LGPD e a ADM Publica - Módulo 3

Prévia do material em texto

Lei Geral de Proteção de
Dados e a Administração
Pública
 
 
 
Módulo III
 
Tratamento de Dados 
Pessoais
 
CURITIBA - 2021
 
 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
 
 
Sumário 
Apresentação ......................................................................................................... 5 
Módulo III 
TRATAMENTO DE DADOS PESSOAIS ................................................................. 6 
1.1 Tratamento de Dados Pessoais .............................................................. 6 
1.1.1 Tratamento dos Dados Pessoais Sensíveis ............................................... 10 
1.1.2 Tratamento de Dados Pessoais de Crianças e Adolescentes .................... 10 
1.1.3 Ciclo de Vida de Dados Pessoais .............................................................. 12 
1.2 Tratamento de Dados Pessoais Pelo Poder Público ............................. 12 
1.2.1 Compartilhamento de Dados Entre Órgãos e Entidades da 
Administração Pública................................................................................ 14 
1.2.2 Compartilhamento de Dados Entre Órgãos e Entidades Privadas ............. 16 
1.3 Transferência Internacional de Dados ................................................... 17 
Referências ............................................................................................................ 20 
 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
5 
 
 
Apresentação 
Este módulo versa sobre os conceitos e requisitos envolvidos no tratamento de 
dados pessoais, com ênfase ao tratamento efetuado pelo Poder Público. 
Serão apresentadas ainda informações e orientações sobre o compartilhamento 
de dados e acerca da transferência internacional de dados. 
 
 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
6 
 
Módulo III 
TRATAMENTO DE DADOS PESSOAIS 
Mineia Luckfett de Oliveira* 
1.1 Tratamento de Dados Pessoais 
O tratamento de dados pessoais poderá ser realizado desde 
que enquadrado em uma das hipóteses enumeradas no art. 7º1 ou 
ainda no art. 112 , em se tratando de dados sensíveis, ambos da LGPD. 
Além dos casos previstos nos dispositivos legais citados, o 
tratamento de dados pessoais deve observar a boa-fé e os 
princípios fundamentais previstos no art. 6º da Lei. 
 
1
 “Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: 
 I - mediante o fornecimento de consentimento pelo titular; 
 II - para o cumprimento de obrigação legal ou regulatória pelo controlador; 
 III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas 
públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, 
observadas as disposições do Capítulo IV desta Lei; 
 IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; 
 V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual 
seja parte o titular, a pedido do titular dos dados; 
 VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei 
nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; 
 VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; 
 VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; 
 VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de 
saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019) Vigência 
 IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de 
prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou 
 X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.” 
2
 “Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: 
 I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; 
 II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: 
 a) cumprimento de obrigação legal ou regulatória pelo controlador; 
 b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas 
previstas em leis ou regulamentos; 
 c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; 
 d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos 
termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); 
 e) proteção da vida ou da incolumidade física do titular ou de terceiro; 
 f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou 
 f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou 
autoridade sanitária; ou (Redação dada pela Lei nº 13.853, de 2019) 
 g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro 
em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem 
direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.” 
 
* Graduada em Direito pela Universidade 
Tuiuti do Paraná (2003). Advogada. 
Assessora Técnica da Controladoria-
Geral do Estado do Paraná. Autora 
das Cartilhas: Lei Geral de Proteção 
de Dados, da Controladoria-Geral do 
Estado do Paraná e Encarregado pelo 
Tratamento de Dados Pessoais. 
Participante do processo de 
elaboração do Decreto Estadual 
nº 6.474/2020, que regulamenta a 
aplicação da LGPD, no âmbito do 
Poder Executivo do Estado 
do Paraná. 
http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm
http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm#art65..
http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2
mailto:mineial@cge.pr.gov.br
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
7 
 
