O espaço Proteção de dados no âmbito do TCE/SC traz orientações, direitos e obrigações acerca da Lei Geral de Proteção de Dados – LGPD, bem como material orientativo e consultivo visando a conformidade da Instituição à lei.

Usamos links ao longo dos textos para indicar onde você encontra mais informações.

Seguimos atualizando este espaço periodicamente.

Atualizado em 09/05/2025

• Lei Geral de Proteção de Dados

  expand_more

  Lei 13.709/2018

  Cartilha LGPD

  Direito dos Titulares de Dados

  O que significa ser titular de dados pessoais e quais são os seus direitos?
  (arts. 17 a 22 da Lei nº 13.709/18)

  Nos termos do art. 17 da Lei Geral de Proteção de Dados Pessoais, toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade.

  O(A) titular de dados é toda pessoa natural a quem se referem os dados que são objeto de tratamento. Conforme o art. 18 da LGPD, ao(à) titular estão garantidos os direitos de:

  I - confirmação da existência de tratamento;
  II - acesso aos dados;
  III - correção de dados incompletos, inexatos ou desatualizados;
  IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
  V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da Autoridade Nacional, observados os segredos comercial e industrial;
  VI - eliminação dos dados pessoais tratados com o consentimento do(a) titular, exceto nas hipóteses previstas no art. 16 da Lei;
  VII - informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados;
  VIII - informação sobre a possibilidade de não fornecer consentimento e sobre consequências da negativa;
  IX - revogação do consentimento, nos termos do § 5.º do art. 8.º da Lei.

• Encarregado pelo Tratamento de Dados Pessoais

  expand_more

  Em atenção ao disposto no artigo 41, §1º da 13.709/2018 - Lei Geral de Proteção de Dados (LGPD), o Tribunal de Contas de Santa Catarina informa a identidade e os dados de contato do Encarregado de Dados Pessoais no âmbito do TCE/SC, designado por meio da Portaria N.TC-117/2024, de 27 de março de 2024.

  Encarregado (DPO - Data Protection Officer): Wallace da Silva Pereira - assessor técnico de Governança Estratégica de Tecnologia da Informação do Gabinete da Presidência
  Telefone: (48) 3221-3959
  E-mail: encarregado@tcesc.tc.br
  Horário de atendimento: segunda a sexta-feira, das 11 às 18h
  Localização: Rua Bulcão Viana, 90, Centro, CEP 88020-160, Florianópolis (SC) - Brasil

   

  Atribuições do Encarregado (artigo 41, § 2º, da Lei 13.709/2018)

  - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  - receber comunicações da autoridade nacional e adotar providências;
  - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

  De acordo com o artigo 41, § 3º, a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do Encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

• Solicitar Atendimento dos Direitos do Titular dos Dados Pessoais

  expand_more

  Finalidade

  A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais. No artigo 18 da LGPD estão definidos os direitos que o titular dos dados possui e que podem ser exercidos mediante a solicitação ao controlador dos dados pessoais. Este canal tem por objetivo exclusivo o atendimento aos direitos do titular de dados pessoais previstos na LGPD.

  Requisitos Exigidos do Usuário

  Cadastro no sistema JIRA 

  Etapas do Processo

  ON-LINE

  1 - Clicar em Solicitar 
  2 - Cadastrar e-mail no sistema
  3 - Clicar em Abrir Chamado
  4 - Preencher os itens obrigatórios identificados pelo * no formulário Service Desk – DTI
  - Catalogo de serviços* = Solicitar Atendimento dos Direitos do Titular dos Dados Pessoais – LGPD
  - Resumo* = resumo da solicitação do titular de dados
  - Descrição* = Descrever o conteúdo da solicitação
  5 - Clicar em enviar
  6 - Um e-mail será enviado de forma automática com o número da solicitação e sempre que houver uma nova notificação

  Importante: Mantenha as notificações ativadas (lateral direita da página), para acompanhar o andamento da solicitação

• Comitê Gestor de Privacidade e Proteção de Dados Pessoais

  expand_more

  O Comitê Gestor de Segurança da Informação, Privacidade e Proteção de Dados (CGSIPD) foi instituído por meio da Portaria TC-149/2020, de 24 de julho de 2020.

  Trata-se de um colegiado com competência consultiva-deliberativa, de caráter permanente, e com responsabilidade de cunho estratégico.

