Quanto à realização do tratamento de dados pessoais a LGPD?

O que é a Lei Geral de Proteção de Dados?
Quando a LGPD entrou em vigor?
Qual o objetivo da LGPD e a quem ela se destina?
Quais são os seus direitos protegidos pela LGPD?
Quais dados são protegidos pela LGPD?
O que são dados pessoais?
O que são dados sensíveis?
O que é um dado anonimizado?
Qual a diferença de dados anônimos e dados pseudonimizados?
O que é “tratamento” de dados pessoais?
Quais os principais atores no tratamento de dados pessoais, de acordo com a LGPD?
Qual a diferença entre controlador e operador?
O tratamento de dado pessoal de criança e de adolescente possui regramento específico?
Em quais casos de tratamento de dados pessoais a LGPD é aplicada?
Em quais casos de tratamento de dados pessoais a LGPD não será aplicada?
Quais são as bases legais para o tratamento de dados pessoais?
Quais são as bases legais para o tratamento de dados pessoais sensíveis?
O que muda com a Lei LGPD?
Quais são as principais diretrizes da LGPD?
E o que a LGPD entende como ”consentimento”?
Quem fiscaliza o cumprimento da LGPD?
O que é a Autoridade Nacional de Proteção de Dados Pessoais (ANPD)?
O Poder Público também está sujeito às disposições da LGPD?
Sou servidor e lido com dados pessoais. O que devo fazer?
Sou professor e publico dados de estudantes ou videoaulas em meu website. O que muda?
Sou professor pesquisador e coleto dados pessoais e/ou sensíveis, como proceder?
Como estudante, posso solicitar a exclusão de meus dados pessoais?
Como estudante, posso solicitar o histórico de uso de meus dados pessoais?
Sou servidor público e meus dados estão no Portal da Transparência. Com a LGPD isso muda?
A LGPD se aplica apenas ao tratamento de dados pessoais coletados na internet?
É permitido pela LGPD o uso compartilhado de dados entre órgãos da administração pública?
É permitida a transferência de dados entre o Poder Público e o setor privado?
O que é privacy by design e privacy by default?
Quais os princípios para que uma cultura de privacidade desde a concepção (privacy by design) seja instituída?
O que é a “autodeterminação informativa” mencionada na LGPD?
O que seria o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)?
O que seria o Termo de Uso conforme a LGPD?
O que seria a Política de Privacidade conforme a LGPD?
O que é Inventário de Dados Pessoais (IDP)?
Para a promoção da transparência ativa
de dados, com a LGPD em vigor, o poder público deverá observar quais requisitos?
Qual a diferença entre transparência ativa e transparência passiva?
Quais documentos devem ter o acesso público para todas as pessoas, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)?
Quais documentos devem ter acesso restrito a agentes públicos legalmente autorizados e à própria pessoa a quem a informação se referir, mediante identificação, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)?
Quais documentos devem ter o acesso restrito a agentes públicos legalmente autorizados e interessados, mediante identificação, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)?
Quais as consequências da falta de adequação à LGPD?

O que é a Lei Geral de Proteção de Dados?

A Lei Geral de Proteção de Dados Pessoais- LGPD (Lei nº 13.709, de 14 de agosto de 2018), entrou em vigor em 18 de setembro de 2020. Visa proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais. O principal objetivo da lei é garantir mais segurança, privacidade e transparência no uso dos dados pessoais, para isso, a lei prevê um conjunto de ferramentas, que, no âmbito público, traduzem-se em mecanismos que aprofundam obrigações de transparência ativa e passiva, bem como criam meios processuais para adequação da Administração Pública.

Voltar ao topo

Quando a LGPD entrou em vigor?

A Lei nº 13.709, de 14 de agosto de 2018 entrou em vigor de maneira escalonada:
• Em 28 de dezembro de 2018, com referência aos artigos 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam da constituição da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD).
• Em 18 de setembro de 2020, com referência aos demais artigos da Lei, com exceção dos dispositivos que tratam da aplicação de sanções administrativas.
• Em 1º de agosto de 2021, com referência aos artigos 52, 53 e 54, que tratam das sanções administrativas.

Voltar ao topo

Qual o objetivo da LGPD e a quem ela se destina?

