BREVE DOUTRINA

A Lei Geral de Proteção de Dados - LGPD, Lei nº 13.709/2018, a princípio, refere-se ao Direito Civil, conforme seu art 1° que expressamente declara o objetivo de  proteção da personalidade jurídica da pessoa humana.

O estudo da personalidade jurídica encontra-se orientado pelas primeiras  aulas do Direito Civil, tendo seu elo com a LGPD previsto em três incisos do art 2º:

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:

I - o respeito à privacidade;

……………………………………………………………………………………………………….

IV - a inviolabilidade da intimidade, da honra e da imagem;

……………………………………………………………………………………………………..

VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

 Também na LGPD, em seu art 5º, incisos V a VII temos três personagens fundamentais para a relação do Direito Administrativo com a proteção dos dados pessoais:

V - titular: pessoa natural a quem se referem os dados pessoais 

que são objeto de tratamento;

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, 

a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, 

que realiza o tratamento de dados pessoais em nome do controlador;

A Administração Pública se encaixa no conceito de CONTROLADOR, e, quando não, de forma concomitante, ao conceito de operador quando exerce de forma direta  esta última atribuição sem lançar mão da terceirização.

O Poder Público é um dos maiores detentores, se não o maior,  dos dados pessoais de cidadãos, obtidos por meio do preenchimento, muitas vezes obrigatórios, de cadastros para acesso a serviços públicos.

Como contrapartida, os órgãos governamentais e entidades autárquicas, tais como  IBGE, Receita Federal,  SICAF,  ABIN, entre outros, devem ajustar-se às regras de proteção da personalidade da pessoa natural. 

Naturalmente, existem inúmeros questionamentos acerca da atuação da Administração Pública sobre o anteparo dessas informações e podemos citar alguns:

• Qual o tratamento que o Poder público oferece a esses dados pessoais ?

• Existe nesses órgãos e entidades um DPO (Data Protection Officer) ?

• Como compatibilizar a Lei de Acesso à Informação - LAI à Lei Geral de Processamento de Dados - LGPD? 

• É necessário o consentimento do titular para que a Administração Pública abrigue seus dados pessoais em um banco de dados?

• Existe uma agência reguladora (ANPD) específica para gerenciar a atuação dos controladores e operadores?

• Os dados contidos nas Varas de Execução Penal (Poder Judiciário) são abrangidos pela LGPD ?

• Os cartórios e registros, atuais concessionários, encontram-se abarcados como poder público  pela LGPD ?

• As fichas criminais encontradas nas Polícias Civis devem respeito à LGPD?

• Os estados, DF e municípios podem legislar sobre a proteção de dados já que esta matéria não se limita ao Direito Civil?

• O servidor público é um operador?

Embora não haja intenção neste estudo de pontuar colocações para todas as indagações acima, buscaremos algumas e, de imediato, podemos afirmar que em  relação à última questão existe o entendimento de que o servidor público que exerce sua função em nome do controlador, não deve ser considerado um operador.  Ele age em nome do  controlador/operador do qual se encontra integrado.

Na verdade, a LGPD sequer menciona o servidor como um desses personagens porque para esta esta Lei o controlador/operador é o próprio ente da federação.

Os servidores públicos não são operadores, no entanto podem ser escolhidos como DPO da entidade, isto é , o encarregado pelo tratamento de dados pessoais, definido no art 41 da Lei nº 13.709/2018, cujo objetivo é atuar como responsável por aceitar reclamações e comunicações dos titulares dos dados pessoais.

Indico a leitura dos arts 23 a 30, do Capítulo IV da LGPD que se refere ao “ tratamento de dados pessoais pelo Poder Público” , leitura obrigatória para buscar as respostas das questões acima propostas acerca dos cartórios, das empresas estatais e sobre o uso compartilhado de bancos de dados pessoais. 

Cabe aqui o comentário de que pelo fato dos cartórios estarem citados expressamente como concessionários, atingidos pelas exigências da LGPD as pessoas de direito público, podemos concluir então que os demais concessionários de serviço público  devem ser tratados como  pessoas jurídicas de direito privado.

A principal diferença está na necessidade de consentimento do titular para se fazer uso dos dados pessoais. As pessoas jurídicas de direito público não precisam do consentimento do cidadão, pois prevalece  o interesse público que justifica a busca por esses dados para viabilização de políticas públicas.

Já as pessoas jurídicas de direito privado que utilizarem os dados pessoais dos cidadãos, deverão buscar seu expresso consentimento(art 7º , inciso I da LGPD),  que vale, como regra , para as concessionárias de serviço público.

