Minuta Cartilha LGPD
Prefeitura de Ilhabela
Protegendo dados, garantindo direitos
Você sabe o que é a LGPD?
A Lei Geral de Proteção de Dados (LGPD) tem como objetivo garantir que o tratamento de dados pessoais seja realizado de maneira segura, transparente e em conformidade com os direitos dos titulares dos dados.
Adequar nossas ações à LGPD é fundamental para que a proteção da privacidade e dos dados pessoais caminhem lado a lado com a transformação digital segura e transparente.
Todos nós da Prefeitura de Ilhabela somos responsáveis pela proteção dos dados pessoais que tratamos.
A quem se aplica?
A LGPD se aplica a qualquer pessoa física ou jurídica, de direito público ou privado, que realize o tratamento de dados pessoais no Brasil.
Isso inclui todos nós da Prefeitura de Ilhabela!
Quais os fundamentos da LGPD?
O art. 2º da LGPD define os princípios essenciais que orientam a proteção de dados no Brasil:
Respeito à privacidade
Garantia de que a vida privada do cidadão será preservada.
Autodeterminação informativa
Direito da pessoa de controlar suas próprias informações pessoais.
Inviolabilidade da intimidade, da honra e da imagem
Proteção contra usos indevidos ou ofensivos dos dados.
Liberdade de expressão, de informação, de comunicação e de opinião
A proteção de dados não pode limitar esses direitos fundamentais.
Desenvolvimento econômico e tecnológico e inovação
Incentivo à modernização e inovação, com responsabilidade no uso de dados.
Livre-iniciativa, livre concorrência e defesa do consumidor
Equilíbrio entre o uso legítimo dos dados e os direitos dos consumidores.
Direitos humanos, livre desenvolvimento da personalidade, dignidade e cidadania
Valorização da pessoa humana e da sua participação ativa na sociedade.
O que são dados pessoais?
A LGPD adota um conceito amplo de dado pessoal:
qualquer informação relacionada a uma pessoa natural identificada ou identificável.
Isso significa que, mesmo sem citar o nome diretamente, se for possível identificar alguém por meio das informações, trata-se de dado pessoal.
Exemplos comuns no serviço público:
Exemplo prático:
Se um formulário online da Prefeitura pede nome, CPF e e-mail para agendar um serviço, todos esses dados são considerados pessoais e devem ser protegidos conforme a LGPD.
Esses dados devem ser coletados, armazenados e compartilhados com responsabilidade, sempre com uma finalidade clara e respeitando os direitos do cidadão.
Dados pessoais sensíveis
A LGPD traz uma categoria especial chamada dados pessoais sensíveis, que exigem maior proteção por estarem ligados a aspectos íntimos ou que podem gerar discriminação ou constrangimento.
São considerados dados sensíveis:
Esses dados só podem ser tratados em situações específicas:
- Cumprimento de obrigação legal
- Políticas públicas previstas em lei
- Exercício regular de direitos (por exemplo, em processos judiciais)
- Consentimento explícito do titular
Exemplo prático:
Um servidor da saúde só pode acessar informações médicas do paciente para fins de atendimento, e deve garantir o sigilo dessas informações.
De quem são os dados? Quem é o titular de dados?
De acordo com o art. 17 da LGPD, o titular de dados é a pessoa natural a quem os dados se referem. É ele quem tem seus direitos fundamentais de liberdade, privacidade e intimidade garantidos pela lei.
No contexto da Prefeitura, o titular pode ser:
Quais os direitos do Titular (art. 18 da LGPD)?
A LGPD garante ao titular nove direitos principais:
Confirmação da existência do tratamento de dados
Saber se a Prefeitura está tratando seus dados pessoais.
Acesso aos dados
Consultar que dados estão sendo armazenados e como estão sendo usados.
Correção
Solicitar a correção de dados incompletos, incorretos ou desatualizados.
Anonimização, bloqueio ou eliminação
Pedir que dados excessivos, desnecessários ou tratados de forma irregular sejam ajustados ou excluídos.
Portabilidade dos dados
Requisitar que seus dados sejam transferidos a outro serviço, quando aplicável.
Eliminação dos dados tratados com consentimento
Solicitar a exclusão dos dados fornecidos com base no consentimento, salvo exceções legais.
Informação sobre compartilhamento
Saber com quais entidades públicas ou privadas os dados foram compartilhados.
Direito de não consentir
Ser informado de que pode recusar o fornecimento de consentimento e quais seriam as consequências.
Revogação do consentimento
Poder retirar o consentimento anteriormente dado, a qualquer momento.
