Mod1 O Tratamento de Dados Pessoais no Setor Público

Prévia do material em texto

Proteção de Dados 
Pessoais no Serviço 
Público
O Tratamento de Dados 
Pessoais no Setor Público1
M
ód
ul
o
2Enap Fundação Escola Nacional de Administração Pública
Enap, 2020
Enap Escola Nacional de Administração Pública
Diretoria de Educação Continuada
SAIS - Área 2-A - 70610-900 — Brasília, DF
Fundação Escola Nacional de Administração Pública
Presidente 
Diogo Godinho Ramos Costa
Diretor de Desenvolvimento Profissional
Paulo Marques
Coordenador-Geral de Educação a Distância 
Carlos Eduardo dos Santos
Conteudista/s 
Julierme Rodrigues da Silva (conteudista, 2019)
Curso produzido em Brasília 2019.
3Enap Fundação Escola Nacional de Administração Pública
1. Lei Geral de Proteção de Dados Pessoais Brasileira ....................... 5
2. Necessidade de Implementação versus Legislação e 
Aplicabilidade .................................................................................. 7
Sumário
4Enap Fundação Escola Nacional de Administração Pública
5Enap Fundação Escola Nacional de Administração Pública
1. Lei Geral de Proteção de Dados Pessoais Brasileira
A globalização e o rápido avanço tecnológico dos meios de comunicação apresentam novas 
oportunidades como o comércio internacional no espaço cibernético e o compartilhamento em 
nível mundial de dados e informações para realização de pesquisa e desenvolvimento. Com as 
oportunidades, vêm também os desafios de prover um intercâmbio de dados e informações 
de maneira segura e confiável sem expor os dados dos cidadãos, organizações e países a riscos 
como, entre outros, o vazamento de informações sigilosas como processo, fórmulas patenteadas, 
segredos de negócio; a invasão da privacidade de cidadãos; e a exposição de vulnerabilidades de 
fronteiras ou de infraestruturas críticas de um estado ou nação. 
 A informação é, atualmente, um dos ativos mais valiosos para as organizações de todo o mundo, 
sejam elas públicas ou privadas. A Lei Geral de Proteção de Dados surgiu para atender a uma 
necessidade global de intercambiar dados pessoais de maneira mais segura, mitigando os riscos 
deste processo. 
O dado é considerado pessoal quando permite a identificação, direta ou indireta, da pessoa 
à qual o dado se refere, por exemplo: nome; sobrenome; data de nascimento; CPF; RG; CNH; 
carteira de trabalho; passaporte; título de eleitor; endereço residencial ou comercial; telefone; 
cookies; e endereço IP.
Ao se identificar uma pessoa por meio de uma combinação desse tipo de dado, é possível ter 
acesso a algum dado sensível como origem étnica ou raça, convicção religiosa, opinião política, 
filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à 
saúde ou à vida sexual, dado genético ou biométrico.
A importância de se intercambiar dados pessoais e dados pessoais sensíveis de maneira segura 
reside na necessidade de impedir que tais dados sejam utilizados para fraudes diversas, divulgados 
sem autorização do titular, ou usados com intuito de discriminação ou perseguição política.
Destaque h, h, h, h, 
Em 14 de agosto de 2018, foi sancionada a Lei nº 13.709 – Lei Geral de Proteção 
de Dados (LGPD) – que dispõe sobre a proteção de dados pessoais e altera a 
Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet).
Para efetivar as diretrizes da governança digital, foi publicado o Decreto nº 10.332, de 28 de abril 
de 2020, instituindo a Estratégia de Governo Digital (EGD) constando os objetivos e iniciativas a 
serem alcançados no período de 2020 a 2022. A EGD 2020-2022 parte do pressuposto de que:
M
ód
ul
o O Tratamento de Dados 
Pessoais no Setor Público1
6Enap Fundação Escola Nacional de Administração Pública
Um Governo centrado no cidadão, que busca oferecer uma 
jornada mais agradável e responde às suas expectativas por 
meio de serviços de alta qualidade.
Dessa forma, nos últimos anos, o Governo Brasileiro tem acelerado o processo de transformação 
digital, no intuito de cumprir o compromisso de simplificar e ampliar a oferta dos serviços 
públicos.
O propósito da EGD é orientar e integrar as iniciativas de transformação digital dos órgãos 
e entidades do Poder Executivo Federal, por meio da expansão do acesso às informações 
governamentais, da melhoria dos serviços públicos digitais, da proteção de dados dos cidadãos 
e da segurança das plataformas de governo digital.
O documento Estratégia Brasileira para Transformação Digital (e-Digital) segue nesse mesmo 
caminho, como podemos constatar nos trechos introdutórios do documento transcritos a seguir:
As rápidas transformações na economia e na sociedade 
proporcionadas pelo ambiente digital impõem novos desafios 
à atuação do governo. As ações estratégicas definidas têm 
