Introdução à LGPD

O que é a LGPD?

A Lei Geral de Proteção de Dados Pessoais - LGPD (Lei nº 13.709 de 2018, de 14 de agosto de 2018), dispõe sobre o tratamento de dados pessoais das pessoas naturais, definindo as hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e estabelecendo mecanismos para proteger os titulares dos dados contra usos inadequados.

A Lei é aplicável ao tratamento de dados realizado por pessoas naturais ou por pessoas jurídicas de direito público ou privado, e tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Quais são os fundamentos da proteção de dados pessoais?

Conforme dispõe o art. 2º da LGPD,  a disciplina da proteção de dados pessoais tem como fundamentos:

• • O respeito à privacidade;
  • A autodeterminação informativa;
  • A liberdade de expressão, de informação, de comunicação e de opinião;
  • A inviolabilidade da intimidade, da honra e da imagem;
  • O desenvolvimento econômico e tecnológico e a inovação;
  • A livre iniciativa, a livre concorrência e a defesa do consumidor; e
  • Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

 

Principais definições

O que são dados pessoais?

A LGPD adota, em seu art. 5º, inciso I, um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável. 

Assim, além das informações básicas relativas ao nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que permitam a identificação de um indivíduo, tais como a orientação sexual, a filiação político-partidária, o histórico médico e também aqueles referentes aos seus aspectos biométricos. Segundo a LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

O que são dados pessoais sensíveis?

Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionamentos aos aspectos mais íntimos da personalidade de um indivíduo.

Desse modo, nos termos do art. 5º, inciso II da LGPD, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

Quais dados são protegidos pela LGPD?

Conforme esclarece o art. 5º, inciso V da LGPD, a lei garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da lei.

O que é tratamento de dados pessoais, de acordo com a LGPD?

Segundo o art. 5º, inciso X da LGPD, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Quem são os agentes de tratamento?

Conforme disposto no art. 5º, incisos VI, VII e  IX da LGPD, os agentes de tratamento são pessoas naturais ou jurídicas, de direito público ou privado,  a quem compete o tratamento de dados pessoais. A lei assim define as suas atribuições:

• • Controlador: pessoa responsável pelas decisões referentes ao tratamento de dados pessoais;
  • Operador: pessoa responsável por realizar o tratamento de dados pessoais em nome do controlador. 

Quem é o encarregado pelo tratamento de dados pessoais?

O art. 5º, inciso VIII da LGPD define o encarregado como "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)".

Nos termos do art. 41, §2º da lei, as atividades do encarregado consistem em:

• • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Receber comunicações da autoridade nacional e adotar providências;
  • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O que é a Autoridade Nacional de Proteção de Dados?

A Autoridade Nacional de Proteção de Dados - ANPD é o órgão da Administração Pública Federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.

Mais informações a respeito da ANPD podem ser consultadas diretamente em seu portal oficial.

 

Hipóteses de tratamento de dados pessoais

A LGPD autoriza o tratamento de dados pessoais quando for verificada a ocorrência de qualquer uma das hipóteses (ou bases legais) previstas em seu art. 7º, brevemente descritas a seguir:

• • Mediante o fornecimento de consentimento pelo titular;
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • Para a execução de políticas públicas, pela administração pública;
  • Para a realização de estudos por órgão de pesquisa;
  • Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • Para a proteção do crédito.

Vale notar que a LGPD dispensa a exigência de consentimento para os dados tornados manifestamente públicos pelo seu titular, resguardando-se a observância dos princípios gerais e dos direitos dos titulares previstos na Lei.  

