Apresentacao Sobre A LGPD
Apresentacao Sobre A LGPD
Apresentacao Sobre A LGPD
GERAL DE PROTEÇÃO DE
DADOS PESSOAIS (LGPD)
NA ADMINISTRAÇÃO
PÚBLICA
CONSIDERAÇÕES INICIAIS
• Os direitos reconhecidos pela LGPD não estão todos listados no seu art. 18,
mas estão espalhados ao longo dos dispositivos.
1) CONFIRMAÇÃO DA EXISTÊNCIA DO TRATAMENTO E DO
ACESSO AOS DADOS (art. 18, I e II)
• O direito de acesso compreende todas aquelas informações constantes dos
incisos do art. 9º, quais sejam: (a) informação sobre a finalidade específica do
tratamento; (b) informações sobre a forma e duração do tratamento,
observados os segredos comercial e industrial; (c) a identificação do
controlador; (d) informações de contato do controlador; (e) informações
acerca do uso compartilhado de dados pelo controlador e a finalidade; (f) as
responsabilidades dos agentes que realizarão o tratamento; e (g) os direitos do
titular, com menção explícita aos direitos contidos no art. 18 da Lei.
2) CORREÇÃO DE DADOS INCOMPLETOS (ART. 18, III)
3) ANONIMIZAÇÃO, BLOQUEIO OU ELIMINAÇÃO DE DADOS
DESNECESSÁRIOS, EXCESSIVOS OU TRATADOS EM
DESCONFORMIDADE COM A LGPD (ART. 18, IV)
• O titular dos dados possui a prerrogativa da “anonimização” dos dados, assim
entendida a “utilização de meios técnicos razoáveis e disponíveis no momento
do tratamento, por meio dos quais um dado perde a possibilidade de
associação, direta ou indireta, a um indivíduo” (art. 5º, XI, LGPD). Não
confundir anonimização com pseudonimização, na forma da legislação.
• O bloqueio de dados corresponde à “suspensão temporária de qualquer
operação de tratamento, mediante guarda do dado pessoal ou do banco de
dados”.
4) PORTABILIDADE (ART. 18, IV)
5) ELIMINAÇÃO DOS DADOS TRATADOS COM O
CONSENTIMENTO DO TITULAR (ART. 18, III)
6) INFORMAÇÕES DAS ENTIDADES PÚBLICAS OU PRIVADAS
COM AS QUAIS O CONTROLADOR REALIZOU USO
COMPARTILHADO DE DADOS (ART. 18,VII)
7) INFORMAÇÕES SOBRE A POSSIBILIDADE DE NÃO FORNECER
CONSENTIMENTO E SOBRE AS CONSEQUÊNCIAS DA
NEGATIVA (ART. 18,VIII)
• O titular possui direito de ser informado sobre as consequências da negativa
de seu consentimento.
8) REVOGAÇÃO DO CONSENTIMENTO (ART. 18, IX)
• A revogação pode ser realizada a qualquer tempo, mediante procedimento
gratuito e facilitado, tratando-se de direito potestativo do titular.
9) ART. 20
• O art. 20 (caput e §1º) dispõe sobre os direitos à explicação e à revisão de
dados, respectivamente.
AGENTES DE TRATAMENTO DE DADOS
PESSOAIS
1) MEDIDAS DE SEGURANÇA:
• É dever dos agentes de tratamento, desde a concepção até conclusão do
serviço/produto, adotar medidas de segurança técnicas e administrativas, aptas
a proteger os dados pessoais (art. 46, caput e § 2 e art. 47).
• Também é dever dos agentes utilizar sistemas de dados pessoais estruturados,
de forma a atender aos requisitos de segurança, aos padrões de boas práticas e
de governança, aos princípios gerais previstos na LGPD, bem como às demais
normas regulamentares (art. 49), estando a conformidade do tratamento
diretamente relacionada ao modo pelo qual é realizado, aos riscos, às técnicas
e as salvaguardas disponíveis, sendo irregular todo o processamento que não
observe a legislação ou não forneça a segurança que razoavelmente dele se
possa esperar (art. 44, caput, incisos e parágrafo único).
• Para fins de adequação, até que seja editada regulamentação específica, podem
ser utilizados como referência as normas técnicas estabelecidas pela ABNT e
os Guias/Manuais Operacionais e de Boas Práticas da Administração Pública
Federal e Estadual.
2) INCIDENTES DE SEGURANÇA E SUA COMUNICAÇÃO
• Incidente de segurança é todo acontecimento inesperado ou indesejado, que
seja hábil a comprometer a segurança dos dados pessoais custodiados, de
modo a expô-los a acessos não autorizados e a situações acidentais ou ilícitas
de destruição, perda, alteração, comunicação ou qualquer forma de tratamento
inadequado ou ilícito.
• Diante da possível identificação de um incidente de segurança, cabe ao
controlador confirmar ou não a suspeita de sua ocorrência e avaliar a natureza,
o tipo e o volume de dados envolvidos e a gravidade de suas consequências. A
atuação do encarregado de dados pessoais e a existência de um plano/time de
resposta são essenciais para o combate e correções necessárias, bem como
para classificação e consequente avaliação da necessidade de sua comunicação
à ANPD e aos titulares de dados, que será obrigatória sempre que restar
configurada situação de risco ou dano relevante.
3) BOAS PRÁTICAS DE GOVERNANÇA
• O processo de adequação demandará a adoção de um conjunto coordenado
de ações, que vão desde o diagnóstico inicial do nível de aderência à legislação
até a implementação de medidas que não apenas objetivem o gerenciamento
dos riscos, mas, sobretudo, disseminem a cultura de proteção de dados no
cotidiano da organização, sendo a conscientização e o efetivo controle das
condutas o maior desafio a ser enfrentado. Nenhum plano, por melhor que
seja, resiste à falta de apoio da alta administração ou à baixa adesão dos
servidores e empregados.
• Como forma de dar efetividade e operacionalidade aos princípios da segurança
e prevenção, a LGPD apresenta a possibilidade ao controlador de implementar
um programa de governança em privacidade, que: adote processos e políticas
internas em cumprimento às normas e boas práticas; seja adaptado à estrutura,
à escala e ao volume de suas operações, bem como à sensibilidade dos dados
tratados; estabeleça procedimentos e salvaguardas adequadas; e conte com
planos de resposta a incidentes e remediação (art. 50, § 1º, I).
FISCALIZAÇÃO