
responsáveis, nos termos da legislação aplicável, assegurado aos envolvidos o contraditório e a ampla defesa.