Entendendo a

Lei Geral de
Proteção de Dados
Um guia breve e simples produzido pela Defensoria Pública do
Estado do Rio Grande do Sul sobre a Lei nº 13.709/2018

Comissão
sobre a LGPD Abril 2021
COMISSÃO SOBRE A LGPD

ALEX SCHNEIDER ZIS

CRISTIANO BERTUOL
DANIELA CENCI LIMA
EDUARDO PEREIRA LIMA ZANINI
RICARDO JOSÉ CALDAS HERBERT
ROGÉRIO SOUZA COUTO
TIAGO RODRIGO DOS SANTOS

HISTÓRICO DE VERSÕES

DATA VERSÃO DESCRIÇÃO AUTORA

15/04/2021 1.0 PRIMEIRA VERSÃO DO GUIA DANIELA CENCI LIMA

Conteúdo

4 A I MPORTÂNCI A DOS DADOS 17 O FI M DO TRATAMENTO

6 A LEI 18 AS BOAS PRÁTI CAS

7 A PROTEÇÃO NA DPE/RS 18 A PRI VACI DADE POR DESI GN

8 OS PRI NCI PAI S CONCEI TOS 19 A SEGURANÇA

10 OS FUNDAMENTOS 20 AS RESPONSABI LI DADES

10 A APLI CAÇÃO 20 AS PENALI DADES

11 OS PRI NCÍ PI OS 21 A AUTORI DADE NACI ONAL

12 AS BASES LEGAI S 22 AS DI CAS DE SEGURANÇA

15 OS DADOS SENSÍ VEI S 24 AS LEI S RELACI ONADAS

15 AS CRI ANÇAS E OS ADOLESCENTES 24 PARA CONHECER MAI S

16 OS DI REI TOS DOS TI TULARES 25 O CONTATO DA DPE/RS

17 A TRANSPARÊNCI A
Entendendo a LGPD 04

A Importância dos Dados

Por que os dados são importantes?
Nossos dados estão por todos os lugares. Fornecemos para receber promoções em lojas,
para comprar remédios na farmácia, para receber um serviço em um órgão público, para
poder realizar um curso técnico. Também na internet, em troca da utilização gratuita de
aplicativos e redes sociais, fornecemos nossos dados, tanto pessoais quanto de interesses.

Com base nos dados coletados, as empresas podem traçar nossas preferências e perfis de
consumo – inclusive podem fazer previsões sobre o nosso comportamento – ou mesmo
identificar melhores locais para investir. Além dos proveitos para o setor privado, os dados
também geram significativos ganhos sociais e econômicos para o setor público. Os dados
permitem reconhecer, filtrar e extrair valor de informações sobre políticas públicas para
tomar melhores decisões. Fornecem ainda novas percepções em tempo real e previsões
sobre onde agir para lidar com riscos e identificar novas oportunidades.

Os grandes conjuntos de dados – pessoais e não pessoais – formam uma cadeia de valor e
estão se tornando um ativo fundamental na economia, estimulando novos setores,
processos e produtos e criando significativas vantagens competitivas.

Por que devem ser protegidos?

O crescente valor dos dados tem sido acompanhado pela preocupação acerca da
“extração” a qualquer custo, bem como da vulnerabilidade dos cidadãos por causa de
usos inadequados, abusos flagrantes ou mesmo consequências indesejadas. Muitos
dados têm sido usados, compartilhados, vendidos ou vazados com pouco – ou
nenhum – envolvimento das pessoas mais afetadas e com pouca – ou nenhuma –
consciência ética por parte das organizações responsáveis .

Nesse contexto, a proteção de dados pessoais tem por objetivo

manter nossos dados seguros e garantir que sejam
usados de maneira justa e responsável.

É preciso construir confiança entre pessoas e

organizações, reconhecendo o direito de um
indivíduo de ter controle sobre suas informações
pessoais – mesmo quando são mantidas por
terceiros – e encontrando um equilíbrio entre
esses direitos individuais e os interesses da
sociedade.

Texto de Geoff Mulgan e Vincent Straub chamado ‘O Novo Ecossistema da Confiança’

Disponível em https://nesta.org.uk/blog/new-ecosystem-trust/
 05

Um Exemplo Prático

Cláudia está vasculhando sua bolsa em busca de seu celular no ônibus a

caminho de casa, após fazer uma entrevista para um novo trabalho em uma
rede de farmácias. Cláudia se acomoda em um assento e abre o aplicativo da
'Seu Carro Novo Financeira', local onde ela fez um financiamento para comprar
o próprio veículo no ano passado. “Em breve vou poder voltar para casa
dirigindo meu carro”, pensa ela, fazendo login no aplicativo e checando as
parcelas a pagar e os juros. Cláudia está desempregada há poucos meses e
atrasou o pagamento do financiamento, mas tem esperanças de conseguir o
novo emprego e, com a entrada do salário, deixar de ser uma "má pagadora".
Chegando em casa, Cláudia verifica sua conta de e-mail. Surpresa ao ver o
nome do aplicativo da instituição financeira que ela estava usando, ela abre a
mensagem para descobrir que sua conta foi comprometida. Seus dados e de
mais de 600 mil brasileiros foram vazados. Assustada e irritada, Cláudia exclui
rapidamente o aplicativo de seu telefone e decide que acompanhará as
movimentações do financiamento à forma antiga, presencialmente ou por
telefone. Semanas depois, Cláudia ainda não pode ter certeza de que seus
dados pessoais e financeiros não foram vendidos a empresas do setor de
comércio eletrônico. Já foram vendidos para companhias de telecomunicações
- ela sabe disso por causa dos anúncios que continuam aparecendo em seu
Instagram e porque tem recebido insistentes ligações com ofertas de São Paulo.
Mas e se a empresa onde está buscando trabalho, de alguma forma,
conseguisse acesso aos dados e soubesse de sua dívida, isso poderia colocar a
chance do novo emprego em risco?

