Perguntas frequentes, por assunto
I - Definições básicas
- O que é a Lei Geral de Proteção de Dados (LGPD)?
- A Lei nº 13.709, de 14 de agosto de 2018, chamada LGPD, em vigor desde 18 de setembro de 2020, estabelece regras e diretrizes para o tratamento de dados pessoais e se aplica a todas as organizações públicas ou privadas que coletam, armazenam, processam ou compartilham dados pessoais. No caso do IFRN, dados pessoais de estudantes e servidores.
- Qual o objetivo da LGPD e a quem ela se destina?
- A LGPD foi criada com o objetivo de proporcionar ao cidadão brasileiro um controle maior sobre o tratamento de seus dados pessoais. Ela unifica e regulamenta a proteção dos dados pessoais tratadas por instituições e empresas públicas ou privadas.
- Quais dados são protegidos pela LGPD?
- A LGPD protege os dados pessoais cujos titulares são pessoas naturais, tanto em formato físico, quanto digital, excluindo os dados de pessoas jurídicas, que não são considerados dados pessoais pela Lei.
- O que são dados pessoais?
- A LGPD adota um conceito amplo de dados pessoais, que inclui informações relacionadas a uma pessoa natural identificada ou identificável. Além das informações básicas como nome, CPF e endereço residencial, a lei considera como dados pessoais outras informações relacionadas a uma pessoa, como hábitos de consumo, aparência e aspectos da personalidade. A LGPD também reconhece que dados utilizados para criar o perfil comportamental de uma pessoa e que possam identificá-la são considerados dados pessoais.
- O que são dados sensíveis?
- Segundo a LGPD, dados pessoais sensíveis são dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. (Art. 5º, inciso II).
- O que é um dado anonimizado?
- Segundo a LGPD, dados anonimizados são dados pessoais que, por meio de técnicas razoáveis de anonimização, deixam de identificar ou tornam-se impossíveis de identificar uma pessoa natural, de forma definitiva e irreversível.
- O que é “tratamento” de dados pessoais?
- Tratamento de dados pessoais se refere a toda operação realizada utilizando dados pessoais, tais como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Art. 5, inciso X).
- Quais os principais atores no tratamento de dados pessoais, considerando a LGPD aplicada ao contexto do IFRN?
- Segundo a Autoridade Nacional de Proteção de Dados (ANPD), os principais atores são o titular, o controlador, o operador, o encarregado e a própria ANPD:
Titular: pessoa física a quem se referem os dados pessoais, como estudantes e servidores.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (inciso VI do art. 5º da LGPD). O controlador pode exercer diretamente o tratamento dos dados, mas pode, também, designar um operador. No caso do IFRN, o controlador é a própria instituição, representada pelo reitor, a quem compete as decisões referentes ao tratamento de dados pessoais.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (inciso VII do art. 5º da LGPD). Ambos, controlador e operador, recebem a nomeação de “agentes de tratamento” (inciso IX do art. 5º da LGPD). No caso do IFRN, quando não for a própria instituição, o operador será a pessoa que realizar o tratamento em nome dela, como, por exemplo, uma empresa contratada para gerenciar o acervo funcional de servidores. O “controlador” e os “operadores” devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. Os “operadores” devem realizar o tratamento segundo as instruções fornecidas pelo “controlador”, que verificará a observância das próprias instruções e das normas sobre a matéria.
Encarregado de Tratamento de Dados Pessoais (EDP): corresponde a uma pessoa inequivocamente investida nessa função (que, na legislação europeia, corresponde ao Data Protection Officer, ou DPO). Sua incumbência é de fazer a intermediação entre o titular e os agentes de tratamento, assim como entre estes agentes e a ANPD (inciso VII do art. 5º da LGPD). O encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
ANPD: tem a missão de regular o setor de tratamento de dados pessoais. Está autorizada, portanto, a agir em proteção aos princípios e fundamentos da LGPD.
II - Casos de não aplicação da LGPD
- Em quais casos de tratamento de dados pessoais a LGPD não será aplicada?
- O Artigo 4º da LGPD apresenta:
"Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei."
A Lei traz ainda em seu Artigo 12:
"Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
§ 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais."
III - Tratamento de dados pessoais no IFRN
- Sou servidor do IFRN e lido com dados pessoais. O que devo fazer?
- Os titulares dos dados devem ter ciência do que está sendo feito com seus dados pessoais. O servidor deve esclarecer que os dados serão utilizados exclusivamente para atender os objetivos institucionais vinculados às políticas públicas às quais se inserem o IFRN. Não deve ser realizado tratamento que extrapole o fazer e a necessidade institucional. Os formulários a serem preenchidos pelos titulares dos dados pessoais devem conter de forma clara a finalidade de cada informação ou o conjunto de informações que estão sendo coletadas.