  Tem as competências de:
  - elaborar e submeter ao Comitê de Governança da Tecnologia da Informação e Comunicação (CGTIC), instituído pela Portaria TC-537/2019, propostas de normas, requisitos metodológicos e Políticas de Segurança da Informação, Privacidade e Proteção de Dados;
  - avaliar os mecanismos de tratamento e proteção dos dados existentes e propor políticas, estratégias e metas para a conformidade do TCE/SC com as disposições da LGPD;
  - formular princípios e diretrizes para a gestão de dados pessoais e propor sua regulamentação;
  - revisar a Política de Segurança da Informação, Privacidade e Proteção de Dados e normas relacionadas, no período máximo de dois anos, e sugerir alterações;
  - planejar, estabelecer diretrizes e definições estratégicas, e supervisionar as ações e projetos relacionados à atividade de Segurança da Informação, Privacidade e Proteção de dados no âmbito do TCE/SC, incluídos a segurança cibernética e a gestão de incidentes computacionais;
  - supervisionar a execução dos planos, dos projetos e das ações aprovados para viabilizar a implantação das diretrizes previstas na LGPD;
  - promover campanhas de conscientização dos usuários acerca da aplicação da Política de Segurança da Informação, Privacidade e Proteção de Dados;
  - prestar orientações sobre o tratamento e a proteção de dados pessoais de acordo com as diretrizes estabelecidas na LGPD e nas normas internas;
  - dirimir dúvidas e deliberar sobre questões não contempladas na Política de Segurança da Informação, Privacidade e Proteção de Dados e normas relacionadas;
  - receber comunicações de descumprimento das normas referentes à Política de Segurança da Informação, Privacidade e Proteção de Dados, e instruí-las com os elementos necessários à sua análise e notificar os responsáveis;
  - autorizar e determinar a realização de auditorias internas sobre o uso dos recursos de tecnologia da informação no âmbito do Tribunal;
  - acompanhar e avaliar o desempenho, os relatórios e os resultados de auditorias de conformidade com a LGPD e com a Política de Segurança da Informação, Privacidade e Proteção de Dados, realizadas, respectivamente, pela Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais (ETIR) e pela Equipe de Tratamento e Resposta a Incidentes de violação de dados pessoais (ETIPD);
  - fiscalizar e dar suporte ao encarregado de dados do TCE/SC para o cumprimento das suas atividades previstas na LGPD, bem como notificá-lo sobre qualquer tipo de não conformidade com a referida Lei;
  - promover o intercâmbio de informações sobre a proteção de dados pessoais com outros órgãos;
  - definir, orientar e fiscalizar os procedimentos relacionados ao credenciamento e descredenciamento de pessoas, de órgãos ou de entidades públicas ou privadas, para acessar e tratar informações com qualquer grau de sigilo;
  - definir e orientar sobre os procedimentos de renovação, aquisição ou perda de habilitação de entidade privada que mantenha vínculo de qualquer natureza com o TCE/SC para o tratamento de informação com restrição de acesso.

  Membros do Comitê Gestor de Privacidade e Proteção de Dados Pessoais
  Membros CGSIPD	Setor
  Jairo Wensing	GAP/APRE/AGET
  Wallace da Silva Pereira	GAP/APRE/AGET
  Matheus Gustavo de Medeiros Batista	GAP/APRE
  Mariani Canever Librelato	GAP/APRE
  Jonatas Wondracek	GAP/ASMI
  Cláudio Sérgio de Oliveira Junior	GAP/ASMI
  Marcius Aurélio Furtado	GAP/ACOM
  Walkíria Machado Rodrigues Maciel	GAP/OUVI
  Luís Henrique Aragão de Oliveira	AJUR
  Isabel Bacelar de Vasconcelos Apel	GCG
  Flávia Letícia Fernandes Baesso Martins	SEG
  Simone Cunha de Farias	SEG
  Sidney Antonio Tavares Junior	DGCE
  Monique Portella	DGCE
  Nilsom Zanatto	DIE
  Alessandro Marinho de Albuquerque	DIE
  Thais Schmitz Serpa	DGAD
  Cristiane de Souza Reginatto	DGAD
  Rafael Queiroz Gonçalves	DTI
  Edipo Juventino da Silva	DTI
  Raul Fernando Fernandes Teixeira	DAF
  Sabrina Grasielle Paes Hachmann	DAF
  Laura Senna Guimarães Fernandes	DGP
  Sérgio Mônaco Santos	DGP

   

• Fundamentação Legal

  expand_more

  Política de Cookies TCE/SC

  Portaria N. 21/2019 - Instituto Rui Barbosa (IRB) - Corpo técnico do Grupo de Estudos sobre a LGPD.

  Nota Técnica N. 1/2019 - IRB - Considerações sobre a aplicação da LGPD no âmbito dos Tribunais de Contas.

     - Anexo da Nota Técnica N. 1/2019 - IRB.

