Lei Geral de Proteção de Dados Pessoais

A Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais – LGPD, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou pessoa jurídica de direito público ou privado. Seu objetivo é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Considerando a necessidade de dotar a Justiça Federal da 2ª Região de mecanismos de tratamento e proteção de dados pessoais para garantir o cumprimento da norma de regência; foi instituído, no âmbito da Justiça Federal da 2ª Região, o Comitê Gestor de Proteção de Dados - COGEPD. Vinculado à Presidência do Tribunal, o comitê é responsável pela avaliação dos mecanismos de tratamento e proteção de dados existentes e pela proposição de ações voltadas ao seu aperfeiçoamento, com vistas ao cumprimento das disposições da Lei 13.709, de 14 de agosto de 2018.

Encarregado da LGPD no TRF2

No TRF2, o Encarregado é o Desembargador federal Aluísio Mendes.

• Endereço: Tribunal Regional Federal – 2ª Região – Rua Acre, 80/sala 1703/AGOV – Centro – Rio de Janeiro – RJ – CEP 20081-000
• Telefone: (21) 2282-7727
• E-mail: cgpd@trf2.jus.br

Obs: Considerando os termos do art. 5º VIII, da Lei nº 13.709/2018, o Encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

O encarregado pelo Tratamento de Dados Pessoais, conforme exposto no art. 5º, inciso VIII, da Lei nº 13.709/2018 (LGPD) é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)".

“Art. 41. As atividades do encarregado consistem em:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II - receber comunicações da autoridade nacional e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.” (art. 41, § 2º, da Lei nº 13.709/2018)

Registro de solicitações e reclamações

Solicitações e reclamações serão respondidas pelo Comitê Gestor de Proteção de Dados Pessoais ou pelo Encarregado, conforme suas atribuições, quais sejam:

• aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• receber comunicações da autoridade nacional e adotar providências;
• orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
• executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Atenção! Sua manifestação somente será aceita se versar sobre matéria de atribuição do Encarregado.

Para maior eficácia na solução e resposta, antecipamos as seguintes orientações:

1. Não cabe reclamação de decisões judiciais.

Na falta de advogado, procure a Defensoria Pública da União:

• Defensoria Pública do Rio de Janeiro - Rua da Assembleia, nº 77 – Centro – Rio de Janeiro/RJ
• Defensoria Pública do Espírito Santo - Avenida César Hilal, nº 1.293 – Bairro Santa Lúcia – Vitória/ES – Tel. (27) 3145-5600

2. Reclamações sobre advogados são dirigidas à OAB:

• OAB/RJ - Av. Marechal Câmara, 150. Rio de Janeiro – RJ. CEP: 20020-080. Telefones: (21) 2730-6525 / (21) 2272-6150);
• OAB/ES - Rua Alberto de Oliveira Santos, 59 – Ed. Ricamar 3º e 4º Andares. Centro – Vitória – ES. CEP: 29010-908. Telefone: (27) 3232-5600.

3. Representações contra magistrados ou servidores no exercício de suas funções, pedindo abertura de procedimento disciplinar, devem ser dirigidas à Corregedoria, à Presidência ou à Direção do Foro, conforme o caso.

4. Solicitações de informações, sugestões, reclamações, denúncias, críticas e elogios sobre as atividades da Justiça Federal da 2ª Região devem ser dirigidas à Ouvidoria.