A LGPD reúne aspectos discutidos há algum tempo aqui no Brasil e que estavam fragmentados em legislações diversas – como o Marco Civil da Internet – e foi criada com o objetivo de proporcionar ao cidadão brasileiro um controle maior sobre o tratamento de seus dados pessoais. Para isso, ela coloca regras que devem ser seguidas tanto por empresas privadas quanto públicas. Ou seja: vale para qualquer negócio.

Voltar ao topo

Quais são os seus direitos protegidos pela LGPD?

A LGPD prevê a proteção integral de sua liberdade, privacidade, segurança, consentimento expresso, acesso as suas informações, correções e pronto atendimento caso você queira excluir seus dados pessoais, dentre outros.

Voltar ao topo

Quais dados são protegidos pela LGPD?

A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei.

Voltar ao topo

O que são dados pessoais?

A LGPD adota um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável. Assim, além das informações básicas relativas ao nome, Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros que estejam relacionados com uma pessoa, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade. Segundo a LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa e que possa a identificar.

Voltar ao topo

O que são dados sensíveis?

Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. (Art. 5º, inciso II).

Voltar ao topo

O que é um dado anonimizado?

Dado anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível.

Voltar ao topo

Qual a diferença de dados anônimos e dados pseudonimizados?

Dados anônimos são os dados pessoais cujo titular não pode ser identificado. Dados pseudonimizados são aqueles dados que, submetidos a tratamento, não oferecem a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente seguro.

Voltar ao topo

O que é “tratamento” de dados pessoais?

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Art. 5, inciso X).

Voltar ao topo

Quais os principais atores no tratamento de dados pessoais, de acordo com a LGPD?

Os principais atores são o titular, o controlador, o operador, o encarregado e a Autoridade Nacional de Proteção de Dados (ANPD).
TITULAR: pessoa física a quem se referem os dados pessoais.
CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (inciso VI do art. 5º da LGPD). O controlador pode exercer diretamente o tratamento dos dados, mas pode, também, designar um operador.
OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (inciso VII do art. 5º da LGPD). Ambos, controlador e operador, recebem a nomeação de “agentes de tratamento” (inciso IX do art. 5º da LGPD).
ENCARREGADO: corresponde a uma pessoa inequivocamente investida nessa função (que, na legislação europeia, corresponde ao Data Protection Officer – DPO). Sua incumbência é de fazer a intermediação entre o titular e os agentes de tratamento, assim como entre estes agentes e a ANPD (inciso VII do art. 5º da LGPD);
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS: tem a missão de regular o setor de tratamento de dados pessoais. Está autorizada, portanto, a agir em proteção aos princípios e fundamentos da LGPD.

Voltar ao topo

Qual a diferença entre controlador e operador?

A LGPD define como agentes de tratamento o controlador e o operador, os quais possuem diversas responsabilidades com relação às operações de tratamento de dados pessoais:
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Na prática, os agentes de tratamento são considerados sob o ponto de vista institucional, ou seja, a instituição é o agente de tratamento (controlador ou operador) e não uma área, equipe ou funcionário.
O mesmo raciocínio serve para o setor público: servidores e funcionários não podem ser considerados controladores. Não existe um cargo público de controlador de dados. Esse papel será assumido pelos entes federativos e agências estatais para os quais trabalham.

Voltar ao topo

O tratamento de dado pessoal de criança e de adolescente possui regramento específico?

Sim. O Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa de até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. O tratamento de dados pessoais de crianças só poderá ocorrer com o consentimento específico e em destaque por pelo menos um dos pais ou responsável legal (§1º do art. 14 da LGPD). O consentimento é excepcionado quando a coleta for necessária para contactar os pais ou responsável legal, na forma do § 3º do art. 14 da LGPD. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível, de forma a proporcionar a informação necessária aos pais ou ao responsável legal, e adequada ao entendimento da criança.

Voltar ao topo

Em quais casos de tratamento de dados pessoais a LGPD é aplicada?

A lei se aplica a qualquer operação que envolve o tratamento de dados pessoais e que seja realizada em território brasileiro. Mas, e se a empresa for sediada no exterior? Caso ela ofereça bens ou serviços para pessoas localizadas no Brasil e, para isso, coletar dados de usuários, a LGPD também se aplica!