Atenção: Dados essenciais para o cumprimento de obrigações legais ou políticas públicas não podem ser apagados. Por exemplo, registros em sistemas da saúde, educação ou assistência social devem ser preservados conforme determina a legislação.
Quais princípios norteiam a LGPD?
De acordo com o art. 6º da LGPD, o tratamento de dados pessoais deve seguir a boa-fé e observar os seguintes princípios:
Finalidade
Os dados devem ser usados para propósitos legítimos e informados.
Exemplo: Coletar dados de moradores apenas para cadastro em programas sociais.
Adequação
O uso dos dados deve ser compatível com a finalidade informada ao cidadão.
Exemplo: Dados coletados para inscrição em curso não podem ser usados para propaganda política.
Necessidade
Apenas os dados estritamente necessários devem ser coletados.
Exemplo: Para agendar consulta médica, basta nome, CPF, endereço e contato.
Livre Acesso
O cidadão deve poder consultar seus dados e saber como estão sendo usados.
Exemplo: Um morador pode solicitar informações sobre quais dados dele estão armazenados.
Qualidade dos Dados
Os dados devem ser precisos, atualizados e relevantes.
Exemplo: Atualizar periodicamente os dados dos beneficiários de programas assistenciais.
Transparência
Informações claras e acessíveis sobre o uso dos dados devem ser fornecidas.
Exemplo: Incluir nos formulários explicações sobre como os dados serão usados.
Segurança
Medidas devem ser tomadas para proteger os dados contra acessos indevidos.
Exemplo: Utilizar senhas e sistemas protegidos para armazenar informações.
Prevenção
Adoção de medidas para evitar danos decorrentes do uso indevido dos dados.
Exemplo: Treinar servidores sobre cuidados no envio de e-mails com dados pessoais.
Não Discriminação
Os dados não podem ser usados para práticas discriminatórias ou abusivas.
Exemplo: Um cidadão não pode ser excluído de um programa por motivo de raça ou religião.
Responsabilização e Prestação de Contas
A administração deve comprovar que segue as normas da LGPD.
Exemplo: Manter registros das ações de proteção de dados.
O que é tratamento de dados pessoais?
De acordo com a LGPD, tratamento de dados pessoais é qualquer operação realizada com dados pessoais, como:
O tratamento de dados deve sempre seguir os princípios da finalidade, necessidade, segurança, transparência e não discriminação.
Quando os dados pessoais podem ser tratados?
Com a entrada em vigor da LGPD, o tratamento de dados pessoais pode ser realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas em seu artigo 7º ou, no caso de dados pessoais sensíveis, de uma das hipóteses previstas no artigo 11.
Hipóteses Legais para o Tratamento de Dados Pessoais (Art. 7º da LGPD)
- Consentimento do titular - Quando o cidadão autoriza de forma livre, informada e inequívoca o uso dos seus dados para uma finalidade específica.
- Cumprimento de obrigação legal ou regulatória pelo controlador - Quando a lei exige o tratamento, como no caso da emissão de notas fiscais ou na prestação de contas públicas.
- Execução de políticas públicas previstas em leis ou regulamentos - Aplica-se especialmente ao setor público. Ex: cadastro em programas sociais, vacinação, educação.
- Realização de estudos por órgão de pesquisa - Desde que os dados estejam anonimizados, pode-se usá-los em pesquisas e estatísticas.
- Execução de contrato ou de procedimentos preliminares - Quando o tratamento é necessário para cumprir obrigações contratuais, como folha de pagamento de servidores.
- Exercício regular de direitos em processo judicial, administrativo ou arbitral - Exemplo: uso de dados em defesas ou ações judiciais.
- Proteção da vida ou da incolumidade física do titular ou de terceiros - Quando há necessidade de uso de dados para emergências ou situações de risco, como em atendimentos de saúde.
- Tutela da saúde - Inclui procedimentos realizados por profissionais da saúde, serviços de saúde ou autoridades sanitárias.
- Legítimo interesse do controlador ou de terceiros - Desde que não infrinja direitos e liberdades do titular. No setor público, é aplicado com cautela.
- Proteção do crédito - Permite o uso de dados pessoais para consultas em bancos de dados de proteção ao crédito.
Hipóteses Legais para o Tratamento de Dados Pessoais SENSÍVEIS (Art. 11º da LGPD)
- Consentimento específico e destacado do titular - O titular autoriza, de forma clara, o uso do dado sensível para uma finalidade legítima.
- Cumprimento de obrigação legal ou regulatória pelo controlador - Quando a lei exige o uso de dados sensíveis, como no caso de laudos médicos em benefícios previdenciários.
- Tratamento compartilhado de dados necessários à execução de políticas públicas previstas em leis ou regulamentos - Exemplo: uso de dados de saúde para vacinação ou programas de assistência social.