No caso específico dos dados pessoais sensíveis, o seu tratamento somente pode ser realizado ocorrendo uma das hipóteses (ou bases legais) previstas no art. 11 da LGPD, descritas a seguir:

1. Com o consentimento do titular ou do seu responsável legal, de forma específica e destacada, para finalidades específicas; ou
2. Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

• • • Cumprimento de obrigação legal ou regulatória pelo controlador;
    • Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
    • Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
    • Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
    • Proteção da vida ou da incolumidade física do titular ou de terceiro;
    • Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
    • Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

 

Direitos do titular de dados pessoais

A LGPD confere uma série de direitos ao titular de dados pessoais, dentre os quais destacam-se os seguintes:

O art. 9º da LGPD confere ao titular dos dados pessoais o direito ao acesso facilitado às informações sobre o tratamento de seus dados, os quais deverão ser disponibilizadas de forma clara, adequada e ostensiva a respeito de, entre outras características:

• • A finalidade específica do tratamento;
  • A forma e duração do tratamento, observados os segredos comercial e industrial;
  • A identificação do controlador;
  • As informações de contato do controlador;
  • As informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
  • As responsabilidades dos agentes que realizarão o tratamento; e
  • Os direitos do titular, com menção explícita aos direitos contidos no art. 18 da LGPD.

A titularidade dos dados pessoais é assegurada a toda pessoa natural por meio do art. 17 da lei, resguardados os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da LGPD.

O art. 18, por sua vez, estabelece que o titular dos dados pessoais tem direito a obter do controlador, a qualquer momento, mediante requisição e sem custos:

• • A  confirmação da existência de tratamento;
  • O acesso aos dados;
  • A correção de dados incompletos, inexatos ou desatualizados;
  • A anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
  • A portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional;
  • A eliminação dos dados pessoais tratados com o consentimento do titular, observadas as exceções previstas no art. 16 da LGPD;
  • A  informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • A informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e
  • A revogação do consentimento para tratamento dos dados, nos termos do § 5º do art. 8º da LGPD.

Adicionalmente, ao titular dos dados pessoais também são assegurados os seguintes direitos:

• • Peticionar em relação aos seus dados contra o controlador perante a ANPD e os organismos de defesa do consumidor (art. 18. §§ 1º e 8º);
  • Opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD (art. 18, § 2º);
  • Solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade (art. 20, caput);

 

Aplicação da LGPD no âmbito do TRT20

Após a sanção da Lei Geral de Proteção de Dados Pessoais, instituições públicas e privadas passaram a adotar uma série de medidas visando à sua adequação aos requisitos desta lei.  Este foi o caso do TRT da 20ª Região que, por meio da sua Presidência, publicou, em 29 de julho de 2020 a Portaria SGP.PR.Nº 202/2020 (posteriormente alterada pela Portaria SGP.PR.Nº 259/2020), instituindo o Grupo de Trabalho para estudo da implementação dos requisitos da LGPD no âmbito do Tribunal.

Ao longo do quarto trimestre de 2020, o referido Grupo de Trabalho participou de ações de capacitação e conduziu reuniões para estudo e identificação das medidas necessárias à adequação do Tribunal aos requisitos da LGPD. Como resultado destas atividades, foi elaborado um plano de ação para implementação dos requisitos da Lei Geral de Proteção de Dados no âmbito do TRT da 20ª Região, o qual foi apresentado ao Conselho Nacional de Justiça em novembro de 2020 para atendimento ao disposto na Recomendação CNJ Nº 73/2020.

Por meio do referido plano de ação, foram identificadas e programadas diversas macroatividades a serem realizadas para adequação do TRT da 20ª Região aos ditames da LGPD. Tais macroatividades contemplam: 

• • Criação desta página informativa a respeito da LGPD;
  • Elaboração, aprovação e publicação da política de privacidade do TRT20;
  • Estruturação do Comitê de Governança de Dados e Segurança da Informação (CGSI);
  • Designação do Encarregado pelo Tratamento de Dados Pessoais (ETDP);
  • Mapeamento e registro das operações de tratamento de dados no âmbito do TRT20;
  • Implantação das soluções de TIC nacionais adequadas aos requisitos da LGPD, à medida que forem disponibilizadas pelo Conselho Superior da Justiça do Trabalho;
  • Adaptação das soluções de TIC locais aos requisitos da LGPD;
  • Atualização da Política, normas e procedimentos de Segurança da Informação;
  • Revisão de contratos, convênios e instrumentos congêneres; e
  • Análise crítica e melhoria contínua do processo de adequação à lei.