Voltar ao topo

Em quais casos de tratamento de dados pessoais a LGPD não será aplicada?

Esta Lei não se aplica ao tratamento de dados pessoais:
I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II – realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 da Lei nº 13.709;
III – realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Os dados anonimizados não serão considerados dados pessoais para os fins da Lei 13.709, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
§ 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

Voltar ao topo

Quais são as bases legais para o tratamento de dados pessoais?

O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da LGPD;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Voltar ao topo

Quais são as bases legais para o tratamento de dados pessoais sensíveis?

A LGPD estabelece um rol taxativo das hipóteses que autorizam o tratamento de dados pessoais sensíveis, quais sejam:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Voltar ao topo

O que muda com a Lei LGPD?

A LGPD permite que qualquer titular questione como as informações cadastradas pelo controlador ou operador de dados pessoais são usadas. Informações como nome completo, endereço, número de telefone, dados bancários, orientação sexual, preferência política, entre diversas outras. A Lei também define por qual razão e por quanto tempo eles mantêm essas informações salvas, ou até pedir a exclusão desses dados dos seus servidores.

Voltar ao topo

Quais são as principais diretrizes da LGPD?

A LGPD traz alguns princípios que devem ser respeitados no tratamento de dados pessoais, como: finalidade, necessidade, não discriminação e segurança. Isto significa que a instituição precisa seguir algumas determinações. Em resumo, os dados pessoais só podem ser coletados com o consentimento do titular, que precisa ser informado da finalidade da coleta. É do titular o direito de acesso aos dados coletados, assim como a solicitação de correção de informações, de exclusão, de portabilidade ou de revogação do consentimento.

Voltar ao topo

E o que a LGPD entende como ”consentimento”?

O consentimento do titular é a permissão dada por meio de uma declaração para que a empresa possa coletar e utilizar dados específicos para uma finalidade previamente determinada e esclarecida. Ou seja, é preciso ser sempre claro quando se explica como os dados serão utilizados e também se ater à finalidade prevista.

Voltar ao topo

Quem fiscaliza o cumprimento da LGPD?

O controle da LGPD será feito pela Autoridade Nacional de Proteção de Dados (ANPD). A ANPD foi criada pela Medida Provisória n. 869, de 27 de dezembro de 2018, posteriormente convertida na Lei n. 13.853, de 14 de agosto de 2019. Por sua vez, o Decreto 10.474, de 26 de agosto de 2020, aprovou a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da ANPD, com entrada em vigor na data de publicação da nomeação do Diretor-Presidente da ANPD no Diário Oficial da União.

Voltar ao topo

O que é a Autoridade Nacional de Proteção de Dados Pessoais (ANPD)?

A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.

Voltar ao topo

O Poder Público também está sujeito às disposições da LGPD?

Sim. Segundo a LGPD, o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública e na busca do interesse público.

Voltar ao topo

Sou servidor e lido com dados pessoais. O que devo fazer?

O mais importante nesse momento é deixar claro aos titulares o que está sendo feito com seus dados pessoais e não fazer nenhum tipo de tratamento que extrapole esse objetivo, sem autorização dos mesmos. Em um formulário de coleta na web, por exemplo, procure deixar clara a finalidade de cada informação, ou conjunto de informações, que estão sendo coletadas.
Além disso, deve-se ter o cuidado de não compartilhar os dados pessoais aos quais você tem acesso com ninguém, de dentro ou fora da universidade. E por compartilhamento, entende-se: conceder acesso a bancos de dados, enviar e-mails com dados pessoais para qualquer pessoa, tramitar documentos físicos (papel) ou deixá-los acessíveis sem procedimentos de segurança, entre quaisquer outras medidas que você mesmo possa identificar no seu dia-a-dia para proteger os dados com os quais você tem contato.
Lembre-se, estamos falando de uma mudança de cultura em toda a universidade e o cuidado com os dados pessoais é responsabilidade de cada um. 63% dos vazamentos de dados são causados por erro humano, então, fique atento!
Eventualmente, a equipe de adequação da LGPD entrará em contato para melhor orientá-lo sobre as boas práticas a serem adotadas.
O tratamento de dados deve ser feito desde que seja fundamentado em uma das hipóteses legais, tenha o interesse público como objetivo e apresente informações claras a respeito da sua finalidade.
Ações e abstenções que também contribuem para a adequação:
• adotar medidas de segurança no descarte de papéis ou documentos que contenham dados pessoais;
• não deixar papéis e documentos à vista;
• guardar papéis e documentos em local apropriado e seguro;
• utilizar a opção sair ou desconectar para fechar qualquer sistema em uso;
• evitar marcar as opções “Lembrar-me da senha” ou “Mantenha-me conectado”;
• não compartilhar senha;
• comunicar ao órgão competente falhas de segurança;
• não usar o e-mail funcional para fins particulares;
• não postar nas redes sociais dados pessoais e sensíveis de terceiros;
• utilizar a função bloqueio quando se ausentar da estação de trabalho;
• não deixar a tela do computador exposta/aberta quando estiver ausente, ainda que temporariamente, da estação de trabalho;
• não fornecer dados pessoais por e-mail, telefone ou qualquer outro canal inapropriado.

