- CONSULTAS
- Receitas
- Despesas
- Contas Públicas
- Incentivos Fiscais
- Orçamento
- Planej. e Monit.
- Licitações
- Contratos
- Contratos de gestão
- Convênios
- Informações de Diárias
- Informações de Obras
- Informações de Servidores
- Participação Social
- Plano de Ação SIAFIC
- INFORMAÇÕES
- Missão do Portal
- Mapa do Portal
- Legislação
- Educação Fiscal
- LGPD
- Glossário
- Links Úteis
- Rel. Acesso à Informação
- Pesquisa de Satisfação
- Perguntas Frequentes
- Órgãos e endereços
- Radar da Transparência
Lei Geral de Proteção de Dados - Guia - Conceitos e competências
1. Conceitos e Competências
1.1 O que é dado pessoal
Segundo a definição da LGPD, dado pessoal é a informação relacionada à pessoa natural identificada ou identificável (Art. 5, I). Assim, a LGPD traz um conceito amplo e aberto, pois qualquer dado que, isoladamente ou agregado a outro, possa permitir a identificação de uma pessoa natural, pode ser considerado como dado pessoal.
Assim, percebe-se que o dado pessoal pode ser dividido em duas espécies, quando se diz respeito à identificação da pessoa: o dado pessoal direto e o dado pessoal indireto. Teremos o dado pessoal direto quando estes dados puderem identificar diretamente um indivíduo específico, sem a necessidade do uso de informações adicionais, por exemplo: CPF, imagem, DNA, entre outros. E teremos o dado pessoal indireto, quando estes dados necessitarem de alguma informação adicional para identificar um indivíduo, por exemplo: nome, dados de localização(GPS), endereço de IP, placa de carro, entre outros.
1.2 Dados anonimizados e pseudoanonimizados
1.2.1 - Dados anonimizados
Anonimização é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Será considerado “dado anonimizado” o dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Dito isso, percebemos que o legislador brasileiro optou pela utilização do critério da razoabilidade para delimitar o espectro dos dados pessoais. Assim, se para a ligação entre um dado e uma pessoa for demandado esforço fora do razoável, não há que se falar em dados pessoais, o dado, nesse caso, será considerado como anônimo.
Dessa forma, a LGPD não considera dados anonimizados como dados pessoais, salvo quando o processo de anonimização ao qual foram submetidos, for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
1.2.2 - Dados pseudoanonimizados
Dados pseudonimizados são aqueles que perderam a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. Consiste, portanto em um processo para esconder as identidades dos titulares de dados, tornando possível o controlador coletar mais informações do indivíduo, sem conhecer sua identidade.
Percebe-se, então, que o dado pessoal pseudonimizado é um dado pessoal indireto, tendo em vista que utilizando a relação que está em posse do controlador, é possível identificar o titular dos dados. Importante destacar que, diferente dos dados pessoais anonimizados, os pseudonimizados continuam sendo considerados dados pessoais e, por isso, continuam dentro do espectro de incidência da LGPD.
1.3 Conceitos sobre o tratamento dos dados pessoais
A Lei Geral de Proteção de Dados Pessoais (LGPD) dispõe sobre o tratamento de dados pessoais, por meios físicos e digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Considera-se “tratamento de dados” qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Essas operações de tratamento são destacadas e traduzidas a seguir:
ACESSO - ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique;
ARMAZENAMENTO - ação ou resultado de manter ou conservar em repositório um dado;
ARQUIVAMENTO - ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotado a sua vigência;
AVALIAÇÃO - analisar o dado com o objetivo de produzir informação;
CLASSIFICAÇÃO - maneira de ordenar os dados conforme algum critério estabelecido;
COLETA - recolhimento de dados com finalidade específica;
COMUNICAÇÃO - transmitir informações pertinentes a políticas de ação sobre os dados;
CONTROLE - ação ou poder de regular, determinar ou monitorar as ações sobre o dado;
DIFUSÃO - ato ou efeito de divulgação, propagação, multiplicação dos dados;
DISTRIBUIÇÃO - ato ou efeito de dispor de dados de acordo com algum critério estabelecido;
ELIMINAÇÃO - ato ou efeito de excluir ou destruir dado do repositório;
EXTRAÇÃO - ato de copiar ou retirar dados do repositório em que se encontrava;
MODIFICAÇÃO - ato ou efeito de alteração do dado;
MODIFICAÇÃO - ato ou efeito de alteração do dado;
PROCESSAMENTO - ato ou efeito de processar dados visando organizá-los para obtenção de um resultado determinado;
PRODUÇÃO - criação de bens e de serviços a partir do tratamento de dados;
RECEPÇÃO - ato de receber os dados ao final da transmissão;
REPRODUÇÃO - cópia de dado preexistente obtido por meio de qualquer processo;
TRANSFERÊNCIA - mudança de dados de uma área de armazenamento para outra, ou para terceiro;
TRANSMISSÃO - movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos, etc.;
UTILIZAÇÃO - ato ou efeito do aproveitamento dos dados.