Em 29 de março de 2021, por meio do ATO DG.PR Nº 014/2021 (posteriormente referendado pela RESOLUÇÃO ADMINISTRATIVA Nº 015/2021), foram estabelecidos, no âmbito do TRT da 20ª Região, os papéis de Controlador e Encarregado pelo Tratamento de Dados Pessoais. Posteriormente, o ATO SGP.PR Nº 030/2023, (referendado pela RESOLUÇÃO ADMINISTRATIVA Nº 042/2023) instituiu o Subcomitê Gestor de Proteção de Dados Pessoais - SGPD, vinculado à Presidência, responsável por gerenciar a implementação dos requisitos da LGPD no âmbito do Tribunal, em consonância com as diretrizes nacionais preconizadas pelos órgãos superiores.

Por intermédio da PORTARIA SGP.PR Nº 572/2023, foi designada a magistrada Flávia Moreira Guimarães Pessoa para o exercício da função de Encarregada pelo Tratamento de Dados Pessoais no âmbito do Tribunal. A PORTARIA SGP.PR Nº 019/2024, por sua vez, designou os integrantes do SGPD e seus respectivos suplentes, sob a coordenação da Encarregada.

No dia 04 de maio de 2021, a Presidência do TRT da 20ª Região instituiu, por meio do ATO DG.PR Nº 022/2021 (posteriormente referendado pela RESOLUÇÃO ADMINISTRATIVA Nº 019/2021), a Política de Privacidade e Proteção de Dados Pessoais. A referida norma tem por objetivo estabelecer e divulgar os princípios e diretrizes para regulamentação do tratamento e da gestão de dados pessoais no âmbito do Tribunal, e definir boas práticas para a atuação do CGPD.

 

Encarregada pelo Tratamento de Dados Pessoais

No âmbito do TRT da 20ª Região, o exercício da função de Encarregada pelo Tratamento de Dados Pessoais foi atribuído à magistrada Flávia Moreira Guimarães Pessoa, nos termos do ATO DG.PR Nº 014/2021, do ATO SGP.PR Nº 030/2023  e da PORTARIA SGP.PR Nº 572/2023. 

As informações para contato com a Encarregada estão disponíveis na seção "Contato", ao final desta página.

 

Relatório da auditoria promovida pelo TCU

Em outubro de 2022, o Tribunal de Contas da União (TCU) apresentou relatório com os resultados do TRT da 20ª Região relativos à auditoria promovida para diagnóstico acerca dos controles implementados pelas organizações públicas federais para adequação à LGPD. Este relatório, cujas informações foram classificadas como públicas pelo Acórdão Nº 1384/2022 - TCU - Plenário, está disponível para consulta neste link.

 

Referências complementares

Legislação relacionada: 

• Lei Nº 13.709, de 14/08/2018 - Lei Geral de Proteção de Dados Pessoais - LGPD (link);
• Lei Nº 12.965. de 23/04/2014 - Marco Civil da Internet (link);
• Lei Nº 12.527, de 18/11/2011 - Lei de Acesso à Informação (link);
• Decreto Nº 10.474, de 26/08/2020 - Aprova a Estrutura Regimental da ANPD (link);
• Portaria ANPD Nº 11, de 27/11//2021 - Torna pública a agenda regulatória para o biênio 2021-2022 (link).