Formas de Atendimento

• Presencial: Tribunal Regional Federal da 2ª Região – Rua Acre, 80/sala 1703/AGOV – Centro – Rio de Janeiro – RJ – CEP 20081-000
• Telefone: (21) 2282-7727
• E-mail: cgpd@trf2.jus.br
• Formulário de contato

Fluxograma de Conformidade da LGPD

• Obs: Todos os incidentes de segurança da informação afetos à Lei Geral de Proteção de Dados, recebidos e respondidos, são registrados internamente por meio da Central de Serviços de TI, de acordo com a Portaria PRES/TRF2 Nº 340, de 29 de maio de 2025.
• Portaria PRES/TRF2 Nº 340, de 29 de maio de 2025, que institui o Protocolo de Prevenção de Incidentes Cibernéticos do Poder Judiciário (PPINC-PJ) no âmbito da Justiça Federal da 2ª Região.
• Fluxograma de tratamento de incidentes de segurança da TI

Classificação dos Dados na LGPD

Dados pessoais

A partir da Lei nº 13.709/2018 a proteção de dados passou a ser um compromisso dos cidadãos, do governo e das empresas que utilizam esses dados.

O dado pessoal é aquele que possibilita a identificação, direta ou indireta, da pessoa viva.

São exemplos de dados pessoais:

• o nome e apelido;
• o endereço de uma residência;
• um endereço de correio eletrônico como nome.apelido@empresa.com;
• o número de um cartão de identificação;
• dados de localização, como por exemplo, a função de dados de localização no celular;
• um endereço IP (protocolo de internet);
• testemunhos de conexão (cookies);
• o identificador de publicidade do seu telefone;
• os dados detidos por um hospital ou médico, que permitam identificar uma pessoa de forma inequívoca.

Dados sensíveis

Dentre os dados pessoais, há aqueles que estão sujeitos a condições de tratamento específicos, ou seja, que exigem maior atenção: sobre crianças e adolescentes; e os “sensíveis”, que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.

Quando o dado for de menores de idade, é imprescindível obter o consentimento específico de um dos pais ou responsáveis e se ater a pedir apenas o conteúdo estritamente necessário e não repassar nada a terceiros. Sem o consentimento, só podem ser coletados dados para urgências relacionadas a entrar em contato com pais ou responsáveis e/ou para proteção da criança e do adolescente.

Sobre os dados sensíveis, o tratamento depende do consentimento explícito da pessoa e para um fim definido. E, sem consentimento do titular, a Lei Geral de Proteção de Dados Pessoais define que isso é possível quando for indispensável em situações ligadas: a uma obrigação legal; a políticas públicas; a estudos via órgão de pesquisa; a um direito, em contrato ou processo; à preservação da vida e da integridade física de uma pessoa; à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção de fraudes contra o titular.

Dados públicos

A lei dispõe:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;

(…)

§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta lei.

Assim, a lei cria uma possibilidade de o dado pessoal se tornar público mediante consentimento do titular.

A boa-fé e o interesse público devem estar presentes na disponibilização do dado, e estar coadunado com o princípio constitucional da publicidade.

Dados anonimizados

Um dado é considerado anonimizado quando por via de técnicas de processamento de dados e/ou outros meios não é possível se construir um caminho para identificar a pessoa titular dos dados.

