Infra S.A.

A LGPD se aplica às Empresas Públicas?

Sim. Ela dispõe sobre o tratamento de dados pessoais realizado, também, por pessoa jurídica de direito público. (Artigo 1° da LGPD)

Quais Princípios regem a LGPD?

Elencados no artigo 6º, no qual a Lei dispõe que as atividades de tratamento de dados pessoais deverão observar, além da boa-fé, e os seguintes princípios:

finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Quando de fato entrou em vigor a LGPD?

A lei ainda não está em vigência plena. A parte que trata das Sanções Administrativas (artigos 52, 53 e 54) entrará em 1º de agosto de 2021. De resto, o capítulo da Autoridade Nacional de Proteção de Dados (ANPD) entrou em vigor logo no ano da publicação (18/12/2018) para permitir a sua estruturação; e os demais dispositivos legais entraram em vigor no dia 18/9/2020, após sanção da Lei nº 14.058, de 17 de setembro de 2020 (conversão da MPV 959/2020).

Quais atividades estão submetidas à LGDP?

O artigo 3º da LGPD prevê a aplicação da lei a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

a operação de tratamento seja realizada no território nacional;
a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
os dados pessoais objetos do tratamento tenham sido coletados no território nacional.

Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.

Quais as hipóteses de não incidência?

A LGPD não se aplica ao tratamento de dados pessoais: realizado por pessoa natural para fins exclusivamente particulares e não econômicos; realizado para fins exclusivamente: jornalístico e artísticos ou acadêmicos; realizado para fins exclusivos de: segurança pública; defesa nacional; segurança do Estado; ou atividades de investigação e repressão de infrações penais; ou provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. (Artigo 4º LGPD)

O que é a Autoridade Nacional de Proteção de Dados (ANPD)?

Trata-se de órgão público constituído com o objetivo de zelar pela implementação, fiscalização e monitoramento do cumprimento da LGPD. Além disso, a ANPD é responsável por regular e orientar, preventivamente, sobre como aplicar a lei.

O que é o Controlador?

É o agente de tratamento de dados que toma as decisões sobre o tratamento dos dados.

Na INFRA SA, é a Pessoa Jurídica de Direito Público que exerce a função de Controlador e, portanto, detém o poder sobre os tratamentos dos dados pessoais.

O que é o Operador?

É o agente de tratamento que realiza o tratamento de dados em nome do controlador.

O operador não pertence à INFRA SA . Em geral, é uma empresa contratada para tal finalidade.

O que é o Encarregado?

É o agente de tratamento de dados indicado pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Na INFRA SA, a Ouvidora Rose Meire Cyrillo exerce as atribuições de encarregado, conforme Portaria Nº 15, DE 21 DE OUTUBRO DE 2022 e seus contatos, em atendimento ao art. 41, §1º, da LGPD, são: e-mail: encarregadolgpd@infrasa.gov.br, telefone: (61). 2029-6076

Suas atividades, definidas pelo art. 41, §2º, da mesma norma, consistem em:

"I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares."

O que são Dados Pessoais para a LGPD?

Dados Pessoais são toda informação que identifica ou que possa identificar uma Pessoa Natural. Observe que dados que não possam identificar uma pessoa natural não são abrangidos pela proteção da lei. Mesmo assim, trata-se de um conceito amplo que abrange, por exemplo: prenome, nome, números de documentos pessoais (RG, CPF, passaporte, título de eleitor), estado civil, gênero, profissão, orientação sexual, número de telefone, redes sociais, marcas características, profissão, origem racial, social e étnica, dados de saúde, convicções políticas, religiosas e filosóficas, registros de aplicações de internet, cookies, etc. (Artigo 5º LGPD)

O que são Dados Pessoais Sensíveis?

São os dados pessoais referentes a origem racial ou étnica; Convicção religiosa; Opinião política; Filiação a sindicato; Filiação a organização de caráter religioso, filosófico ou político; Dado referente à saúde; Dado referente à vida sexual; Dado genético; Dado biométrico.

O que é tratamento de dados para efeito da Lei?

A lei definiu de forma abrangente dispondo que tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. (Artigo 5° da LGPD)

Nesse contexto a operação de armazenar os dados pessoais dos cidadãos (nome, filiação, CPF, RG, e-mail, etc) é considerada tratamento para fins da LGPD.

Quais os direitos do Titular?

Nos artigos 17 e 18 da LGPD estão enumerados os direitos dos titulares, quais sejam: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; e informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; revogação do consentimento.

Quais as bases-legais/requisitos para o tratamento de dados na LGPD?

O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

mediante o fornecimento de consentimento pelo titular;
para o cumprimento de obrigação legal ou regulatória pelo controlador;
pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
para a proteção da vida ou da incolumidade física do titular ou de terceiros;
para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. (Artigo 7° da LGPD).

O que é relatório de impacto à proteção de dados pessoais?

É a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. (Art. 5º, inciso XVII)

O relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. (Artigo 38, parágrafo único, LGPD)

A Autoridade Nacional de Proteção de Dados (ANPD) poderá solicitar a elaboração de relatório de impacto à proteção de dados pessoais aos órgãos do Poder Público?

Sim. Conforme disposto no artigo 32 da LGPD, a ANPD poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.

Fonte:

Institucional

Quem é quem

LGPD na INFRA S.A.

Ações e Programas

Participação Social

Auditorias

Atas Convênios e Transferências

Receitas e Despesas

Licitações e Contratos

Informações Classificadas

Gestão de Pessoas

Serviço de Informação ao Cidadão - SIC

Perguntas Frequentes

Dados Abertos

Transparência e Prestação de Contas

Perguntas e respostas