  Resolução N. TC-179/2021 - TCE/SC - Política de Segurança da Informação, Comunicação, Privacidade e Proteção de Dados (POSICPD).

  Portaria N. TC-140/2023 - TCE/SC - Norma de Controle de Acesso e do Ambiente.

  Portaria N.TC-196/2024 - TCE/SC - Responsabilidade de elaboração e de manutenção do Inventário de Dados Pessoais (IDP) e do Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

  Resolução CD/ANPD nº 18, de 16 de julho de 2024 - Aprova o Regulamento sobre a atuação do encarregado pelo tratamento de dados pessoais.

  Infográfico Resolução CD/ANPD nº 18 

  Jornada para cumprimento da Portaria N. TC-196/2024

  Programa de Conformidade 1.0 - Set/2024 (Aprovado CGSIPD Dez/2024)

     - Anexo do Programa de Conformidade 1.0 - Tabela de Monitoramento

     - Anexo do Programa de Conformidade 1.0 - Diagrama de Monitoramento

• Material de apoio

  expand_more

  Material de apoio

  Artefatos que compõe a Jornada para cumprimento da Portaria N. TC-196/2024:

       1. MAP LGPD - Matriz RACI - Listagem dos Processos de Trabalho da Unidade
                                 Referência para mapeamento de processos - Tabela contendo os códigos das Unidades que servirá para o preenchimento da coluna:    REF/ID + Nome do Processo 
                                 Referência sobre Dados Pessoais - Conceito de Dados Pessoais e Tratamento de Dados Pessoais para indentificação dos Processos de Trabalho

       2. MAP LGPD - Memorial Descritivo do Processo (MDP) - Descrição completa dos fluxos para cada Processo de Trabalho da Unidade                               
                                 Apresentação O que são as Operações de Tratamentos de Dados Pessoais
                                 Checklist Memorial Descritivo do Processo (MDP)  - O que não pode faltar no MDP

       3. MAP LGPD - Inventário de Dados Pessoais (IDP) - Inventário de Dados Pessoais relacionados em cada Processo de Trabalho da Unidade 
                                 Guia para elaboração de Inventário de Dados Pessoais (IDP) da Secretaria de Governo Digital (SGD) do Ministério da Gestão e da Inovação em Serviços Públicos.
                                 Template - template/artefato/documento oficial do Governo Digital 
                                 Checklist Inventário do Tratamento de Dados Pessoais (IDP) - O que não pode faltar no IDP

       4. MAP LGPD - Relatório de Impacto à Proteção de Dados (RIPD) - Elaboração da Matriz Quantitativa de Riscos
                                 Apresentação Tratamento de Dados Pessoais de Alto Risco - Fundamentação para elaboração do RIPD
                                Guia e template - Passo a passo para elaboração do RIPD e template/artefato/documento oficial do Governo Digital 
                                Oficina - Vídeo com passo a passo para elaboração do RIPD 
                                Apresentação sobre a importância do RIPD 
                                Estudo de caso para a elaboração de um RIPD
                                Exemplo RIPD preenchido 
                                Checklist Relatório de Impacto à Proteção de Dados (RIPD) - O que não pode faltar no RIPD

   

  Capacitação

  Oficina Gestores de ACTs - Dez/2024

  Pílula Proteção de Dados e Privacidade - Conceitos iniciais n.1 (vídeo)

  Curso LGPD no serviço público  no TCE/SC:

  06/12/2021 - PARTE 1

  07/12/2021 - PARTE 2

  Curso sobre os fundamentos da LGPD - ENAP

  Outros materiais

  Apresentação Programa de Conformidade - Dez/2024

  Cartilha de Prevenção de Incidentes de Vazamento dos seus Dados Pessoais - Maio/2025

  Apresentação Gabinetes MAIO/2024 - LGPD No TCE/SC - Desafios E Oportunidades

  Apresentação 142 dias da Portaria N. TC-196/2024

  Palestra sobre noções básicas da Lei Geral de Proteção de Dados

  Painel Lei Geral de Proteção de Dados (LGPD) e LAI - Jessica Mota

  Planejamento Estratégico de Tecnologia da Informação e Comunicação - PETIC 

  Guia do Framework de Privacidade e Segurança da Informação.

