Minuta Cartilha LGPD

Prefeitura de Ilhabela

Um guia para entender e aplicar a Lei Geral de Proteção de Dados Pessoais no serviço público municipal

Você sabe o que é a LGPD?

A Lei Geral de Proteção de Dados (LGPD) tem como objetivo garantir que o tratamento de dados pessoais seja realizado de maneira segura, transparente e em conformidade com os direitos dos titulares dos dados.

Adequar nossas ações à LGPD é fundamental para que a proteção da privacidade e dos dados pessoais caminhem lado a lado com a transformação digital segura e transparente.

A quem se aplica?

A LGPD se aplica a qualquer pessoa física ou jurídica, de direito público ou privado, que realize o tratamento de dados pessoais no Brasil.

Isso inclui todos nós da Prefeitura de Ilhabela!

Servidores públicos

Secretarias municipais

Prestadores de serviço

Terceirizados

Quais os fundamentos da LGPD?

O art. 2º da LGPD define os princípios essenciais que orientam a proteção de dados no Brasil:

Respeito à privacidade

Garantia de que a vida privada do cidadão será preservada.

Autodeterminação informativa

Direito da pessoa de controlar suas próprias informações pessoais.

Inviolabilidade da intimidade, da honra e da imagem

Proteção contra usos indevidos ou ofensivos dos dados.

Liberdade de expressão, de informação, de comunicação e de opinião

A proteção de dados não pode limitar esses direitos fundamentais.

Desenvolvimento econômico e tecnológico e inovação

Incentivo à modernização e inovação, com responsabilidade no uso de dados.

Livre-iniciativa, livre concorrência e defesa do consumidor

Equilíbrio entre o uso legítimo dos dados e os direitos dos consumidores.

Direitos humanos, livre desenvolvimento da personalidade, dignidade e cidadania

Valorização da pessoa humana e da sua participação ativa na sociedade.

O que são dados pessoais?

A LGPD adota um conceito amplo de dado pessoal: qualquer informação relacionada a uma pessoa natural identificada ou identificável. Isso significa que, mesmo sem citar o nome diretamente, se for possível identificar alguém por meio das informações, trata-se de dado pessoal.

Exemplos comuns no serviço público:

Nome completo

RG ou CPF

Endereço residencial

Telefone ou e-mail

Dados funcionais

Endereço IP

Imagem ou voz

Exemplo prático:

Se um formulário online da Prefeitura pede nome, CPF e e-mail para agendar um serviço, todos esses dados são considerados pessoais e devem ser protegidos conforme a LGPD. Esses dados devem ser coletados, armazenados e compartilhados com responsabilidade, sempre com uma finalidade clara e respeitando os direitos do cidadão.

Dados pessoais sensíveis

A LGPD traz uma categoria especial chamada dados pessoais sensíveis, que exigem maior proteção por estarem ligados a aspectos íntimos ou que podem gerar discriminação ou constrangimento.

São considerados dados sensíveis:

Dados de saúde (exames, diagnósticos, histórico médico)

Dados genéticos ou biométricos (digitais, íris, reconhecimento facial)

Convicções religiosas, filosóficas ou morais

Opinião política e filiação a partidos ou sindicatos

Informações sobre origem racial ou étnica

Dados sobre vida sexual ou orientação sexual

Esses dados só podem ser tratados em situações específicas:

Cumprimento de obrigação legal
Políticas públicas previstas em lei
Exercício regular de direitos (por exemplo, em processos judiciais)
Consentimento explícito do titular

Exemplo prático:

Um servidor da saúde só pode acessar informações médicas do paciente para fins de atendimento, e deve garantir o sigilo dessas informações.

De quem são os dados?

De acordo com o art. 17 da LGPD, o titular de dados é a pessoa natural a quem os dados se referem. É ele quem tem seus direitos fundamentais de liberdade, privacidade e intimidade garantidos pela lei.

No contexto da Prefeitura, o titular pode ser:

Um cidadão atendido por um serviço público

Um servidor público

Um prestador de serviço

Qualquer pessoa cujos dados pessoais estejam sendo tratados

Quais os direitos do Titular (art. 18 da LGPD)?

A LGPD garante ao titular nove direitos principais:

Confirmação da existência do tratamento de dados

Saber se a Prefeitura está tratando seus dados pessoais.

Acesso aos dados

Consultar que dados estão sendo armazenados e como estão sendo usados.

Correção

Solicitar a correção de dados incompletos, incorretos ou desatualizados.