Glossário

• Anonimização - utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo – Art. 5º inciso XI.
• Autoridade nacional - entidade da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
• Banco de dados - conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico – Art. 5º inciso VI.
• Bloqueio - suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados – Art. 5º inciso XIII.
• Consentimento - manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada – Art. 5º inciso XII.
• Controlador - pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais – Art. 5º inciso VI.
• Dado anonimizado - dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento – Art. 5º inciso III.
• Dado pessoal - informação relacionada à pessoa natural identificada ou identificável – Art. 5º inciso I.
• Dado pessoal de criança e de adolescente - o Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança – Art. 14º § 1º ao § 6º.
• Dado pessoal sensível - dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural – Art. 5º inciso II.
• Eliminação - exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado – Art. 5º inciso XIV.
• Encarregado - pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Agência Nacional de Proteção de Dados – ANPD.
• Garantia da segurança da informação - capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da Administração Pública Federal em seu âmbito de atuação Decreto n 9.637/2018.
• Garantia da segurança de dados - ver garantia da segurança da informação.
• Interoperabilidade - capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING) – Art. 40.
• Operador - pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador – Art. 5º inciso VII.
• Órgão de pesquisa - órgão ou entidade da Administração Pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico – Art. 5º inciso XVIII.
• Relatório de impacto à proteção de dados pessoais - documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco – Art. 5º inciso XVII.
• Titular - pessoa natural a quem se referem os dados pessoais que são objeto de tratamento – Art. 5º inciso V.
• Transferência internacional de dados - transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro – Art. 5º inciso XV.
• Tratamento - toda operação realizada com dados pessoais; como as que se referem a: (Art. 5º inciso X)
  • acesso - possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória,registro, arquivo etc., visando receber, fornecer, ou eliminar dados
  • armazenamento - ação ou resultado de manter ou conservar em repositório um dado
  • arquivamento - ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência
  • avaliação - ato ou efeito de calcular valor sobre um ou mais dados
  • classificação - maneira de ordenar os dados conforme algum critério estabelecido
  • coleta - recolhimento de dados com finalidade específica
  • comunicação - transmitir informações pertinentes a políticas de ação sobre os dados
  • controle - ação ou poder de regular, determinar ou monitorar as ações sobre o dado
  • difusão - ato ou efeito de divulgação, propagação, multiplicação dos dados
  • distribuição - ato ou efeito de dispor de dados de acordo com algum critério estabelecido
  • eliminação - ato ou efeito de excluir ou destruir dado do repositório
  • extração - ato de copiar ou retirar dados do repositório em que se encontrava
  • modificação - ato ou efeito de alteração do dado
  • processamento - ato ou efeito de processar dados
  • produção - criação de bens e de serviços a partir do tratamento de dados
  • recepção - ato de receber os dados ao final da transmissão
  • reprodução - cópia de dado preexistente obtido por meio de qualquer processo
  • transferência - mudança de dados de uma área de armazenamento para outra, ou para terceiro
  • transmissão - movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.
  • utilização - ato ou efeito do aproveitamento dos dados
• Uso compartilhado de dados - comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados – Art. 5º, inciso XVI.

Material de referência

• Acórdão nº 0643102 (SEI), do CJF - Decisão do CJF sobre dados sensíveis em processos judiciais 
• GDPR – General Data Protection Regulation (em português) – regulamento do Parlamento Europeu e do Conselho da União Europeia relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (Regulamento Geral sobre a Proteção de Dados)
• Guia de boas práticas da LGPD – guia de boas práticas para implementação da Lei Geral de Proteção de Dados na administração pública federal
• Bússola da LGPD - orientações aos(as) servidores(as) do Judiciário e magistrados(as) sobre os
  principais aspectos da LGPD
• Recomendação nº 73/2020 do CNJ – recomenda aos órgãos do Poder Judiciário brasileiro a adoção de medidas preparatórias e ações iniciais para adequação às disposições contidas na Lei Geral de Proteção de Dados – LGPD
• Resolução nº 332/2020 do CNJ – dispõe sobre a ética, a transparência e a governança na produção e no uso de Inteligência Artificial no Poder Judiciário e dá outras providências
• Resolução nº 363/2021 do CNJ – estabelece medidas para o processo de adequação à Lei Geral de Proteção de Dados Pessoais a serem adotadas pelos tribunais
• Nota técnica 3264 da Controladoria Geral da União (PDF) – Lei Geral de Proteção de Dados. Aplicação ao Processo Administrativo Disciplinar
• Bibliografia do STJ sobre a LGPD (PDF)

Dúvidas frequentes

Dúvidas frequentes sobre a Lei Geral de Proteção de Dados – LGPD.

Perguntas e respostas no âmbito administrativo

1. Qual é o objetivo da LGPD e a quem ela se destina?

A LGPD foi criada com o objetivo de proporcionar ao cidadão brasileiro um controle maior sobre o tratamento de seus dados pessoais. Para isso, a LGPD estabelece princípios e cria regras que devem ser observados tanto por organizações privadas quanto públicas, além de criar entidade reguladora específica para o tema.

