A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece diretrizes obrigatórias para a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, garantindo maior controle dos cidadãos sobre suas informações pessoais. Aprovada em 14 de agosto de 2018 e em vigor desde setembro de 2020, a LGPD visa proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A legislação se aplica a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde os dados estão localizados, desde que a operação de tratamento seja realizada no território nacional, o tratamento vise a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional.
A LGPD define "dados pessoais" como qualquer informação relacionada a pessoa natural identificada ou identificável e estabelece princípios, como a finalidade, adequação, necessidade, entre outros, que devem nortear o tratamento desses dados. Além disso, a lei introduz o conceito de "titular dos dados", que é a pessoa natural a quem se referem os dados pessoais que estão sendo tratados.
Para garantir a conformidade com a LGPD, as organizações e a administração pública devem adotar medidas técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
A LGPD também introduz a figura da Autoridade Nacional de Proteção de Dados (ANPD), autarquia especial responsável por fiscalizar, implementar e orientar o cumprimento da lei no Brasil.
O artigo 5º da LGPD traz os principais conceitos da lei. São eles:
Informação relacionada a pessoa natural identificada ou identificável.
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural
Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
O controlador e o operador.
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
A Autoridade Nacional de Proteção de Dados também elaborou seu próprio glossário de proteção de dados pessoais e privacidade, que pode ser encontrado nesse link.
Os princípios que norteiam a aplicação da LGPD estão previstos em seu artigo 6º. São eles:
Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais
Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais
Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas
Como titular de dados pessoais, você tem os seguintes direitos garantidos pelo artigo 18 da LGPD:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:
I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.
Para o exercício desses direitos, utilize a Plataforma Fala.BR.
O Encarregado pelo Tratamento de Dados Pessoais na Procuradoria Geral do Estado, órgão vinculado ao Gabinete do Procurador-Geral do Estado, atua como canal entre a PGE/RJ, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).
As atribuições deste órgão estão previstas na Resolução PGE no 5.004, de 31 de outubro de 2023. Dentre elas, destacam-se:
As reclamações dos titulares de dados serão recebidas pela Ouvidoria da Procuradoria Geral do Estado pela Plataforma “Fala.BR” e encaminhadas ao Encarregado, que prestará os esclarecimentos e adotará as providências necessárias.
Procuradores do Estado atualmente nomeados para a função:
Encarregado titular – Victor Campos Clement Leahy
Encarregado substituto – Daniel Carvalho Cardinali
Contato: edp@pge.rj.gov.br
A Procuradoria Geral do Estado, no exercício das suas competências constitucionais e atribuições legais, realiza, diariamente, o tratamento de dados pessoais de Procuradores, servidores, funcionários, residentes e estagiários, além dos dados pessoais do seu público externo, incluindo contribuintes, advogados, partes de processos e cidadãos em geral.
Os dados normalmente tratados se referem à identificação (nome, sobrenome, registro geral, data de nascimento, CPF) e endereço dos requerentes e partes, em conformidade com as exigências legais, notadamente as normas de processo administrativo e o código de processo civil. Além desses, outros dados são tratados nas atividades finalísticas da Procuradoria Geral do Estado, como dados pessoas sensíveis (origem racial ou étnica, convicção religiosa, dados referentes à saúde e dados biométricos), sempre visando o atendimento de uma finalidade pública, na persecução do interesse público, e respaldados por uma das hipóteses de tratamento dos artigos 7º e 11 da LGPD.
Além desses tratamentos, a PGE/RJ também se vale do uso compartilhado dos dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, em intercâmbio de informações com outros órgãos públicos federais, estaduais e municipais e entidades da administração pública indireta, e com observância das regras e princípios da LGPD.
Em atenção ao princípio da transparência, eis alguns dos convênios de compartilhamento de dados já celebrados pela PGE/RJ:
Lei Geral de Proteção de Dados Pessoais (LGPD - Lei Federal 13.709/2018) – clique aqui
Política de Governança em Privacidade e Proteção de Dados Pessoais do Estado do Rio de Janeiro (Decreto Estadual 48.891/2024) – clique aqui (hospedar versão do decreto)
Resolução de Instituição do Comitê Gestor de Privacidade e Segurança da informação para o desenvolvimento, a manutenção e o acompanhamento das ações relacionadas à privacidade e segurança da informação no âmbito da PGE/RJ – Resolução PGE 5004/2023 – clique aqui
Lei do Governo Digital (Lei Federal 14.129/2021) – clique aqui
Lei de Acesso à Informação (LAI – Lei Federal 12.527/2011) – clique aqui
Marco Civil da Internet (MCI – Lei Federal 12.965/2014) – clique aqui