Voltar ao topo

Sou professor e publico dados de estudantes ou videoaulas em meu website. O que muda?

É importante deixar o mínimo de dados expostos, seja em websites, seja em murais físicos. Se há uma lista da turma com as notas dos estudantes que esteja pública, coloque o número de matrícula, ao invés de nome ou CPF, por exemplo.
Se há vídeos em que os estudantes estejam expostos, uma alternativa é solicitar seu consentimento por escrito antes de publicá-lo. Contudo, lembre-se de que você deverá manter um arquivo desses consentimentos e de que eles poderão ser revogados pelos estudantes a qualquer momento, então uma alternativa melhor talvez fosse fazer um tratamento na imagem de maneira que aquele estudante não possa ser identificado(a).
Lembre-se, nada deve ser feito com os dados dos estudantes sem seus consentimentos. Na dúvida, procure sempre procurar anonimizar os dados com os quais você lida e nunca compartilhá-los com terceiros, seja de dentro ou de fora da universidade.

Voltar ao topo

Sou professor pesquisador e coleto dados pessoais e/ou sensíveis, como proceder?

A LGPD não se aplica para fins acadêmicos (Art. 4º, inciso II, alínea b), com exceção dos artigos 7 e 11. Observe o que dizem os artigos:
“Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;”
“Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
Ou seja, não há problema em coletar esses dados para fins de pesquisa, desde que eles sejam anonimizados. E lembre-se de não compartilhá-los com terceiros. Se você lidera uma equipe de pesquisa, oriente os membros dessa equipe para terem o mesmo cuidado.

Voltar ao topo

Como estudante, posso solicitar a exclusão de meus dados pessoais?

O Capítulo III da LGPD trata dos direitos do titular. O Art. 18, inciso VI, diz que um desses direitos é a solicitação da eliminação de seus dados. Contudo, no inciso II do parágrafo 4º desse mesmo artigo, atente para o fato de que o controlador (no caso, a UFPR), pode indicar as razões de fato ou de direito que impeçam a execução dessa solicitação. Além disso, diz o Art. 16:
“Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – cumprimento de obrigação legal ou regulatória pelo controlador;”
No caso das universidades, o impedimento da eliminação se dá através das seguintes bases legais:
– Lei 8159/1991, Art. 1: É dever do Poder Público a gestão documental e a proteção especial a documentos de arquivos, como instrumento de apoio à administração, à cultura, ao desenvolvimento científico e como elementos de prova e informação.
– Portaria MEC 1224/2013, que institui normas sobre a manutenção e guarda do Acervo Acadêmico das Instituições de Educação Superior (IES) pertencentes ao sistema federal de ensino. Observe que a tabela no Anexo I desta portaria define prazos de guarda de 100 anos e em alguns casos, até mesmo guarda permanente.
– Portaria MEC 315/2018, Art. 38: As IES e suas mantenedoras, integrantes do sistema federal de ensino, ficam obrigadas a manter, sob sua custódia, os documentos referentes às informações acadêmicas, conforme especificações contidas no Código de Classificação de Documentos de Arquivo Relativos às Atividades-Fim das Instituições Federais de Ensino Superior e na Tabela de Temporalidade e Destinação de Documentos de Arquivo Relativos às Atividades-Fim das Instituições Federais de Ensino Superior, aprovados pela Portaria AN/MJ nº 92, de 23 de setembro de 2011, e suas eventuais alterações.
Parágrafo único. O acervo acadêmico será composto de documentos e informações definidos no Código e na Tabela mencionados no caput, devendo a IES obedecer a prazos de guarda, destinações finais e observações neles previstos.
Não podemos, portanto, excluir os dados de nenhum estudante, mesmo que ele já tenha se desligado da universidade.