Os dados pessoais aos quais o servidor tem acesso não deverão ser compartilhados com ninguém, de dentro ou fora da instituição.
O Encarregado de Dados Pessoais do IFRN está a disposição para esclarecer suas dúvidas através do contato informado ao final dessa página. No entanto, segue algumas ações e abstenções que você deve observar para promover a adequação do IFRN à LGPD:
• adotar medidas de segurança no descarte de papéis ou documentos que contenham dados pessoais;
• não deixar papéis e documentos à vista;
• guardar papéis e documentos em local apropriado e seguro;
• utilizar a opção sair ou desconectar para fechar qualquer sistema em uso;
• evitar marcar as opções “Lembrar-me da senha” ou “Mantenha-me conectado”;
• não compartilhar senha;
• comunicar ao órgão competente falhas de segurança;
• não usar o e-mail institucional para fins particulares;
• não postar nas redes sociais dados pessoais e sensíveis de terceiros;
• utilizar a função bloqueio quando se ausentar da estação de trabalho;
• não deixar a tela do computador exposta/aberta quando estiver ausente, ainda que temporariamente, da estação de trabalho; e
• não fornecer dados pessoais por e-mail, telefone ou qualquer outro canal inapropriado.
- Sou professor e publico dados de estudantes ou videoaulas em meu website. O que muda?
- É importante deixar o mínimo de dados expostos, seja em websites, seja em murais físicos. Se há uma lista da turma com as notas dos estudantes que esteja pública, coloque o número de matrícula, ao invés de nome ou CPF, por exemplo.
Se há vídeos em que os estudantes estejam expostos, uma alternativa é solicitar seu consentimento por escrito antes de publicá-lo. Contudo, lembre-se de que você deverá manter um arquivo desses consentimentos e de que eles poderão ser revogados pelos estudantes a qualquer momento, então uma alternativa melhor talvez fosse fazer um tratamento na imagem de maneira que aquele estudante não possa ser identificado(a). Lembre-se que a maior parte dos estudantes do IFRN são adolescentes, devendo o consentimento ser realizado pelos seus responsáveis legais, caso seja necessário.
Lembre-se, ainda, que nada deve ser feito com os dados dos estudantes sem seus consentimentos ou dos consentimentos dos seus responsáveis legais. Na dúvida, procure sempre anonimizar os dados com os quais você lida e nunca os compartilhar com terceiros, seja de dentro ou de fora do IFRN.
Para ter acesso ao contato do responsável legal dos seus alunos, você deverá buscar a Secretaria Acadêmica do seu campus.
- Sou professor pesquisador e coleto dados pessoais e/ou sensíveis, como proceder?
- A LGPD não se aplica para fins acadêmicos (Art. 4º, inciso II, alínea b), com exceção dos artigos 7 e 11. Observe o que dizem os artigos:
“Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;”
“Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
Ou seja, não há problema em coletar esses dados para fins de pesquisa, desde que eles sejam anonimizados. E lembre-se de não compartilhá-los com terceiros. Se você lidera uma equipe de pesquisa, oriente os membros dessa equipe para terem o mesmo cuidado.
- Como estudante, posso solicitar a exclusão de meus dados pessoais?
- O Capítulo III da LGPD trata dos direitos do titular. O Art. 18, inciso VI, diz que um desses direitos é a solicitação da eliminação de seus dados. Contudo, no inciso II do parágrafo 4º desse mesmo artigo, atente para o fato de que o controlador (no caso, a IFRN), pode indicar as razões de fato ou de direito que impeçam a execução dessa solicitação. Além disso, diz o Art. 16:
“Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – cumprimento de obrigação legal ou regulatória pelo controlador;”
No caso das instituições públicas de ensino, o impedimento da eliminação se dá através das seguintes bases legais:
– Lei 8159/1991, Art. 1: É dever do Poder Público a gestão documental e a proteção especial a documentos de arquivos, como instrumento de apoio à administração, à cultura, ao desenvolvimento científico e como elementos de prova e informação.
– Portaria MEC 1224/2013, que institui normas sobre a manutenção e guarda do Acervo Acadêmico das Instituições de Educação Superior (IES) pertencentes ao sistema federal de ensino. Observe que a tabela no Anexo I desta portaria define prazos de guarda de 100 anos e em alguns casos, até mesmo guarda permanente.
– Portaria MEC 315/2018, Art. 38: As IES e suas mantenedoras, integrantes do sistema federal de ensino, ficam obrigadas a manter, sob sua custódia, os documentos referentes às informações acadêmicas, conforme especificações contidas no Código de Classificação de Documentos de Arquivo Relativos às Atividades-Fim das Instituições Federais de Ensino Superior e na Tabela de Temporalidade e Destinação de Documentos de Arquivo Relativos às Atividades-Fim das Instituições Federais de Ensino Superior, aprovados pela Portaria AN/MJ nº 92, de 23 de setembro de 2011, e suas eventuais alterações.