foco no papel do governo como habilitador e facilitador dessa 
transformação digital no setor produtivo do país, na capacitação 
da sociedade para essa nova realidade, e na atuação do Estado 
como prestador de serviços e garantidor de direitos.
As tecnologias digitais estão cada vez mais presentes na vida 
de todos: em casa, no trabalho, nas escolas, nos meios de 
comunicação e nas relações sociais. Para que o Brasil possa 
tirar pleno proveito da revolução digital, colhendo todos os 
benefícios que a sociedade da informação e do conhecimento 
tem a oferecer, a economia nacional deve se transformar, 
com dinamismo, competitividade e inclusão, absorvendo a 
digitalização em seus processos, valores e conhecimento.
A economia do futuro será digital e deverá alcançar todos os 
brasileiros. Não é possível conceber uma economia moderna 
e dinâmica que não proporcione igualdade de oportunidades 
em todas as regiões do País.
7Enap Fundação Escola Nacional de Administração Pública
Nesse momento de transformação digital no qual o Brasil se situa, a oferta de produtos, serviços 
e informações de governo por meio digital deve vir acompanhada do respectivo desenvolvimento 
e implementação de medidas de segurança capazes de assegurar a adequada proteção dos dados 
pessoais que são necessariamente tratados pelos produtos ou serviços ofertados, garantindo 
assim direitos constitucionais como a privacidade, intimidade e a inviolabilidade da honra e da 
imagem das pessoas. 
Além disso, propriedades como a disponibilidade, a integridade, a confidencialidade e a 
autenticidade da informação em nível nacional, precisam ser asseguradas, conforme disposto 
pelo caput do art. 1º do Decreto nº 9.637, de 26 de dezembro de 2018.
Logo, o Brasil apresenta a LGPD como forma de enfrentar os desafios apresentados pelos 
avanços da era digital e, ao mesmo tempo, assegurar direitos constitucionais. Além disso, é 
preciso considerar o contexto transfronteiriço do espaço cibernético, no qual o Brasil necessita 
se posicionar como fornecedor e consumidor de informações seguras, considerando todos os 
aspectos da soberania nacional.
A LGPD altera o arcabouço legal brasileiro, apresentando novos conceitos, trazendo novas 
obrigações para a Administração Pública (AP) e fortalecendo os direitos dos titulares de dados. A 
AP, no papel de custodiante dos dados dos cidadãos, deve fornecer a segurança necessária para 
proteger adequadamente os dados que custodia e/ou trata.
2. Necessidade de Implementação versus Legislação e 
Aplicabilidade
Visão Geral sobre Medidas de Segurança
A Administração Pública, como custodiante dos dados dos cidadãos, deve assegurar nível de 
segurança apropriado para proteger os dados custodiados e/ou tratados.Para que esse nível de 
segurança seja alcançado, é imprescindível que os órgãos e entidades da AP se adequem ao 
disposto na LGPD. Para isso, é necessária a implementação das medidas de segurança dispostas 
no artigo 46 da LGPD, para se prover o nível de proteção adequado aos dados e aos tratamentos 
que pretendem realizar ou já realizam, no âmbito das suas competências legais e/ou de políticas 
públicas que executam. A implementação dessas medidas conduzirá o órgão à conformidade 
com a LGPD.
Destaque h, h, h, h, 
Segundo o inciso VIIdo caput do art. 6º da LGPD, segurança é a “utilização 
de medidas técnicas e administrativas aptas a proteger os dados pessoais de 
acessos não autorizados e de situações acidentais ou ilícitas de destruição, 
perda, alteração, comunicação ou difusão”. Logo, quando falamos de 
medidas de segurança estamos falando de medidas técnicas ou de medidas 
administrativas.
8Enap Fundação Escola Nacional de Administração Pública
Conheça, a seguir, uma metodologia para que os órgãos públicos identifiquem quais medidas de 
segurança precisam ser implementadas para reduzir o nível de risco ao qual o órgão, na condição 
de agente de tratamento, está exposto. Vamos aprender, a partir de uma abordagem prática, 
como o órgão público vai aplicar internamente as determinações constantes da LPGD, do ponto 
de vista das medidas de segurança.
Escopo de Aplicação do Tratamento de Dados Pessoais
Antes de decidir pela implementação de quaisquer medidas de segurança, é necessário que o 
órgão público identifique a aplicabilidade da Lei, seu escopo de atuação enquanto órgão público, 
bem como as limitações (vedações) às quais está submetido. Os artigos 3º e 4º da LGPD tratam 
desses assuntos.
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural 
ou por pessoa jurídica de direito público ou privado, independentemente do meio, do 
país de sua sede ou do país onde estejam localizados os dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou 
serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
 
