Fiocruz

Fundação Oswaldo Cruz uma instituição a serviço da vida

Início do conteúdo

Entenda melhor a Lei Geral de Proteção de Dados Pessoais


16/12/2022

Leonardo Azevedo (CCS)

Compartilhar:

A Lei Geral de Proteção de Dados Pessoais (LGPD) busca assegurar que dados pessoais sejam utilizados de forma transparente e para fins legítimos, garantindo os direitos dos cidadãos. Para facilitar a compreensão da comunidade Fiocruz sobre a lei, confira os principais pontos da LGPD, com informações reunidas pela encarregada de Dados da Fiocruz, Laiza Daniele Nunes de Assumpção.

1 - O que muda na vida institucional com a Lei Geral de Proteção de Dados?

A LGPD foi promulgada em 2018 e tem como objetivo regulamentar o tratamento de dados pessoais para garantir o livre desenvolvimento da personalidade e a dignidade da pessoa humana. Para isso, a lei estabelece uma série de regras a serem seguidas pelos agentes de tratamento, incluindo o Poder Público.

A lei visa assegurar que dados pessoais sejam utilizados de forma transparente e com fins legítimos, ao mesmo tempo garantindo os direitos dos titulares. Assim, os órgãos e entidades da administração pública ao realizarem o tratamento de dados pessoais devem atentar para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. E mais, as hipóteses de tratamento devem ser informadas ao titular.

As atividades institucionais da Fiocruz (pesquisa, ensino, assistência, serviços, produção/inovação, comunicação e informação, gestão) que envolverem coleta e tratamento de dados pessoais (de pessoas externas, servidores, colaboradores, trabalhadores, bolsistas, estudantes) deverão observar as regras da LGPD.

A Fiocruz instituirá o Comitê de Privacidade e Proteção de Dados Pessoais que, dentre as suas atividades, está a elaboração da Política Institucional de Privacidade e Proteção de Dados, que será o documento oficial de tratamento de dados pessoais na nossa instituição. Este documento institucional será fundamentado na lei e outros documentos governamentais orientativos.

Também serão realizadas ações de conscientização e capacitação em todas as unidades e para todas as pessoas da Fiocruz, independentemente do vínculo institucional, para que entendam a importância do tema proteção de dados pessoais, quer como cidadão, quer como trabalhador.

É importante ressalvar que todos nós somos titulares de dados pessoais e, como servidores/agentes públicos devemos cumprir as regras de proteção de dados dos cidadãos que interagem de diferentes formas com a Fiocruz: usuários de serviços, pacientes, participantes de pesquisa, estudantes, contratados, parceiros comerciais, entre outros.

 

2 - Qual é a importância da Lei para o trabalhador da Fiocruz e a sociedade?

A LGPD é uma garantia de proteção para todas as pessoas porque ela tem a função de garantir que os dados sejam processados de forma lícita, adequada e segura. Vejam alguns exemplos de como os dados pessoais de cada um de nós podem ser tratados:

- Ao contratar um empréstimo no banco, os dados sobre a capacidade de pagamento são tratados;

- Ao interagir em uma rede social, dados pessoais sobre o seu comportamento são processados;

- Ao participar de um programa de fidelidade de uma empresa, os dados sobre o seu consumo podem ser coletados;

- Para o tratamento de saúde em um hospital, são processados dados pessoais, incluindo dados de cadastro e de saúde.

A sociedade atual é movida a dados. Muitas atividades do nosso cotidiano envolvem a coleta, o uso e o compartilhamento de dados pessoais com empresas ou órgãos governamentais. Na internet, também compartilhamos dados ao fazer compras, usar redes sociais, movimentar conta bancária, por exemplo.

A proteção de dados é importante tanto para o cidadão, quanto para a economia e para a sociedade como um todo. Ela dá poder ao cidadão para controlar os seus dados e fortalece o exercício da liberdade de expressão, do acesso à informação e dos direitos à intimidade, à honra e à imagem. A LGPD também está atenta ao desenvolvimento econômico do país ao incentivar a criação de novas tecnologias em setores estratégicos pelas empresas de pequeno porte, como microempresas e startups, que possuem regime diferenciado pela lei.

A lei promove segurança jurídica para os consumidores, empresas e a Administração Pública, como a Fiocruz, quando define de forma mais clara as situações em que se pode legalmente coletar, processar e transferir dados pessoais, atividades comuns em uma economia cada vez mais digitalizada.

