FAQ

É a Lei Federal nº 13.709, de 14 de agostos de 2018. Esta Lei dispõe sobre o tratamento de dados pessoais, nos meios digitais e físicos, por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, desde que:

I – a operação de tratamento seja realizada no território nacional;

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;

III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.

§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei.

Dados pessoais são todas as informações relacionadas a uma pessoa identificada ou identificável. Isso significa que o conceito é bastante abrangente e engloba até mesmo informações indiretas que possam permitir a identificação de alguém. Dentre os exemplos de dados pessoais, temos: nome, prenome, RG, CPF, Matrícula UERJ, ID único, e-mail UERJ, e-mail pessoal, título de eleitor, número de passaporte, endereço, estado civil, gênero, entre outros.

Dados pessoais sensíveis são todas as informações que se referem à origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicatos ou organizações com caráter religioso, filosófico ou político, dados relacionados à saúde ou à vida sexual, bem como informações genéticas ou biométricas, quando estão vinculados a uma pessoa identificável.

Para facilitar o entendimento, podemos dizer que os dados pessoais sensíveis são aqueles que, se divulgados ou utilizados indevidamente, podem causar discriminação ou expor os titulares a riscos e vulnerabilidades que afetam seus direitos e liberdades fundamentais.

À luz da LGPD (Lei Geral de Proteção de Dados), o tratamento de dados pessoais ou dados pessoais sensíveis pode ser compreendido como todas as operações realizadas com essas informações. Isso inclui atividades como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Essa definição é bastante ampla e abrange todo o ciclo de vida de um dado, desde o momento em que é coletado até quando é eliminado. Em outras palavras, qualquer interação ou contato com um dado, seja através do WhatsApp, e-mail, voz, imagem ou vídeo, já pode ser considerado como um tratamento de dados.

Por exemplo, quando você envia uma mensagem pelo WhatsApp, está realizando uma operação de tratamento de dados, já que a informação é coletada, transmitida e armazenada pelo aplicativo. Da mesma forma, ao enviar um e-mail ou compartilhar uma foto, também estão ocorrendo operações de tratamento de dados.

O termo “pessoa natural” é uma expressão utilizada no campo jurídico para se referir a um indivíduo humano, ou seja, a uma pessoa física, em contraposição a uma pessoa jurídica (entidade legal, como uma empresa). Este termo se refere exclusivamente a um indivíduo vivo, ou seja, uma pessoa física que possui existência física e é capaz de ter direitos e obrigações. A pessoa natural é o ser humano enquanto indivíduo, com sua identidade, personalidade e capacidade jurídica.

As pessoas naturais são titulares de direitos fundamentais, como o direito à vida, à liberdade, à integridade física e psicológica, entre outros. Elas também possuem responsabilidades e deveres perante a sociedade e o Estado.

De forma mais simples, quando falamos de titular, estamos nos referindo a você ou a qualquer outra pessoa natural que tenha dados pessoais e/ou dados pessoais sensíveis, sendo tratados, a luz do conceito de tratamento já exposto. Sendo assim, podem ser considerados titulares: docentes, discentes, técnicos-administrativos, terceiros dentre outros.

O Encarregado pelo Tratamento de Dados Pessoais, na UERJ, é o Léo Farias, Assessor do Reitor e, consequentemente, vinculado à Reitoria. O Encarregado pelo Tratamento de Dados Pessoais foi designado pela Portaria UERJ nº 361/REITORIA/2023.