- Realização de estudos por órgão de pesquisa - Desde que garantida a anonimização dos dados sempre que possível.
- Exercício regular de direitos, inclusive em contrato ou processo judicial, administrativo ou arbitral - Exemplo: apresentação de laudos ou prontuários em processos judiciais.
- Proteção da vida ou da incolumidade física do titular ou de terceiros - Como em atendimentos de urgência no SUS.
- Tutela da saúde, em procedimento realizado por profissionais da área da saúde, serviços de saúde ou autoridade sanitária - Exemplo: envio de informações médicas entre unidades do sistema público de saúde.
- Garantia da prevenção à fraude e à segurança do titular - Nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, desde que observados os direitos do titular e os princípios da LGPD.
Importante: O setor público atua principalmente com base nas hipóteses 2 (cumprimento de obrigação legal) e 3 (execução de política pública), sem necessidade de consentimento do titular.
Quem trata os dados? Quem são os agentes de tratamento?
A LGPD define três papéis principais envolvidos no tratamento de dados pessoais. É importante entender a função de cada um:
Controlador
É a pessoa natural ou jurídica, de direito público ou privado, que toma as decisões sobre o tratamento dos dados pessoais.
No serviço público municipal a Prefeitura atua como controlador.
Operador
É quem realiza o tratamento dos dados em nome do controlador. Pode ser um servidor, colaborador terceirizado ou empresa contratada pela Prefeitura para executar atividades com dados.
Encarregado
É o responsável por atuar como canal de comunicação entre o controlador, os titulares e a ANPD (Autoridade Nacional de Proteção de Dados).
Na Prefeitura de Ilhabela o Encarregado é o Controlador Geral do Município.
Devemos lembrar também existe a LAI (Lei de Acesso à Informação)
A Lei de Acesso à Informação (LAI), em vigor desde 2012, garante o direito de qualquer cidadão, física ou jurídica, acessar informações públicas, promovendo a transparência e o controle social da administração pública. Não é necessário justificar o pedido de acesso à informação.
Como LGPD e LAI se relacionam?
Embora tenham objetivos diferentes, as duas leis se complementam e devem ser aplicadas conjuntamente no setor público:
- A LAI assegura o direito à informação pública;
- A LGPD protege os dados pessoais contidos nessas informações.
Assim, ao divulgar informações públicas, o órgão público deve garantir que nenhum dado pessoal ou sensível seja exposto de forma indevida, respeitando os princípios da LGPD.
Exemplo prático: ao responder um pedido via LAI com lista de beneficiários de um programa social, o órgão deve ocultar informações como CPF, telefone ou endereço, caso não sejam estritamente necessários para o fim da transparência.
O que o servidor público não deve fazer com dados pessoais?
Para proteger os direitos do cidadão e cumprir a LGPD, algumas condutas são expressamente vedadas aos servidores públicos no exercício de suas funções:
Utilizar dados para finalidades diferentes das informadas ao titular
Exemplo: Usar dados coletados para cadastro em programas sociais para enviar propaganda política ou divulgar eventos não relacionados.
Compartilhar dados sem autorização legal ou sem necessidade
Exemplo: Compartilhar informações de prontuários médicos com terceiros não autorizados, mesmo que sejam de outros órgãos públicos.
Armazenar dados em locais inseguros ou de acesso irrestrito
Exemplo: Guardar planilhas com dados de munícipes em pen drives, e-mails pessoais ou pastas sem senha.
Acessar dados sem necessidade funcional
Exemplo: Consultar o histórico escolar ou ficha médica de um cidadão apenas por curiosidade.
Repassar senhas de acesso a sistemas que contenham dados pessoais
Exemplo: Divulgar senhas de sistemas de saúde, educação, recursos humanos, etc., a colegas ou terceiros.
Imprimir ou deixar expostos documentos com dados pessoais
Exemplo: Deixar fichas com dados de cidadãos em balcões, mesas ou impressoras sem o devido cuidado.
Deixar de informar sobre o tratamento dos dados ao titular
Exemplo: Coletar informações sem explicar para que serão usadas, se haverá compartilhamento e como o cidadão pode exercer seus direitos.
Atenção: O mau uso dos dados pode gerar responsabilidade administrativa, civil e até criminal. Além disso, o mau uso também compromete a confiança da população no serviço público.
Proteção de Dados
Um compromisso de todos nós
A adequação à LGPD é um processo contínuo que exige o engajamento de todos os servidores públicos.
Juntos, podemos garantir a proteção dos dados pessoais e fortalecer a confiança da população nos serviços públicos.
Prefeitura Municipal de Ilhabela