Na verdade, os dados sobre as parcelas do financiamento de Cláudia não são só

o que essas empresas procuram, mas sim o "entulho digital" que ela deixa para
trás quando lê notícias ou assiste vídeos, faz postagens sobre a busca de
trabalho ou até mesmo pesquisas de ofertas de supermercados. Esses
metadados são usados para fazer inferências que combinadas criam um perfil
de Cláudia - sua “gêmea digital” - cujo comportamento potencial é
cuidadosamente rastreado, analisado e marcado de acordo. Algumas empresas
apostam, então, em como a “Cláudia digital” se comportará em tais cenários e
estão lucrando com Cláudia sem seu conhecimento ou consentimento. São
esses usos secundários de metadados sobre os quais Cláudia - e o resto de nós
que usa aplicativos, plataformas e serviços online "gratuitos" - não tem nenhum
controle.

Adaptado do informe elaborado pela Digital Future Society

'Rumo a uma melhor governança de dados para todos: ética de dados e privacidade na era digital'
Disponível em https://digitalfuturesociety.com/
Entendendo a LGPD 06

A Lei Geral de
Proteção de Dados

A crescente consciência pública em torno do potencial valor das inovações

baseadas em dados, bem como a necessidade de preservar os direitos e
fortalecer a confiança dos titulares, impulsionaram o desenvolvimento de um
quadro jurídico sólido em termos de proteção de dados.

Isso porque, para obter os máximos benefícios econômicos e sociais do

tratamento dos dados, os cidadãos, as empresas e os demais atores
envolvidos devem estar seguros de que todo e qualquer uso ou
compartilhamento de dados pessoais estará sujeito à plena observância de
regras claras que disciplinem um tratamento responsável.

Até o presente momento, 128 países ao redor do mundo já adotaram

legislação para garantir a proteção de dados e a privacidade.

No Brasil, houve a publicação da Lei nº 13.709/2018, também conhecida

como Lei Geral de Proteção de Dados Pessoais (LGPD).

A LGPD dispõe sobre o tratamento de dados pessoais, tanto nos meios

físicos quanto digitais, com o objetivo de proteger os direitos fundamentais
de liberdade e de privacidade e o livre desenvolvimento da personalidade.

A lei introduz uma série de novos direitos que asseguram

maior transparência, privacidade e segurança. Dá
protagonismo e poder às pessoas sobre o uso de seus
próprios dados. E também estabelece orientações gerais,
responsabilidades e obrigações a quem faz uso dos dados.

O presente guia ajuda a entender o conteúdo da

lei, através de uma linguagem mais simples e de
exemplos concretos. Por isso, alguns termos mais
técnicos foram adaptados, devendo prevalecer
sempre o texto da lei.
 07

A Proteção de Dados na
Defensoria Pública do Estado do
Rio Grande do Sul
A Defensoria Pública do Estado do Rio Grande
CRIAÇÃO DA COMISSÃO
do Sul entende necessário estabelecer uma
SOBRE A LGPD
relação de confiança, de proteção e de
privacidade com relação aos dados dos cidadãos Portaria n° 697/2020
– tanto daqueles que usam seus serviços quanto
daqueles que trabalham para a instituição.
ELABORAÇÃO
Por isso, a Defensoria Pública assume o
DO PLANO DE AÇÃO
compromisso de adotar processos e políticas
internas que assegurem o cumprimento, de Definição de metas e
forma abrangente, de normas e boas práticas objetivos para adequação
relativas à proteção de dados pessoais. Também
PRIMEIRAS AÇÕES
se compromete a desenvolver ações voltadas à PARA CAPACITAÇÃO
governança de dados e a assegurar a resposta
adequada aos riscos, ameaças e desafios Curso on-line promovido
relacionados. em parceria com o ITS Rio

Para atingir esses objetivos, o Plano de Ação

para adequação estabelece as seguintes frentes:
Transparência e Comunicação • Capacitação • POLÍTICA DE PROTEÇÃO
Registro de Tratamento de Dados • Direitos dos DE DADOS PESSOAIS
Titulares • Contratos e Instrumentos
Congêneres • Segurança da Informação • Resolução DPGE nº 07/2021
Estrutura Organizacional.

COMITÊ GESTOR DE PROTEÇÃO DE DADOS

POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS - ARTIGO 29 DA PPDP -
- ARTIGO 1° DA PPDP -

O Comitê Gestor de Proteção de Dados, com caráter

Nossa Política de Proteção de Dados Pessoais multidisciplinar e multissetorial, será responsável, de
(PDPP) foi publicada em março de 2021. Tem forma duradoura, pelo desenvolvimento e pela gestão do
como objetivos: (1) estabelecer normas, programa de governança e proteção de dados, com vistas
princípios e procedimentos para nortear o também à adequação institucional às disposições da
tratamento de dados pessoais, em meios físicos LGPD.
e digitais, na Defensoria Pública do Estado do
Rio Grande do Sul, (2) garantir a efetiva Dentre outras atribuições, o Comitê ajudará a colocar em
proteção da privacidade dos titulares e (3) prática ações voltadas à proteção de dados pessoais, à
definir papéis e diretrizes iniciais para obtenção privacidade e a medidas de segurança na Defensoria
da gradual conformidade institucional ao Pública, poderá sugerir a adoção de padrões e de boas
previsto na LGPD. práticas para os tratamentos de dados pessoais e
promoverá o conhecimento das normas e das políticas
As disposições da Política são aplicáveis a todo públicas na área.
o conjunto de dados pessoais que estejam sob o
controle da Defensoria Pública e regulam o
relacionamento com os usuários de seus
serviços e com os membros, servidores, ACESSE AQUI A POLÍTICA DE PROTEÇÃO
DE DADOS PESSOAIS
estagiários, fornecedores e quaisquer terceiros.
 Entendendo a LGPD 08

Principais Conceitos
ARTIGO 5° DA LGPD

O QUE SÃO DADOS O QUE É DADO O QUE NÃO SÃO

PESSOAIS? PESSOAL SENSÍVEL? DADOS PESSOAIS?