2. Quem fiscaliza o cumprimento da lei?

A fiscalização referente à LGPD será primariamente realizada pela Autoridade Nacional de Proteção de Dados (ANPD). Este órgão foi criado para fiscalizar o cumprimento da lei, zelar pela proteção de dados pessoais, elaborar diretrizes e também aplicar as sanções em casos de irregularidade.

3. Quem é o “titular”?

É a pessoa natural a quem se referem os dados pessoais que são objetos de coleta e tratamento.

4. O que são “dados pessoais”?

De acordo com a lei, um dado pessoal é informação relacionada à pessoa natural identificada ou identificável.

5. O que são “dados pessoais sensíveis”?

É qualquer dado pessoal, conforme estabelecido na lei, sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

6. O que compreende o tratamento de dados pessoais?

O tratamento de dados é um conceito abrangente, que inclui qualquer operação realizada com informações pessoais. Como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

7. Em quais casos de tratamento de dados pessoais a lei é aplicada?

A lei se aplica a qualquer operação que envolve a coleta e o tratamento de dados pessoais e que seja realizada em território brasileiro.

8. Esta Lei se aplica apenas ao tratamento de dados pessoais coletados na Internet?

A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.

9. Quais os principais atores no tratamento de dados pessoais de acordo com a LGPD?

São três: o controlador, o operador e o encarregado.

O controlador é pessoa natural ou jurídica de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.

O operador é pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

O encarregado é a pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

10. Quem assume o papel de encarregado no âmbito da Justiça Federal da Segunda Região?

O encarregado do TRF2 é o desembargador federal Aluísio Mendes.

11. Quais são os casos de tratamento de dados pessoais em que a LGPD não será aplicada no Poder Público?

No caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.

12. O que é um dado anônimo ou anonimizado?

Dado anônimo ou anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível.

13. O tratamento de dados pessoais sensíveis pode ser realizado em quais condições?

O tratamento de dados pessoais sensíveis somente poderá ocorrer com consentimento do titular ou seu responsável legal, de forma destacada e para finalidades específicas. Para que o tratamento ocorra sem fornecimento de consentimento do titular, é necessário que se enquadre nas seguintes hipóteses:

• Cumprimento de obrigação legal ou regulatória pelo controlador;
• Pela administração pública, de políticas públicas previstas em leis ou regulamentos;
• Estudos por órgão de pesquisa;
• Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
• Proteção da vida;
• Tutela da saúde;
• Garantia da prevenção à fraude e à segurança do titular.

14. Quais são os princípios da LGPD?

A LGPD traz alguns princípios que devem ser respeitados no tratamento de dados pessoais: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

15. Quais são as Bases Legais para tratamento de dados pessoais?

O tratamento de dados pessoais somente poderá ser realizado:

• Com consentimento do titular;
• Para cumprimento de obrigação legal ou regulatória;
• Pela Administração Pública;
• Para realização de estudos por órgãos de pesquisa;
• Para execução de contratos, a pedido do titular;
• Em processos judiciais, administrativos ou arbitrais;
• Para proteção da vida;
• Para tutela da saúde;
• Em legítimo interesse do Controlador;
• Para proteção do crédito.

16. O que é “consentimento”?

É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. O consentimento e sua finalidade devem estar claros e destacados.

17. E quando a finalidade muda? O que a instituição deve fazer?

Se a instituição precisa de um dado pessoal já coletado com o consentimento do titular para outra finalidade de uso, é necessário informá-lo sobre este novo intuito. Importante ressaltar que, além de informar é preciso atualizar o consentimento do titular.

18. O termo de consentimento deve ser escrito ou digital?

O termo de consentimento, como consta no Art. 8, pode ser adquirido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

19. O titular dos dados pode revogar seu consentimento?

Sim, a LGPD estabelece que o titular dos dados poderá, a qualquer momento, revogar seu consentimento.