Quando ocorre um tratamento de dados ilícito, o cidadão está exposto a riscos, como por exemplo:

- monitoramento de seu comportamento e restrição a liberdades fundamentais;

- discriminação;

- prejuízos econômicos;

- restrição de acesso a serviços e bens;

- violação de intimidade;

- fraudes que afetam a sua identidade.

 

3 - O que pode ser considerado como dados pessoais?

Podem ser considerados dados pessoais:

- nome e sobrenome;

- endereço residencial;

- endereço de e-mail (se contiver elementos que ajudem a identificar o dono, como nome e sobrenome);

- gênero;

- data de nascimento;

- número de documentos cadastrais, como RG, CPF e carteira de trabalho;

- dados de geolocalização de um telefone celular;

- número de telefone pessoal.

 

4 - Quais as implicações para a instituição e o usuário com o descumprimento da Lei?

A LGPD prevê um rol variado de sanções administrativas, de natureza admoestativa, pecuniária e restritiva de atividades. Conforme o art. 52 da LGPD, a Agência Nacional de Proteção de Dados (ANPD) pode aplicar as seguintes sanções administrativas:

- advertência, com indicação de prazo para adoção de medidas corretivas;

- multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 milhões de reais por infração;

- multa diária, observado o limite total a que se refere o inciso II;

- publicização da infração após devidamente apurada e confirmada a sua ocorrência;

- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

- eliminação dos dados pessoais a que se refere a infração;

- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;

- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Vale lembrar, entretanto, que, nos termos da Lei, a aplicação das sanções previstas na LGPD não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor), e em legislação específica. Assim, eventual atuação de outros órgãos públicos, como agências reguladoras ou órgãos de defesa do consumidor, deve se dar segundo as suas próprias competências, ao abrigo de suas legislações específicas.

Por fim, que o servidor e/ou agente público que infrinja a LGPD também é passível de responsabilização administrativa pessoal e autônoma, conforme o art. 28 do Decreto Lei n° 4.657, de 4 de setembro de 1942 (Lei de Introdução às normas do Direito Brasileiro). Dessa forma, tratar dados pessoais indevidamente, como, por exemplo, vendendo banco de dados, alterando ou suprimindo cadastros de forma inadequada ou usando dados pessoais para fins ilegítimos pode levar à responsabilização do servidor público que praticou o ato ilegal.

 

5 - Qual é o papel e a importância do encarregado neste contexto?

O encarregado é o indivíduo responsável por garantir a conformidade de uma organização, pública ou privada, à LGPD. Conforme o artigo 41 da LGPD, o controlador de dados deverá indicar um encarregado pelo tratamento de dados pessoais. A LGPD não faz distinção quanto a instituições públicas ou privadas e por isso é importante que ambas estejam cientes da sua obrigação de indicar um encarregado de dados. A esse respeito, o art. 23, III, reforça a necessidade de um encarregado ser indicado por órgãos e entidades públicas.

Como boa prática, considera-se importante que o encarregado tenha liberdade na realização de suas atribuições. No que diz respeito às suas qualificações profissionais, estas devem ser definidas mediante um juízo de valor realizado pelo controlador que o indica, considerando conhecimentos de proteção de dados e segurança da informação em nível que atenda às necessidades da operação da organização.

Também é importante observar que a LGPD não proíbe que o encarregado seja apoiado por uma equipe de proteção de dados. Ao contrário, considerando as boas práticas, é importante que o encarregado tenha recursos adequados para realizar suas atividades, o que pode incluir recursos humanos. Outros recursos que devem ser considerados são tempo (prazos apropriados), finanças e infraestrutura.

De acordo com o § 2º do art. 41, o encarregado possui as seguintes atribuições:

- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

- receber comunicações da autoridade nacional e adotar providências;

- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

- executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Por agir como um ponto de contato com os titulares de dados e a ANPD, é importante que os detalhes de contato do encarregado de dados estejam facilmente acessíveis, nos termos do § 1º do art. 41 da LGPD: A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site do controlador.

 

6 – Quem é o encarregado de Dados da Fiocruz?

Os encarregados de dados titular e adjunto da Fiocruz foram indicados pela Portaria 639, de 29/7/2022, publicada no Diário Oficial da União em 30/8/2022. A encarregada titular é Laiza Daniele Nunes de Assumpção. O encarregado adjunto é Rodrigo Murtinho de Martinez Torres.

As dúvidas ou reclamações sobre o assunto podem ser encaminhadas para a encarregada, por meio do e-mail lgpd@fiocruz.br.

Voltar ao topoVoltar