Toda informação relacionada a Os dados pessoais sensíveis têm Toda informação que não pode ser
uma pessoa que a identifique ou a proteção ainda maior, porque são associada a uma pessoa específica.
torne identificável. Ou seja, que diretamente relacionados aos
permite saber quem é a pessoa. aspectos mais íntimos da vida de Informação relacionada a uma
uma pessoa. Assim, se forem mal pessoa jurídica (por exemplo, uma
Também podem ser considerados utilizados, podem gerar empresa ou uma instituição) não é
dados pessoais aqueles usados discriminação. dado pessoal.
para formar um perfil de
comportamento de determinada EXEMPLOS dados que revelam Dado anonimizado também não é
pessoa, se identificada. origem racial ou étnica • dados dado pessoal. Para entender, um
que revelam convicção religiosa ou dado anonimizado é um dado que
EXEMPLOS nome • número de opiniões políticas • dados que passa por uma técnica que torna
inscrição no Registro Geral (RG) ou revelam filiação a sindicato ou inviável identificar a pessoa a
no Cadastro de Pessoas Físicas organização de caráter religioso, quem se refere. Não é possível
(CPF) • endereço residencial • data filosófico ou político • dados descobrir de quem é o dado.
de nascimento • foto de genéticos ou biométricos • dados
identificação 3x4 • placa numérica relativos à saúde • dados relativos
do carro • endereço de IP • fatores à vida sexual ou orientação sexual
específicos sobre sua aparência • de uma pessoa.
aspectos específicos de sua QUEM SÃO OS
personalidade • histórico de TITULARES?
compras • localização geográfica •
ou preferências de consumo. Titular é a pessoa natural a quem
se referem os dados pessoais que
QUEM SÃO AGENTES
são objeto do tratamento. Pela lei,
DE TRATAMENTO?
você é o titular dos seus dados
pessoais.
Os agentes de tratamento são o
controlador e o operador. Eles
O QUE É
devem manter registro de todas
TRATAMENTO?
operações de tratamento de dados
pessoais que realizam. QUEM É O
Tratamento de dados pessoais é ENCARREGADO?
toda e qualquer ação realizada CONTROLADOR é a pessoa,
com os dados pessoais. natural ou jurídica, que toma as É a pessoa indicada, pelo
decisões referentes ao tratamento controlador ou pelo operador,
EXEMPLOS coleta • produção • de dados pessoais. Determina as para atuar como canal de
recepção • classificação • finalidades e os meios de comunicação entre o controlador,
utilização • acesso • reprodução • tratamento. os titulares dos dados e a
transmissão • distribuição • Autoridade Nacional de Proteção
processamento • arquivamento • OPERADOR é uma outra pessoa, de Dados (ANPD). Sua função
armazenamento • eliminação • natural ou jurídica, que realiza o envolve receber reclamações dos
avaliação ou controle da tratamento de dados pessoais em titulares, prestar esclarecimentos,
informação • modificação • nome do controlador. Obedece a adotar providências e orientar os
comunicação • transferência • lei e as ordens do controlador. funcionários da instituição sobre a
difusão • extração dos dados. proteção de dados pessoais.
 09

Os principais conceitos no contexto da

Defensoria Pública do Estado do Rio Grande do Sul
POLÍTICA DE ´PROTEÇÃO DE DADOS PESSOAIS

CONTROLADORA TITULARES DOS DADOS COMPROMISSO DAQUELES QUE

- ARTIGO 15 DA PPDP - - ARTIGO 20 DA PPDP -
TRABALHAM PARA A INSTITUIÇÃO
- ARTIGO 16 DA PPDP -
A Defensoria Pública do Estado Toda pessoa natural titular de
do Rio Grande do Sul é a dados pessoais que sejam
controladora dos dados tratados pela Defensoria São deveres de todos os membros, servidores,
pessoais. Pública do Estado do Rio estagiários e demais colaboradores que
Grande do Sul. executem atividade vinculada à atuação
institucional da Defensoria Pública do Estado
EXEMPLOS assistidos • do Rio Grande do Sul:
servidores • membros •
demais colaboradores. • Conhecer e cumprir a Política de Proteção de
Dados Pessoais

• Seguir as orientações da controladora

ENCARREGADO OPERADORES
- ARTIGO 17 DA PPDP - - ARTIGO 19 DA PPDP -
• Observar as leis sobre proteção de dados
pessoais, privacidade e medidas de segurança
O encarregado será indicado Pessoa natural ou jurídica, de • Atuar com responsabilidade, critério e ética
pelo Defensor Público-Geral direito público ou privado, que
do Estado. Deverá possuir realiza o tratamento de dados • Garantir a segurança da informação
conhecimentos essenciais à pessoais em nome e por
função, de preferência nas ordem da Defensoria Pública • Comunicar de imediato o encarregado sobre
áreas de gestão, privacidade e do Estado do Rio Grande do a ocorrência de qualquer risco, ameaça ou
proteção de dados pessoais, Sul. incidente de segurança que possa causar dano
análise jurídica, gestão de aos titulares dos dados pessoais
riscos, governança de dados e EXEMPLOS empresa que
acesso à informação no setor fornece serviço de e-mail •
público. empresa que fornece serviço
de assinatura eletrônica.
Entendendo a LGPD 10

Fundamentos da Lei
ARTIGO 2° DA LGPD

A disciplina da proteção de dados pessoais tem como fundamentos:

Liberdade de expressão, Respeito à privacidade Desenvolvimento

de informação, de econômico e tecnológico
comunicação e de opinião e inovação
Autodeterminação informativa
Direitos humanos, livre
Livre iniciativa, livre desenvolvimento da
concorrência e defesa personalidade, dignidade
Proteção da intimidade, da
do consumidor e exercício da cidadania
honra e da imagem

Aplicação da Lei
ARTIGO 3° DA LGPD

A lei se aplica a toda e qualquer atividade de tratamento de dados realizada, por pessoa natural
(exemplo: Fulano de Souza) ou por pessoa jurídica de direito público (exemplo: INSS) ou privado
(exemplo: Farmácia Y), independentemente do meio ou da forma, do país de sua sede ou do país
onde estejam localizados os dados. Pode ser em formato físico ou digital, em texto, figuras, gráficos,
fotografia, vídeo, áudio ou qualquer outro meio possível.

O tratamento também precisa preencher um dos seguintes critérios: (1) deve ser realizado no Brasil;
(2) deve ter por objetivo oferecer ou fornecer bens ou serviços ou o tratamento de dados de pessoas
localizadas no Brasil; ou (3) deve envolver dados pessoais coletados no Brasil, ou seja, dados
pessoais de titulares - brasileiros ou não - que estejam no Brasil no momento da coleta.

