Lei Geral de Proteção de Dados Pessoais (LGPD)
A Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados – LGPD), é norma geral e de interesse nacional, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A LGPD objetiva criar padrões mínimos e boas práticas relacionadas ao tratamento de dados pessoais a serem observados por quem realiza os tratamentos (Controlador e Operador), bem assim prevê direitos a serem exigidos pelo titular do dado pessoal ao Controlador.
Dentre os principais aspectos trazidos na referida lei, destacam-se:
- os fundamentos da proteção de dados pessoais (art. 2º), a exemplo do respeito à privacidade e a autodeterminação informativa;
- as definições legais de alguns dos principais termos utilizados na lei (art. 5º), tais como, os conceitos de dado pessoal, dado pessoal sensível, dado anonimizado e tratamento;
- os princípios que devem ser observados em qualquer atividade de tratamento de dados pessoais (art. 6º), dos quais destacamos os princípios da boa-fé, da finalidade, da adequação e da necessidade;
- as hipóteses que autorizam o tratamento de dados pessoais (art. 7º) e o tratamento de dados pessoais sensíveis (art. 11);
- a previsão de direitos dos titulares de dados e as obrigações dos agentes de tratamento (arts. 9º e 17 ao 22); e
- a necessidade de indicação do Encarregado de Dados para realizar as atividades de tratamento de dados pessoais (arts. 37, 41, 42 e 46 ao 49).
No Poder Judiciário a implementação da LGPD está sendo analisada pelo Conselho Nacional de Justiça (CNJ), que aprovou a Recomendação nº 73, de 20 de agosto de 2020 e editou a Resolução nº 363, de 12 de janeiro de 2021.
A Justiça Eleitoral de Mato Grosso do Sul também está se movimentando para implementar a LGPD e garantir a segurança dos dados pessoais que custodia em razão do desenvolvimentos de suas atribuições legais, contratuais ou conveniais ou em razão da execução de políticas públicas.
Nesse sentido, foram editadas as Portarias nº 191/2020 (que instituiu o Grupo de Trabalho para a realização de estudos e apresentação de iniciativas para implementação da LGPD), a Portaria nº 216/2021 (que instituiu a Política de Proteção de Dados Pessoais), a Portaria nº 217/2021 (que instituiu o Comitê Gestor de Proteção de Dados Pessoais) e a Portaria nº 218 (que instituiu o órgão Encarregado pelo Tratamento de dados pessoais e o Grupo de Trabalho Técnico, em apoio às atividades daquele).
Toda atividade de tratamento de dados pessoais deve observar os requisitos previstos nos arts. 7º e 11 da Lei nº 13.709/2018, além de outras normas previstas na própria LGPD, sem prejuízo da observância de outras leis, quando aplicáveis, a exemplo da Lei de Acesso à Informação (Lei nº 12.527, de 18 de novembro de 2011), Lei do Habeas Data (Lei nº 9.507, de 12 de novembro de 1997), Código de Defesa do Consumidor (Lei nº 8.078, de 11 de setembro de 1990) e o Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014).
Reproduzimos abaixo, os requisitos da LGPD para o tratamento de dados pessoais e dados pessoais sensíveis.
Requisitos para o Tratamento de Dados Pessoais
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Requisitos para o Tratamento de Dados Pessoais Sensíveis
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Agentes de Tratamento
Segundo a LGPD, as operações de tratamento de dados pessoais podem ser realizadas pelo Controlador e pelo Operador, denominados de agentes de tratamento.
Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. O TRE-MS é o controlador da Justiça Eleitoral de Mato Grosso do Sul.
Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado
Ainda de acordo com a LGPD, Encarregado de dados ou Data Protection Officer (DPO) é a pessoa indicada pelo controlador para atuar como canal de comunicação com os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), cujas as atividades são as previstas no art. 41, §2º, que consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Na Justiça Eleitoral de Mato Grosso do Sul, o órgão Encarregado é integrado pelos(as) magistrados(as):
- Dr. Fernando Chemin Cury, Juiz Auxiliar da Presidências, que que exercerá a função de Coordenador; e
- Dr. Ricardo Gomes Façanha, Juiz Membro Substituto do Tribunal Regional Eleitoral de Mato Grosso do Sul.
No desempenho de suas atribuições, o órgão Encarregado será auxiliado pelo Grupo de Trabalho Técnico, de caráter permanente e multidisciplinar, integrado por servidoras e servidores efetivos do TRE-MS.
CONTATOS DO ENCARREGADO DO TRE-MS:
Nome completo: Dr. Fernando Chemin Cury
Endereço: Rua Des. Leão Neto do Carmo, 23 - Parque dos Poderes
Campo Grande/MS - CEP: 79037-100
Fone: (67) 2107-7000
E-mail: encarregado.lgpd@tre-ms.jus.br
Direitos do Titular de Dados
Titular de dados pessoais é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (art. 5º, V, da LGPD). A lei estabelece uma série de direitos que os titulares poderão exercer perante o TRE-MS.
As solicitações do titular de dados que tenham por base as disposições da LGPD podem ser encaminhadas por intermédio do formulário eletrônico ou demais canais de comunicação disponibilizados pela Ouvidoria Eleitoral.
ATENÇÃO! As solicitações que tratam de alterações de dados constantes no Título de Eleitor devem ser protocoladas nos Cartórios Eleitorais ou formuladas por intermédio do aplicativo E-Título.
A seguir reproduzimos os direitos do titular previstos no Capítulo III da LGPD.
Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:
I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.
Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
I - em formato simplificado, imediatamente; ou
II - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.
§ 2º As informações e os dados poderão ser fornecidos, a critério do titular:
I - por meio eletrônico, seguro e idôneo para esse fim; ou
II - sob forma impressa.
§ 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
§ 4º A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II do caput deste artigo para os setores específicos.
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
§ 3º (VETADO).
Art. 21. Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.
Art. 22. A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.
Obrigações do Controlador
Conforme já estabelecido anteriormente, para a LGPD controlador é a "pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais".
Também já foi dito que, no âmbito da Justiça Eleitoral de Mato Grosso do Sul, o papel de controlador é exercido pelo Tribunal Regional Eleitoral de Mato Grosso do Sul (TRE-MS).
Reproduzimos abaixo as principais obrigações do TRE-MS decorrentes da LGPD:
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.