Canal LGPD

Consulta perguntas e respostas frequentes

O que é LGPD?

LGPD é uma lei criada para garantir ao titular um controle maior sobre o tratamento de seus dados pessoais, estabelecendo princípios e regras que devem ser observados por pessoas físicas e jurídicas, de direito público e privado, objetivando garantir direitos relacionados à proteção de dados pessoais.

Quem fiscaliza o cumprimento da lei?

A fiscalização é de competência da Autoridade Nacional de Proteção de Dados (ANPD), órgão subordinado à Presidência da República, que no Brasil ainda carece de indicações para o seu funcionamento, incumbido de fiscalizar o cumprimento da lei, elaborar diretrizes e também aplicar as sanções em casos de irregularidade. Outros órgãos podem estar relacionados com a fiscalização da lei quando couber, como Ministério Público, para lidar com a questão de direitos difusos dos cidadãos e outros.

Quem é o “titular”?

Nos termos da lei, é a pessoa natural a quem se referem os dados pessoais que são objetos de coleta e tratamento. No caso do Serpros poderá ser qualquer pessoa física com quem a entidade estabeleça relação nessa condição, como os participantes, assistidos e beneficiários, empregados ou outras pessoas naturais.

Quem é o Operador?

É a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Qualquer contratado pelo Serpros, que realize tratamento de dados em seu nome atua como Operador.

O que são “dados pessoais”?

Trata-se de qualquer informação relacionada à pessoa natural identificada ou identificável (como CPF, data de nascimento, e-mail e outros).

O que são “dados pessoais sensíveis”?

Nos termos da lei é qualquer dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

O que compreende o tratamento destes dados?

O tratamento de dados é a operação realizada com dados pessoais como armazenamento, coleta, reprodução, entre outras.

Em quais casos de tratamento de dados pessoais a lei é aplicada?

A LGPD é aplicável às operações de tratamento de dados pessoais que tenham sido coletados no território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas nele localizadas, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.

A LGPD será aplicada para qualquer tratamento de dados pessoais?

Não para as hipóteses de tratamento dados pessoais realizado por uma pessoa física para fins particulares; para fins exclusivamente jornalísticos, artísticos e acadêmicos; ou pelo Poder Público - no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.

O tratamento de dados pessoais sensíveis pode ser realizado?

Sim, com o consentimento dado na forma da lei; Ou quando indispensável para: o cumprimento de obrigação legal ou regulatória pelo controlador; pela administração pública, de políticas públicas previstas em leis ou regulamentos; estudos por órgão de pesquisa; exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; proteção da vida; tutela da saúde; garantia da prevenção à fraude e à segurança do titular.

Quais são os princípios da LGPD?

Finalidade: Realização de tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

Necessidade: limitação do tratamento ao que for necessário realizar as finalidades, de forma pertinentes, proporcional e não excessiva em relação às finalidades.

Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Qualidade: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. Destaque-se que para a atualização dos dados dos titulares de dados que sejam participantes ou assistidos, é indispensável a manutenção de atualização cadastral pelo próprio titular de dados.

Transparência; garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial

Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão

Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais

Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos e

Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Quais são os direitos que podem ser requeridos pelos titulares de dados?

A LGPD dispõe sobre vários direitos dos titulares de dados, sendo obrigação dos controladores disponibilizar o acesso a requisição dos seguintes direitos:

I - confirmação da existência de tratamento, ou seja, o titular poderá solicitar a informação de que o Serpros, na condição de controlador, realiza tratamento de seus dados pessoais.

II - acesso aos dados, ou seja, poderá o titular requerer quais dados o Serpros realiza tratamento.

III - correção de dados incompletos, inexatos ou desatualizados. Destaque-se que no caso do Serpros em relação aos participantes, assistidos e beneficiários, as correções deverão ser procedidas pelos, por meio de acesso à área restrita, realizado por meio de login e senha, uma vez que as informações de cadastro, por força do contrato, são fornecidas pelos próprios titulares. O Serpros só procederá a correção nas hipóteses em que as alterações não possam ser operadas pelos próprios titulares e mediante autorização expressa dos mesmos.

