Segurança e Proteção de Dados Pessoais

Segurança e Proteção de

Dados

Pessoais

CARTILHA LGPD - TRF5

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

Presidente

Desembargador Federal Fernando Braga Damasceno

Vice-Presidente

Desembargadora Federal Germana de Oliveira Moraes

Corregedor Regional

Desembargador Federal Leonardo Henrique de Cavalcante Carvalho

Encarregado dos Dados Pessoais

Desembargador Federal Élio Wanderley de Siqueira Filho

Diretora-Geral

Telma Motta

Comissão LGPD

Cristiane Fernandes Viana

Fedra Teixeira Gonçalves Simões de Lyra

Gleicy D’ Lyzandra Silva do Nascimento

Áudiovisual

André Garcia

Johnmary Vital de Araújo

Juliana Galvão

Tribunal Regional Federal da 5ª Região

Cais do Apolo, s/n - Edifício Ministro Djaci Falcão

Bairro do Recife - Recife – PE | PABX: 81 3425.9000

Site Oficial: https://www.trf5.jus.br

Produzido em Recife-PE, 2023

1. O que é a LGPD?

A LGPD é a Lei Geral de Proteção de Dados Pessoais, Lei Federal nº 13.709, de 14 de agosto de 2018, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A elevação do tema proteção de dados ao status de direito fundamental, previsto no artigo 5º da Constituição Federal, com a promulgação da Emenda Constitucional nº 115, em 10 de fevereiro de 2022, destaca-se como um marco significativo para os brasileiros.

1.1 Fundamentos da Proteção de Dados

O art. 2º da LGPD expressa os fundamentos que embasam toda e qualquer ação que envolva o tratamento de dados pessoais:

Respeito à privacidade

Autodeterminação informativa

Inviolabilidade da intimidade, da honra e da imagem

Livre iniciativa, a livre concorrência e a defesa do consumidor

Saiba mais sobre a autodeterminação informativa com o desembargador federal Edilson Nobre:

Liberdade de expressão, de informação, de comunicação e de opinião

Desenvolvimento econômico e tecnológico e a inovação

Direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais

A LGPD NÃO SE APLICA AO TRATAMENTO DE DADOS

PESSOAIS QUE SEJAM:

 Realizados por pessoa natural para fins exclusivamente particulares e não econômicos;

 Para fins exclusivamente artísticos, jornalísticos ou acadêmicos;

 Realizados para fins exclusivos de segurança nacional, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;

 Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção

2. Conceitos Importantes

2.1 Dado Pessoal

Informação que permite identificar, direta ou indiretamente, um indivíduo que esteja vivo. Por exemplo: nome, RG, CPF, data e local de nascimento, telefone, endereço residencial, localização via GPS, fotografia.

Cookie/Log (endereço IP + HORA DE ACESSO)

Endereço residencial, comercial e eletrônico

Nome, sobrenome; Data de nascimento; CPF, RG, CNH; Carteira de trabalho; Passaporte; Título de eleitor; matrícula; servidor/colaborador

E-mail corporativo

2.2 Dado Pessoal Sensível

Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Convicção religiosa

Dado genético ou biométrico

Origem racial ou étnica

Referente à saúde ou à vida sexual

Filiação a sindicato ou a organização de caráter religioso ou filosófico

Opinião política

2.3. Titular de Dados Pessoais

É a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. No âmbito do TRF5, os titulares podem ser cidadãos que utilizem os serviços do Tribunal, ou o próprio corpo interno (membros, servidores e colaboradores), cujos dados são tratados, por exemplo, pela Diretoria de Gestão de Pessoas.

Direitos dos Titulares dos Dados

O titular dos dados pessoais tem o direito de requerer a qualquer momento:

¤ confirmação da existência de tratamento;

¤ acesso aos dados;

¤ correção de dados incompletos, inexatos ou desatualizados;

¤ anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;

¤ portabilidade dos dados a outro fornecedor de serviço ou produto eliminação dos dados pessoais tratados com o consentimento do titular (exceto hipóteses previstas no art. 16 da LGPD);

¤ informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

¤ informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

¤ revogação do consentimento

Os Titulares podem exercer os seus direitos pelos canais de contato do Encarregado pelo Tratamento de Dados Pessoais do TRF5 ou mediante preenchimento do formulário do Serviço de Informação ao Cidadão (SIC).