Na LGPD, o Art. 41 prevê, em seu § 2º as atividades do Encarregado pelo Tratamento de Dados, que  consistem em:

I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II – receber comunicações da autoridade nacional e adotar providências;

III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

As atividades do Encarregado pelo Tratamento de Dados Pessoais previstas na Portaria UERJ nº 361/REITORIA/2023 são complementares ao texto supracitado e consistem em:

I – auxiliar na gestão de processos que estejam relacionados ao tratamento de dados pessoais, para que este conduza, ou aconselhe a implementação de regras de boas práticas e de governança;

II – presidir as reuniões do Comitê Gestor de Privacidade e Proteção de Dados Pessoais (CGPPD) e determinará as diretrizes, pautadas nas boas práticas para cumprimento do AEDA 123 /REITORIA/ 2022 e AEDA 124/ REITORIA/2022;

Cabe ressaltar que os componentes organizacionais deverão:

a. garantir apoio ao Encarregado pelo Tratamento de Dados, para a execução das suas atribuições;

b. divulgar a identidade do Encarregado pelo Tratamento de Dados suas e informações de contato, nos seus sítios e subsítios eletrônicos, conforme texto, a seguir:

A LGPD foi promulgada em 2018 e tem como objetivo regulamentar o tratamento de dados pessoais para garantir o livre desenvolvimento da personalidade e a dignidade da pessoa humana. Para isso, a lei estabelece uma série de regras a serem seguidas pelos Agentes de Tratamento, incluindo o Poder Público.

O termo “Poder Público” é definido pela LGPD de forma ampla e inclui órgãos ou entidades dos entes federativos (União, Estados, Distrito Federal e Municípios) e dos três Poderes (Executivo, Legislativo e Judiciário), inclusive das Cortes de Contas e do Ministério Público. Assim, os tratamentos de dados pessoais realizados por essas entidades e órgãos públicos devem observar as disposições da LGPD, ressalvadas as exceções previstas no art. 4º da lei.

A LGPD visa, ainda, assegurar que dados pessoais sejam utilizados de forma transparente e com fins legítimos, ao mesmo tempo garantindo os direitos dos titulares. Especificamente em relação ao Poder Público, a LGPD (art. 55–J, xi e xvi) prevê que a Autoridade Nacional de Proteção de Dados (ANPD) pode solicitar informe específico sobre o âmbito, a natureza dos dados e demais detalhes envolvidos na operação, bem como realizar auditorias sobre o tratamento de dados pessoais. O art. 52, § 3°, estabelece quais sanções podem ser aplicadas às entidades e aos órgãos públicos, com expressa exclusão das penalidades de multa simples ou diária previstas nesta Lei.

A ANPD é o órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para sua implementação, no que se inclui a deliberação administrativa, em caráter terminativo, sobre a interpretação da lei e sobre as suas próprias competências e casos omissos (art. 55–K, parágrafo único; art. 55–J, xx).

Além disso, a ANPD detém competência exclusiva para aplicar as sanções administrativas previstas na LGPD, com prevalência de suas competências sobre outras correlatas de entidades e órgãos da administração pública no que se refere à proteção de dados pessoais (art. 55–K).

Assim, a ANPD possui competência originária, específica e uniformizadora no que concerne à proteção de dados pessoais e à aplicação da LGPD, previsão legal que deve ser interpretada de forma a se compatibilizar com a atuação de outros entes públicos que possam eventualmente tratar sobre o tema. A esse respeito, a LGPD (art. 55–J, § 3º) estabelece que a ANPD deve atuar em coordenação e articulação com outros órgãos e entidades públicas, visando assegurar o cumprimento de suas atribuições com maior eficiência e promover o adequado funcionamento dos setores regulados.

O servidor público que infrinja a LGPD também é passível de responsabilização administrativa pessoal e autônoma, conforme o art. 28 do Decreto Lei n° 4.657, de 4 de setembro de 1942 (Lei de Introdução às normas do Direito Brasileiro). Dessa forma, tratar dados pessoais indevidamente, como, por exemplo, vendendo banco de dados, alterando ou suprimindo cadastros de forma inadequada ou usando dados pessoais para fins ilegítimos pode levar à responsabilização do servidor público que praticou o ato ilegal.

Segundo entendimento firmado por unanimidade pelo Supremo Tribunal Federal, se forem desobedecidas as diretrizes da LGPD, o Estado responderá objetivamente pelos danos causados às pessoas. E o servidor público que dolosamente violar o dever de publicidade estabelecido no artigo 23, I, da LGPD responderá por ato de improbidade administrativa, do artigo 11, IV, da Lei 8.429/1992. Os ministros concederam interpretação conforme a Constituição ao Decreto 10.046/2019, que trata do compartilhamento de dados no âmbito da administração pública federal e instituiu o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.