  Guia Orientativo Tratamento de dados pessoais pelo Poder Público

  Eventos

  02/09/2020 - 20º Ciclo de Estudos de Controle Público da Administração Municipal - Palestra - Noções básicas sobre a Lei Geral de Proteção de Dados (LGPD)

  03/03/2020 - Capacitação das Ouvidorias Municipais (vídeo)

  05/11/2019 - Seminário Internacional - Lei Geral de Proteção de Dados
  Desafios e Ações na implementação da Proteção de Dados no Estado de Santa Catarina (Período matutino e Período vespertino)

• Publicações sobre LGPD no TCE/SC

  expand_more

  12/12/2024 - Gestores de Acordos de Cooperação Técnica do TCE/SC participam de capacitação para adequar os instrumentos à Lei Geral de Proteção de Dados

  28/10/2024 - TCE/SC reforça conscientização sobre segurança da informação e desenvolve projetos para fortalecer a proteção de dados públicos

  02/10/2024 - TCE/SC avança com medidas necessárias à proteção de dados em seus diferentes setores

  23/09/2024 - Projeto que busca adequar os acordos de cooperação técnica à LGPD está na fase da identificação dos responsáveis e da coleta de informações

  08/05/2024 - Portaria demonstra o compromisso do TCE/SC com a proteção de dados pessoais

  19/05/2023 - Congresso de Direito Administrativo Contemporâneo 

  25/11/2022 - Integrantes do TCE/SC levam exemplos de práticas da instituição ao Summit Cidades

  26/10/2022 - TCE/SC reúne órgãos públicos para debater sobre avanços da LGPD

  29/09/2022 - TCE/SC alerta para reforço na segurança da informação

  05/09/2022 - Conversando sobre LGPD com Marcilio Braz

  26/10/2021 - TCE/SC estabelece política de segurança da informação e proteção de dados

  03/11/2020 - Lei Geral de Proteção de Dados é debatida em evento sobre ouvidorias no TCE/SC

  02/09/2020 - TCE/SC repassa noções básicas sobre a Lei Geral de Proteção de Dados, em live do 20º Ciclo de Estudos

  04/08/2020 - TCE/SC publica portaria com alterações no Plano de Ação

  15/10/2019 - TCE/SC sedia Seminário Internacional sobre a Lei Geral de Proteção de Dados, em novembro

  28/06/2019 - JurisTCs alerta Tribunais de Contas para que se adaptem à Lei de Dados até 2020

   

   

• Glossário LGPD

  expand_more

  Acesso - ato de ingressar, transitar, conhecer ou consultar a informação, bem como a possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique.  

  Anonimização - utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, com o indivíduo. 

  Armazenamento - manutenção ou conservação de um dado em repositório. 

  Arquivamento - ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência. 

  Classificação - maneira de ordenar os dados conforme critério estabelecido. 

  Coleta - recolhimento de dados com finalidade específica.

  Controlador - pessoa natural ou jurídica, de direito público ou privado a quem compete as decisões referentes ao tratamento de dados pessoais. 

  Dado pessoal - é toda a informação relacionada a uma pessoa identificada ou identificável. Alguns exemplos de dados pessoais são nome, sobrenome, apelido, idade, endereço residencial ou eletrônico (e-mail), CPF, RG, título de eleitor, CNH, registro de entidades de classe a que a pessoa pertence, tais como OAB ou CREA, registro funcional, podendo incluir também dados de localização, placas de automóvel, número de IP (Internet Protocol), dados acadêmicos, entre outros. 

  Dados pessoais sensíveis - são aqueles relacionados às características da personalidade do indivíduo e às suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados relativos à saúde ou à vida sexual, dado genético ou biométrico, entre outros. 

  Encarregado de dados - pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). 

  Eliminação - ato ou efeito de excluir ou destruir dado do repositório. 

  Extração - ato de copiar ou retirar dados do repositório no qual se encontra. 

  LGPD - Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018), que dispõe, conforme  seu art. 1º, sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural. 

  Operador - é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, aí incluídos agentes públicos no sentido amplo, que exerçam tal função, bem como pessoas jurídicas diversas daquela representada pelo Controlador, que exerçam atividade de tratamento no âmbito de contrato ou instrumento congênere.

  Pseudonimização - técnica de tratar dados pessoais de uma forma em que os dados somente possam ser atribuídos a um titular de dados mediante a utilização de informações adicionais, não disponíveis a todos, desde que essas informações sejam mantidas em ambiente separado, controlado e seguro.

  Tratamento de dados - operação realizada com algum tipo de manuseio de dados pessoais, tais como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, edição, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

  Titular - pessoa a quem se referem os dados pessoais que são objetos de algum tratamento.