 
HIPÓTESE DE 
TRATAMENTO 
DISPOSITIVO LEGAL 
REQUER CONSENTIMENTO 
DO TITULAR? 
Hipótese 1: Mediante 
consentimento do titular 
LGPD, art. 7º, inciso I Sim 
Hipótese 2: Para o 
cumprimento de obrigação 
legal ou regulatória 
LGPD, art. 7º, inciso II Não 
Hipótese 3: Para a execução 
de políticas públicas 
LGPD, art. 7º, inciso III Não 
Hipótese 4: Para a realização 
de estudos e pesquisas 
LGPD, art. 7º, inciso IV Não 
Hipótese 5: Para a execução ou 
preparação de contrato 
LGPD, art. 7º, inciso V 
Termos de consentimento 
definidos no contrato ou 
decorrentes da autonomia da 
vontade. 
Hipótese 6: Para o exercício de 
direitos em processo judicial, 
administrativo ou arbitral 
LGPD, art. 7º, inciso VI Não 
Hipótese 7: Para a proteção da 
vida ou da incolumidade física 
do titular ou de terceiroLGPD, art. 7º, inciso VII Não 
Hipótese 8: Para a tutela da 
saúde do titular 
LGPD, art. 7º, inciso VIII Não 
Hipótese 9: Para atender 
interesses legítimos do 
controlador ou de terceiro 
LGPD, art. 7º, inciso IX Não 
Hipótese 10: Para proteção do 
crédito 
LGPD, art. 7º, inciso X Não 
Fonte: Guia de Boas Práticas - Lei Geral de Proteção de Dados - Comitê Central de Governança de Dados. 
Para os para órgãos e entidades públicas, as hipóteses mais 
comuns seriam as elencadas nos itens 2, 3 e 5 do Quadro. Porém, 
existem outras situações, cabendo inclusive o enquadramento em 
mais de uma hipótese legal. 
A identificação das hipóteses de tratamento de dados aplicáveis dependerá da 
análise das finalidades e contextos específicos de cada situação. Considerando o exposto, 
segue uma breve descrição de cada uma delas: 
a) Tratamento mediante consentimento do titular: o titular tem a opção de escolha 
sobre o tratamento de seus dados; 
b) Tratamento para o cumprimento de obrigação legal ou regulatória: aplicável 
quando necessário processar dados pessoais para o cumprimento de obrigações legais 
ou regulatórias específicas. Não abrange as obrigações estabelecidas por contrato; 
c) Tratamento para a execução de políticas públicas: aplicável para o tratamento e 
uso compartilhado de dados necessários à execução de políticas públicas, previstas 
em leis e regulamentos, ou respaldadas em contratos, convênios ou instrumentos 
congêneres. Deve ser realizado por controladores que sejam pessoas jurídicas de 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
8 
 
direito público, podendo envolver operadores para a realização do tratamento de 
dados pessoais necessários à consecução de políticas públicas, que podem ser 
pessoas jurídicas de direito privado; 
d) Tratamento para a realização de estudos e pesquisas: aplicável para o tratamento 
de dados para realização de estudos por órgão de pesquisa, garantida, sempre que 
possível, a anonimização dos dados pessoais. 
 Em se tratando de estudos em saúde pública, o art. 133, da LGPD possibilita que os 
órgãos tenham acesso a bases de dados pessoais, inclusive os atributos sensíveis, 
que serão tratados exclusivamente dentro do referido órgão e estritamente para a 
finalidade de realização de estudos e pesquisas, devendo o órgão ou entidade 
garantir que os dados sejam mantidos em ambiente controlado e seguro, e, sempre 
que possível, sejam anonimizados ou pseudonimizados. 
e) Tratamento para a execução de contrato ou de procedimentos preliminares 
relacionados a contrato: hipótese aplicável para o tratamento de dados necessário 
à execução de contrato ou de procedimentos preliminares relacionados ao contrato 
do qual seja parte o titular. As hipóteses de tratamento de dados estarão previstas 
no contrato. O consentimento é fornecido no ato de formalização do termo ou 
decorrente desse; 
f) Tratamento para o exercício de direitos em processo judicial, administrativo 
ou arbitral: hipótese aplicável para o tratamento de dados quando necessário, ao 
exercício regular de direitos do titular em processo judicial, administrativo ou arbitral, 
por quaisquer das partes envolvidas; 
g) Tratamento para a proteção da vida ou da incolumidade física do titular ou de 
terceiros: hipótese aplicável para o tratamento de dados para a proteção da vida ou 
da incolumidade física do titular ou de terceiros; 
 
