Requisitos, Agentes e Registro de Tratamento de Dados, Obrigações do Controlador e o Encarregado
Requisitos para Tratamento de Dados
O tratamento de dados pessoais, conforme disposição do art. 7º da LGPD, somente poderá ocorrer nos seguintes casos:
a) com o consentimento do titular;
b) para o cumprimento de obrigação legal ou regulatória pelo controlador;
c) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
d) para a realização de estudos por órgão de pesquisa, sem a individualização da pessoa;
e) para a execução de contrato ou de procedimentos preliminares relacionados a um contrato;
f) para pleitos em processo judicial, administrativo ou arbitral;
g) para a proteção da vida ou da incolumidade física do titular ou de terceiro;
h) para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
i) para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
j) para a proteção do crédito, nos termos do Código de Defesa do Consumidor ( CDC ).
Agentes de Tratamento
No âmbito da LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento, o controlador e o operador.
- O Controlador é definido pela Lei como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. No âmbito da Administração Pública, o Controlador será a pessoa jurídica do órgão ou entidade pública sujeita à Lei, representada pela autoridade imbuída de adotar as decisões acerca do tratamento de tais dados.
- O Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, aí incluídos agentes públicos no sentido amplo que exerçam tal função, bem como pessoas jurídicas diversas daquela representada pelo Controlador, que exerçam atividade de tratamento no âmbito de contrato ou instrumento congênere.
No TRE-DF, o papel de Controlador será exercido pelo Presidente do TRE-DF e o Vice-Presidente e Corregedor Regional Eleitoral do TRE-DF exercerá o papel de Controlador Adjunto.
Já o papel de Operador será exercido pelos Secretários, Coordenadores, Chefes de Seção, Chefes de Cartórios Eleitorais e Chefes de Núcleos. ( arts. 3º e 4º da Portaria Conjunta nº 32/2020 )
O Encarregado
Pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados. As atividades do encarregado consistem em:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- receber comunicações da autoridade nacional e adotar providências;
- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares
No TRE-DF, o papel de Encarregado de Tratamento de Dados Pessoais será exercido pelo Comitê de Compliance e Proteção de Dados Pessoais (CCPDP) , instituído pela Portaria Conjunta nº 31/2020 , coordenado pelo Diretor-Geral.
Contato
O Encarregado pelo Tratamento de Dados Pessoais do TRE-DF está disponível pelo e-mail lgpd@tre-df.jus.br
Obrigações do Controlador
- Obter consentimento específico do titular para fim próprio quando houver, por parte do controlador, a necessidade de comunicar ou compartilhar dados pessoais com outros controladores, exceto em caso de o titular dos dados tê-los tornado manifestamente públicos. (Art. 7, § 4º e 5º)
- Provar que o consentimento foi obtido em conformidade com a Lei. (Art. 8º, §2º)
- Nas hipóteses em que o consentimento for requerido, se houver mudança da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade. Nesse momento, o titular poderá optar por renovar o consentimento ou revoga-lo. (Art. 9º, §2º)
- Tratar somente dados pessoais estritamente necessários para a finalidade pretendida - quando o tratamento for baseado no legítimo interesse do controlador - e adotar medidas para garantir a transparência do tratamento baseado no legítimo interesse. (Art.10, caput, §1º e 2º)
- Manter pública a informação sobre tratamento de dados pessoais de crianças e adolescentes, tais como os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos dos titulares. (Art.14 §2º)
- Conservar dados pessoais não eliminados, quando encerrado o período de tratamento, para cumprimento de obrigação legal ou regulatória. Também poderá fazer uso exclusivo desses dados, desde que anonimizados, sendo seu acesso por terceiros expressamente vedado na Lei. (Art. 16 IV)
- Confirmar a existência ou providenciar o acesso a dados pessoais, mediante requisição do titular, em formato simplificado, imediatamente, ou por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contados da data do requerimento do titular. (Art. 19)
- Nas decisões automatizadas o controlador deverá fornecer, sempre que solicitadas, as informações claras e adequadas a respeito dos critérios e procedimentos para a decisão automatizada, observados os segredos comercial e industrial. (Art. 20 §1º)
- Oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados na forma da LGPD, nos casos de transferência internacional de dados pessoais. (Art. 33)
- Manter registro das operações de tratamento de dados pessoais que realize, podendo a autoridade nacional determinar que seja elaborado relatório de impacto à proteção de dados (pessoais ou sensíveis) referente às suas operações. (Art. 37 e 38)
- Fornecer instruções para o operador realizar o tratamento de dados pessoais, devendo o operador verificar a observância das próprias instruções e normas sobre a matéria. (Art. 39)
- Indicar o encarregado pelo tratamento dos dados pessoais, divulgando publicamente, de forma clara e objetiva, preferencialmente no seu sítio eletrônico, a identidade do encarregado e suas informações de contato. (Art. 23 e Art. 41)
- Reparar, solidariamente com o operador ou não, se, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação ou descumprimento à legislação de proteção de dados. (Art. 42)
- Adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou lícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art. 46)
- Comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (Art. 48)
Registro de Tratamento de Dados
Os Agentes de Tratamento de Dados devem guardar registros de todas as operações de tratamento dos dados pessoais.
Para tal, devem compor um inventário de dados contendo, no mínimo, com as seguintes informações
- finalidade do tratamento,
- descrição das categorias dos dados e dos titulares,
- fluxo dos dados para fora da organização,
- as medidas de segurança,
- informações de identificação e contato do controlador, e
- os períodos para a exclusão das diferentes categorias de dados.
Neste sentido, o TRE-DF instituiu por meio da Portaria Presidência 202/2020 um Grupo de Trabalho, que dentre outras atribuições, trabalha no mapeamento das atividades que envolvem tratamento de dados pessoais em toda a estrutura do órgão.