JURISPRUDÊNCIA

07/05/2020 PLENÁRIO (caso IBGE)

REFERENDO NA MEDIDA CAUTELAR NA AÇÃO DIRETA DE INCONSTITUCIONALIDADE 6.387 DISTRITO FEDERAL RELATORA : MIN. ROSA WEBER 

EMENTA

MEDIDA CAUTELAR EM AÇÃO DIRETA DE INCONSTITUCIONALIDADE. REFERENDO. MEDIDA PROVISÓRIA Nº 954/2020. EMERGÊNCIA DE SAÚDE PÚBLICA DE IMPORTÂNCIA INTERNACIONAL DECORRENTE DO NOVO CORONAVÍRUS (COVID-19). COMPARTILHAMENTO DE DADOS DOS USUÁRIOS DO SERVIÇO TELEFÔNICO FIXO COMUTADO E DO SERVIÇO MÓVEL PESSOAL, PELAS EMPRESAS PRESTADORAS, COM O INSTITUTO BRASILEIRO DE GEOGRAFIA E ESTATÍSTICA. FUMUS BONI JURIS. PERICULUM IN MORA . DEFERIMENTO.

1. Decorrências dos direitos da personalidade, o respeito à privacidade e à autodeterminação informativa foram positivados, no art. 2º, I e II, da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), como fundamentos específicos da disciplina da proteção de dados pessoais. 

2. Na medida em que relacionados à identificação – efetiva ou potencial – de pessoa natural, o tratamento e a manipulação de dados pessoais hão de observar os limites delineados pelo âmbito de proteção das cláusulas constitucionais assecuratórias da liberdade individual (art. 5º, caput), da privacidade e do livre desenvolvimento da personalidade (art. 5º, X e XII), sob pena de lesão a esses direitos. O compartilhamento, com ente público, de dados pessoais custodiados por concessionária de serviço público há de assegurar mecanismos de proteção e segurança desses dados. 

3. O Regulamento Sanitário Internacional (RSI 2005) adotado no âmbito da Organização Mundial de Saúde exige, quando essencial o tratamento de dados pessoais para a avaliação e o manejo de um risco para a saúde pública, a garantia de que os dados pessoais manipulados sejam “adequados, relevantes e não excessivos em relação a esse propósito” e “conservados apenas pelo tempo necessário.” (artigo 45, § 2º, alíneas “b” e “d”).

4. Consideradas a necessidade, a adequação e a proporcionalidade da medida, não emerge da Medida Provisória nº 954/2020, nos moldes em que editada, interesse público legítimo no compartilhamento dos dados pessoais dos usuários dos serviços de telefonia.

5. Ao não definir apropriadamente como e para que serão utilizados os dados coletados, a MP nº 954/2020 desatende a garantia do devido processo legal (art. 5º, LIV, da CF), na dimensão substantiva, por não oferecer condições de avaliação quanto à sua adequação e necessidade, assim entendidas como a compatibilidade do tratamento com as finalidades informadas e sua limitação ao mínimo necessário para alcançar suas finalidades.

6. Ao não apresentar mecanismo técnico ou administrativo apto a proteger, de acessos não autorizados, vazamentos acidentais ou utilização indevida, seja na transmissão, seja no tratamento, o sigilo, a higidez e, quando o caso, o anonimato dos dados pessoais compartilhados, a MP nº 954/2020 descumpre as exigências que exsurgem do texto constitucional no tocante à efetiva proteção dos direitos fundamentais dos brasileiros.

7. Mostra-se excessiva a conservação de dados pessoais coletados, pelo ente público, por trinta dias após a decretação do fim da situação de emergência de saúde pública, tempo manifestamente excedente ao estritamente necessário para o atendimento da sua finalidade declarada.

8. Agrava a ausência de garantias de tratamento adequado e seguro dos dados compartilhados a circunstância de que, embora aprovada, ainda não vigora a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), definidora dos critérios para a responsabilização dos agentes por eventuais danos ocorridos em virtude do tratamento de dados pessoais. O fragilizado ambiente protetivo impõe cuidadoso escrutínio sobre medidas como a implementada na MP nº 954/2020.

9. O cenário de urgência decorrente da crise sanitária deflagrada pela pandemia global da COVID-19 e a necessidade de formulação de políticas públicas que 

demandam dados específicos para o desenho dos diversos quadros de enfrentamento não podem ser invocadas como pretextos para justificar investidas visando ao enfraquecimento de direitos e atropelo de garantias fundamentais consagradas na Constituição. 10. Fumus boni juris e periculum in mora demonstrados.

Deferimento da medida cautelar para suspender a eficácia da Medida Provisória nº 954/2020, a fim de prevenir danos irreparáveis à intimidade e ao sigilo da vida privada de mais de uma centena de milhão de usuários dos serviços de telefonia fixa e móvel. 11. Medida cautelar referendada.

EXERCÍCIOS

1) Ano: 2024 Banca: CESPE / CEBRASPE - CTI - Tecnologista Júnior - I - Especialidade: Inovação e Gestão de Infraestrutura de P&D - Área de Atuação: Desenvolvimento Tecnológico Voltado à Infraestrutura de Tecnologia da Informação e Comunicação

Com base na Lei Geral de Proteção de Dados Pessoais (LGPD), julgue o item subsequente:  A LGPD exige que, na realização de operações de tratamento de dados pessoais, o controlador indique um encarregado pelo tratamento desses dados.