Nesse sentido, as disposições aqui previstas aplicam-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
- 1. a operação de tratamento seja realizada no território nacional;
- 2. a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
- 3. os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Cumpre mencionar que os regramentos contidos na LGPD NÃO se aplicam ao tratamento de dados pessoais:
- 1. realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
- 2. realizado para fins exclusivamente jornalístico, artísticos ou acadêmico (aplicando-se, para os fins exclusivamente acadêmicos, os artigos 7º e 11 da LGPD);
- 3. realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais; ou
- 4. provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na Lei.
1.3.1. BASES LEGAIS
A LGPD traz, no seu artigo 7º, as 10 (dez) hipóteses em que os tratamentos de dados pessoais poderão ser realizados, bem como estabelece os requisitos para execução de tal procedimento. São as chamadas bases legais de tratamento de dados pessoais, as quais serão pormenorizadas a seguir, no item 2.1 do presente documento, abordando questões fundamentais a serem observadas pelos órgãos e entidades da administração municipal no sentido de assegurar a conformidade do tratamento de dados pessoais de acordo com as referidas hipóteses legais e princípios da LGPD.
Entretanto, antes de abordá-las, é importante mencionar que todas as atividades de tratamento de dados pessoais devem, sempre, observar a boa-fé e demais princípios elencados no artigo 6º da referida lei. Além disso, especificamente nos tratamentos executados pelo poder público, as regras previstas nos artigos 23 a 30 da referida lei devem ser observadas.
Importante consignar que o compartilhamento dentro da administração pública no âmbito da execução de políticas públicas é previsto na lei e dispensa o consentimento específico. Contudo, o órgão que coleta deve informar claramente que o dado será compartilhado e com quem. Do outro lado, o órgão que solicita acesso a dado colhido por outro, isto é, solicita receber o compartilhamento, precisa justificar esse acesso com base na execução de uma política pública específica e claramente determinada, descrevendo o motivo da solicitação de acesso e o uso que será feito com os dados.
1.4. Agentes de tratamento e outras personalidades da LGPD
No âmbito da LGPD, o tratamento dos dados pessoais pode ser realizado por dois “agentes de tratamento”, o Controlador e o Operador:
• O Controlador é definido pela Lei como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. No âmbito da Administração Pública, o Controlador será a pessoa jurídica do órgão ou entidade pública sujeita à Lei, representada pela autoridade imbuída de adotar as decisões acerca do tratamento de tais dados.
• O Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Além desses dois agentes, é importante conceituar algumas outras personalidades que também são importantes para a LGPD. A Autoridade Nacional de Proteção de Dados (ANPD), o encarregado e o titular.
• A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
• O encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Sendo importante mencionar que a identidade e informações de contato do encarregado devem ser divulgadas publicamente, por força do art. 41, §1º da LGPD;
• O titular é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
1.4.1. CONTROLADOR PESSOA JURÍDICA DE DIREITO PÚBLICO
As pessoas jurídicas de direito público têm as competências decisórias distribuídas internamente em diferentes órgãos públicos, como é o caso do Município de Fortaleza (pessoa jurídica de direito público) e as secretarias, institutos, etc. que o compõe (órgãos públicos despersonalizados que integram o Município e realizam tratamento de dados pessoais, conforme previsto na legislação).