A observância dos princípios (art. 6º, LGPD) constitui parte essencial do tratamento de dados pessoais. Os princípios previstos na LGPD deverão observar a boa-fé e estão descritos, a seguir:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Como regra geral, os princípios devem ser interpretados em conjunto e de forma sistemática com as disposições do Capítulo IV da LGPD (arts. 23 a 30), no qual se encontram normas específicas direcionadas ao Poder Público.

O compartilhamento de dados pessoais é a operação de tratamento pela qual órgãos e entidades públicos conferem permissão de acesso ou transferem uma base de dados pessoais a outro ente público ou a entidades privadas visando ao atendimento de uma finalidade pública. De forma mais específica, a lgpd utiliza o termo “uso compartilhado de dados”, que é definido como a “comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.” 

• ( a ) Formalização e registro: O uso compartilhado de dados pessoais pelo Poder Público deve ser formalizado, seja em atenção às normas gerais que regem os procedimentos administrativos, seja em atenção à obrigatoriedade de registro das operações de tratamento, conforme disposto no art. 37 da LGPD. Para tanto, recomenda-se a instauração de processo administrativo, do qual constem os documentos e as informações pertinentes, incluindo análise técnica e jurídica, conforme o caso, que exponham a motivação para a realização do compartilhamento e a sua aderência à legislação em vigor. Além disso, recomenda-se que o compartilhamento seja estabelecido em ato formal, a exemplo de contratos, convênios ou instrumentos congêneres firmados entre as partes. Outra possibilidade é a expedição de decisão administrativa pela autoridade competente, que autorize o acesso aos dados e estabeleça os requisitos definidos como condição para o compartilhamento;
• ( b ) Objeto e finalidade: Independentemente da opção adotada para a formalização e registro, os dados pessoais, objeto de compartilhamento, devem ser indicados de forma objetiva e detalhada, limitando-se ao que for estritamente necessário para as finalidades do tratamento, em conformidade com o princípio da necessidade. Por sua vez, a finalidade deve ser específica, com a indicação precisa, por exemplo, de qual iniciativa, ação ou programa será executado ou, ainda, de qual atribuição legal será cumprida mediante o compartilhamento dos dados pessoais. Nessa linha, o art. 26 da lgpd estabelece que “o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei.” Finalidades descritas de forma genérica ou indeterminada contrariam as disposições da LGPD, além de precedentes firmados pelo Supremo Tribunal Federal (STF) em casos similares;
• ( c ) Hipótese legal de Tratamento: O terceiro requisito a ser atendido para o uso compartilhado de dados pessoais pelo Poder Público é a definição da base legal, conforme art. 7º ou, no caso de dados sensíveis, art. 11 da LGPD, nos termos das orientações apresentadas neste Guia. Recomenda-se, nesse sentido, que o ato que autoriza ou formaliza o compartilhamento contenha expressa indicação da base legal utilizada;
• ( d ) Duração do tratamento: O tratamento de dados pessoais é um processo com duração definida, após o qual, em regra, os dados pessoais devem ser eliminados, observados as condições e os prazos previstos em normas específicas que regem a gestão de documentos e arquivos. Vale ressaltar que o art. 16 da LGPD estabelece hipóteses gerais em que é autorizada a conservação de dados pessoais. A delimitação do período de duração do uso compartilhado dos dados também é relevante para o fim de reavaliação periódica do instrumento que autorizou o compartilhamento, incluindo a possibilidade de sua adequação a novas disposições legais e regulamentares ou a previsão de novas medidas de segurança, de acordo com as tecnologias disponíveis. Portanto, o instrumento que autoriza ou formaliza o compartilhamento deve estabelecer, de forma expressa, o período de duração do uso compartilhado dos dados, além de esclarecer, conforme o caso, se há a possibilidade de conservação ou se os dados devem ser eliminados após o término do tratamento;
• (e) Transparência e direitos dos titulares: Os atos que regem e autorizam o compartilhamento de dados pessoais devem prever as formas de atendimento ao princípio da transparência (art. 6º, vi), assegurando a disponibilização de informações claras, precisas e facilmente acessíveis aos titulares sobre a realização do compartilhamento e sobre como exercer seus direitos, conforme as orientações apresentadas neste Guia. Constitui uma boa prática divulgar, na página eletrônica dos órgãos e das entidades responsáveis, as informações pertinentes, nos termos do art. 23, i, da lgpd. Adicionalmente, recomenda-se que sejam delimitadas as obrigações das partes no que se refere: (i) à divulgação das informações exigidas pela lgpd; e (ii) às responsabilidades e aos procedimentos a serem observados visando ao atendimento de solicitações apresentadas pelos titulares;
• ( f ) Prevenção e segurança: Também é importante que sejam estabelecidas as medidas de segurança, técnicas e administrativas, que serão adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 6º, vii, e 46, da LGPD). Estas medidas, que devem ser proporcionais aos riscos às liberdades civis e aos direitos fundamentais dos cidadãos envolvidos no caso concreto, deverão estar previstas nos atos que regem e autorizam o compartilhamento dos dados;
• ( g ) Outros requisitos: Além dos indicados acima, pode ser necessário atender a outros requisitos, que decorram das peculiaridades do caso concreto ou de determinações provenientes de normas específicas. É o caso de eventual novo compartilhamento ou transferência posterior dos dados, a ser efetuado pelo recebedor dos dados no âmbito do próprio setor público ou para entes do setor privado. Entre outras possibilidades, o instrumento que rege o uso compartilhado dos dados pode vedar a realização de novo compartilhamento ou, ainda, autorizá-lo sob determinadas condições, observadas as normas aplicáveis. Por exemplo, no caso de dados pessoais disponibilizados para a realização de estudos em saúde pública, a LGPD veda que o órgão de pesquisa responsável transfira os dados a terceiro (art. 13, § 2º).