3 “Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados 
pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de 
estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em 
regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem 
como considerem os devidos padrões éticos relacionados a estudos e pesquisas. 
 § 1º A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo 
em nenhuma hipótese poderá revelar dados pessoais. 
 § 2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não 
permitida, em circunstância alguma, a transferência dos dados a terceiro. 
 § 3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e 
das autoridades da área de saúde e sanitárias, no âmbito de suas competências. 
 § 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade 
de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente 
pelo controlador em ambiente controlado e seguro.” 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
9 
 
h) Tratamento para a tutela da saúde do titular: hipótese aplicável para o tratamento 
de dados para a tutela da saúde, exclusivamente, em procedimento realizado por 
profissionais de saúde, serviços de saúde ou autoridade sanitária. 
i) Tratamento para atender interesses legítimos do controlador ou de terceiros: 
hipótese aplicável para o tratamento de dados quando necessário, para atender aos 
interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem 
direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. 
 Os órgãos e entidades públicos não poderão se valer dessa hipótese de tratamento 
de dados para a execução de políticas públicas ou de suas próprias competências 
legais. Somente nos casos de finalidade diversa; 
j) Tratamento para proteção do crédito: aplicável para o tratamento de dados para 
proteção do crédito do titular; 
k) Tratamento para a garantia da prevenção à fraude e à segurança do titular nos 
processos de identificação e autenticação de cadastro em sistemas eletrônicos: 
aplicável para o tratamento de dados de pessoas sensíveis, para assegurar a 
identificação do titular para a autenticação de cadastro em sistemas eletrônicos, 
visando à prevenção de fraudes e à garantia da segurança do titular. Não pode ser 
utilizada no caso de prevalecerem direitos e liberdades fundamentais do titular que 
exijam a proteção dos dados pessoais. 
Existem hipóteses de não aplicabilidade da LGPD ao tratamento de dados 
pessoais, quais são: 
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos; 
II - realizado para fins exclusivamente: 
a) jornalístico e artísticos; ou 
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 da Lei; 
III - realizado para fins exclusivos de: 
a) segurança pública; 
b) defesa nacional; 
c) segurança do Estado; ou 
d) atividades de investigação e repressão de infrações penais; ou 
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação; 
uso compartilhado de dados com agentes de tratamento brasileiros; ou objeto de 
transferência internacional de dados com outro país que não o de proveniência, 
desde que o país de origem proporcione grau de proteção de dados pessoais 
adequado ao previsto na Lei. 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
10 
 
1.1.1 Tratamento dos Dados Pessoais Sensíveis 
O tratamento de dados pessoais sensíveis pelo Estado não 
necessita de consentimento, conforme art. 11, inciso II, "b" da 
LGPD, quando necessários à execução, pela administração 
pública, de políticas públicas previstas em leis ou regulamentos. 
A dispensa de consentimento deverá ser comunicada ao titularde dados, pelos 
órgãos e pelas entidades públicas, mediante o fornecimento de informações claras e 
atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas 
para a execução de suas atividades, em veículos de fácil acesso, preferencialmente em 
seus sítios eletrônicos. 
1.1.2 Tratamento de Dados Pessoais de Crianças e Adolescentes 
A Lei Geral de Proteção de Dados consagrou uma seção especial para assegurar 
a proteção ao tratamento de dados pessoais de crianças e adolescentes (Seção III - 
"Do Tratamento de Dados Pessoais de Crianças e Adolescentes"). Para a efetividade 
do art. 14 da LGPD4, é importante que sejam observadas também as demais normas 
protetivas contidas na Constituição Federal, no Estatuto da Criança e do Adolescente e 
na Convenção das Nações Unidas sobre os Direitos da Criança. 
No aspecto relacionado ao tratamento de dados de menores, a 
legislação não traz distinção para dados sensíveis ou não 
sensíveis, e determina que as informações sobre o uso de dados 
sejam fornecidas de forma fácil e compreensível. 
 