• FAQ

  expand_more

  1. Do que trata a Lei Geral de Proteção de Dados Pessoais – LGPD?

  A Lei Geral de Proteção de Dados – LGPD (Lei n. 13.709, de 2018), dispõe sobre o tratamento de dados pessoais das pessoas naturais, definindo as hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e estabelecendo mecanismos para proteger os titulares dos dados contra usos inadequados.
  A LGPD é aplicável aos dados de pessoas naturais e deve ser cumprida por pessoa natural e entidades públicas ou privadas, independentemente do país de sua sede ou de onde os dados estejam localizados, que realizem qualquer operação de tratamento de dados pessoais, tais como a coleta, armazenamento e compartilhamento de dados com terceiros, desde que esse tratamento (i) seja realizado no território nacional, (ii) tenha por objeto a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou, ainda, (iii) quando os dados pessoais tiverem sido coletados em território nacional.

  2. Como a legislação de proteção de dados pessoais pode ajudar o Brasil?

  A LGPD tem por objetivo proteger os direitos fundamentais relacionados à esfera informacional do cidadão. Assim, a Lei introduz uma série de novos direitos que asseguram maior transparência quanto ao tratamento dos dados e conferem protagonismo ao titular quanto ao seu uso. A aprovação da LGPD e a criação da Autoridade Nacional de Proteção de Dados – ANPD representam também importantes passos para colocar o Brasil no mesmo patamar de muitos outros países que já aprovaram leis e estruturas institucionais dessa natureza.
  A constituição de um ambiente jurídico voltado à proteção de dados pessoais corresponde também ao alinhamento com diretrizes da Organização para a Cooperação e Desenvolvimento Econômico – OCDE, que há décadas vem desempenhando um relevante papel na promoção do respeito à privacidade como um valor fundamental e como um pressuposto para o livre fluxo de dados.
  Por fim, do ponto de vista dos agentes de tratamento de dados, sejam empresas ou o próprio poder público, a LGPD traz a oportunidade de aperfeiçoamento das políticas de governança de dados, com adoção de regras de boas práticas e incorporação de medidas técnicas e administrativas que mitiguem os riscos e aumentem a confiança dos titulares dos dados na organização.

  3. Quando a LGPD entrou em vigor?

  A lei entrou em vigor de maneira escalonada:
  ·      Em 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam da constituição da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPDPP.
  ·      Em 18 de setembro de 2020, quanto aos demais artigos da lei, com exceção dos dispositivos que tratam da aplicação de sanções administrativas;
  ·      Em 1º de agosto de 2021, quanto aos arts. 52. 53 e 54, que tratam das sanções administrativas.

  4. Com a LGPD, como fica o Cadastro Positivo?

  Por se tratar de uma lei geral, seguem em vigor e aplicáveis as regras do Código de Defesa do Consumidor (Lei nº 8.078/90) para o tratamento dos dados negativos e da Lei do Cadastro Positivo (Lei nº 12.414/2011) para o tratamento dos dados positivos.
  No Artigo 7º, Inciso X, da LGPD, o legislador cita expressamente que o tratamento dos dados pessoais pode ser realizado para a “proteção do crédito”. No mesmo inciso, reconhece os dispositivos existentes na legislação pertinente, incluindo assim as leis que tratam especificamente de crédito.

  5. O que é tratamento de dados pessoais, de acordo com a LGPD?

  Segundo a LGPD, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

  6. O que são dados pessoais?

  A LGPD adota um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável.
  Assim, além das informações básicas relativas ao nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que permitam a identificação de um indivíduo, tais como a filiação político-partidária, o histórico médico e também aqueles referentes aos aspectos biométricos do indivíduo.
  Segundo a LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

  7. O que são dados pessoais sensíveis?

  Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionamentos aos aspectos mais íntimos da personalidade de um indivíduo.
  Assim, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a um indivíduo.

  8. Sobre os dados considerados sensíveis, como fica a questão de dados biométricos?

  A LGPD classifica os dados biométricos como dados pessoais sensíveis, prevendo ainda mais rigor nos critérios aplicáveis ao seu tratamento. Nesses casos o tratamento poderá ser realizado sem o consentimento do titular quando se tratar de hipóteses que abrangem o cumprimento de obrigação legal ou regulatória e a prevenção à fraude e à segurança do titular, dentre outras.

  9. Quais dados são protegidos pela LGPD?

  A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei.

  10. Em que hipóteses pode ser realizado o tratamento de dados pessoais?

  Com a entrada em vigor da LGPD, o tratamento de dados pessoais pode ser realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas em seu artigo 7º ou, no caso de dados pessoais sensíveis, de uma das hipóteses previstas no artigo 11. Existem dez bases legais distintas para o tratamento de dados pessoais e oito bases legais que legitimam o tratamento de dados pessoais sensíveis.
  Vale notar que a LGPD é aplicável também aos dados cujo acesso é público e àqueles tornados manifestamente públicos pelos titulares, resguardando-se a observância dos princípios gerais e dos direitos dos titulares previstos na Lei.