Parágrafo único. O acervo acadêmico será composto de documentos e informações definidos no Código e na Tabela mencionados no caput, devendo a IES obedecer a prazos de guarda, destinações finais e observações neles previstos.
Não podemos, portanto, excluir os dados de nenhum estudante, mesmo que ele já tenha se desligado do Instituto.
IV - Sobre compartilhamento de dados pessoais
- Sou servidor público e meus dados estão no Portal da Transparência. Com a LGPD isso muda?
- Não. A questão da divulgação de dados de servidores foi objeto de questionamento, inclusive judicial, mas os tribunais (como o Tribunal Regional Federal da 1ª Região, o Tribunal Superior do Trabalho e o Supremo Tribunal Federal) já se manifestaram no sentido de permitir a publicidade dos dados. Em decisão unânime proferida em abril de 2011, os ministros do Supremo Tribunal Federal concluíram que “a pessoa que decide ingressar no serviço público adere ao regime jurídico próprio da Administração Pública, que prevê a publicidade de todas as informações de interesse da coletividade”. A remuneração dos agentes públicos é informação de interesse coletivo e fortalece o controle social, por isso, a princípio, não há mudança com a entrada em vigência da LGPD.
- É permitido pela LGPD o uso compartilhado de dados entre órgãos da administração pública?
- Sim. Entretanto, o uso compartilhado de dados pessoais pelo Poder Público deve atender às finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, como informações ao INSS, condição social, fiscalizações etc.
- É permitida a transferência de dados entre o Poder Público e o setor privado?
- É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
• em casos de execução descentralizada de atividade pública que exija a transferência exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
• nos casos em que os dados forem acessíveis publicamente, observadas as disposições da LGPD;
• quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou
• na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
V - Acesso público e restrito de documentos
- Quais documentos devem ter acesso restrito a agentes públicos legalmente autorizados e à própria pessoa a quem a informação se referir, mediante identificação, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)?
- Documentos que contenham informações pessoais de pessoa identificada ou identificável, como:
• número da Carteira de Identidade (RG);
• Cadastro de Pessoas Físicas (CPF);
• estado de saúde do servidor ou familiares;
• informações financeiras;
• informações patrimoniais;
• alimentandos;
• dependentes;
• pensões;
• endereços;
• número de telefone;
• e-mail;
• origem racial ou étnica;
• orientação sexual;
• convicções religiosas;
• convicções filosóficas ou morais;
• opiniões políticas;
• filiação sindical;
• filiação.
- Quais documentos devem ter o acesso público para todas as pessoas, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)?
- As informações de interesse público, geral ou coletivo. Exemplos:
• informações sobre procedimentos licitatórios, inclusive os respectivos editais e resultados, bem como a todos os contratos celebrados;
• dados gerais para o acompanhamento de programas, ações, projetos e obras de órgãos e entidades.
VI - Outras questões importantes
- Qual a diferença entre controlador e operador?
- A LGPD define como agentes de tratamento o controlador e o operador, os quais possuem diversas responsabilidades com relação às operações de tratamento de dados pessoais:
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. No IFRN, o Controlador é representado pelo Reitor.
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
No IFRN, os operadores de dados pessoais são os servidores que executam tratamento de dados pessoais em nome do operador considerando as várias fases do tratamento de dados pessoais. Eventualmente, empresas e/ou pessoas físicas contratadas pelo IFRN e ainda aprendizes, estagiários e voluntários poderão ser autorizados a realizar o tratamento de dados pessoais na condição de operadores de dados quando houver previsão em contrato ou termos específicos celebrados entre esses e o IFRN.
- O tratamento de dado pessoal de criança e de adolescente possui regramento específico?
- Sim. O Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa de até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. O tratamento de dados pessoais de crianças só poderá ocorrer com o consentimento específico e em destaque por pelo menos um dos pais ou responsável legal (§1º do art. 14 da LGPD). O consentimento é excepcionado quando a coleta for necessária para contatar os pais ou responsável legal, na forma do § 3º do art. 14 da LGPD. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível, de forma a proporcionar a informação necessária aos pais ou ao responsável legal, e adequada ao entendimento da criança.
- Quais são as bases legais para o tratamento de dados pessoais?
- O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da LGPD;
IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
- Quais são as bases legais para o tratamento de dados pessoais sensíveis?
- A LGPD estabelece um rol taxativo das hipóteses que autorizam o tratamento de dados pessoais sensíveis, quais sejam:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Publicada em 16 de Novembro de 2023 às 17:49 ― Atualizada em 22 de Maio de 2024 às 10:19