Nesse caso, deve-se considerar dois aspectos centrais. De um lado, conforme o art. 5º, VI, da LGPD, o controlador é o Município, pessoa jurídica de direito público que, em última análise, é o responsável pelas obrigações decorrentes da lei, de instrumentos contratuais e atos em geral praticados pelos seus órgãos e servidores.
De outro lado, a LGPD atribuiu aos órgãos públicos obrigações típicas de controlador, indicando que, no setor público, essas obrigações devem ser distribuídas entre as principais unidades administrativas despersonalizadas que integram a pessoa jurídica de direito público e realizam tratamento de dados pessoais.
Nesse sentido, o Município, como controlador, é o responsável perante a LGPD, mas as atribuições de controlador, por força da desconcentração administrativa, são exercidas pelos órgãos públicos que desempenham funções em nome da pessoa jurídica da qual fazem parte, fenômeno que caracteriza a distribuição interna das competências.
Sendo assim, nas operações de tratamento de dados pessoais conduzidas por órgãos públicos despersonalizados, a pessoa jurídica de direito público a qual os órgãos sejam vinculados é a controladora dos dados pessoais e, portanto, responsável pelo cumprimento da LGPD. Contudo, em razão do princípio da desconcentração administrativa, o órgão público despersonalizado desempenhará funções típicas de controlador de dados, de acordo com as obrigações estabelecidas na LGPD. O que significa que órgãos, secretarias e outros entes despersonalizados atuam em nome da Prefeitura Municipal de Fortaleza, controladora para fins da LGPD.
1.4.2. CONTROLADORIA CONJUNTA
O conceito de controladoria conjunta não foi trazido pela LGPD, entretanto, ela informa, no seu art. 42, §1º, II, que quando mais de um controlador estiver diretamente envolvido no tratamento do qual decorram danos ao titular de dados, estes responderão de forma solidária, à exceção das hipóteses previstas no art. 43.
Sendo assim, percebe-se que existe a possibilidade de, em uma mesma operação de tratamento de dados pessoais, existir mais de um controlador. E que havendo necessidade de responsabilização, estes responderão solidariamente.
Neste sentido, tendo em vista que, de acordo com a LGPD, Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Teremos, então, a controladoria conjunta quando, numa mesma operação de tratamento, existirem duas ou mais pessoas distintas competentes e responsáveis pela tomada de decisões referentes àquela operação.
1.4.3. OPERADOR
Como já foi dito, o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Porém, é importante deixar claro que empregados, servidores e outras pessoas naturais que integram a pessoa jurídica e cujos atos expressam a atuação desta não devem ser considerados operadores, tendo em vista que o operador será sempre uma pessoa distinta do controlador, isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos.
Algo importante de mencionar sobre o operador é que este somente poderá tratar os dados para a finalidade previamente estabelecida pelo controlador. Isso deixa claro que o poder de decisão é do controlador, devendo o operador agir nos limites das finalidades estabelecidas por aquele.
Cumpre, ainda, mencionar que a LGPD não determina expressamente que o controlador e o operador devam firmar um contrato sobre o tratamento de dados, porém, tal ajuste se mostra como uma boa prática de tratamento de dados, uma vez que as cláusulas contratuais impõem limites à atuação do operador e reduzem os riscos e as incertezas decorrentes da operação.
1.5. LGPD na Prefeitura Municipal de Fortaleza
No âmbito da Prefeitura Municipal de Fortaleza, restou definido que a Controladoria e Ouvidoria Geral do Município - CGM, a Secretaria Municipal de Planejamento, Orçamento e Gestão - SEPOG e a Procuradoria Geral do Município - PGM apoiariam a implementação da LGPD no município, nos termos abaixo indicados.