  11. Quais são as bases legais para o tratamento de dados pessoais?

  O tratamento de dados pessoais (não sensíveis) poderá ser realizado em qualquer uma das seguintes hipóteses, previstas no art. 7º da LGPD:
  ·      Mediante o fornecimento de consentimento pelo titular;
  ·      Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  ·      Para a execução de políticas públicas, pela administração pública;
  ·      Para a realização de estudos por órgão de pesquisa;
  ·      Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  ·      Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  ·      Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  ·      Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  ·      Para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  ·      Para a proteção do crédito.

  12. Quais são os direitos dos cidadãos com a entrada em vigor da LGPD?

  A LGPD prevê uma ampla gama de direitos dos titulares de dados, dentre os quais podem ser destacados os seguintes:
  ·      acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva;
  ·      confirmação da existência de tratamento;
  ·      acesso aos dados;
  ·      correção de dados incompletos, inexatos ou desatualizados;
  ·      anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
  ·      portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  ·      eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
  ·      informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  ·      informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  ·      revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado;
  ·      peticionamento em relação aos seus dados contra o controlador, perante a autoridade nacional e perante os organismos de defesa do consumidor;
  ·      oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD;
  ·      solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e
  ·      fornecimento, mediante solicitação, de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

  13. O que as empresas e o governo precisam fazer para se adequar?

  A LGPD estabelece uma série de medidas que devem ser adotadas pelos agentes de tratamento, que incluem a identificação das bases legais que justificam as atividades de tratamento de dados; a adoção de processos e políticas internas que assegurem o cumprimento das normas de proteção de dados pessoais; e o estabelecimento de um canal de contato com os titulares de dados pessoais.
  A Lei determina que os controladores de dados devem indicar um Encarregado para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Em determinadas circunstâncias, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, a ANPD poderá estabelecer hipóteses de dispensa da necessidade de sua indicação.

  14. Ainda não temos nada de acordo com o que a LGPD pede. O que fazer?

  É importante lembrar que dados pessoais permeiam toda a organização, então, o sucesso desse trabalho vai depender do esforço e envolvimento de todos. Os primeiros passos devem ter a direção da instituição envolvida e consciente da necessidade de entrar em conformidade, para assim ter um patrocinador forte, para então, formar um time multidisciplinar que envolva várias áreas, como compliance, tecnologia, segurança e governança, jurídico e recursos humanos.

  15. Qual o perfil desejado para o Encarregado (DPO)?

  A designação do Encarregado deve ocorrer baseada nas qualidades profissionais do indicado, particularmente em seu conhecimento jurídico-regulatório, em tecnologia e segurança da informação, liderança organizacional, conscientizador/educador, e ainda, com conhecimento em governança. Quanto mais complexas forem as atividades de tratamento de dados realizadas pela organização, maior deverá ser o nível de conhecimento técnico do Encarregado pelo Tratamento de Dados Pessoais (DPO).

  16. Qual é o trabalho do Encarregado (DPO) na prática?

  O Encarregado terá papel fundamental nas decisões estratégicas das organizações e deverá ter autonomia sobre as atividades que envolvam qualquer tipo de tratamento de dados, além de ter contato direto com a direção da empresa, tomando decisões que a deixe de acordo com a lei.
  Como a LGPD trata no Artigo 41, o DPO/Encarregado deverá ter as seguintes atribuições:
  ·      aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  ·      receber comunicações da autoridade nacional e adotar providências;
  ·      orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  ·      executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
  Além dessas atribuições, a ANPD, Autoridade Nacional de Proteção de Dados, poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado.

  17. Qual o envolvimento da área de TI no projeto de adequação?

  A participação da área de TI é muito importante no processo de ficar em conformidade, pois ela está envolvida desde apoiar a disponibilidade dos sistemas que sustentam as demandas de privacidade até assegurar que as ferramentas, processos e boas práticas da segurança da informação estão a postos e em conformidade.
  Essa área tem uma participação ampla e abrangente já que a Lei deixa claro que as empresas devem adotar medidas técnicas e administrativas para assegurar a proteção dos seus dados pessoais. Porém, o envolvimento de todas as áreas é fundamental, principalmente do jurídico, compliance e negócio.