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
 
II - realizado para fins exclusivamente:
 a) jornalístico e artísticos; ou
 b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
 
III - realizado para fins exclusivos de:
 a) segurança pública;
 b) defesa nacional;
 c) segurança do Estado; ou
 d) atividades de investigação e repressão de infrações penais; ou
 
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, 
uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de 
transferência internacional de dados com outro país que não o de proveniência, desde 
que o país de proveniência proporcione grau de proteção de dados pessoais adequado 
ao previsto nesta Lei.
9Enap Fundação Escola Nacional de Administração Pública
§1º O tratamento de dados pessoais previsto no inciso III será regido por legislação 
específica, que deverá prever medidas proporcionais e estritamente necessárias ao 
atendimento do interesse público, observados o devido processo legal, os princípios 
gerais de proteção e os direitos do titular previstos nesta Lei.
 
§ 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo 
por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica 
de direito público, que serão objeto de informe específico à autoridade nacional e que 
deverão observar a limitação imposta no § 4º deste artigo.
 
§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às 
exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis 
relatórios de impacto à proteção de dados pessoais.
 
§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata 
o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo 
por aquela que possua capital integralmente constituído pelo poder público.
Destaque h, h, h, h, 
A LGPD não revoga ou impede a aplicação de normas setoriais que também 
regulamentam dados pessoais, que devem continuar sendo observadas.
Do Consentimento
A regra geral estabelecida pela LGPD é de que as operações de tratamento somente poderão 
ocorrer mediante o fornecimento de consentimento pelo titular dos dados.
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes 
hipóteses: I - mediante o fornecimento de consentimento pelo titular;
Art. 11 O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes 
hipóteses: I - quando o titular ou seu responsável legal consentir, de forma específica e 
destacada, para finalidades específicas;
10Enap Fundação Escola Nacional de Administração Pública
Porém, os artigos 6, 7, 9, 11 e 26 da LGPD preveem para a AP a prerrogativa de tratar dados sem 
o consentimento do titular, desde que seja para a execução de políticas públicas, devidamente 
estabelecida em lei ou para o cumprimento de obrigação legal ou regulatória pelo controlador.
Art. 11.
O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes 
hipóteses:
II- sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável 
para:
 b) tratamento e uso compartilhado de dados necessários à execução, pela 
administração pública, de políticas públicas previstas em leis ou regulamentos;
Art. 6º, incisos, I, III, e X:
O tratamento de dados deve possuir “propósitos legítimos, específicos, explícitos e 
informados ao titular”, deve ser “limitado ao mínimo necessário para a realização das 
suas finalidades” e a AP deve “demonstrar a adoção de medidas eficazes e capazes de 
comprovar a observância e o cumprimento das normas de proteção de dados pessoais”.
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes 
hipóteses:
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados 
necessários à execução de políticas públicas previstas em leis, regulamentos ou 
respaldadas em contratos, convênios ou instrumentos congêneres, observadas as 
disposições do Capítulo IV desta Lei;
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de 
seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva, 
acerca de, entre outras características previstas em regulamentação para o atendimento 
do princípio do livre acesso:
I – finalidade específica do tratamento;
Art. 26. O uso compartilhado de dados pessoais pelo poder público deve atender a 
finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos 
e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais 
elencados no art. 6º desta Lei.
11Enap Fundação Escola Nacional de Administração Pública
Vale ressaltar que, apesar de a AP possuir essa prerrogativa, todas as obrigações e direitos da Lei 
nº 13.709 deverão ser observadas.
Art. 7°, §6º: A eventual dispensa da exigência do consentimento não desobriga os agentes 
de tratamento das demais obrigações previstas nesta Lei, especialmente da observância 
dos princípios gerais e da garantia dos direitos do titular.
	1. 1. Lei Geral de Proteção de Dados Pessoais Brasileira
	2. Necessidade de Implementação versus Legislação e Aplicabilidade