 
4 "Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor 
interesse, nos termos deste artigo e da legislação pertinente. 
 § 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque 
dado por pelo menos um dos pais ou pelo responsável legal. 
 § 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação 
sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se 
refere o art. 18 desta Lei. 
 § 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo 
quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem 
armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento 
de que trata o § 1º deste artigo. 
 § 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, 
aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente 
necessárias à atividade. 
 § 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º 
deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis. 
 § 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, 
clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do 
usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos 
pais ou ao responsável legal e adequada ao entendimento da criança." 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
11 
 
Importante observar, que a redação dos parágrafos 1º a 5º do art. 14, que tratam 
do consentimento para o tratamento de dados, não se estende aos adolescentes, 
ficando restrita às crianças. Esse entendimento é baseado no Relatório da Comissão 
Especial Destinada a Proferir Parecer ao Projeto de Lei nº 4.060/2021 (que deu ensejo 
à LGPD), cujo conteúdo é no sentido de que a necessidade de consentimento especial 
fica restrita aos menores com até 12 anos. 
Sendo assim, a obtenção do consentimento simples, no caso de adolescentes, 
já seria suficiente. Contudo, existem entendimentos contrários, no sentido de que essa 
obrigação do agente não estaria excluída. 
O consentimento será considerado "específico/especial" quando, 
antes da coleta dos dados, houver o detalhamento sobre o ciclo de 
vida do tratamento dos dados pessoais, quais os tipos de dados 
coletados, as formas, os limites e as finalidades de utilização, e os 
procedimentos para o exercício dos direitos do titular previstos no 
artigo 18 da LGPD. Os pais ou responsáveis devem ter, inclusive, 
a possibilidade de selecionar qual tratamento desejam autorizar. 
Convém ressaltar que essa publicidade de informações se estende também aos 
adolescentes (§ 2º do art. 14 da LGPD). 
Um dos grandes desafios do controlador de dados será conseguir identificar se 
o consentimento foi realmente fornecido pelos pais ou responsável legal pela criança, 
conforme determina o § 5º do art. 14 da LGPD. Para tanto, deverão utilizar de recursos 
técnicos disponíveis. 
A legislação estabelece exceção ao consentimento prévio para o tratamento de 
crianças e adolescentes, quando a coleta for necessária para estabelecer comunicação 
com os pais ou responsável legal da criança. Nesse caso, o dado poderá ser utilizado 
uma única vez, sem a possibilidade de armazenamento e em nenhuma hipótese poderão 
ser repassados a terceiros. 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
12 
 
1.1.3 Ciclo de Vida de Dados Pessoais 
O ciclo de vida do tratamento dos dados pessoais se divide em cinco fases, sendo: 
 Coleta: obtenção, recepção ou produção de dados pessoais, independente do meio 
utilizado (documento em papel, documento eletrônico, sistema de informação etc.); 
 Retenção: arquivamento ou armazenamento de dados pessoais, independente do meio 
utilizado (documento em papel, documento eletrônico, banco de dados, arquivo de 
aço etc.); 
 Processamento: qualquer operação que envolva classificação, utilização, reprodução, 
processamento, avaliação ou controle da informação, extração e modificação de 
dados pessoais; 
 Compartilhamento: qualquer operação que envolva transmissão, distribuição, 
comunicação, transferência, difusão e compartilhamento de dados pessoais; 
 Eliminação: qualquer operação que visa apagar ou eliminar dados pessoais. Essa 
fase também contempla descarte dos ativos organizacionais, nos casos necessários 
ao negócio da instituição. 
Dentro desse panorama, o ciclo de vida do tratamento tem início com a coleta 
do dado e encerra-se com a eliminação ou descarte. 
Salienta-se que, no caso de cumprimento de obrigação legal, como 
ocorre com a administração pública, na maioria dos casos, a 
conservação do dado é permitida (LGPD, art. 16, I), ou seja, assim 
como o titular dos dados não precisa consentir o tratamento dos 
dados pessoais pela administração pública em casos determinados, 
também não é possível ao titular do dado solicitar a eliminação. 
1.2 Tratamento de Dados Pessoais Pelo Poder Público 
O tratamento de dados pessoais pelo Poder Público está previsto no Capítulo IV 
da LGPD, onde estão estabelecidas as hipóteses em que o Estado pode tratar dados 
pessoais, desde que com o propósito de cumprir sua finalidade pública e que tenha 
como premissa o interesse público. Dessa forma, a atuação do Poder Público é, 
excepcional e condicionada. 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
13 
 
