1. Início
  2. Explorar
  3. Administração Pública
  4. LGPD: fundamentos, princípios, direitos do titular e ANPD

LGPD: fundamentos, princípios, direitos do titular e ANPD – Administração Pública | Tuco-Tuco

Lei 13.709/2018, conceitos (titular, controlador, operador, dado pessoal, dado sensível), bases legais, princípios, direitos, transferência internacional, ANPD

<h2>Lei Geral de Proteção de Dados (LGPD)</h2> <h3>Contexto e fundamento</h3> <p>A <strong>Lei 13.709/2018</strong>, em vigor desde 2020 (sanções desde agosto de 2021 — Lei 14.010/2020), regula o tratamento de dados pessoais por pessoas naturais e jurídicas, de direito público e privado. Foi inspirada no <strong>GDPR europeu</strong> (Regulamento 2016/679/UE). Fundamento constitucional: a <strong>EC 115/2022</strong> incluiu o direito fundamental à <strong>proteção de dados pessoais</strong> no art. 5º, LXXIX, e a competência privativa da União para legislar sobre o tema.</p> <h3>Conceitos (art. 5º)</h3> <ul> <li><strong>Dado pessoal</strong> — informação relacionada a pessoa natural identificada ou identificável;</li> <li><strong>Dado pessoal sensível</strong> — sobre origem racial/étnica, convicção religiosa, opinião política, filiação sindical/religiosa/filosófica, dado genético/biométrico, dado referente à saúde ou à vida sexual;</li> <li><strong>Dado anonimizado</strong> — não permite identificação considerando meios técnicos razoáveis;</li> <li><strong>Banco de dados</strong>; <strong>tratamento</strong> (operações como coleta, classificação, acesso, transferência, armazenamento, eliminação);</li> <li><strong>Titular</strong> — pessoa natural a quem se referem os dados;</li> <li><strong>Controlador</strong> — quem toma decisões sobre o tratamento;</li> <li><strong>Operador</strong> — quem realiza o tratamento em nome do controlador;</li> <li><strong>Encarregado (DPO)</strong> — pessoa indicada pelo controlador como canal de comunicação com titulares e ANPD;</li> <li><strong>Agentes de tratamento</strong> = controlador + operador.</li> </ul> <h3>Princípios (art. 6º)</h3> <ol> <li><strong>Finalidade</strong>;</li> <li><strong>Adequação</strong>;</li> <li><strong>Necessidade</strong>;</li> <li><strong>Livre acesso</strong>;</li> <li><strong>Qualidade dos dados</strong>;</li> <li><strong>Transparência</strong>;</li> <li><strong>Segurança</strong>;</li> <li><strong>Prevenção</strong>;</li> <li><strong>Não discriminação</strong>;</li> <li><strong>Responsabilização e prestação de contas (accountability)</strong>.</li> </ol> <h3>Bases legais para tratamento (art. 7º — dados pessoais comuns)</h3> <ol> <li>Consentimento do titular;</li> <li>Cumprimento de obrigação legal/regulatória;</li> <li>Pela administração pública, para a execução de políticas públicas;</li> <li>Estudos por órgão de pesquisa (anonimização sempre que possível);</li> <li>Execução de contrato ou de procedimentos preliminares relacionados a contrato;</li> <li>Exercício regular de direitos em processo;</li> <li>Proteção da vida ou da incolumidade física;</li> <li>Tutela da saúde por profissional ou autoridade sanitária;</li> <li>Legítimo interesse do controlador;</li> <li>Proteção do crédito.</li> </ol> <p>Para <strong>dados sensíveis</strong> (art. 11), as bases são mais restritas e não incluem o "legítimo interesse"; admitem-se consentimento específico e destacado, ou hipóteses específicas (cumprimento de obrigação legal, política pública, estudos, exercício de direitos, proteção da vida, tutela da saúde, prevenção à fraude).