Normas e recomendações editadas no âmbito do Poder Judiciário:

• Ato Conjunto TST.CSJT.GP Nº 4, de 12/03/2021 - Institui a Política de Privacidade e Proteção de Dados Pessoais no âmbito do Tribunal Superior do Trabalho e do Conselho Superior da Justiça do Trabalho (link);
• Resolução CNJ Nº 370 de 28/01/2021 - Estabelece a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD) (link);
• Resolução CNJ Nº 363 de 12/01/2021 - Estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais (link);
• Resolução CNJ Nº 325/2020 - Dispõe sobre a Estratégia Nacional do Poder Judiciário 2021-2026 e dá outras providências (link);
• Recomendação CNJ Nº 73/2020 de 20/08/2020 - Recomenda aos órgãos do Poder Judiciário brasileiro a adoção de medidas preparatórias e ações iniciais para adequação às disposições contidas na Lei Geral de Proteção de Dados – LGPD (link);
• Portaria CNJ Nº Nº 212 de 15/10/2020 - Institui Grupo de Trabalho destinado à elaboração de estudos e de propostas votadas à adequação dos tribunais à Lei Geral de Proteção de Dados e dá outras providências (link);
• Ofício Circular CSJT.GP.SG.SETIC nº 63/2020 - Continuidade dos procedimentos solicitados no Ofício Circular CSJT.GP.SG.SETIC nº 44/2020 atinentes ao cumprimento da Recomendação CNJ Nº 73/2020 (LGPD) (link);
• Ofício Circular CSJT.GP.SG.SETIC nº 44/2020 - Procedimentos para o cumprimento da Recomendação CNJ Nº 73/2020 (link).

Publicações do TRT da 20ª Região:

• Ato DG.PR Nº 014/2021 - Estabelece os papéis de Controlador e Encarregado pelo Tratamento de Dados Pessoais, e institui o Comitê Gestor de Proteção de Dados Pessoais - CGPD no âmbito do Tribunal Regional do Trabalho da 20ª Região (link);
• Portaria DG.PR Nº 009/2021 - Designa magistrada para o exercício da função de Encarregada pelo Tratamento de Dados Pessoais (link);
• Portaria DG.PR Nº 011/2021 -  Designa os integrantes do Comitê Gestor de Proteção de Dados Pessoais - CGPD e seus respectivos suplentes (link).
• Portaria SGP.PR.Nº 259/2020 - Altera o Grupo de Trabalho para estudo da implementação da Lei Geral de Proteção de Dados – LGPD no âmbito do Tribunal Regional do Trabalho da 20ª Região (Revogada) (link) 
• Portaria SGP.PR.Nº 202/2020 - Designa magistrados e servidores para integrarem Grupo de Trabalho para estudo da implementação da Lei Geral de Proteção de Dados - LGPD (Revogada) (link); 
• Resolução Administrativa Nº 067/2013 - Institui a Política de Segurança da Informação do TRT da 20ª Região (link).

Material informativo disponibilizado pelo Governo Federal: 

• Autoridade Nacional de Proteção de Dados - Portal oficial (link);
• Autoridade Nacional de Proteção de Dados - Perguntas Frequentes (link);
• Governo Digital - Guia de boas práticas da LGPD (link);
• Governo Digital - Guias operacionais para adequação à LGPD (link).

Links relacionados:

• Página de Segurança da Informação do TRT da 20ª Região - disponível apenas na Intranet (link);
• Portal do Conselho Nacional de Justiça sobre a LGPD (link);
• Portal do Superior Tribunal de Justiça sobre a LGPD (link);
• Portal do Serviço Federal de Processamento de Dados sobre a LGPD (link).

 

Contato

Além do formulário para exercício de direitos do titular de dados pessoais, o TRT da 20ª Região também disponibiliza as seguintes informações para contato com a Encarregada Pelo Tratamento de Dados Pessoais:

• E-mail: lgpd@trt20.jus.br; e
• Telefones: (79) 2105-8870 / (79) 2105-8864 (é necessário solicitar a transferência da ligação para a Divisão de Segurança da Informação e Proteção de Dados);

Por meio destes canais, poderão ser solicitados esclarecimentos a respeito do cumprimento da LGPD no âmbito do Tribunal, bem como enviadas denúncias e alertas de possíveis irregularidades.

Adicionalmente, alertas de violação à Política de Segurança da Informação e demais incidentes relativos à segurança da informação devem ser reportados à Equipe de Resposta a Incidentes de Segurança da Informação – ERIS, por meio do seguinte endereço eletrônico: eris@trt20.jus.br.