O artigo 23 da LGPD5 estabelece quais são as pessoas jurídicas de direito 
público interno que se submetem aos termos da lei quando realizam tratamento de 
dados pessoais, sendo terminante quanto a necessária relação dessa atividade a uma 
finalidade, a um conceito de valor e a objetivos estritos. 
Portanto, o tratamento de dados pessoais, inclusive os sensíveis, 
será realizado para o atendimento de sua finalidade pública, na 
persecução do interesse público, com o objetivo de executar as 
competências legais ou cumprir suas atribuições. 
 Atendimento da finalidade pública 
A finalidadepública será atendida, para fins da LGPD, quando o Poder Público 
executar o tratamento de dados pessoais dos titulares, rigorosamente nos termos da lei 
para a execução de políticas públicas. 
 Busca do interesse público 
O interesse público compartilha com o atendimento do bem comum da coletividade, 
buscando a preservação dos direitos e garantias fundamentais dos administrados. 
 Execução das competências legais ou atribuições 
O Poder Público existe para cumprir uma função legal, e para que possa fazê-lo, 
está investido de poder, em observância e na medida da lei. 
 
5 Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do 
art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o 
atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as 
competências legais ou cumprir as atribuições legais do serviço público, desde que: 
 I - sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, 
fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas 
utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos; 
 II - (VETADO); e 
 III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do 
art. 39 desta Lei. 
 III - seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do 
art. 39 desta Lei; e (Redação dada pela Lei nº 13.853, de 2019) Vigência 
 IV - (VETADO). (Incluído pela Lei nº 13.853, de 2019) Vigência 
 § 1º A autoridade nacional poderá dispor sobre as formas de publicidade das operações de tratamento. 
 § 2º O disposto nesta Lei não dispensa as pessoas jurídicas mencionadas no caput deste artigo de instituir as 
autoridades de que trata a Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) . 
 § 3º Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto 
em legislação específica, em especial as disposições constantes da Lei nº 9.507, de 12 de novembro de 1997 (Lei do 
Habeas Data) , da Lei nº 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo) , e da Lei nº 12.527, 
de 18 de novembro de 2011 (Lei de Acesso à Informação) . 
 § 4º Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo 
tratamento dispensado às pessoas jurídicas referidas no caput deste artigo, nos termos desta Lei. 
 § 5º Os órgãos notariais e de registro devem fornecer acesso aos dados por meio eletrônico para a administração 
pública, tendo em vista as finalidades de que trata o caput deste artigo. 
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm#art1
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm#art65..
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Msg/VEP/VEP-288.htm
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm#art65..
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm
http://www.planalto.gov.br/ccivil_03/LEIS/L9507.htm
http://www.planalto.gov.br/ccivil_03/LEIS/L9507.htm
http://www.planalto.gov.br/ccivil_03/LEIS/L9784.htm
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm
http://www.planalto.gov.br/ccivil_03/_Ato2011-2014/2011/Lei/L12527.htm
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
14 
 
 Execução de Políticas Públicas 
Entre as bases legais para a realização de tratamento de dados pessoais da 
LGPD, está o artigo 7º, inciso III, específico para a Administração Pública, que estabelece a 
execução de políticas públicas, previstas em leis, regulamentos ou respaldadas em 
contratos, convênios ou instrumentos congêneres. 
Importante ressaltar que a operação de tratamento de dados pessoais deve ter 
relação com a missão institucional do órgão ou entidade detentora da base de dados, 
sobre a qual está fundamentada a execução de política pública para o qual foi investido 
por lei. 
 Transparência no tratamento de dados 
Quando do tratamento dos dados pessoais, o Estado deverá fornecer informações 
claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas 
utilizadas para a execução de suas atividades, em veículos de fácil acesso, preferencialmente 
em seus sítios eletrônicos, buscando a transparência de procedimentos. Essa obrigação 
aplica-se também ao tratamento de dados pessoais sensíveis. 
A transparência objetiva conquistar a credibilidade do titular de dados (pessoa 
natural) junto ao controlador de dados, demonstrando a responsabilidade a que 
está submetido. 
 Critério da mínima coleta 
Os dados coletados devem se restringir ao mínimo necessário para a execução 
de políticas públicas. Portanto, a coleta deve compreender somente dados pertinentes, 
proporcionais à finalidade da operação e que não sejam excessivos. 
Dessa forma, os riscos de violação dos direitos e garantias fundamentais do 
indivíduo, no caso de falhas no tratamento de dados pessoais, serão minimizados. 
1.2.1 Compartilhamento de Dados Entre Órgãos e Entidades da Administração 
Pública 
O uso compartilhado de dados está configurado por operações como transmissão, 
comunicação, transferência, difusão, interconexão ou tratamento compartilhado de banco 
de dados pessoais. 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
15 
 