Anonimização, bloqueio ou eliminação

Pedir que dados excessivos, desnecessários ou tratados de forma irregular sejam ajustados ou excluídos.

Portabilidade dos dados

Requisitar que seus dados sejam transferidos a outro serviço.

Eliminação dos dados tratados com consentimento

Solicitar a exclusão dos dados fornecidos com base no consentimento.

Informação sobre compartilhamento

Saber com quais entidades públicas ou privadas os dados foram compartilhados.

Direito de não consentir

Ser informado de que pode recusar o fornecimento de consentimento.

Revogação do consentimento

Poder retirar o consentimento anteriormente dado, a qualquer momento.

Atenção:

Dados essenciais para o cumprimento de obrigações legais ou políticas públicas não podem ser apagados. Por exemplo, registros em sistemas da saúde, educação ou assistência social devem ser preservados conforme determina a legislação.

Princípios da LGPD

De acordo com o art. 6º da LGPD, o tratamento de dados pessoais deve seguir a boa-fé e observar os seguintes princípios:

Finalidade

Os dados devem ser usados para propósitos legítimos e informados. Exemplo: Coletar dados de moradores apenas para cadastro em programas sociais, se isso é o que foi informado no momento da coleta.

Adequação

O uso dos dados deve ser compatível com a finalidade informada ao cidadão. Exemplo: Dados coletados para inscrição em curso gratuito não podem ser usados para envio de propaganda política.

Necessidade

Apenas os dados estritamente necessários devem ser coletados. Exemplo: Para agendar uma consulta médica, basta nome, CPF, endereço e contato – não é necessário perguntar sobre renda familiar ou opinião política.

Livre Acesso

O cidadão deve poder consultar seus dados e saber como estão sendo usados. Exemplo: Um morador pode solicitar à prefeitura informações sobre quais dados dele estão armazenados, como são utilizados, por quanto tempo e qual sua destinação final.

Qualidade dos Dados

Os dados devem ser precisos, atualizados e relevantes. Exemplo: Atualizar periodicamente os dados dos beneficiários de programas assistenciais para evitar erros ou fraudes.

Transparência

Informações claras e acessíveis sobre o uso dos dados devem ser fornecidas. Exemplo: Incluir nos formulários de cadastro uma explicação sobre como os dados serão usados, por quem e por quanto tempo.

Segurança

Medidas devem ser tomadas para proteger os dados contra acessos indevidos ou vazamentos. Exemplo: Utilizar senhas e sistemas protegidos para armazenar informações de servidores e munícipes.

Prevenção

Adoção de medidas para evitar danos decorrentes do uso indevido dos dados. Exemplo: Treinar servidores sobre cuidados no envio de e-mails que contenham dados pessoais de cidadãos.

Não Discriminação

Os dados não podem ser usados para práticas discriminatórias ou abusivas. Exemplo: Através de uma filtragem de dados um cidadão não pode ser excluído de um programa municipal por motivo de raça, religião ou condição de saúde.

Responsabilização e Prestação de Contas

A administração deve comprovar que segue as normas da LGPD. Exemplo: Manter registros das ações de proteção de dados e responder a eventuais questionamentos de órgãos de controle.

Tratamento de dados pessoais

De acordo com a LGPD, tratamento de dados pessoais é qualquer operação realizada com dados pessoais, como:

Coleta

Produção

Recepção

Classificação

Utilização

Acesso

Reprodução

Transmissão

Processamento

Armazenamento

Modificação

Eliminação

O tratamento de dados deve sempre seguir os princípios da finalidade, necessidade, segurança, transparência e não discriminação.

Bases legais para tratamento

Com a entrada em vigor da LGPD, o tratamento de dados pessoais pode ser realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas em seu artigo 7º ou, no caso de dados pessoais sensíveis, de uma das hipóteses previstas no artigo 11.

Hipóteses Legais para Dados Pessoais (Art. 7º)

1. Consentimento do titular

Quando o cidadão autoriza de forma livre, informada e inequívoca o uso dos seus dados para uma finalidade específica.

2. Cumprimento de obrigação legal ou regulatória

Quando a lei exige o tratamento, como no caso da emissão de notas fiscais ou na prestação de contas públicas.

3. Execução de políticas públicas

Aplica-se especialmente ao setor público. Ex: cadastro em programas sociais, vacinação, educação.

4. Realização de estudos por órgão de pesquisa

Desde que os dados estejam anonimizados, pode-se usá-los em pesquisas e estatísticas.

