LGPD - ICTIM

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, tem como objetivo principal proteger os direitos de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural. A lei regulamenta o tratamento de dados pessoais por pessoas físicas ou jurídicas de direito público ou privado, impactando diretamente as atividades do Instituto de Ciência, Tecnologia e Inovação de Maricá (ICTIM).

O ICTIM, por lidar com dados pessoais sensíveis e não sensíveis em suas pesquisas e projetos, precisa estar em conformidade com a LGPD. A lei garante a segurança e a privacidade dessas informações, evitando a exposição de dados dos cidadãos e usuários.

A importância da LGPD para o ICTIM se manifesta em diversos aspectos:

1. Estabelecimento de diretrizes claras para a coleta, armazenamento, uso e compartilhamento de dados pessoais: A LGPD define as bases legais para o tratamento de dados, os direitos dos titulares dos dados e as obrigações do controlador (no caso, o ICTIM). Isso garante que o ICTIM utilize os dados de forma transparente e ética, respeitando a privacidade dos indivíduos.
2. Proteção contra o uso indevido de dados: A lei prevê sanções para o descumprimento da LGPD, incluindo multas e a proibição do exercício de atividades relacionadas ao tratamento de dados. Isso incentiva o ICTIM a adotar medidas de segurança e boas práticas para proteger os dados sob sua responsabilidade.
3. Fortalecimento da confiança do público e dos órgãos de controle: A adequação à LGPD demonstra o compromisso do ICTIM com a proteção de dados e a privacidade dos cidadãos e usuários, fortalecendo a confiança do público e dos órgãos de controle na instituição.

O que é a LGPD?

A Lei 13.709 – Lei Geral de Proteção de Dados Pessoais – foi editada em agosto de 2018 e entrou em vigor em setembro de 2020. Ela serve para proteger a privacidade dos cidadãos brasileiros e regular como empresas e organizações coletam, tratam e compartilham dados pessoais. O objetivo principal é assegurar que as informações que podem identificar uma pessoa sejam usadas de forma responsável e transparente, garantindo que os direitos dos indivíduos em relação aos seus dados sejam respeitados. Assim, a LGPD ajuda a criar um ambiente mais seguro em relação ao uso de informações pessoais, promovendo a confiança entre consumidores e empresas.

Estão expressamente estabelecidos na LGPD os seguintes fundamentos:

I – o respeito à privacidade;

II – a autodeterminação informativa;

III – a liberdade de expressão, de informação, de comunicação e de opinião;

IV – a inviolabilidade da intimidade, da honra e da imagem;

V – o desenvolvimento econômico e tecnológico e a inovação;

VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A lei possui 10 capítulos e 65 artigos e estão distribuídos da seguinte forma: Capítulo I apresenta as disposições gerais e traz no art. 2º os princípios que fundamentam a proteção de dados pessoais, no art. 3º a territorialidade de aplicação da lei, no art. 4º é trazido a inaplicabilidade da lei, e no art. 5º temos os conceitos gerais.

Entre os conceitos apresentados, destaca-se:

Dados pessoais: são informações relacionadas à pessoa natural identificada ou identificável;

Dados pessoais sensíveis: são dados pessoais acerca de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Titular dos dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

O capítulo II nos traz os requisitos para o tratamento de dados pessoais, dados pessoais sensíveis, dados pessoais de criança e adolescente, e as hipóteses de término do tratamento de dados.

O capítulo III apresenta os direitos dos titulares e os prazos e formas para atendimento de requisições dos titulares.

O Poder Público tem um capítulo específico, o capítulo IV. Ele nos traz as regras de tratamento de dados pessoais pelo Poder Público e a suas responsabilidades.

O capítulo V trata da transferência internacional de dados.

O capítulo VI apresenta os agentes de tratamento de dados pessoais, que são o controlador e o operador, bem como do encarregado pelo tratamento de dados pessoais, e ainda, aborda a responsabilidade de cada um e o ressarcimento de danos.

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Encarregado: pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD.