Voltar ao topo

Como estudante, posso solicitar o histórico de uso de meus dados pessoais?

Art. 19. da LGPD:
“A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
I – em formato simplificado, imediatamente; ou
II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.”

Voltar ao topo

Sou servidor público e meus dados estão no Portal da Transparência. Com a LGPD isso muda?

Não. A questão da divulgação de dados de servidores foi objeto de questionamento, inclusive judicial, mas os tribunais (como o Tribunal Regional Federal da 1ª Região, o Tribunal Superior do Trabalho e o Supremo Tribunal Federal) já se manifestaram no sentido de permitir a publicidade dos dados. Em decisão unânime proferida em abril de 2011, os ministros do Supremo Tribunal Federal concluíram que “a pessoa que decide ingressar no serviço público adere ao regime jurídico próprio da Administração Pública, que prevê a publicidade de todas as informações de interesse da coletividade”. A remuneração dos agentes públicos é informação de interesse coletivo e fortalece o controle social, por isso, a princípio, não há mudança com a entrada em vigência da LGPD.

Voltar ao topo

A LGPD se aplica apenas ao tratamento de dados pessoais coletados na internet?

Não. A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenham como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente desses dados pessoais terem sido coletados em meios físicos ou digitais.

Voltar ao topo

É permitido pela LGPD o uso compartilhado de dados entre órgãos da administração pública?

Sim. Entretanto, o uso compartilhado de dados pessoais pelo Poder Público deve atender às finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, como informações ao INSS, condição social, fiscalizações etc.

Voltar ao topo

É permitida a transferência de dados entre o Poder Público e o setor privado?

É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
• em casos de execução descentralizada de atividade pública que exija a transferência exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
• nos casos em que os dados forem acessíveis publicamente, observadas as disposições da LGPD;
• quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou
• na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.

Voltar ao topo

O que é privacy by design e privacy by default?

Privacy by design (privacidade desde a concepção) diz respeito ao emprego de meios para se preservar a privacidade durante todo o ciclo de vida dos dados pessoais. No caso, a privacidade é base para a arquitetura dos sistemas e processos desenvolvidos, de modo a possibilitar, pelo formato disponibilizado e pelo serviço prestado, condições que permitam ao titular de dados pessoais preservar a sua privacidade e o formato em que ocorre o tratamento dos seus dados.
Privacy by default (privacidade por padrão) representa a instituição de que todas as ferramentas para preservar a privacidade estejam acionadas como padrão, isto é: a configuração padrão já confere a maior expectativa de privacidade possível ao titular de dados pessoais. Os agentes de tratamento devem, pois, desde o esboço até a execução de produtos, projetos ou serviços, implementar medidas técnicas, administrativas e de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
A partir da sua vigência, todos os procedimentos criados ou programas implementados para o desempenho da atividade deverão já estar adequados à LGPD, conforme o art. 46, § 2º.

Voltar ao topo

Quais os princípios para que uma cultura de privacidade desde a concepção (privacy by design) seja instituída?

O conceito de privacidade desde a concepção indica que a privacidade e a proteção de dados devem ser consideradas desde o início e durante todo o ciclo de vida do projeto, sistema, serviço, produto ou processo. Conforme o Guia de Boas Práticas da LGPD, tal privacidade pode ser alcançada por meio da aplicação de sete princípios fundamentais:
• proativo, e não reativo; preventivo, e não corretivo;
• privacidade deve ser o padrão dos sistemas de TI ou práticas de negócio;
• privacidade incorporada ao projeto (design);
• funcionalidade total;
• segurança e proteção de ponta a ponta durante o ciclo de vida de tratamento dos dados;
• visibilidade e transparência;
• respeito pela privacidade do usuário.