20. Há diferença entre o consentimento para tratamento de dados pessoais e dados pessoais sensíveis?

Não. O consentimento para dados sensíveis deve sempre explicitar a finalidade de seu uso, de forma destacada. Se houver alteração na finalidade, é preciso renovar o consentimento de forma expressa.

21. Como se dá o consentimento de Crianças e Adolescentes?

A LGPD estabelece, no artigo 14, que o tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse. Para tratamento de dados destes titulares é necessário consentimento específico e em destaque, dado por, pelo menos, um dos pais ou pelo responsável legal.

Os dados de crianças e adolescentes poderão ser coletados sem o consentimento, quando for necessário para sua proteção ou para contatar os pais ou o responsável legal, sendo utilizados uma única vez e sem armazenamento. Sem consentimento, em nenhum caso, poderão ser repassados a terceiros.

22. Em casos de irregularidade no tratamento de dados, quem será responsabilizado?

Se o tratamento de dados não acontecer como previsto na lei, os controladores serão responsabilizados. Caso o operador não tenha cumprido ordens passadas pelo controlador ou falhe na segurança dos dados, este também pode ser penalizado.

23. Quais são as penalidades que podem ser aplicadas nos casos de irregularidades?

A penalidade imposta irá depender da avaliação da ANPD, mas pode ser uma advertência, a determinação da publicação e divulgação da infração cometida, o bloqueio ou eliminação dos dados que sofreram violações e também multas simples e/ou diárias.

24. O Poder Público também está sujeito às disposições da LGPD?

Sim, os dados pessoais tratados pelo Poder Público também estarão sujeitos à LGPD. Porém, o Poder Público pode tratar dados pessoais sem pedir o consentimento do titular sempre que for necessário para a execução de políticas públicas. O Poder Público também poderá tratar dados pessoais, fora do escopo da lei, no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais, que serão tratados de acordo com legislação específica, que contenha medidas proporcionais e necessárias para que o tratamento de dados pessoais atenda ao interesse público. Para a criação das normas específicas para esses casos, a Autoridade Nacional de Proteção de Dados Pessoais – ANPD emitirá recomendações e opiniões técnicas.

25. É possível o uso compartilhado de dados entre diferentes órgãos da Administração Pública?

A Lei permite o uso compartilhado de dados pessoais entre entes do poder público, desde que atenda a finalidades específicas de execução de políticas públicas e a atribuição legal desses órgãos, respeitados os princípios do art. 6º. O inciso III do art. 7º assegura, como uma de suas dez bases legais para o tratamento de dados, o tratamento e uso compartilhado pela Administração Pública de dados necessários à execução de políticas públicas previstas em leis, regulamentos ou ainda respaldadas em contratos, convênios ou instrumentos congêneres, nos termos do Capítulo IV.

26. A LGPD dispõe sobre a transferência de dados entre o Poder Público e instituições do setor privado?

O art. 26 prevê que o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei.

Veta a transferência dos dados pessoais constantes de bases de dados a que tenha acesso, exceto:

• Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
• Em casos em que os dados forem acessíveis publicamente;
• Quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
• Para prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados.

27. Em que casos os dados pessoais podem ser transferidos para fora do Brasil?

A transferência internacional de dados pessoais pode ser feita:

• Para países ou organizações internacionais proporcionem grau adequado de proteção de dados pessoais;
• Quando o controlador oferecer e comprovar, por meio de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos, que está cumprindo com o disposto na LGPD;
• Quando necessário para cumprimento de acordos da cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e persecução, de acordo com os instrumentos de direito internacional;
• Para proteção da vida do titular ou de terceiros;
• Quando autorizada pela ANPD;
• Quando resultar em compromisso assumido em acordo de cooperação internacional;
• Para a execução de política pública;
• Quando o titular fornecer seu consentimento de forma específica e em destaque para a transferência;
• Para o cumprimento de obrigação legal ou regulatória pelo controlador;
• Quando necessário para a execução de contrato do qual seja parte o titular;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

28. Em caso de incidente o titular deverá ser informado?

A LGPD determina que o controlador deverá comunicar tanto ao titular quanto à ANPD sobre a ocorrência de qualquer incidente de segurança que possa causar risco ou dano ao titular.