3. Principais Atores

DADOS DADOS

Titular

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Controlador - TRF5

Pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.

COMUNICAÇÃO

Encarregado (DPO)

Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

COMUNICAÇÃO

Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

ANPD

(Autoridade Nacional de Proteção de Dados) Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

No âmbito do TRF5?

Considera-se controlador a União, pessoa jurídica de direito público, mas as atribuições de controlador, por força da desconcentração administrativa, são exercidas pelos órgãos públicos que desempenham funções em nome da pessoa jurídica da qual fazem parte. Assim, entende-se que o Tribunal exerce as atribuições de Controlador.

Os operadores de dados são os prestadores de serviços contratados para realização de atividades indispensáveis à operação do Portal do TRF5, sempre que, para a execução daqueles, for indispensável o acesso ao fluxo e tratamento de dados pessoais.

O encarregado é o responsável pela comunicação na LGPD. Fale com ele através deste e-mail

A função de encarregado é desempenhada pelo Encarregado pelo Tratamento de Dados Pessoais do TRF5, designado através do Ato TRF5 nº 354/2020, de 06/10/2020, que atenderá a contatos por meio do endereço eletrônico encarregado_lgpd@trf5.jus.br. Ele terá que manter o Tribunal em conformidade com a LGPD.

4. Tratamento de Dados Pessoais

TRATAMENTO:

Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

TRATAMENTO DE DADO PESSOAL DE CRIANÇA E ADOLESCENTE:

A Lei determina que o tratamento de dados de crianças e adolescentes deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, quando a base legal for o consentimento (§1º do artigo 14 da LGPD).

4.1 Princípios do Tratamento

É de extrema importância que o tratamento de dados pessoais observe a boa-fé e os 10 princípios elencados no artigo 6º da LGPD:

1

Finalidade especificada e informada explicitamente ao titular

2

Adequação à finalidade previamente acordada e divulgada

3 4 5 6 7 8 9 10

Necessidade do tratamento, limitado ao uso de dados essenciais para alcançar a finalidade inicial

Acesso livre, fácil e gratuito das pessoas à forma como seus dados são tratados

Qualidade dos dados, deixando-os exatos e atualizados, segundo a real necessidade no tratamento

Transparência, ao titular, com informações claras e acessíveis sobre o tratamento e seus responsáveis

Segurança para coibir situações acidentais ou ilícitas como invasão, destruição, perda, difusão

Prevenção contra danos ao titular e a demais envolvidos

Não discriminação, ou seja, não permitir atos ilícitos ou abusivos

Responsibilização do agente, a demonstrar a eficácia das medidas adotadas

Veja uma interessante análise sobre a aplicação do Princípio da Finalidade com a doutora Miriam Wimmer:

4.2 Ciclo de Vida dos Dados Pessoais

Antes de iniciar o processo de identificação e implementação de quaisquer medidas de segurança, é necessário analisar os processos, projetos, serviços e ativos abrangidos pelo ciclo de vida de tratamento dos dados pessoais.

As fases do ciclo de vida dos dados pessoais demonstram como ocorrem, em geral, o tratamento de dados no âmbito de uma organização.

4.3 Bases Legais.

As bases legais são hipóteses da LGPD que autorizam o tratamento de dados pessoais.

DADOS PESSOAIS

l Consentimento

l Cumprimento de obrigação legal ou regulatória

l Execução de políticas públicas pela Administração Pública

l Realização de estudos por órgãos de pesquisas

l Exercício regular de direitos, inclusive em contrato e em processo judicial administrativo e arbitral

l Proteção da vida ou da incolumidade física do titular ou de terceiros

l Tutela da saúde

l Interesse legítimo do controlador ou terceiros

l Proteção de crédito

l Para execução de contratos e procedimentos preliminares a eles relacionados

DADOS PESSOAIS SENSÍVEIS

l Consentimento

l Cumprimento de obrigação legal ou regulatória

l Execução de políticas públicas pela Administração Pública

l Realização de estudos por órgãos de pesquisas

l Exercício regular de direitos, inclusive em contrato e em processo judicial administrativo e arbitral

l Proteção da vida ou da incolumidade física do titular ou de terceiros

l Tutela da saúde

l Garantia da prevenção à fraude e à segurança do titular

4.4 Tratamento de Dados Pessoais no TRF5

O tratamento de dados pessoais realizado pelo TRF5 atende a sua finalidade para com o interesse público ao executar competências legais no cumprimento de suas atribuições para a prestação dos serviços jurisdicionais ou administrativos.