Para que haja esse compartilhamento da base dados sob o controle do poder 
público, por entes públicos, são necessários os seguintes requisitos cumulativos: 
a) existência de finalidade específica no compartilhamento; 
b) existência de base legal para os entes envolvidos (artigo 7º, inciso III e artigo 23 da 
LGPD, e art. 14 do Decreto Estadual nº 6.474/2020); 
c) validação do compartilhamento decorrente do atendimento aos princípios de 
proteção de dados pessoais previstos no art. 6º da LGPD6. 
Portanto, não é suficiente que o compartilhamento possua base 
legal (art. 7º, inciso III e art. 23 da LGPD, e art. 14 do Decreto 
Estadual nº 6.474/2020), satisfaça às finalidades específicas de 
execução de políticas públicas ou provenha de atribuição legal do 
órgão ou entidade pública, sendo primordial a observância dos 
princípios de proteção de dados pessoais. 
 
Já, em relação a dados pessoais sensíveis referentes à saúde, é proibida a 
comunicação ou o uso compartilhado entre controladores com o objetivo de obter 
vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, 
de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de 
diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir: 
I - a portabilidade de dados quando solicitada pelo titular; ou 
II - as transações financeiras e administrativas resultantes do uso e da prestação dos 
serviços de saúde, de assistência farmacêutica e de assistência à saúde, e os 
serviços auxiliares de diagnose e terapia. 
 
6 Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: 
 I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem 
possibilidade de tratamentoposterior de forma incompatível com essas finalidades; 
 II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do 
tratamento; 
 III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos 
dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; 
 IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem 
como sobre a integralidade de seus dados pessoais; 
 V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo 
com a necessidade e para o cumprimento da finalidade de seu tratamento; 
 VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização 
do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; 
 VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não 
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; 
 VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; 
 IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; 
 X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes 
de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia 
dessas medidas." 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
16 
 
1.2.2 Compartilhamento de Dados Entre Órgãos e Entidades Privadas 
As normas que tratam do compartilhamento de dados entre órgãos públicos e 
entidades privadas estão previstas nos art. 26, § 1º e no art. 27 da LGPD, bem como, 
no art. 15 do Decreto Estadual nº 6.474/2020. 
Em regra, é vedada a transferência pelo Poder Público de dados pessoais 
constantes de suas bases e entidades privadas, exceto nas hipóteses sequentes: 
a) em casos de execução descentralizada de atividade pública que exija a 
transferência, exclusivamente para esse fim específico e determinado, 
observado o disposto na LAI. 
 Quando a execução descentralizada de atividade pública é atribuída a pessoa 
jurídica de direito público (autarquias e fundações) ou a entidades paraestatais 
(empresas públicas e sociedade de economia mista) que estiverem operacionalizando 
políticas públicas (em regime de monopólio), será aplicado o mesmo regime de 
proteção de dados atribuído aos entes e órgãos públicos (art. 24, parágrafo único da 
LGPD) e, consequentemente, o mesmo procedimento em relação ao compartilhamento. 
b) nos casos em que os dados forem acessíveis publicamente, observadas as 
disposições da LGPD. 
 Importante observar que os dados pessoais ou sensíveis que integram a base de 
dados públicos, acessíveis abertamente, também estão sujeitos a proteção legal, e, 
portanto, a transferência será possível desde que observados os princípios da 
proteção de dados, atendendo à finalidade pública e ao interesse público. 
c) quando houver previsão legal ou a transferência for respaldada em contratos, 
convênios ou instrumentos congêneres. 
 Nesse caso, a transferência de dados amparada na previsão legal ou em contratos 
e convênios, deve guardar também a importância da obediência ao princípio da 
legalidade dos atos administrativos e aos princípios da LGPD. 
d) na hipótese de a transferência dos dados objetivar exclusivamente a prevenção 
de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade 
do titular dos dados, desde que vedado o tratamento para outras finalidades. 
 Por se tratar de uma hipótese excepcional, deve-se observar com muita cautela os 
princípios da finalidade e da adequação. 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
17 
 
