Perguntas Frequentes
Inicial / LGPD na Infra S.A. / Perguntas Frequentes
Sim. Ela dispõe sobre o tratamento de dados pessoais realizado, também, por pessoa jurídica de direito público. (Artigo 1° da LGPD)
Elencados no artigo 6º, no qual a Lei dispõe que as atividades de tratamento de dados pessoais deverão observar, além da boa-fé, e os seguintes princípios:
- finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
- necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
- livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
- qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
- segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
- não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
- responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
A lei ainda não está em vigência plena. A parte que trata das Sanções Administrativas (artigos 52, 53 e 54) entrará em 1º de agosto de 2021. De resto, o capítulo da Autoridade Nacional de Proteção de Dados (ANPD) entrou em vigor logo no ano da publicação (18/12/2018) para permitir a sua estruturação; e os demais dispositivos legais entraram em vigor no dia 18/9/2020, após sanção da Lei nº 14.058, de 17 de setembro de 2020 (conversão da MPV 959/2020).
A LGPD não se aplica ao tratamento de dados pessoais: realizado por pessoa natural para fins exclusivamente particulares e não econômicos; realizado para fins exclusivamente: jornalístico e artísticos ou acadêmicos; realizado para fins exclusivos de: segurança pública; defesa nacional; segurança do Estado; ou atividades de investigação e repressão de infrações penais; ou provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. (Artigo 4º LGPD)
Trata-se de órgão público constituído com o objetivo de zelar pela implementação, fiscalização e monitoramento do cumprimento da LGPD. Além disso, a ANPD é responsável por regular e orientar, preventivamente, sobre como aplicar a lei.
É o agente de tratamento de dados que toma as decisões sobre o tratamento dos dados.
Na INFRA SA, é a Pessoa Jurídica de Direito Público que exerce a função de Controlador e, portanto, detém o poder sobre os tratamentos dos dados pessoais.
É o agente de tratamento que realiza o tratamento de dados em nome do controlador.
O operador não pertence à INFRA SA . Em geral, é uma empresa contratada para tal finalidade.
É o agente de tratamento de dados indicado pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Na INFRA SA, o empregado Cleber Dias da Sila Junior exerce as atribuições de encarregado, conforme Portaria Nº 206, DE 17 DE JULHO DE 2023 e seus contatos, em atendimento ao art. 41, §1º, da LGPD, são: e-mail: encarregadolgpd@infrasa.gov.br, telefone: (61). 2029-6076
Suas atividades, definidas pelo art. 41, §2º, da mesma norma, consistem em:
“I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.”
Dados Pessoais são toda informação que identifica ou que possa identificar uma Pessoa Natural. Observe que dados que não possam identificar uma pessoa natural não são abrangidos pela proteção da lei. Mesmo assim, trata-se de um conceito amplo que abrange, por exemplo: prenome, nome, números de documentos pessoais (RG, CPF, passaporte, título de eleitor), estado civil, gênero, profissão, orientação sexual, número de telefone, redes sociais, marcas características, profissão, origem racial, social e étnica, dados de saúde, convicções políticas, religiosas e filosóficas, registros de aplicações de internet, cookies, etc. (Artigo 5º LGPD)
São os dados pessoais referentes a origem racial ou étnica; Convicção religiosa; Opinião política; Filiação a sindicato; Filiação a organização de caráter religioso, filosófico ou político; Dado referente à saúde; Dado referente à vida sexual; Dado genético; Dado biométrico.
A lei definiu de forma abrangente dispondo que tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. (Artigo 5° da LGPD)
Nesse contexto a operação de armazenar os dados pessoais dos cidadãos (nome, filiação, CPF, RG, e-mail, etc) é considerada tratamento para fins da LGPD.
Nos artigos 17 e 18 da LGPD estão enumerados os direitos dos titulares, quais sejam: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; e informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; revogação do consentimento.
Quais as bases-legais/requisitos para o tratamento de dados na LGPD?
O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
- mediante o fornecimento de consentimento pelo titular;
- para o cumprimento de obrigação legal ou regulatória pelo controlador;
- pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
- para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
- para a proteção da vida ou da incolumidade física do titular ou de terceiros;
- para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
- para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. (Artigo 7° da LGPD).
É a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. (Art. 5º, inciso XVII)
O relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. (Artigo 38, parágrafo único, LGPD)
Sim. Conforme disposto no artigo 32 da LGPD, a ANPD poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.