</p> <h3>Direitos do titular (art. 18)</h3> <ol> <li>Confirmação da existência de tratamento;</li> <li>Acesso aos dados;</li> <li>Correção de dados incompletos, inexatos ou desatualizados;</li> <li>Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;</li> <li>Portabilidade dos dados;</li> <li>Eliminação dos dados pessoais tratados com consentimento;</li> <li>Informação sobre entidades com as quais foram compartilhados;</li> <li>Informação sobre a possibilidade de não consentir;</li> <li>Revogação do consentimento;</li> <li>Oposição a tratamento;</li> <li>Revisão de decisões automatizadas que afetem os interesses do titular (decisões totalmente automatizadas — perfil pessoal, profissional, consumo, crédito).</li> </ol> <h3>Setor público (arts. 23 a 32)</h3> <p>O tratamento por pessoas jurídicas de direito público deve atender finalidade pública, no exercício de suas competências legais ou para execução de políticas públicas. Devem informar a base legal, indicar o encarregado, manter registro das operações, elaborar <strong>RIPD — Relatório de Impacto à Proteção de Dados Pessoais</strong> quando o tratamento puder gerar riscos. <strong>Compartilhamento de dados</strong> entre órgãos exige base legal e finalidade compatível.</p> <h3>Transferência internacional (art. 33)</h3> <p>Permitida apenas para países que ofereçam grau de proteção adequado ou mediante garantias específicas (cláusulas contratuais padrão, normas corporativas globais, autorização da ANPD, consentimento específico, cooperação jurídica internacional, proteção da vida etc.).</p> <h3>Segurança e incidentes (arts. 46-49)</h3> <p>Os agentes devem adotar medidas de segurança técnicas e administrativas. <strong>Incidente de segurança</strong> que possa acarretar risco ou dano relevante aos titulares deve ser <strong>comunicado à ANPD e aos titulares</strong> em prazo razoável. Conteúdo da comunicação: descrição da natureza dos dados, titulares envolvidos, medidas técnicas/segurança, riscos, mitigação.</p> <h3>ANPD — Autoridade Nacional de Proteção de Dados</h3> <p>Criada pela LGPD (art. 55-A) e <strong>transformada em autarquia de regime especial</strong> pela Lei 14.460/2022. Composta por Conselho Diretor, Conselho Nacional de Proteção de Dados e Privacidade, Corregedoria, Ouvidoria e PGF/AGU vinculada. Competência: regular, fiscalizar, sancionar, promover, cooperar internacionalmente, editar normas (Resoluções e Guias).</p> <h3>Sanções (art. 52)</h3> <ul> <li><strong>Advertência</strong>;</li> <li><strong>Multa simples</strong> — até <strong>2% do faturamento</strong> da PJ no Brasil, limitada a <strong>R$ 50 milhões por infração</strong>;</li> <li><strong>Multa diária</strong>;</li> <li><strong>Publicização da infração</strong>;</li> <li><strong>Bloqueio dos dados</strong>;</li> <li><strong>Eliminação dos dados</strong>;</li> <li><strong>Suspensão parcial/total</strong> do banco de dados ou do tratamento;</li> <li><strong>Proibição parcial/total</strong> do exercício de atividades.</li> </ul> <h3>Para a prova</h3> <ul> <li><strong>Lei 13.709/2018 — LGPD</strong>; sanções desde 1/8/2021.</li> <li>Dado <strong>sensível</strong>: origem racial, religiosa, política, sindical, genético, biométrico, saúde, sexual.</li> <li>10 bases legais para dados comuns; restrições para sensíveis (sem "legítimo interesse").</li> <li><strong>Direitos</strong>: acesso, correção, eliminação, portabilidade, oposição, revisão de decisão automatizada.</li> <li><strong>ANPD</strong>: autarquia especial (Lei 14.460/2022).</li> <li>Multa: <strong>2% do faturamento, limitada a R$ 50 mi</strong>.</li> </ul>