1.3 Transferência Internacional de Dados 
Considera-se transferência internacional de dados, quando os dados pessoais 
são transferidos para um país estrangeiro ou organismo internacional do qual o país 
seja membro. A transferência internacional implica o uso compartilhado de dados. 
É importante esclarecer que o simples transporte de informações, por meio de 
provedores da internet, não se caracteriza como transferência internacional de dados. 
Porém, quando agentes, situados em diferentes países, desejam realizar uso 
compartilhado de informações de pessoas naturais identificadas ou identificáveis para a 
consecução de determinadas finalidades, isso implicará transferência internacional e 
ela apenas poderá ser realizada quando cumprir determinados requisitos legais (ou 
regulatórios) para tanto. 
A transferência internacional de dados somente será permitida nas seguintes 
hipóteses: 
a) Os países ou organismos internacionais proporcionarem grau de proteção de 
dados pessoais adequado ao previsto na LGPD. O nível de proteção de dados do 
país estrangeiro ou do organismo internacional será avaliado pela ANPD. As pessoas 
jurídicas de direito público poderão requerer à ANPD a avaliação do nível de proteção a 
dados pessoais conferido por país ou organismo internacional; 
b) O controlador oferecer e comprovar garantias de cumprimento dos princípios, 
dos direitos do titular e do regime de proteção de dados previsto na LGPD. 
O controlador deverá garantir a segurança dos dados e proteção dos direitos e 
garantias dos titulares de dados; 
c) A transferência for necessária para a cooperação jurídica internacional entre 
órgãos públicos de inteligência, de investigação e de persecução, de acordo 
com os instrumentos de direito internacional; 
d) A transferência for necessária para a proteção da vida ou da incolumidade 
física do titular ou de terceiros; 
e) A autoridade nacional autorizar a transferência; 
f) A transferência resultar em compromisso assumido em acordo de cooperação 
internacional. Nesse caso, a transferência pode ser realizada mediante acordo 
bilateral entre Ministérios de diferentes países, por exemplo. 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
18 
 
g) A transferência for necessária para a execução de política pública ou atribuição 
legal do serviço público (Art. 33, VII, da LGPD7). 
h) O titular tiver fornecido o seu consentimento específico e em destaque para a 
transferência, com informação prévia sobre o caráter internacional da operação, 
distinguindo claramente essa e outras finalidades; ou 
i) É necessária para atender as hipóteses previstas nos incisos II, V e VI do art. 7º 
da LGPD, ou seja, para o cumprimento de obrigação legal ou regulatória pelo 
Controlador, quando necessário para a execução de contrato ou de procedimentos 
preliminares relacionados ao contrato do qual seja parte o titular, a pedido do titular 
dos dados e para o exercício regular de direitos em processo judicial, administrativo 
ou arbitral. 
Nesse contexto, a transferência internacional de dados pode acontecer para 
países ou organismos internacionais que proporcionem grau de proteção adequado ao 
previsto na Lei, visto que se o país ou organismo para o qual será realizada a 
transferência não demonstrar um nivelamento com essa proteção, serão colocados em 
risco direitos e liberdades fundamentais dos titulares. 
A avaliação do nível de proteção de dados, do país estrangeiro ou do organismo 
internacional mencionado, será realizada pela AutoridadeNacional de Proteção de 
Dados Pessoais (ANPD), com base nos seguintes critérios: 
a) as normas gerais e setoriais da legislação em vigor no país de destino ou no 
organismo internacional; 
b) a natureza dos dados; 
c) a observância dos princípios gerais de proteção de dados pessoais e direitos dos 
titulares previstos na LGPD; 
d) a adoção de medidas de segurança previstas em regulamento; 
e) a existência de garantias judiciais e institucionais para o respeito aos direitos de 
proteção de dados pessoais; e 
f) outras circunstâncias específicas relativas à transferência. 
Considerando que até agora o Brasil ainda não reconheceu outro país como 
tendo nível adequado de proteção de dados e, também, por outro lado, ainda não teve 
esse reconhecimento por parte de autoridades estrangeiras, cada fluxo de dados deve 
 