Não Aplicação da Lei

ARTIGO 4° DA LGPD

A lei não se aplica ao tratamento de dados pessoais realizado exclusivamente (1) por uma pessoa
para fins particulares e sem interesse econômico, (2) para fins jornalísticos, artísticos ou acadêmicos
ou (3) para segurança pública, defesa nacional, segurança do estado ou investigações e repressão de
crimes. Também não se aplica (4) a dados que vêm de fora do país e que não sejam comunicados ou
compartilhados com empresas brasileiras ou então objeto de transferência internacional.
 11

Princípios
ARTIGO 6° DA LGPD

As atividades de tratamento de dados pessoais devem observar a boa-fé e os

seguintes princípios:

O tratamento precisa ter finalidades legítimas, específicas,

01. FINALIDADE
explícitas e informadas de forma clara ao titular.

Os dados devem ser tratados de forma compatível com as

02. ADEQUAÇÃO
finalidades informadas ao titular.

O tratamento deve se limitar ao mínimo necessário para

03. NECESSIDADE atingir suas finalidades. Deve envolver apenas os dados
essenciais.

Os titulares podem saber, de modo fácil e gratuito, sobre a

04. LIVRE ACESSO forma, a duração do tratamento e quais dados pessoais
envolve.

05. QUALIDADE Os dados devem ser exatos, claros, relevantes e atualizados.

Os titulares devem receber informações claras, corretas e de

06. TRANSPARÊNCIA
fácil acesso sobre tudo o que envolve o tratamento.

Os dados devem estar seguros. Devem ser protegidos por

07. SEGURANÇA medidas técnicas e administrativas, evitando acessos não
autorizados, destruição, perda, alteração ou até vazamento.

A ocorrência de danos por causa do tratamento de dados

08. PREVENÇÃO
pessoais deve ser evitada pelas medidas adequadas.

09. NÃO O tratamento não pode ser realizado para finalidades

DISCRIMINAÇÃO discriminatórias, ilegais ou abusivas.

Quem trata os dados deve demonstrar que adota medidas

10. RESPONSABILIZAÇÃO eficazes e que cumpre as normas de proteção de dados
pessoais.
 Entendendo a LGPD 12

Bases Legais
ARTIGO 7° DA LGPD

O tratamento de dados pessoais somente pode ser realizado nas seguintes hipóteses:

CONSENTIMENTO OBRIGAÇÃO LEGAL

Através do fornecimento de consentimento Para o cumprimento de obrigação legal ou

pelo titular. regulatória pelo controlador.
Exemplo: você baixa um aplicativo, informa Exemplo: para cumprir obrigações trabalhistas
seus dados pessoais e clica em aceitar os e previdenciárias ou determinações da Lei de
termos de uso e a política de privacidade. Acesso à Informação.

atenção para a
dica 08 da página 22

POLÍTICA PÚBLICA PESQUISA POR ÓRGÃO

Pela administração pública, quando necessário

Para a realização de estudos por órgão de
à execução de políticas públicas previstas em
pesquisa, garantida, sempre que possível, a
leis e regulamentos ou estabelecidas em
anonimização dos dados pessoais.
contratos, convênios ou similares.
Exemplo: dados que o IBGE coleta para
Exemplo: fornecimento do auxílio-emergencial
realizar o censo.
ou concessão de passe livre.

EXECUÇÃO DE CONTRATO PROCESSO JUDICIAL OU ADMINISTRATIVO

Para a execução de contrato do qual o titular Para o exercício regular de direitos em

seja parte ou de procedimentos preliminares processo judicial, administrativo ou arbitral,
relacionados ao contrato, a seu pedido. não podendo ser utilizados depois em prejuízo
Exemplo: para cumprir o contrato de do titular.
fornecimento de telefonia móvel, a empresa Exemplo: uso dos dados necessários para
precisa de alguns dos seus dados pessoais. cobrar pensão alimentícia em ação judicial.

PROTEÇÃO DA VIDA TUTELA DA SAÚDE

Para a tutela da saúde, exclusivamente, em
Para a proteção da vida ou da incolumidade procedimento realizado por profissionais de
física do titular ou de terceiro. saúde, serviços de saúde ou autoridade
Exemplo: uso dos dados de geolocalização do sanitária.
celular de uma pessoa desaparecida. Exemplo: acesso ao prontuário de uma pessoa
que necessita de atendimento pelo SUS.
 13

Bases Legais
ARTIGO 7° DA LGPD

INTERESSE LEGÍTIMO PROTEÇÃO AO CRÉDITO

Para atender aos interesses legítimos do
Para a proteção do crédito, inclusive quanto ao
controlador ou de terceiro, exceto no caso de
disposto na legislação pertinente.
prevalecerem direitos e liberdades do titular.
Exemplo: avaliação do score de crédito da
Exemplo: envio de propaganda sobre
pessoa para concessão de um novo
promoção de um produto para clientes antigos
empréstimo.
de uma loja de óculos.

O QUE É O CONSENTIMENTO?

Consentimento é a manifestação de vontade O consentimento pode ser revogado a qualquer

livre, informada e inequívoca pela qual o titular momento através de manifestação expressa do
concorda com o tratamento de seus dados titular, de modo gratuito e facilitado. Caso haja
pessoais para uma finalidade determinada. Livre, mudanças na finalidade do tratamento ou na
porque o titular pode escolher entre aceitar ou forma como é realizado, que não sejam
recusar o tratamento. Informado, porque o compatíveis com o consentimento original, o
titular tem a seu dispor informações claras, controlador deverá informar previamente o
necessárias e suficientes sobre o tratamento para titular sobre tais alterações, podendo o titular
analisar e formar sua escolha. Inequívoco, revogar o consentimento, caso não concorde
porque fornecido por escrito, em cláusula mais.
destacada, ou de outra forma evidente e
adequada. Logo, não pode ser extraído da Não é necessário obter o consentimento para
omissão, nem de forma implícita, genérica, tratar os dados tornados manifestamente
enganosa ou abusiva. públicos pelo titular, desde que preservados os
direitos do titular e os princípios em lei.

O QUE É O LEGÍTIMO INTERESSE?