Voltar ao topo

O que é a “autodeterminação informativa” mencionada na LGPD?

Autodeterminação informativa é o direito que cada indivíduo tem de controlar e proteger seus dados pessoais. É um dos fundamentos da disciplina de proteção de dados pessoais, de acordo com o art. 2º, inciso II, da LGPD, compreendido como forma de garantir o controle do cidadão sobre suas próprias informações. Ou seja, certifica que o titular tenha domínio sobre os seus dados pessoais, ainda que o tratamento dessas informações seja legítimo. O seu reconhecimento assegura que todos os dados pessoais sejam protegidos, indo além do conceito de intimidade, trazendo a privacidade para o âmbito procedimental.
Sua aplicação, como a dos demais direitos fundamentais, não é absoluta. Por isso, é possível o tratamento de dados sem o consentimento do titular, desde que haja uma base legal para tanto. Além disso, os princípios também possibilitam maior controle sobre os dados por parte dos titulares, como a garantia de que somente os dados necessários para determinada finalidade serão tratados.

Voltar ao topo

O que seria o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)?

O RIPD é um instrumento importante de verificação e demonstração da conformidade do tratamento de dados pessoais realizado pela instituição e serve tanto para a análise quanto para a documentação do tratamento dos dados pessoais. O RIPD visa descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como as medidas, salvaguardas e mecanismos de mitigação de risco.

Voltar ao topo

O que seria o Termo de Uso conforme a LGPD?

O Termo de Uso advém de a consciência do controlador e operador ser transparente com o titular de dados pessoais e comunicar como as atividades de tratamento desses dados observam os princípios dispostos no art. 6º da LGPD. Em cumprimento aos princípios da publicidade e da transparência e a fim de assegurar aos cidadãos amplo acesso às informações, os termos devem ser regularmente atualizados a fim de refletir, de modo claro e preciso, as finalidades de coleta, uso, armazenamento, tratamento e proteção dos dados pessoais dos titulares, que comumente serão utilizados pelo órgão e entidade no exercício de suas competências legais ou execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos semelhantes.

Voltar ao topo

O que seria a Política de Privacidade conforme a LGPD?

Política de Privacidade é um documento informativo pelo qual o prestador de serviço transparece ao usuário a forma como o serviço realiza o tratamento dos dados pessoais e como fornece privacidade ao usuário.
A Política de Privacidade, que faz parte do Termo de Uso, origina-se da responsabilidade de os agentes de tratamento de dados serem transparentes com o titular de dados e informarem como as atividades de tratamento de dados atendem os princípios dispostos no art. 6º da LGPD. Portanto, o documento é, ao mesmo tempo, um dever do controlador e um direito do titular.

Voltar ao topo

O que é Inventário de Dados Pessoais (IDP)?

O IDP atende à determinação da Lei nº 13.709/2018 no que se refere à manutenção de registro do levantamento do tratamento de dados pessoais realizado pela instituição. Consiste no registro das operações de tratamento dos dados pessoais realizadas pela instituição (art. 37 da LGPD).
De uma forma geral, esse registro mantido pelo IDP envolve a descrição de informações em relação ao tratamento de dados pessoais realizado pelo órgão ou entidade, como:
• atores envolvidos (os agentes de tratamento e o encarregado);
• finalidade (o que a instituição faz com o dado pessoal);
• hipótese (arts. 7º e 11 da LGPD);
• previsão legal;
• dados pessoais tratados pela instituição;
• categoria dos titulares dos dados pessoais;
• tempo de retenção dos dados pessoais;
• instituições com as quais os dados pessoais são compartilhados;
• transferência internacional de dados (art. 33 da LGPD); e
• medidas de segurança atualmente adotadas.
O IDP é um documento importante de governança de dados pessoais e de subsídio para avaliação de impacto à proteção de dados pessoais, com vistas a verificar a conformidade da instituição no que se refere ao preconizado pela LGPD.

Voltar ao topo

Para a promoção da transparência ativa de dados, com a LGPD em vigor, o poder público deverá observar quais requisitos?