7 "Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos: 
 ... 
 VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, 
sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;" 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
19 
 
ser avaliado caso a caso, para a consideração de determinada autorização específica 
ou de medida compensatória, conforme explanado a seguir: 
I. Quando o controlador oferece e comprova garantias de cumprimento de princípios, 
direitos do titular e do regime de proteção de dados previsto na LGPD (art. 33, II da 
LGPD8), por meio de: 
(a) cláusulas contratuais específicas para determinada transferência; 
(b) cláusulas-padrão contratuais; 
(c) normas corporativas globais; 
(d) selos, certificados e códigos de conduta regularmente emitidos. 
São consideradas "medidas compensatórias" aquelas que podem ser adotadas 
pelo controlador para garantir que um nível não idêntico, mas equivalente de proteção 
de dados pessoais, seja garantido com relação aos direitos e liberdades dos titulares e 
suas salvaguardas, buscando compensar essa diferenciação de níveis. 
Em ocorrendo a transferência internacional de dados, caberá aos controladores 
informar para os titulares, detalhes sobre a mesma, principalmente quando a operação 
envolver dados sensíveis. 
II. Atribuições da ANPD em relação à transferência internacional de dados e à 
comprovação de “medidas compensatórias” pelo controlador. 
Compete à ANPD definir o conteúdo de cláusulas-padrão contratuais e verificar 
cláusulas contratuais específicas para uma determinada transferência, normas corporativas 
globais ou selos, certificados e códigos de conduta. Essa verificação será realizada 
considerando os requisitos, as condições e as garantias mínimas para a transferência 
que observem os direitos, as garantias e os princípios da LGPD. 
Poderão ainda, ser requeridas informações suplementares ou realizadas diligências 
de verificação quanto às operações de tratamento, quando necessário. 
Eventuais alterações nas garantias apresentadas como suficientes de observância 
dos princípios gerais de proteção e dos direitos do titular deverão ser comunicadas à 
autoridade nacional. 
 
8 "Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos: 
 ... 
 II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do 
regime de proteção de dados previstos nesta Lei, na forma de: 
 a) cláusulas contratuais específicas para determinada transferência; 
 b) cláusulas-padrão contratuais; 
 c) normas corporativas globais; 
 d) selos, certificados e códigos de conduta regularmente emitidos;" 
Rua Jacy Loureiro de Campos S/N I Palácio das Araucárias I Centro Cívico I Curitiba/PR I CEP 80.530-915 I 41 3313.6264 I 3313.6670 www.administracao.pr.gov.br 
20 
 
Referências 
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados 
Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-
2018/2018/lei/l13709.htm>. Acesso em: 03 maio 2021. 
DAL POZZO, Augusto Neves; MARTINS, Ricardo Marcondes. LGPD & Administração 
Pública: uma análise ampla dos impactos. São Paulo: Thomson Reuters, 2020. 
GOVERNO FEDERAL. Guia de boas práticas: Lei Geral de Proteção de Dados 
(LGPD). 10 abr. 2020. Disponível em: <https://www.gov.br/governodigital/pt-
br/governanca-de-dados/guia-de-boas-praticas-lei-geral-de-protecao-de-dados-lgpd>. 
Acesso em: 27 abr. 2021. 
PARANÁ. Decreto nº 6.474, de 14 de dezembro de 2020. Regulamenta a aplicação da 
Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados 
Pessoais (LGPD), no âmbito da Administração Pública Estadual direta, autárquica e 
fundacional do Poder Executivo do Estado do Paraná. Disponível em: 
<https://www.legislacao.pr.gov.br/legislacao/pesquisarAto.do?action=exibir&codAto=244
066&indice=1&totalRegistros=1&dt=16.7.2021.11.15.40.391>. Acesso em: 27 abr. 2021. 
TEPEDINO, Gustavo; LOPES, Ana Frazão de Azevedo; OLIVA, Milena Donato. Lei 
Geral de Proteção de Dados e suas repercussões no direito brasileiro. São Paulo: 
Thomson Reuters, 2019. 
VAINZOF, Rony. LGPD: Lei Geral de Proteção de Dados comentada. Coordenação de 
Viviane Nóbrega Maldonado e Renato Ópice Blum). 3.ed. São Paulo: Thomson 
Reuters, 2021. 
 
Rua: Jacy Loureiro de Campos, s/n - Térreo
Centro Cívico | Curitiba/PR | CEP 80530-140
https://www.administracao.pr.gov.br/Escola-de-Gestao