5. Execução de contrato

Quando o tratamento é necessário para cumprir obrigações contratuais, como folha de pagamento de servidores.

Hipóteses Legais para Dados Sensíveis (Art. 11º)

1. Consentimento específico e destacado

O titular autoriza, de forma clara, o uso do dado sensível para uma finalidade legítima.

2. Cumprimento de obrigação legal

Quando a lei exige o uso de dados sensíveis, como no caso de laudos médicos em benefícios previdenciários.

3. Execução de políticas públicas

Exemplo: uso de dados de saúde para vacinação ou programas de assistência social.

4. Tutela da saúde

Exemplo: envio de informações médicas entre unidades do sistema público de saúde.

5. Proteção da vida

Como em atendimentos de urgência no SUS.

Importante:

O setor público atua principalmente com base nas hipóteses de cumprimento de obrigação legal e execução de política pública, sem necessidade de consentimento do titular.

Agentes de tratamento

A LGPD define três papéis principais envolvidos no tratamento de dados pessoais. É importante entender a função de cada um:

Controlador

É a pessoa natural ou jurídica, de direito público ou privado, que toma as decisões sobre o tratamento dos dados pessoais. No serviço público municipal a Prefeitura atua como controlador.

Operador

É quem realiza o tratamento dos dados em nome do controlador. Pode ser um servidor, colaborador terceirizado ou empresa contratada pela Prefeitura para executar atividades com dados.

Encarregado

É o responsável por atuar como canal de comunicação entre o controlador, os titulares e a ANPD (Autoridade Nacional de Proteção de Dados). Na Prefeitura de Ilhabela o Encarregado é o Controlador Geral do Município.

Relação entre LGPD e LAI

A Lei de Acesso à Informação (LAI), em vigor desde 2012, garante o direito de qualquer cidadão, física ou jurídica, acessar informações públicas, promovendo a transparência e o controle social da administração pública. Não é necessário justificar o pedido de acesso à informação.

Como LGPD e LAI se relacionam?

Embora tenham objetivos diferentes, as duas leis se complementam e devem ser aplicadas conjuntamente no setor público:

A LAI assegura o direito à informação pública;
A LGPD protege os dados pessoais contidos nessas informações.

Assim, ao divulgar informações públicas, o órgão público deve garantir que nenhum dado pessoal ou sensível seja exposto de forma indevida, respeitando os princípios da LGPD.

Exemplo prático:

ao responder um pedido via LAI com lista de beneficiários de um programa social, o órgão deve ocultar informações como CPF, telefone ou endereço, caso não sejam estritamente necessários para o fim da transparência.

O que o servidor não deve fazer

Para proteger os direitos do cidadão e cumprir a LGPD, algumas condutas são expressamente vedadas aos servidores públicos no exercício de suas funções:

Utilizar dados para finalidades diferentes

Exemplo: Usar dados coletados para cadastro em programas sociais para enviar propaganda política ou divulgar eventos não relacionados.

Compartilhar dados sem autorização

Exemplo: Compartilhar informações de prontuários médicos com terceiros não autorizados, mesmo que sejam de outros órgãos públicos.

Armazenar dados em locais inseguros

Exemplo: Guardar planilhas com dados de munícipes em pen drives, e-mails pessoais ou pastas sem senha.

Acessar dados sem necessidade

Exemplo: Consultar o histórico escolar ou ficha médica de um cidadão apenas por curiosidade.

Repassar senhas de acesso

Exemplo: Divulgar senhas de sistemas de saúde, educação, recursos humanos, etc., a colegas ou terceiros.

Deixar documentos expostos

Exemplo: Deixar fichas com dados de cidadãos em balcões, mesas ou impressoras sem o devido cuidado.

Deixar de informar sobre o tratamento

Exemplo: Coletar informações sem explicar para que serão usadas, se haverá compartilhamento e como o cidadão pode exercer seus direitos.

Lembre-se: o mau uso dos dados pode gerar responsabilidade administrativa, civil e até criminal. Além disso, o mau uso também compromete a confiança da população no serviço público.

Proteção de Dados

Um compromisso de todos nós

A LGPD na Prefeitura de Ilhabela

A adequação à Lei Geral de Proteção de Dados é um processo contínuo que exige o engajamento de todos os servidores e colaboradores.

Dúvidas ou informações?

Entre em contato com o Encarregado de Dados da Prefeitura:

lgpd@ilhabela.sp.gov.br

Cartilha LGPD - Prefeitura Municipal de Ilhabela - Versão 1.0 - 2023