1.5.1. COMPETÊNCIAS DA SEPOG
Compete à Secretaria Municipal do Planejamento, Orçamento e Gestão – SEPOG, de acordo com o Decreto Municipal 14.987/2021:
- 1) orientar a aplicação de soluções de TIC relacionadas à proteção de dados pessoais;
- 2) adequar as arquiteturas e as operações compartilhadas de TIC hospedadas no datacenter e na rede corporativa às exigências da Lei Federal nº 13.709, de 2018;
- 3) propor padrões de desenvolvimento de novas soluções de TIC, considerando a proteção de dados pessoais, desde a fase de concepção do produto e serviço até a sua execução.
Cabe destacar que as arquiteturas e as operações de que trata o tópico 2 poderão ter seu escopo alterado por meio de acordo entre as partes responsáveis pelo compartilhamento.
1.5.2. COMPETÊNCIAS DA CGM
Compete à Controladoria e Ouvidoria Geral do Município – CGM, de acordo com o Decreto Municipal 14.987/2021:
- 1) coordenar e orientar a rede de encarregados responsáveis pela implementação do Plano de Adequação;
- 2) consolidar os resultados e apoiar o monitoramento da Proteção de Dados Pessoais implementados no município;
- 3) disponibilizar canal de atendimento ao titular do dado;
- 4) coordenar a qualidade do atendimento ao titular do dado;
- 5) estabelecer sistemática de auditoria interna com vistas a aumentar e proteger o valor organizacional do Município, fornecendo avaliação, assessoria e conhecimento objetivos baseados em riscos;
- 6) encaminhar o atendimento ao encarregado responsável pelos dados e acompanhar sua resolutividade;
- 7) produzir e manter atualizados manuais de implementação das Políticas de Proteção de Dados Pessoais Locais e modelos de documentos, bem como capacitações para os agentes públicos.
1.5.3. COMPETÊNCIAS DA PGM
Compete à Procuradoria Geral do Município – PGM, de acordo com o Decreto Municipal 14.987/2021:
- 1) disponibilizar aos agentes de tratamento e ao encarregado consultoria jurídica para dirimir questões e emitir pareceres do significado e alcance da Lei Federal nº 13.709, de 2018;
- 2) disponibilizar modelos de contratos, convênios e acordos de cooperação internacional aderentes à Lei Federal nº 13.709, de 2018, a serem utilizados pelos agentes de tratamento;
- 3) disponibilizar modelo de termo de uso de sistema de informação da Administração Pública;
- 4) adotar as medidas jurídicas necessárias à adequação dos instrumentos já firmados à LGPD.
1.5.4. COMPETÊNCIAS COMUNS A TODOS OS ÓRGÃOS E ENTIDADES DA PMF
O Poder Executivo Municipal, por meio de seus órgãos e entidades, conforme Art 4°, Art 6º e Art. 17° do Decreto Municipal n° 14.987/21, deve realizar e manter continuamente atualizados:
- 1) o mapeamento dos dados pessoais existentes e dos fluxos de dados pessoais em suas unidades;
- 2) a análise e o relatório de risco e impacto à proteção de dados pessoais;
- 3) o plano de adequação.
Os planos de adequação devem observar, no mínimo, o seguinte:
- 1) publicidade das informações relativas ao tratamento de dados em veículos de fácil acesso, preferencialmente nas páginas dos órgãos e entidades na internet, bem como no Portal da Transparência, em seção específica a que se refere o parágrafo único do art. 5º deste Decreto;
- 2) atendimento das exigências que vierem a ser estabelecidas pela Autoridade Nacional de Proteção de Dados, nos termos do art. 23, § 1º, e do Art. 27, parágrafo único, da Lei Federal nº 13.709, de 2018;
- 3) manutenção de dados para o uso compartilhado com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral;
- 4) elaboração de inventário de dados, assim entendido o registro de operações de tratamento de dados pessoais, realizados pelo órgão ou entidade;
- 5) elaboração do Relatório de Impacto de Proteção de Dados Pessoais, assim entendida a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de riscos;
- 6) elaboração de Plano de Resposta a Incidentes, assim entendido o plano de resposta para tratar ocorrências de situações que venham a lesar a segurança de dados pessoais mantidos sob a responsabilidade do órgão ou entidade;
- 7) instrumentalização da adequação de Contratos, conforme orientações expedidas pela PGM;
- 8) implementação da utilização de Termos de Uso conforme orientações expedidas pela PGM.