Deve ficar claro, em suma, quais dados pessoais serão compartilhados, bem como por que e para que serão compartilhados. Por exemplo, o ato formal pode prever que “serão compartilhados com a Entidade Pública x os dados pessoais que constam da base de dados do Órgão Público y, consistentes em nome, CPF e endereço residencial, para a finalidade específica de realização de cadastro e identificação de cidadãos aptos ao recebimento do benefício social de que trata a Lei nº xyz”. Por fim, em qualquer hipótese, deve ser avaliada a compatibilidade entre a finalidade original da coleta e a finalidade do compartilhamento dos dados.

A Unidade Privacidade e Proteção de Dados (PPD), disponibiliza para toda a Comunidade Uerjiana a qualificação LGPD: Do zero às normas técnicas. Sendo assim, qualquer pessoa que tenha um e-mail com domínio da UERJ, É importante ressaltar que somente e-mails institucionais, ou seja, com domínios da UERJ, como por exemplo, @uerj.br, @pguerj.uerj.br, @srh.uerj.br, @ime.uerj.br, @ce.uerj.br, @graduacao.uerj.br, @ppc.uerj.br, @sgp.uerj.br, @cepuerj.uerj.com, dentre outros, serão aceitos. 

Para solicitar a sua inscrição, preencha o formulário de Solicitação de Capacitação, clicando aqui.

Não temos esta informação, já que os processos relacionados à emissão dos cartões universitários da UERJ não estão sendo conduzidos pela Privacidade e Proteção (PPD), da UERJ, e sim, pela Diretoria Geral de Tecnologia da Informação (DGTi).

O Helpdesk DGTi está disponível via chat, no site da DGTi, através do e-mail helpdesk@uerj.br ou através do telefone 2334-0340.

Para mais informações sobre a DGTi, visite: www.dgti.uerj.br.