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade, destacando-se que o atendimento desse direito pelo Serpros por vezes restará impossibilitado ou estará condicionado aio cancelamento do contrato previdenciário.

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; destacando-se que o exercício desse direito aguarda regulamentação da autoridade nacional.

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei, destacando -se que esse direito só tem aplicação na hipótese de tratamento fundamentado em consentimento do titular.

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, destacando -se que esse direito só tem aplicação na hipótese de tratamento fundamentado em consentimento do titular, quando couber.

IX - revogação do consentimento. destacando -se que esse direito só tem aplicação na hipótese de tratamento fundamentado em consentimento do titular.

Em que situações a lei permite o tratamento de dados pessoais?

O tratamento de dados pessoais somente poderá ser realizado em várias situações, e, no caso do Serpros, predominantemente será realizado para a execução do contrato previdenciário e o cumprimento de obrigação legal, não excluídas as demais bases legais, sendo certo que todas as possibilidades a seguir listadas são ensejadoras da autorização legal para o tratamento de dados: Com consentimento do titular; Para cumprimento de obrigação legal ou regulatória; Pela Administração Pública; Para realização de estudos por órgãos de pesquisa; Para execução de contratos, a pedido do titular; Em processos judiciais, administrativos ou arbitrais; Para proteção da vida; Para tutela da saúde; Em legítimo interesse do Controlador; Para proteção do crédito.

O que é “consentimento”?

É a manifestação livre, informada e inequívoca, pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Mas o consentimento é uma das possibilidades legais de tratamento de dados, não sendo obrigatória ou predominante às demais previsões autorizativas de tratamento de dados.

Como se dá o consentimento de Crianças e Adolescentes?

A LGPD estabelece, no artigo 14, que o tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse. Para tratamento de dados pertencentes a crianças (até 12 anos de idade), deverá ser realizado com consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. Por tal razão, o Serpros orienta aos titulares de dados como participantes que tenham cadastrado os dados de seus dependentes menores, que atualizem na área restrita as informações para dar o consentimento expresso para o tratamento de dados de crianças, através de manifestação clara e objetiva, para o cumprimento da lei. Os dados de crianças e adolescentes poderão ser coletados sem o consentimento, quando for necessário para sua proteção ou para contatar os pais ou o responsável legal, sendo utilizados uma única vez e sem armazenamento. Sem consentimento, em nenhum caso, poderão ser repassados a terceiros.

Em casos de irregularidade no tratamento de dados, como são as responsabilizações?

As responsabilizações são administrativas ou cíveis, nos termos previstos na Lei 13.709/2018.

O que é DPO ou Encarregado?

É a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD, a quem também estão incumbidas outras atribuições legais ou que o Controlador determine.

Em caso de incidente o titular deverá ser informado?

Na hipótese de incidente de segurança que possa causar prejuízo ao titular de dados, a LGPD determina que o Controlador deverá comunicar ao titular e à ANPD sobre a sua ocorrência.

Quando a LGPD entrará em vigor?

A Lei Geral de Proteção de Dados já entrou em vigor parcialmente (artigos 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58B) e os artigos relacionados às penalidades entrarão em vigor em 16 de agosto de 2021. Os demais artigos entraram em vigor a partir de 18/09/2020, tendo em vista a previsão do artigo 65 da lei e a não aprovação, pelo Senado, do artigo da Medida Provisória nº 959/2020, que previa o adiamento da vigência da lei 13.709/2018 para maio de 2021.

O que é a ANPD?

Autoridade Nacional de Proteção de Dados, órgão da administração pública federal com autonomia técnica e decisória, vinculado à Presidência da República, responsável por fiscalizar, garantir e orientar o cumprimento da Lei 13.709/2018.