  18. O quanto a tecnologia é importante para a implementação da LGPD?

  O processo para entrar em conformidade com a LGPD deve passar por pessoas, áreas, processos, sistemas, parceiros jurídicos e de tecnologia. Por conta de todas estas variáveis envolvidas, entendemos que a tecnologia faz sim diferença e é importante, pois, dependendo do tamanho e nível de complexidade de uma organização, gerenciar todas essas entidades de acordo com os requisitos da lei sem uma ferramenta de gestão que consiga agregar, registrar e controlar todas essas demandas pode se tornar um projeto extremamente difícil.
  Segundo o Art. 49 da Lei, os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

  19. O que é e como fazer o Mapeamento de Dados (Data Mapping)?

  O Data Mapping consiste em levantar, através da estrutura da organização, recursos próprios ou com uma empresa especializada, todos os itens associados aos dados pessoais. Com essas informações é criado um inventário, que pode ser, basicamente, de quatro tipos:
  ·      Tabelas ativas ou banco de dados inteiros, aplicações que retém dados ou arquivos físicos não eletrônicos;
  ·      Fornecedores de sistemas com os quais se divide dados pessoais, como um CRM na nuvem;
  ·      Processos ou atividades que, de alguma forma, manipulam informações pessoais;
  ·      Empresas parceiras também manipulam dados pessoais sob nossa responsabilidade.
  Após definir o que será inventariado, o próximo passo é fazer o mapeamento através de um processo iterativo e incremental. Ou seja, é interessante começar a mapear o que é conhecido, pois, desde um primeiro momento, já é possível obter consciência dos gaps e eventuais riscos envolvidos.

  20. O termo de consentimento pode ser escrito ou digital? Em caso do digital, tem alguma regra para seguir?

  O termo de consentimento pode ser adquirido tanto físico, quanto digital, porém precisa ser, como consta no Art. 8, “por escrito ou por outro meio que demonstre a manifestação de vontade do titular”. Assim como a GDPR, a Lei Geral de Proteção de Dados traz a preocupação em limitar a retenção dos dados apenas àquilo estritamente necessário para seu tratamento.
  Na Lei não há um prazo fixo para a retenção dos dados tratados, mas estabelece, em seu Art. 16, que os “dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades”. Observa-se, dessa forma, que o prazo de retenção de dados na LGPD está condicionado à finalidade declarada pelo responsável pelo tratamento, e que, uma vez utilizados, devem ser excluídos de seus servidores.

  21. O que é a Autoridade Nacional de Proteção de Dados Pessoais - ANPD?

  A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.

  22. Qual é o papel da Autoridade Nacional de Proteção de Dados – ANPD?

  A missão institucional da ANPD é assegurar a mais ampla e correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos.
  O art. 55-J da LGPD estabelece as principais competências da ANPD, dentre as quais se destacam as seguintes:
  ·      elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  ·      fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
  ·      promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
  ·      estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
  ·      promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
  ·      editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
  ·      ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
  ·      editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à Lei;
  ·      deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;
  ·      articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
  ·      implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei.

  23. Quando a ANPD foi criada?

  A ANPD foi criada pela Medida Provisória n. 869, de 27 de dezembro de 2018, posteriormente convertida na Lei n. 13.853, de 14 de agosto de 2019.
  Por sua vez, o Decreto 10.474, de 26 de agosto de 2020, aprovou a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da ANPD, com entrada em vigor na data de publicação da nomeação do Diretor-Presidente da ANPD no Diário Oficial da União.

  24. Qual é a estrutura da ANPD?
  Nos termos do art. 55-C da LGPD e do art. 3º do Decreto 10.474/20, a ANPD possui a seguinte composição:
  ·      Conselho Diretor, órgão máximo de direção, formado por cinco Diretores, incluído o Diretor-Presidente;
  ·      Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, órgão consultivo formado por 23 representantes de órgãos públicos, da sociedade civil, da comunidade científica, do setor produtivo e empresarial e do setor laboral.
  ·      Órgãos de assistência direta e imediata ao Conselho Diretor:
  a)  Secretaria-Geral;
  b)  Coordenação-Geral de Administração; e
  c)  Coordenação-Geral de Relações Institucionais e Internacionais;
  ·      Órgãos seccionais:
  a)  Corregedoria;
  b)  Ouvidoria; e
  c)  Assessoria Jurídica; e
  ·      Órgãos específicos singulares:
  a)  Coordenação-Geral de Normatização;
  b)  Coordenação-Geral de Fiscalização; e
  c)  Coordenação-Geral de Tecnologia e Pesquisa.

  25. A ANPD é uma autoridade independente?

  Apesar de ser um órgão da administração pública federal direta, a ANPD possui algumas características institucionais que lhe conferem maior independência, tais como a autonomia técnica e decisória e o mandato fixo dos Diretores.
  A LGPD prevê também que a natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República. Tal avaliação deverá ocorrer em até 2 (dois) anos da data da entrada em vigor da estrutura regimental da ANPD.