A base legal do legítimo interesse do controlador Para saber se a finalidade é legítima, pode ser
somente pode fundamentar o tratamento de feito um teste de proporcionalidade de 4 etapas,
dados pessoais para finalidades que sejam analisando: a legitimidade, a necessidade, o
legítimas, consideradas a partir de situações balanceamento e as salvaguardas.
concretas.
Na sua escolha, o controlador deve sempre
Por exemplo, para o apoio e promoção de respeitar as legítimas expectativas do titular e
atividades do controlador. Ou para a proteção, seus direitos e liberdades fundamentais. Além do
em relação ao titular, do exercício regular de mais, deve haver transparência e somente os
seus direitos ou para a prestação de serviços que dados pessoais estritamente necessários para a
o beneficiem. finalidade pretendida poderão ser tratados.
Entendendo a LGPD 14

Bases Legais e a
Defensoria Pública do Estado
do Rio Grande do Sul
ARTIGOS 7° E 23 DA LGPD

O tratamento de dados pessoais pelas pessoas jurídicas de direito público deve ser realizado
para o atendimento de sua finalidade pública, na persecução do interesse público, com o
objetivo de executar as competências legais ou cumprir as atribuições legais do serviço
público.

Para tanto, devem ser informadas as hipóteses em que, no exercício de suas competências,
realizam o tratamento de dados pessoais. Ou seja, devem ser fornecidas informações claras,
acessíveis e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas
utilizadas para a execução dessas atividades.

O mesmo vale para a Defensoria Pública do Estado do Rio Grande do Sul. As regras
estabelecidas pela LGPD e pela Política de Proteção de Dados Pessoais devem ser observadas
durante todo o ciclo de vida do tratamento de dados pessoais pela instituição, especialmente
os princípios gerais e a garantia dos direitos dos titulares.

Além disso, sempre que possível, os

dados devem ser mantidos em formato
interoperável e estruturado para o uso
compartilhado, objetivando a execução
de políticas públicas, a prestação de
serviços públicos, a descentralização da
atividade pública e a disseminação e o
acesso das informações pelo público em
geral.

O uso compartilhado de dados pessoais

pelo poder público deve atender a
finalidades específicas de execução de
políticas públicas e atribuição legal pelos
órgãos e pelas entidades públicas.

É importante notar que não há

incompatibilidade entre a Lei de Acesso à
Informação e a LGPD. No entanto, o
tratamento de dados pessoais cujo acesso
é público deve considerar a finalidade, a
boa-fé e o interesse público que
justificaram sua disponibilização em um
primeiro momento.
 15
conceito está
na página 08

Dados Sensíveis
ARTIGO 11 DA LGPD

O tratamento de dados pessoais sensíveis somente pode acontecer (1) quando o titular ou seu
responsável legal der consentimento, de forma específica e destacada, para finalidades específicas ou
(2) sem o consentimento do titular, nas hipóteses em que for indispensável para:

• Cumprimento de obrigação • Tratamento compartilhado • Proteção da vida ou da

legal ou regulatória pelo de dados necessários à integridade física do titular
controlador execução, pela administração ou de terceiro
pública, de políticas públicas
• Exercício regular de previstas em leis ou • Prevenção à fraude e à
direitos, inclusive em contrato regulamentos segurança do titular nos
e em processo judicial, processos de identificação de
administrativo e arbitral • Cuidado da saúde, cadastro em sistemas
exclusivamente, em eletrônicos, a não ser que no
• Realização de estudos por procedimento realizado por caso de prevaleçam direitos e
órgão de pesquisa, sendo profissionais de saúde, liberdades fundamentais do
garantida, sempre que serviços de saúde ou titular
possível, a anonimização autoridade sanitária

Dados de Crianças e
Adolescentes
ARTIGO 14 DA LGPD

Criança é a pessoa com até 12 anos de idade incompletos, e adolescente é aquela entre 12 e 18
anos, de acordo com o Estatuto da Criança e do Adolescente. O tratamento de dados pessoais de
crianças e de adolescentes deve ser realizado em seu melhor interesse.

Com relação às crianças, o tratamento de dados pessoais deve ser realizado com o consentimento
específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Esse
consentimento é dispensado, no entanto, quando a coleta dos dados for necessária para contatar os
pais ou o responsável legal ou para proteger a criança, inclusive mediante o exercício de direitos.
 Entendendo a LGPD 16

Direitos dos Titulares

CAPÍTULO III DA LGPD

Toda pessoa tem garantidos seus direitos fundamentais de liberdade, de intimidade e de

privacidade. Para isso, o titular dos dados pessoais pode exercer os seguintes direitos,
de forma gratuita, através de requerimento expresso seu ou de um representante, feito
ao controlador:

confirmar que o
acessar os dados
tratamento existe

anonimizar, bloquear ou
eliminar dados
corrigir os dados desnecessários ou
tratados irregularmente

portabilidade dos eliminar dados que

dados a outro foram tratados com
fornecedor seu consentimento

ser informado sobre o

compartilhamento de seus
se opor ao
dados com terceiros tratamento irregular

ser informado sobre a

possibilidade de não dar revogar seu
consentimento e quais as consentimento
consequências

pedir a revisão de decisões

tomadas apenas com base em
fazer reclamação
tratamento automatizado ou pedido à ANPD

mais informações
na página 21

Art. 20. [TITULARES E DIREITOS] Toda pessoa natural titular de dados pessoais que sejam tratados pela
ARTIGO 20
DA PPDP Defensoria Pública do Estado do Rio Grande do Sul poderá exercer os direitos elencados pelo artigo 18 da Lei
Geral de Proteção de Dados Pessoais (LGPD), a qualquer momento e mediante requerimento expresso próprio
ou de representante legalmente constituído, por meio de canal de comunicação a ser disponibilizado.

§ 1º Ressalvam-se os casos de impossibilidade jurídica de atendimento da solicitação em virtude de atividade

vinculada ao desempenho das atribuições legais da Defensoria Pública do Estado do Rio Grande do Sul, bem
como as informações de acesso restrito e as hipóteses justificadas de segredo e sigilo, conforme disposições
da Lei de Acesso à Informação e demais normas vigentes.