O capítulo VII discorre sobre a segurança e das boas práticas a serem adotadas quando do tratamento de dados pessoais.

O capítulo VIII trata da fiscalização acerca da proteção de dados pessoais, inclusive abordando as sanções administrativas a que estão sujeitos, os controladores e operadores, e que podem ser aplicadas pela ANPD.

O capítulo IX trata da Autoridade Nacional de Proteção de Dados – ANPD, órgão da administração pública federal, integrante da Presidência da República, e do Conselho Nacional de Proteção de Dados Pessoais e da.

Por fim, temos o capítulo X que trata das disposições finais e transitórias.

Acesse o texto completo da LGPD clicando aqui.

Princípios da LGPD

Art. 6º da LGPD – As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Bases Legais da LGPD

Art. 7º da LGPD – O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Tratamento de Dados pelo Poder Público

A Lei Geral de Proteção de Dados Pessoais – LGPD, dedicou todo um capítulo IV ao tratamento de dados pessoais pelo Poder Público, e é neste capítulo que se buscou estabelecer o equilíbrio e harmonia entre acesso à informação e a proteção dos dados pessoais dos cidadãos sob tutela da administração pública.

A transparência dos dados sob tutela do Poder Público, possui previsão constitucional com regulação através da Lei nº 12.527/2011 (Lei de Acesso à Informação – LAI) possuindo limites na vedação de fornecimento de dados pessoais pelo Poder Público. Assim, se faz necessário harmonizar os princípios da proteção da privacidade (inclui-se aqui os dados pessoais) e da transparência, que estão intrinsicamente conectados e possuem limitações. A LGPD assim discorre:

Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:

I – sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;

II – (VETADO); e

III – seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do art. 39 desta Lei; e (Redação dada pela Lei nº 13.853, de 2019)

IV – (VETADO). (Incluído pela Lei nº 13.853, de 2019)

§ 1º A autoridade nacional poderá dispor sobre as formas de publicidade das operações de tratamento.

§ 2º O disposto nesta Lei não dispensa as pessoas jurídicas mencionadas no caput deste artigo de instituir as autoridades de que trata a Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).

§ 3º Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica, em especial as disposições constantes da Lei nº 9.507, de 12 de novembro de 1997 (Lei do Habeas Data), da Lei nº 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo), e da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).

§ 4º Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas no caput deste artigo, nos termos desta Lei.

§ 5º Os órgãos notariais e de registro devem fornecer acesso aos dados por meio eletrônico para a administração pública, tendo em vista as finalidades de que trata o caput deste artigo.

Art. 24. As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, nos termos desta Lei.

Parágrafo único. As empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, nos termos deste Capítulo.

Art. 25. Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.

Art. 26. O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei.

§ 1º É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:

I – em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) ;

II – (VETADO);

III – nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.

IV – quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou (Incluído pela Lei nº 13.853, de 2019)

V – na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades. (Incluído pela Lei nº 13.853, de 2019)

§ 2º Os contratos e convênios de que trata o § 1º deste artigo deverão ser comunicados à autoridade nacional.

Art. 27. A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado à autoridade nacional e dependerá de consentimento do titular, exceto:

I – nas hipóteses de dispensa de consentimento previstas nesta Lei;

II – nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I do caput do art. 23 desta Lei; ou

III – nas exceções constantes do § 1º do art. 26 desta Lei.

Parágrafo único. A informação à autoridade nacional de que trata o caput deste artigo será objeto de regulamentação. (Incluído pela Lei nº 13.853, de 2019)

Art. 28. (VETADO).

Art. 29. A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades do poder público a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei. (Redação dada pela Lei nº 13.853, de 2019)

Art. 30. A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais.

Encarregado Geral de Proteção de Dados (DPO) do ICTIM

A proteção aferida aos dados que uma organização possui é de extrema importância, uma vez que seu uso pode influenciar na percepção de imagem institucional diante as demais organizações, e assim influenciar de forma negativa ou positiva a sua realidade na segurança de seus dados, por isso surgiu a necessidade da criação de mecanismos que regulamente e monitorem o modo como lidamos com as informações que detemos.