• Observância da publicidade das bases de dados não pessoais como preceito geral e do sigilo como exceção;
• garantia de acesso irrestrito aos dados, os quais devem ser legíveis por máquina e estar disponíveis em formato aberto, respeitadas as Leis nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), e nº 13.709, de 14 de agosto de 2018 (LGDP);
• descrição das bases de dados com informação suficiente sobre estrutura e semântica dos dados, inclusive quanto à sua qualidade e à sua integridade;
• permissão irrestrita de uso de bases de dados publicadas em formato aberto;
• completude de bases de dados, as quais devem ser disponibilizadas em sua forma primária, com o maior grau de granularidade possível, ou referenciar bases primárias, quando disponibilizadas de forma agregada;
• atualização periódica, mantido o histórico, de forma a garantir a perenidade de dados, a padronização de estruturas de informação e o valor dos dados à sociedade e a atender as necessidades de seus usuários;
• respeito à privacidade dos dados pessoais e dos dados sensíveis, sem prejuízo dos demais requisitos elencados, conforme a LGDP;
• intercâmbio de dados entre órgãos e entidades dos diferentes poderes e esferas da Federação, respeitado o disposto no art. 26 da LGDP; e
• fomento ao desenvolvimento de novas tecnologias destinadas à construção de ambiente de gestão pública participativa e democrática e à melhor oferta de serviços públicos.

Voltar ao topo

Qual a diferença entre transparência ativa e transparência passiva?

A transparência ativa ocorre quando há disponibilização da informação de maneira espontânea (proativa). É o que ocorre, por exemplo, com a divulgação de informações na Internet, de modo que qualquer interessado possa acessá-las diretamente.
A transparência passiva, por outro lado, depende de uma solicitação do cidadão. Ela ocorre por meio dos pedidos de acesso à informação. Desse modo, o órgão ou entidade deve se mobilizar no sentido de oferecer uma resposta à demanda.

Voltar ao topo

Quais documentos devem ter o acesso público para todas as pessoas, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)?

As informações de interesse público, geral ou coletivo. Exemplos:
• informações sobre procedimentos licitatórios, inclusive os respectivos editais e resultados, bem como a todos os contratos celebrados;
• dados gerais para o acompanhamento de programas, ações, projetos e obras de órgãos e entidades.

Voltar ao topo

Quais documentos devem ter acesso restrito a agentes públicos legalmente autorizados e à própria pessoa a quem a informação se referir, mediante identificação, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)?

Documentos que contenham informações pessoais de pessoa identificada ou identificável, como:
• número da Carteira de Identidade (RG);
• Cadastro de Pessoas Físicas (CPF);
• estado de saúde do servidor ou familiares;
• informações financeiras;
• informações patrimoniais;
• alimentandos;
• dependentes;
• pensões;
• endereços;
• número de telefone;
• e-mail;
• origem racial ou étnica;
• orientação sexual;
• convicções religiosas;
• convicções filosóficas ou morais;
• opiniões políticas;
• filiação sindical;
• filiação partidária;
• filiação a organizações de caráter religioso, filosófico ou político.

Voltar ao topo

Quais documentos devem ter o acesso restrito a agentes públicos legalmente autorizados e interessados, mediante identificação, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)?

Documento preparatório utilizado como fundamento de tomada de decisão ou de ato administrativo. Exemplos:
• notas técnicas, pareceres, notas informativas ou outros documentos que subsidiem decisões dos dirigentes em documentos sobre políticas econômica, fiscal, tributária, monetária, regulatória etc.;
• documentos que tragam argumentos e conteúdo para os processos que culminarão na edição de ato normativo.
Informações protegidas por legislação específica, como sigilo fiscal, bancário, comercial, empresarial e contábil. Exemplos: ofícios, extratos, relatórios, atas etc. que contenham informações fiscais, bancárias, comerciais, empresariais ou contábeis protegidas por sigilo.

Voltar ao topo

Quais as consequências da falta de adequação à LGPD?

Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na LGPD, ficam sujeitos a sanções administrativas, aplicáveis pela Autoridade Nacional.
Para as entidades e órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011, poderá ser aplicado:
• advertência, com indicação de prazo para adoção de medidas corretivas;
• publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Voltar ao topo

Como é feito o tratamento dos dados pessoais Segundo a LGPD?

O que a LGPD dispõe sobre tratamento de dados?

Quanto ao tratamento dos dados?

Quando pode ser realizado o tratamento de dados pessoais?