§ 2º O atendimento às requisições será realizado de forma adequada, observados os princípios da

regularidade, continuidade, efetividade, segurança, atualidade, generalidade, transparência e cortesia.
 17

Transparência
ARTIGO 9° DA LGPD

O titular tem o direito de acessar e conhecer as informações sobre o tratamento de seus dados
pessoais. Tais informações devem ser disponibilizadas de forma clara pelo controlador, incluindo:

finalidade específica identificação e contato do direitos do titular

do tratamento controlador

forma e duração do responsabilidades dos agentes informações sobre

tratamento que fazem o tratamento compartilhamento dos
dados

Fim do Tratamento
ARTIGOS 15 E 16 DA LGPD

Depois do fim, os dados pessoais devem ser

eliminados, com exceção dos seguintes casos
O tratamento de dados pessoais termina
em que podem ainda assim ser conservados:
quando:
• Cumprimento de obrigação legal ou
• A finalidade já foi alcançada
regulatória pelo controlador
• Os dados já não são necessários ou
• Estudo por órgão de pesquisa, devendo ser
pertinentes para alcançar a finalidade
garantida, sempre que possível, a
• Chegar o fim do período de tratamento
anonimização dos dados pessoais
• O titular assim pedir, inclusive no exercício
• Transferência a uma terceira pessoa, desde
do seu direito de revogar o consentimento,
que respeitados os requisitos de tratamento
resguardado o interesse público
de dados da lei
• A Autoridade Nacional de Proteção de
• Uso exclusivo do controlador, desde que
Dados (ANPD) determinar, por ter verificado
proibido seu acesso por terceira pessoa e
alguma violação à lei
anonimizados os dados
 Entendendo a LGPD 18

Boas Práticas
ARTIGO 50 DA LGPD

Os controladores e operadores podem formular regras de boas práticas para o tratamento de

dados pessoais, desenvolver soluções de governança de dados e também implementar programa
de governança em privacidade. Para isso, podem estabelecer o regime de funcionamento, os
procedimentos – incluindo reclamações e pedidos dos titulares –, as normas de segurança, os
padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações
educativas, os mecanismos internos de supervisão e de prevenção de riscos.

BOAS PRÁTICAS NA DEFENSORIA PÚBLICA

- ARTIGOS 27 E 28 DA PPDP -

A Defensoria Pública buscará promover, através do seu Centro de Estudos, de Capacitação e de

Aperfeiçoamento da Defensoria Pública (CECADEP) ou por meio de parcerias públicas ou
privadas, cursos e demais ações de capacitação para garantir que todos conheçam e cumpram o
compromisso institucional com a proteção de dados pessoais, a privacidade e as medidas de
segurança implementadas, bem como para que desempenhe suas funções de forma eficiente, ética
e responsável.

Além disso, as boas práticas adotadas serão divulgadas por campanhas informativas com apoio da
Assessoria de Comunicação Social e por meio de conteúdos em linguagem simples e acessível,
para promover uma cultura protetiva, com conscientização e sensibilização sobre as questões
relacionadas à proteção de dados.

Privacidade por
Design e por Padrão
ARTIGO 46, § 2°, DA LGPD + ARTIGO 21, PARÁGRAFO ÚNICO, DA PDPP

A privacidade deve ser protegida desde a fase inicial de criação do produto ou do serviço até a
sua execução. Também deve ser protegida por padrão, ou seja, as configurações já garantem
a privacidade total, sem que você precise realizar configurações extras para isso.

OS 7 PRINCÍPIOS DA PRIVACIDADE POR DESIGN, por Ann Cavoukian:

1. Proatividade, e não reatividade + prevenção, e não correção • 2. Privacidade como

configuração padrão • 3. Privacidade incorporada ao design • 4. Funcionalidade total •
5. Segurança de ponta-a-ponta + proteção total do ciclo de vida • 6. Visibilidade e
transparência • 7. Respeito pela privacidade do usuário + centrado no usuário
 19

Segurança
ARTIGOS 46 A 49 DA LGPD

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas para

proteger os dados pessoais. A proteção deve impedir acessos não autorizados e situações -
acidentais ou ilícitas - de destruição, perda, alteração, comunicação ou qualquer forma de
tratamento inadequado ou ilegal.

A obrigação de garantir a segurança da informação é dos agentes de tratamento e de qualquer

outra pessoa que intervenha em uma das fases do tratamento, durando mesmo após o seu
término.

CONFIDENCIALIDADE somente pessoas devidamente autorizadas devem ter acesso à

informação
INTEGRIDADE a informação deve manter todas as características originalmente
estabelecidas para que seja exata, completa e correta
DISPONIBILIDADE a informação deve estar acessível e disponível para o uso por
parte das pessoas autorizadas

MEDIDAS DE SEGURANÇA NA DEFENSORIA PÚBLICA

- ARTIGOS 21, 22 E 23 DA PPDP -

Na Defensoria Pública, as medidas de segurança, técnicas e administrativas buscam fortalecer o

ecossistema de tecnologias da informação e comunicação e observar a legislação do país sobre o
tema, tendo por base as normas padrão de referência internacional para a gestão da segurança.

Nesse contexto, toda e qualquer atividade de tratamento de dados pessoais realizada pela
Defensoria Pública deve estar em conformidade com essas medidas e ser realizada também em
harmonia com a Política de Segurança da Informação e das Comunicações.

PLANO DE RESPOSTA A INCIDENTES DE SEGURANÇA

- ARTIGO 25 DA PPDP -

Se não for tratado de modo rápido e apropriado, um incidente de segurança

que envolva dados pessoais pode resultar em graves danos aos titulares, tais
como: perda de controle sobre seus dados pessoais, roubo de identidade,
dano à reputação, fraude, prejuízos financeiros ou morais, uso indevido de
dados sensíveis ou acesso a dados protegidos por sigilo profissional.

É por isso que a ocorrência de qualquer incidente de segurança envolvendo dados pessoais deve
ser comunicada imediatamente à equipe responsável e ao encarregado. Em seguida, o controlador
deve analisar a situação e, se for o caso, acionar o plano de resposta a incidentes de segurança. O
plano contém medidas adequadas - proativas e reativas - capazes de reverter ou mitigar os efeitos
do incidente, bem como de tornar os dados pessoais afetados ininteligíveis, no âmbito e nos
limites técnicos de seus serviços, para terceiros não autorizados a acessá-los. Se for verificado que
o incidente pode, no caso concreto, causar risco ou dano relevante aos titulares dos dados, devem
ser comunicados os titulares e a Autoridade Nacional de Proteção de Dados (ANPD).
 Entendendo a LGPD 20