Sendo realizado de acordo com as disposições do Capítulo IV, Do Tratamento de Dados Pessoais pelo Poder Público, da LGPD. Clique aqui para acessar a LGPD

O TRF5 trata dados pessoais tanto dos cidadãos, considerados usuários externos dos serviços oferecidos, quanto de seu público interno, de diversas formas. Vejamos alguns exemplos:

Exemplos de serviços que envolvem tratamento de dados pessoais do usuário externo

Cadastro de Advogado – PJe TRF5

Cadastro de Usuário Externo – SEI

Exemplos que envolvem tratamento de dados pessoais de magistrados, servidores e colaboradores

Biometria

Sistema de câmeras

E-mail corporativo

Gestão de Pessoas

Sistema de RH - Web

Sistema Eletrônico de Informações

A aplicação da LGPD é feita não apenas por juristas, mas requer o envolvimento de todos. Veja mais a respeito com a desembargadora Denise Francoski:

5. Boas Práticas

Realizar a troca periódica de senha

Descartar papéis/ documentos que contenham dados pessoais da forma correta (fragmentador de papel)

Utilizar a função de bloqueio quando se ausentar da estação de trabalho

Utilizar a opção sair ou desconectar para fechar os sistemas em uso mantendo a conexão VPN apenas pelo tempo necessário para realização do trabalho

Armazenar dados pessoais preferencialmente nos sistemas de informação do TRF5

Ao tomar ciência de uma falha de segurança ou violação à LGPD, reportar imediatamente ao setor competente

Ao tratar dados pessoais observar as normas aplicáveis, políticas e boas práticas adotadas

Evitar o acesso não autorizado, aos dados controlados pelo TRF5

Limitar o acesso aos dados pessoais apenas aos agentes que necessitem destes para as atividades da administração pública

Coletar apenas informações necessárias

Não abrir e-mails suspeitos, quando houver dúvida quanto à origem

Evitar enviar e-mails para pessoas ou grupo maior do que o necessário

Não fornecer dados pessoais por e-mail, telefone ou qualquer outro canal inapropriado

6. Considerações Finais

A Lei Geral de Proteção de Dados (LGPD) dedicou um capítulo próprio ao poder público, em consideração às peculiaridades da Administração Pública.

No âmbito do Tribunal Regional Federal da 5ª Região, por exemplo, o tratamento de dados é realizado, na sua maioria, em decorrência da necessidade de cumprimento dos deveres legais e constitucionais.

A lei é clara, no seu artigo 47, quando ressalta: “os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término”.

Portanto, o uso ético, seguro e responsável dos dados pessoais nas operações de tratamento deve ser integrado no nosso cotidiano, observando os princípios gerais de proteção e as garantias dos titulares previstos na Lei.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/ l13709.htm. Acesso em: 29 ago 2022.

BRASIL. Segurança e Proteção de Dados. Guia de Boas Práticas - Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_lgpd.pdf. Acesso em: 29 ago 2022.

CONTROLADORIA GERAL DO ESTADO DE MINAS GERAIS. Grupo de Trabalho sobre a Lei Geral de Proteção de Dados no âmbito do Governo do Estado de Minas Gerais. Disponível em: https://cge.mg.gov.br/phocadownload/manuais_cartilhas/pdf/Cartilha%20LGPD4%202.pdf.

Acesso em: 29 ago 2022.

CONTROLADORIA GERAL DO ESTADO DO PARANÁ. Cartilha da Lei Geral de Proteção de Dados

LGPD, 2020. Cartilha da LGPD. Disponível em: https://www.cge.pr.gov.br/Pagina/Cartilhas-da-Lei-Geral-de-Protecao-de-Dados-LGPD#. Acesso em: 29 ago 2022.

MINISTÉRIO PÚBLICO DO RIO GRANDE DO SUL. Cartilha Lei Geral de Proteção de Dados –LGPD. Disponível em: https://www.mprs.mp.br/media/areas/lgpd/arquivos/cartilha_lgpd.pdf. Acesso em: 06 set 2022.

SERPRO - SERVIÇO FEDERAL DE PROCESSAMENTO DE DADOS. Serpro. Dados Anonimizados. Disponível em: https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-anonimizados-lgpd. Acesso em: 29 ago 2022.