1.5.5. COMPETÊNCIA DO CONTROLADOR, DE ACORDO COM O DECRETO MUNICIPAL 14.987/2021
De acordo com o Decreto Municipal 14.987/2021, Art. 6º, compete à entidade ou ao órgão controlador:
- 1) aprovar, prover condições e promover ações para efetividade do Plano de Adequação de Proteção de Dados Pessoais do órgão e/ou entidade;
- 2) nomear encarregado para conduzir o Plano de Adequação e sua manutenção, através de ato próprio;
- 3) elaborar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade; e
- 4) fornecer aos operadores termos de uso, manuais de instruções e treinamento dos tratamentos sob sua responsabilidade.
Perceba-se que a desconcentração administrativa explicada no item 1.4.1 irradia seus reflexos na redação do referido Art. 6°, quando as atribuições do Controlador (Município de Fortaleza) são delegadas a seus órgãos e entidades.
Deve-se ainda, observar que os atos do controlador público são de responsabilidade do titular de mais alta hierarquia do órgão ou entidade e que a nomeação do encarregado deverá atender prerrogativas e qualificações necessárias ao exercício dessa função.
1.5.6. COMPETÊNCIA DO ENCARREGADO, DE ACORDO COM O DECRETO MUNICIPAL 14.987/2021
Em conformidade com o Decreto Municipal 14.987/2021, compete ao encarregado e sua equipe de apoio:
-
1) gerenciar o Plano de Adequação para:
- a) inventariar os tratamentos do controlador, inclusive os eletrônicos;
- b) analisar a maturidade dos tratamentos em face dos objetivos e metas estabelecidos e do consequente risco de incidentes de privacidade;
- c) avaliar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
- d) adotar as providências cabíveis para implementar as medidas de segurança avaliadas;
- e) cumprir os objetivos e metas previstas no Plano de Adequação do seu órgão e/ou entidade.
- 2) receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- 3) receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais – ANPD e adotar providências;
- 4) orientar os funcionários e os contratados no cumprimento das práticas necessárias à privacidade de dados pessoais;
- 5) quando provocado, entregar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade;
- 6) atender às normas complementares da Agência Nacional de Proteção de Dados Pessoais; e
- 7) informar à Agência Nacional de Proteção de Dados Pessoais e aos titulares dos dados pessoais eventuais incidentes de privacidade de dados pessoais, dentro da execução de um plano de respostas a incidentes.
É importante destacar que o encarregado deve contar com equipe de apoio para execução de seu mister, especialmente suporte jurídico e de tecnologia da informação, áreas simbióticas e fundamentais para implantação da LGPD. Deve ainda possuir amplo acesso à alta administração, para alinhamentos relacionados ao cumprimento da referida lei.
1.5.7. COMPETÊNCIA DO OPERADOR, DE ACORDO COM O DECRETO MUNICIPAL 14.987/2021
O Decreto Municipal 14.987/2021 leciona que compete ao Operador de dados pessoais e sua equipe de apoio:
- 1) manter registro das operações de tratamento de dados pessoais que forem realizadas;
- 2) realizar o tratamento de dados segundo as instruções fornecidas pelo controlador e de acordo com as normas aplicáveis;
- 3) adotar, em conformidade às instruções fornecidas pelo controlador, medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
- 4) subsidiar o Controlador no intuito de dar cumprimento às solicitações, orientações e às recomendações do Encarregado;
- 5) executar outras atribuições correlatas.
1.6. Direitos do titular do dado
A LGPD estabeleceu uma estrutura legal que fornece, ao titular do dado, diversos direitos a serem exercidos perante os controladores de dados. Esses direitos devem ser garantidos durante toda a existência do tratamento dos dados pessoais do titular realizado pelo órgão ou entidade.
Os direitos a serem garantidos aos titulares de dados estão organizados nas duas tabelas abaixo. Contendo, na Tabela 1, a relação dos direitos decorrentes dos princípios estabelecidos pelo art. 6º da LGPD; e, na Tabela 2, a relação dos direitos específicos dos titulares constantes dos demais artigos da referida Lei.