Responsabilidades Penalidades
ARTIGOS 42 E 44 DA LGPD ARTIGO 52 DA LGPD

O controlador ou o operador que, em razão da Os agentes de tratamento de dados que

atividade de tratamento de dados pessoais, cometerem infrações às normas da LGPD ficam
causar a outra pessoa dano patrimonial, moral, sujeitos às seguintes penalidades
individual ou coletivo, violando assim a administrativas, que podem ser aplicadas pela
legislação de proteção de dados pessoais, tem ANPD:
a obrigação de repará-lo.
• Advertência, com prazo para adotar medidas
O tratamento de dados pessoais será irregular corretivas
quando não observar a legislação ou quando
não fornecer a segurança que o titular dele • Multa simples, de até 2% do faturamento
pode esperar, consideradas as circunstâncias anual da empresa, chegando ao limite de R$ 50
relevantes, entre as quais: milhões

• O modo pelo qual o tratamento é realizado • Multa diária, chegando ao limite de R$ 50

milhões
• O resultado e os riscos que razoavelmente se
esperam do tratamento • Divulgação pública da infração, após
investigada e confirmada a sua ocorrência
• As técnicas de tratamento de dados pessoais
disponíveis à época em que foi realizado • Bloqueio dos dados pessoais a que se refere
a infração, até a sua regularização
Também responde pelos danos decorrentes da
violação da segurança dos dados o controlador • Eliminação dos dados pessoais a que se
ou o operador que, ao deixar de adotar as refere a infração
medidas de segurança necessárias para
proteger os dados pessoais, der causa ao dano. • Suspensão parcial do funcionamento do
banco de dados a que se refere a infração,
chegando ao período máximo de 6 meses,
- ARTIGO 34 DA PPDP -
prorrogável por mais 6 meses

• Suspensão da atividade de tratamento dos

A inobservância da Política de Proteção de dados pessoais a que se refere a infração,
Dados pode ter como consequência a apuração chegando ao período máximo de 6 meses,
das responsabilidades internas e externas prorrogável por mais 6 meses
previstas nas normas da Defensoria Pública do
Estado do Rio Grande do Sul e na legislação em • Proibição parcial ou total do exercício de
vigor, podendo caracterizar infração funcional, atividades relacionadas a tratamento de dados
a ser apurada em processo administrativo
disciplinar, ou mesmo haver responsabilização Com exceção das multas, todas as penalidades
penal, civil e administrativa. acima podem ser aplicadas às entidades e aos
órgãos públicos.
 21

Autoridade Nacional de
Proteção de Dados
ARTIGOS 55-A A 55-L DA LGPD

A Autoridade Nacional de Proteção de Dados (ANPD) Clicando aqui você acessa

foi criada pelo Decreto nº 10.474/2020 e é o órgão o site oficial e pode
da administração pública federal responsável por conhecer a ANPD, fazer
zelar pela proteção de dados pessoais e por denúncias, solicitações,
implementar e fiscalizar o cumprimento da LGPD no tirar dúvidas e dar
Brasil. sugestões.

Conforme visto, o titular de dados pessoais possui uma série de direitos, que devem ser atendidos
pelo controlador. Em um primeiro momento, os pedidos relacionados aos direitos devem ser
realizados diretamente à organização responsável pelo tratamento dos dados. Se o pedido não for
atendido, o titular de dados pode então apresentar uma reclamação à ANPD, com a comprovação
de que a reclamação não foi solucionada pelo controlador.

Além de várias outras atividades, a ANPD também é responsável por:

• Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade

• Fiscalizar e aplicar penalidades quando verificar que o tratamento de dados foi realizado em
descumprimento à LGPD, através de um processo administrativo que assegure o contraditório, a
ampla defesa e o direito de recurso

• Avaliar os pedidos dos titulares contra os controladores, após o titular comprovar que sua
reclamação não foi solucionada pelo controlador no prazo estabelecido

• Promover na população o conhecimento das normas e das políticas públicas sobre proteção de
dados pessoais e das medidas de segurança

• Pedir às entidades do poder público que realizem operações de tratamento de dados pessoais, a
qualquer momento, que informem o âmbito, a natureza dos dados e os demais detalhes do
tratamento, com a possibilidade de emitir parecer técnico complementar para garantir o
cumprimento da lei

• Decidir, na esfera administrativa, sobre a interpretação da LGPD, as suas competências e os

casos omissos

02
 Entendendo a LGPD 22

Dicas de Segurança
NO DIA A DIA

01 02 03
Cuidado com suas Tenha critério com o Busque se informar.
senhas. dado que você fornece. Procure se informar sobre como seus
dados serão utilizados e com quem
Escolha suas senhas Evite divulgar dados pessoais que não
serão compartilhados. É o caso, por
cuidadosamente. Faça senhas tenham relação nenhuma com o
exemplo, da informação do número
fortes, que não sejam fáceis de ser acesso, a contratação ou o ato que
do CPF na farmácia.
desvendadas por terceiros. Não você está realizando.
deixe suas senhas anotadas por aí
e não repasse a outras pessoas.

04 05 06
Não forneça dados Atenção redobrada ao Pense antes de fornecer
sensíveis a qualquer um. preencher cadastros. sua impressão digital.
Não forneça informações sobre sua Tenha cuidado ao preencher Não permita que coletem sua
saúde, religião, convicções políticas, cadastros na internet para realização impressão digital sem real
de joguinhos, testes de necessidade. É um dado biométrico e
orientação sexual e outras
personalidade, mapa astral, sensível. Isso só pode ser feito pelos
informações de foro íntimo para a
aplicativos de envelhecimento, filtros órgãos oficiais de identificação ou
realização de qualquer cadastro de
de imagens e outras “brincadeiras” em situações muito restritas.
loja ou empresa. Seja criterioso e
aparentemente inofensivas.
questione a necessidade do dado.

07 08 09
Faça perguntas caso se Leia os termos de uso e Mantenha controle de
sinta discriminado. as pequenas letras. seus aparelhos e logins.
Questione a empresa se perceber Leia os termos de uso e as políticas Não deixe seu celular, notebook ou
que você está sofrendo algum tipo de privacidade das redes sociais e computador ser acessado por
de discriminação no mercado de dos aplicativos que você usa. Veja o pessoas estranhas. Encerre a sessão
consumo. Procure saber por que o que vão fazer com seus dados e só sempre que sair do e-mail, de redes
preço de um produto ou serviço dê o consentimento se de fato sociais ou de qualquer aplicativo que
apresentado a você está mais caro concordar. Se não concordar, exija login.
do que o apresentado para outros conteste.
consumidores.