A LGPD em seu artigo 41 determina que seja nomeado um Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer – DPO) com no mínimo as seguintes atribuições:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Desta forma, visando dar cumprimento à Lei 13.709/2018 e garantir a transparência, comprometimento e responsabilidade para com os dados pessoais de terceiros sob sua guarda, o ICTIM, por meio da Portaria nº. 86/2024, designou seu Encarregado Geral pelo Tratamento de Dados Pessoais (Data Protection Officer – DPO), conforme abaixo:

Nome: Emerson Lacerda Alencar
E-mail: dpo@ictim.com.br

Direitos do Titular

Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I – confirmação da existência de tratamento;

II – acesso aos dados;

III – correção de dados incompletos, inexatos ou desatualizados;

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (Redação dada pela Lei nº 13.853, de 2019)

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.

§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.

§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:

I – comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou

II – indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.

§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional. (Redação dada pela Lei nº 13.853, de 2019)

§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.

§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.

Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:

I – em formato simplificado, imediatamente; ou

II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.

§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.

§ 2º As informações e os dados poderão ser fornecidos, a critério do titular:

I – por meio eletrônico, seguro e idôneo para esse fim; ou

II – sob forma impressa.

§ 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.

§ 4º A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II do caput deste artigo para os setores específicos.

Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. (Redação dada pela Lei nº 13.853, de 2019)

§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.

§ 3º (VETADO). (Incluído pela Lei nº 13.853, de 2019)

Art. 21. Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.

Art. 22. A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.

Legislação

Lei Geral de Proteção de Dados Pessoais – LGPD

Lei n. 13.709, de 14 de agosto de 2018 (LGPD)
Lei n. 13.853, de 8 de julho de 2019 (altera a Lei n. 13.709)

Legislação Relacionada

Leis e Regulamentos

No Brasil, existem várias leis e regulamentos que abordam, de diferentes maneiras, os direitos do cidadão relativos à proteção de dados e ao direito à privacidade em diversos setores de atividade:

Decreto n. 10.747, de 26 de agosto de 2020 (Estrutura Regimental da Autoridade Nacional de Proteção de Dados – ANPD)
Decreto n. 10.222, de 5 de fevereiro de 2020 (Estratégia Nacional de Segurança Cibernética)
Decreto n. 8.777, de 11 de maio de 2016 (Política de Dados Abertos do Governo Federal)
Lei n. 12.965, de 23 de abril de 2014 (Marco Civil da Internet)
Resolução BACEN n. 4.658 (Política de segurança digital para instituições financeiras)
Decreto n. 7.962, de 15 de março de 2013 (Comércio eletrônico)
Lei n. 12737, de 30 de novembro de 2012 (Tipificação criminal para delitos de informática)
Lei n. 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação)
Lei n. 12.414, de 9 de junho de 2011 (Consulta de cadastro positivo para fins de crédito)
Decreto n. 6.523, de 31 de julho de 2008 (Serviço de Atenção ao Consumidor)
Decreto n. 6.135, de 26 de junho de 2007 (Cadastro de programas sociais e intercâmbio de dados entre órgãos do Estado)
Resolução n. 1.821/2007 do CFM (Digitalização e guarda de prontuários médicos)
Lei 10.406, de 10 de janeiro de 2002 (Código Civil)
Lei 9.507, de 12 de novembro de 1997 (Habeas Data)
Lei Complementar n. 105, de 10 de janeiro de 2001 (Sigilo das operações das instituições financeiras)
Lei n. 9.983, de 14 de julho de 2000 (Alteração e criação de dados falsos em sistemas da administração pública)
Lei n. 9.296, de 24 de julho de 1996 (Interceptações telefônicas)
Lei n. 9.472, de 16 de julho de 1997 (Lei Geral de Telecomunicações)
Lei n. 8.069, de 13 de julho de 1990 (Estatuto da Criança e do Adolescente)
Constituição da República Federativa do Brasil de 1988
Declaração Universal dos Direitos Humanos de 1948

Legislação Municipal

LEI Nº 3.073, DE 04 DE NOVEMBRO DE 2021

Disciplina o acesso à informação no Município de Maricá, em conformidade com a Lei Nacional n° 12.527/2011, e com os arts. 5º, inc. XXXIII; 37, §3º, inc. II; e 216, §2º da Constituição Federal. Clique aqui para abrir.