  26. A ANPD pode aplicar sanções pelo descumprimento da lei?

  A  ANPD poderá aplicar, após procedimento administrativo que possibilite a ampla defesa, as seguintes sanções administrativas:
  ·      advertência, com indicação de prazo para adoção de medidas corretivas;
  ·      multa simples,  de até 2% (dois por  cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  ·      multa diária, observado o limite total a que se refere o inciso II;
  ·      publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  ·      bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  ·      eliminação dos dados pessoais a que se refere a infração;
  ·      suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de  tratamento  pelo controlador;
  ·      suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e
  ·      proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

  27. A ANPD se articula com outras entidades e órgãos públicos no exercício das suas competências?

  Sim. A ANPD deve se articular com outras entidades e órgãos públicos a fim de garantir o cumprimento de sua missão institucional, atuando como órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para a sua implementação.
  A LGPD determina, por exemplo, que a ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados. Da mesma forma, a LGPD determina que a ANPD deve comunicar às autoridades competentes as infrações penais das quais tiver conhecimento.
  É importante observar que a aplicação das sanções previstas na LGPD compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.

  28. Qual é o perfil dos Diretores da ANPD? Como eles são escolhidos?

  A LGPD determina que o Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente. Os membros são escolhidos pelo Presidente da República e por ele nomeados, após aprovação pelo Senado Federal, e devem ser escolhidos dentre brasileiros que tenham reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados.
  O mandato dos membros do Conselho Diretor será de 4 (quatro) anos. Para assegurar que tais mandatos sejam não coincidentes (ou seja, que se encerrem em anos distintos), os mandatos dos primeiros membros do Conselho Diretor nomeados serão de 2 (dois), de 3 (três), de 4 (quatro), de 5 (cinco) e de 6 (seis) anos, conforme estabelecido no ato de nomeação.

  29. Para que serve o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade - CNPDPP?

  O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é entidade de natureza consultiva que viabiliza a participação dos diferentes segmentos sociais na conformação do ambiente regulatório de proteção de dados pessoais. Suas principais atribuições são:
  ·      propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
  ·      elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
  ·      sugerir ações a serem realizadas pela ANPD;
  ·      elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
  ·      disseminar  o  conhecimento  sobre  a  proteção  de  dados  pessoais  e  da privacidade à população.
  A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada.

  30. Como serão escolhidos os membros do CNPDPP?

  O CNPDPP é composto por vinte e três representantes, titulares e suplentes, dos seguintes órgãos e entidades:
  ·      5 (cinco) do Poder Executivo federal;
  ·      1 (um) do Senado Federal;
  ·      1 (um) da Câmara dos Deputados;
  ·      1 (um) do Conselho Nacional de Justiça;
  ·      1 (um) do Conselho Nacional do Ministério Público;
  ·      1 (um) do Comitê Gestor da Internet no Brasil;
  ·      3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais;
  ·      3 (três) de instituições científicas, tecnológicas e de inovação;
  ·      3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo;
  ·      2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e
  ·      2 (dois) de entidades representativas do setor laboral.
  Os membros do CNPDPP e respectivos suplentes serão designados pelo Presidente da República.
  As indicações dos membros representantes dos órgãos do Poder Executivo, do Poder Legislativo, do Conselho Nacional de Justiça, do Conselho Nacional do Ministério Público e do Comitê Gestor da Internet no Brasil devem ser submetidas pelos titulares dos órgãos ao Ministro de Estado Chefe da Casa Civil da Presidência da República.
  As demais indicações poderão ser livremente apresentadas ao Conselho Diretor da ANPD pelas entidades representativas dos diferentes segmentos, no prazo de trinta dias, contado da data de publicação do edital de convocação no Diário Oficial da União. Após o recebimento das indicações, o Conselho Diretor formará lista tríplice de titulares e suplentes para cada vaga, que será encaminhada ao Ministro de Estado Chefe da Casa Civil da Presidência da República para nomeação pelo Presidente da República.

  31. Como ocorrerá a participação da sociedade nos trabalhos da ANPD?

  Nos termos da LGPD, cabe à ANPD ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento. Ademais, os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório.
  Por fim, cabe recordar que o CNPDPP é a forma de participação institucionalizada dos diferentes grupos sociais na ANPD.

  32. As pessoas físicas e jurídicas, públicas ou privadas, que realizam atividades de tratamento de dados pessoais terão de transferir para a ANPD seus bancos de dados?

  Não será exigido que pessoas físicas ou jurídicas que realizam tratamento de dados transfiram para a ANPD seus bancos de dados. Cabe à ANPD fiscalizar e aplicar sanções quando o tratamento de dados ocorrer em desconformidade com a legislação de proteção de dados, mediante processo administrativo, com contraditório e ampla defesa.