Dicas obtidas junto ao PROCON/SP e ao SERPRO.

Disponíveis em https://www.procon.sp.gov.br/wp-content/uploads/2020/12/Cartilha-LGPD-2020_11dez.pdf
e em https://www.serpro.gov.br/lgpd/cidadao/voce-ja-protege-seus-dados-pessoais
 23

Dicas de Segurança
NO LOCAL DE TRABALHO

01 02 03
Leia a PPDP e coloque o Cuidado onde você Garanta a
texto em prática. clica. confidencialidade.
Leia com atenção a Política de Não acesse sites desconhecidos e Proteja a informação própria da
Proteção de Dados Pessoais. não abra qualquer link de e-mail. Defensoria Pública e da que lhe é
Coloque em prática o texto e Suspeite e, em caso de dúvida, confiada. Respeite a finalidade e não
mantenha uma conduta escolha um site mais confiável ou permita a sua divulgação, em
compatível com as normas de entre em contato com o remetente especial de dados sigilosos ou
proteção de dados. do e-mail. pessoais.

04 05 06
Mantenha sua mesa e Respeite as senhas e as Evite conectar
sua tela limpas. restrições de acesso. pendrives e celulares.
Organize sua mesa e bloqueie sua As informações da Defensoria Ao conectar um pendrive ou até
tela quando não estiver em uso. Pública devem ser acessados mesmo um telefone no computador
apenas pelas pessoas autorizadas da Defensoria Pública, você oferece
Garanta que nenhuma informação
para tal. Por isso, não forneça sua risco elevado devido à facilidade
confidencial ou dados de terceiros
senha ou sua chave a quem não com que vírus e outros programas
serão deixados à vista, seja em
deve. Também não aceite usar a maliciosos podem se propagar por
papel ou em meio eletrônico.
senha ou a chave de outra pessoa. esses dispositivos.

07 08 09
Comunique o incidente Proteja os espaços As regras continuam
de segurança na hora. físicos. valendo no trabalho
Faça comunicação imediata à Os espaços físicos - armários, salas remoto.
equipe responsável e ao ou outros - que contenham Todos os cuidados de segurança
encarregado quando verificar um informação reservada ou dados devem ser observados no trabalho
incidente de segurança envolvendo pessoais deverão estar fechados e remoto. Mantenha sempre sob sua
os dados pessoais tratados pela protegidos nos períodos de ausência vigilância dispositivos móveis ou
Defensoria Pública. Isso pode dos responsáveis por seu cuidado. documentos da Defensoria Pública
permitir a adoção de medidas que estejam em sua guarda.
capazes de reverter ou diminuir os
efeitos do incidente.
 Entendendo a LGPD 24

Leis Relacionadas
Lei n° 8.078/1990 Lei n° 9.507/1997 Lei n° 12.414/2011
Código de Defesa do Consumidor Lei do Habeas Data Lei do Cadastro Positivo

Lei n° 12.527/2011 Lei n° 12.965/2014 Lei n° 13.460/2017

Lei de Acesso à Informação Marco Civil da Internet Código de Defesa do Usuário
do Serviço Público

Para Conhecer Mais

LINKS PARA CURSOS, MATERIAIS E EXTRAS

LEI GERAL DE PROTEÇÃO DE DADOS ITS RIO

Inteiro teor da lei. Cursos, notícias e publicações sobre tecnologia e privacidade e
http://www.planalto.gov.br/ccivil_03/_ato2015- proteção de dados no país.
2018/2018/lei/L13709.htm https://itsrio.org/

PORTAL DO GOVERNO FEDERAL ITS RIO - GUIA LGPD E SETOR PÚBLICO

Portal do Governo Federal sobre a LGPD. Guia do ITS Rio sobre LGPD voltado para os órgãos e entidades
https://www.gov.br/defesa/pt-br/acesso-a-informacao/lei- públicas.
geral-de-protecao-de-dados-pessoais-lgpd https://itsrio.org/wp-content/uploads/2019/05/LGPD-vf-1.pdf

CURSO EV.G - INTRODUÇÃO À LGPD DATA PRIVACY BRASIL

Curso gratuito elaborado pela Escola Nacional de Administração Cursos, notícias e publicações sobre privacidade e proteção de
Pública (Enap) e pelo Instituto Tecnologia e Sociedade (ITS Rio). dados no país.
https://www.escolavirtual.gov.br/curso/153 https://dataprivacy.com.br/

CURSO EV.G - LGPD NO SETOR PÚBLICO GOVERNO FEDERAL - GUIA DE BOAS PRÁTICAS
Curso gratuito elaborado pela Escola Nacional de Administração Guia do Governo Federal sobre boas práticas da LGPD.
Pública (Enap) e pelo Ministério da Economia. https://www.gov.br/governodigital/pt-br/governanca-de-
https://www.escolavirtual.gov.br/curso/290 dados/guia-de-boas-praticas-lei-geral-de-protecao-de-dados-
lgpd

CURSO EV.G - GOVERNANÇA DE DADOS ID WALL - LGPD COMENTADA

Curso gratuito elaborado pela Escola Nacional de Administração Artigo por artigo da LGPD comentado.
Pública (Enap) e pelo Ministério da Economia. https://guialgpd.com.br/lgpd-comentada/
https://www.escolavirtual.gov.br/curso/270

CURSO EV.G - DIREITO E NOVAS TECNOLOGIAS SERPRO - PORTAL LGPD

Curso gratuito elaborado pela Escola Nacional de Administração Portal da SERPRO com informações, notícias e conteúdos
Pública (Enap) e pelo Instituto Tecnologia e Sociedade (ITS Rio). sobre a LGPD.
https://www.escolavirtual.gov.br/curso/323 https://www.serpro.gov.br/lgpd
 25

Contato
DEFENSORIA PÚBLICA DO ESTADO DO RIO GRANDE DO SUL

SITE http://www.defensoria.rs.def.br

INSTAGRAM @defensoriapublicars

TWITTER @_defensoriaRS

FACEBOOK https://www.facebook.com/defensoriars

TELEFONE (51) 3211-2233

ENDEREÇO SEDE HORÁRIO DE ATENDIMENTO

Rua Sete de Setembro de segunda a sexta-feira
Número 666 das 09 às 12 horas e
Bairro Centro Histórico das 13 às 18 horas
Porto Alegre/RS
CEP 90010-190