Alternativas

( )  Certo                                    ( )  Errado   

2) Ano: 2024 Banca: FGV Órgão: Prefeitura de São José dos Campos - SP Prova: FGV - 2024 - Prefeitura de São José dos Campos - SP - Auditor Tributário Municipal

Relacione os termos empregados na Lei Geral de Proteção de Dados Pessoais (LGPD) com suas definições:

1. dado pessoal

2. dado pessoal sensível

3. titular

4. controlador

(  ) pessoa que pode ser de natureza jurídica ou natural, de direito privado ou público, a quem competem as decisões referentes ao tratamento de dados de pessoa natural, identificável ou identificada;

(  ) informação de pessoa natural identificável ou identificada.

(  ) dado de pessoa natural, identificada ou identificável, sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

(  ) pessoa natural, identificável ou identificada, a quem se referem os dados que são objeto de tratamento;

Assinale a opção que indica a relação correta, na ordem apresentada.

Alternativas

1.  4 – 2 – 3 – 1

2.  3 – 1 – 2 – 4

3.  3 – 4 – 2 – 1

4.  4 – 3 – 1 – 2

5.  4 – 1 – 2 – 3

3) Ano: 2023 Banca: VUNESP Órgão: TJ-RJ Prova: VUNESP - 2023 - TJ-RJ - Juiz Substituto

Considere que Letícia é membro do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), ocupando o cargo de Diretora-Presidente. De acordo com a situação hipotética e com a Lei Geral de Proteção de Dados, é correto afirmar que Letícia

Alternativas

1.  foi escolhida e nomeada pelo Presidente da República e previamente aprovada, por voto secreto, após arguição pública, pelo Senado Federal.

2.  tem pelo menos 35 anos, reputação ilibada, mestrado na área de interesse e elevado conceito no campo de especialidade do cargo para o qual foi nomeada.

3.  foi escolhida pelo Ministro de Estado Chefe da Casa Civil e nomeada pelo Presidente da República e tem mandato de dois anos, permitida uma recondução. 

4. ocupa cargo em comissão do Grupo-Direção e Assessoramento Superiores - DAS, no mínimo, de nível 3.

5.  poderá ser exonerada livremente do seu cargo, uma vez que se trata de cargo de comissão de livre nomeação e exoneração.

4) CEBRASPE – CODEVASF – Aplicação: 2021 -- PROVA DISCURSIVA 

A Lei Geral de Proteção de Dados Pessoais — LGPD (Lei n.º 13.709/2018) foi aprovada em 2018 e entraria em vigor a partir de 14 de agosto de 2020. Houve pedido de adiamento da vigência da lei para maio de 2021, mas a proposta foi 

rejeitada pelo Congresso Nacional, tendo a legislação entrado em vigor em 18 de setembro de 2020. A lei representa um marco histórico na regulamentação sobre o tratamento de dados pessoais no Brasil, tanto em meios físicos quanto em plataformas digitais. Além de mudar a maneira como instituições privadas coletam, armazenam e disponibilizam informações de usuários, a LGPD é destinada às instituições públicas — portanto, deve ser seguida pela União, pelos estados, pelo Distrito Federal e pelos municípios. Internet: (com adaptações). Considere que uma pessoa jurídica de direito público tenha realizado uma operação de tratamento de dados por meio eletrônico e que os dados pessoais objeto do tratamento, coletados no território nacional, se encontrem em outro país. 

A partir dessa situação hipotética e das informações contidas no texto motivador, apresentado anteriormente, redija um texto dissertativo a respeito de detalhes e definições da LGPD. Ao elaborar seu texto, faça, necessariamente, o que se pede a seguir.

1. Explique se a LGPD prevê o fato narrado nessa situação hipotética. [valor: 6,50 pontos]

2. Cite três exemplos de dados pessoais que são considerados sensíveis. [valor: 6,00 pontos]

3. Descreva as funções do controlador, do operador e do encarregado. [valor: 7,00 pontos]

4. Explique o objetivo da anonimização. [valor: 4,00 pontos]

5. Explique como deve ser realizado o consentimento de dados especificamente quando há obrigação legal do controlador e quando há finalidades específicas informadas ao titular. [valor: 5,00 pontos]

GABARITO DO PROFESSOR 

1) CERTO - art 41 da Lei nº 13.709/2018

2) letra E - Comparação dos conceitos com o art 5º da Lei nº 13.709/2018

3) letra A - art 55-D, § 1º c/c alínea f, inciso II do art 52 da CRFB

4) Indicação de resposta : 

1) Escopo territorial da LGPD - extraterritorialidade art 3º da Lei nº 13.709/2018 a ser viabilizado por mecanismos de cooperação internacional

2) art 11 da lei nº 13.709/2018

3) art 5º, incisos VI a VIII c/c arts 37 a 41 da Lei nº 13.709/2018

4) art 5º XI c/c art 7º, IV da Lei nº 13.709/2018

5) art 5º, XII c/c art 8º c/c art 11 da Lei nº 13.709/2018 

VÍDEO-AULA DE APROFUNDAMENTO 

Lei nº 13.709/2018 - LGPD

Valor do investimento da aula: R$ 39,00