DECRETO Nº 840, DE 05 DE ABRIL DE 2022

Regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) – no âmbito da Administração Municipal Direta e Indireta do Município de Maricá/RJ. Clique aqui para abrir.

PORTARIA Nº 1308, DE 24 DE MAIO DE 2022

Cria a Comissão Permanente Municipal de Proteção de Dados da Prefeitura Municipal de Maricá. Clique aqui para abrir.

PORTARIA SMA Nº 001 DE 02 DE JANEIRO DE 2024

Estabelece o Plano de Classificação e a tabela de temporalidade e destinação de documentos das atividades-meio do Poder Executivo Municipal e dá outras providências. Clique aqui para abrir.

PORTARIA Nº 86, DE 22 DE OUTUBRO DE 2024

Designa a estrutura necessária para implementação e operacionalização da Lei Geral de Proteção de Dados – LGPD no âmbito do ICTIM, visando obedecer ao Decreto nº 840 de 05 de Abril de 2022, que regulamenta no Município de Maricá a aplicação da Lei Federal nº 13.709/2018 (LGPD). Clique aqui para abrir.

MANUAL LGPD MARICÁ

Manual LGPD Maricá. Clique aqui para abrir.

Comunicando Incidentes

INCIDENTES DE SEGURANÇA COM DADOS PESSOAIS E SUA AVALIAÇÃO PARA FINS DE COMUNICAÇÃO À ANPD

O que é um incidente de segurança com dados pessoais?

Um incidente de segurança com dados pessoais é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.

O art. 47 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD) determina que os agentes de tratamento de dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Acesse a página de Comunicação de incidente de segurança (ANPD)

O que fazer em caso de um incidente de segurança com dados pessoais?

Avaliar internamente o incidente – natureza, categoria e quantidade de titulares de dados afetados, categoria e quantidade dos dados afetados, consequências concretas e prováveis.

Comunicar ao encarregado (Art. 5º, VIII da LGPD);
Comunicar ao controlador, se você for o operador, nos termos da LGPD;
Comunicar à ANPD e ao titular de dados, em caso de risco ou dano relevante aos titulares (Art. 48 da LGPD); e
Elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas (Art. 6º, X da LGPD).

Quem deve fazer a comunicação de incidentes?

O art. 48 da LGPD determina que é obrigação do controlador comunicar à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Recomenda-se que os controladores adotem posição de cautela, de modo que a comunicação seja efetuada mesmo nos casos em que houver dúvida sobre a relevância dos riscos e danos envolvidos. Ressalte-se, ainda, que eventual e comprovada subavaliação dos riscos e danos por parte dos controladores pode ser considerada descumprimento à legislação de proteção de dados pessoais.

Embora a responsabilidade e a obrigação pela comunicação à ANPD sejam do controlador, caso excepcionalmente sejam apresentadas informações pelo operador, serão devidamente analisadas pela ANPD.

O que comunicar à Autoridade Nacional de Proteção de Dados?

As informações devem ser claras e concisas. Além do que prescreve o § 1º do artigo 48 da LGPD, recomenda-se que a comunicação contenha as seguintes informações, disponíveis no formulário de comunicação de incidentes de segurança com dados pessoais da ANPD:

Identificação e dados de contato de:
1. Entidade ou pessoa responsável pelo tratamento.
2. Encarregado de dados ou outra pessoa de contato.
Indicação se a notificação é completa ou parcial. Em caso de comunicação parcial, indicar que se trata de uma comunicação preliminar ou de uma comunicação complementar.
Informações sobre o incidente de segurança com dados pessoais:
1. Data e hora da detecção.
2. Data e hora do incidente e sua duração.
3. Circunstâncias em que ocorreu a violação de segurança de dados pessoais, por exemplo, perda, roubo, cópia, vazamento, dentre outros.
4. Descrição dos dados pessoais e informações afetadas, como natureza e conteúdo dos dados pessoais, categoria e quantidade de dados e de titulares afetados
5. Resumo do incidente de segurança com dados pessoais, com indicação da localização física e meio de armazenamento.
6. Possíveis consequências e efeitos negativos sobre os titulares dos dados afetados.
7. Medidas de segurança, técnicas e administrativas preventivas tomadas pelo controlador de acordo com a LGPD.
8. Resumo das medidas implementadas até o momento para controlar os possíveis danos.
9. Possíveis problemas de natureza transfronteiriça.
10. Outras informações úteis às pessoas afetadas para proteger seus dados ou prevenir possíveis danos.

Caso não seja possível fornecer todas as informações no momento da comunicação preliminar, informações adicionais poderão ser fornecidas posteriormente.

No momento da comunicação preliminar deverá ser informado à ANPD se serão fornecidas mais informações posteriormente, bem como quais meios estão sendo utilizados para obtê-las. A ANPD também poderá requerer informações adicionais a qualquer momento.

Em que situação e o que comunicar ao titular dos dados?

Sempre que o incidente de segurança possa acarretar um risco ou dano relevante aos titulares afetados.

Critérios mais objetivos serão objeto de futura regulamentação e não poderão ser aqui exigidos sob pena de se inovar na LGPD. De toda forma, pode-se extrair da lei que a probabilidade de risco ou dano relevante para os titulares será maior sempre que o incidente envolver dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes, ou tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade. Da mesma forma, deve-se considerar o volume de dados envolvido, o quantitativo de indivíduos afetados, a boa-fé e as intenções dos terceiros que tiveram acesso aos dados após o incidente e a facilidade de identificação dos titulares por terceiros não autorizados.

O controlador deverá avaliar internamente a relevância do risco ou dano do incidente de segurança para determinar se deverá comunicar à ANPD e ao titular. Para tanto, sugere-se responder internamente às seguintes perguntas:

1. Ocorreu um incidente de segurança relacionado a dados pessoais?

☐Sim – Próxima pergunta.

☐Não – Não é necessário comunicar a ANPD se não houve incidente de segurança relacionado a dados pessoais.

2. Existe um risco ou dano relevante aos direitos e liberdades individuais dos titulares afetados em razão do incidente de segurança?

☐Sim – Comunique à ANPD e ao titular.

☐Não – A comunicação à ANPD não será necessária se o responsável pelo tratamento puder demonstrar, de forma irrefutável, que a violação da segurança dos dados pessoais não constitui um risco relevante para os direitos e liberdades do titular dos dados.

Qual o prazo para comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?

A Resolução nº 15, de 24 de abril de 2024, da Autoridade Nacional de Proteção de Dados (ANPD), aprovou o Regulamento de Comunicação de Incidente de Segurança. O Regulamento estabelece procedimentos para a comunicação de incidentes de segurança, por parte de controladores de dados pessoais, conforme exigido no art. 48 da Lei Geral de Proteção de Dados Pessoais (LGPD).

Exceto se for agente de tratamento de pequeno porte, na forma da Resolução nº 2 da ANPD, a comunicação deve ser feita à ANPD e aos titulares afetados em até três dias úteis, contados da data em que o controlador confirmar que o incidente afetou dados pessoais. Se for feita por procurador, o mandato deve ser apresentado também nesse prazo.
As informações à ANPD podem ser complementadas em até 20 dias úteis contados da data do protocolo da primeira comunicação.

Como comunicar um incidente de segurança para a Autoridade Nacional de Proteção de Dados?

Preencha o formulário eletrônico disponível no site e envie por meio de Peticionamento Eletrônico – Usuário Externo. Para maiores informações sobre o envio acesse:

Peticionamento Eletrônico ANPD

Materiais de Apoio

Apostila LGPD ICTIM

Apostila LGPD com ênfase na gestão de contratos

Podcast

Podcast 1

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.