29. Como a LGDP protege as pessoas de decisões automatizadas, baseadas exclusivamente em meios tecnológicos?

O titular dos dados tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. Além disso, o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

30. É necessário adequar o tratamento dos dados de Pessoas Jurídicas na base de dados da instituição?

A LGPD protege os dados pessoais de pessoas naturais. Dados de Pessoas Jurídicas são protegidos por outras leis.

31. O que é compartilhamento de dados pessoais?

De acordo com a lei é considerado compartilhamento de dados toda comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

32. É permitido o compartilhamento de dados pessoais?

De acordo com a LGPD, o compartilhamento de dados pessoais pode ocorrer em caso de consentimento expresso e específico do titular dos dados e pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.

33. É permitido o compartilhamento de dados pessoais sensíveis?

A LGPD já determina que o compartilhamento de dados sensíveis com o objetivo de obter vantagem econômica poderá ser vedado ou regulamentado pelas autoridades, e no caso específico de dados de saúde determina a vedação, exceto nos em casos de consentimento expresso ou para a adequada prestação de serviços de saúde suplementar, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia.

34. O que é a ANPD?

ANPD é uma autarquia de natureza especial dotado de autonomia técnica e decisória. É responsável por fiscalizar e garantir o cumprimento da lei, bem como aplicar sanções administrativas em caso de descumprimento. A ANPD guiará a interpretação da Lei e regulamentará padrões e técnicas aplicáveis às questões de segurança da informação, interoperabilidade e processos de anonimização, além de poder requisitar informações sobre tratamentos de dados pessoais para agentes de tratamento, editar normas e orientações.

35. Como proceder em caso de incidente de dados pessoais?

Em caso de incidentes o Controlador deverá comunicar o ocorrido à autoridade nacional e ao(s) titular(es) dos dados comprometidos, além de executar as medidas para reverter ou mitigar os efeitos do incidente, conforme plano previamente estabelecido de resposta a incidentes e remediação.

---

Perguntas e respostas no âmbito judicial

1. Como a LGPD se adequa a publicidade processual?

Ainda que haja em grande escala no Poder Judiciário o esforço para garantir a transparência e publicidade dos atos processuais, todo o disposto na LGPD também será observado. Há garantia fundamental estampada no inciso LX, do art. 5º, da Constituição Federal, que versa que “a lei só poderá restringir a publicidade dos atos processuais quando a defesa da intimidade ou o interesse social o exigirem”. Tal garantia encontra conformidade na LGPD, resguardando a possibilidade de proteção de dados. Ainda que não haja segredo de justiça, o Tribunal Regional Federal da 2º região deverá ter o cuidado de não expor informações desnecessárias e que possam comprometer/constranger a pessoa, seguindo as diretrizes da Lei Geral de Proteção de Dados. Haverá no tribunal constante esforço pela harmonização entre publicidade e proteção de dados.

2. Os dados pessoais de processos judiciais podem ser transferidos para fora do Brasil?

A transferência internacional de dados pessoais pode ser feita:

• Para países ou organizações internacionais proporcionem grau adequado de proteção de dados pessoais;
• Quando o controlador oferecer e comprovar, por meio de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos, que está cumprindo com o disposto na LGPD;
• Quando necessário para cumprimento de acordos da cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e persecução, de acordo com os instrumentos de direito internacional;
• Para proteção da vida do titular ou de terceiros;
• Quando autorizada pela ANPD;
• Quando resultar em compromisso assumido em acordo de cooperação internacional;
• Para a execução de política pública;
• Quando o titular fornecer seu consentimento de forma específica e em destaque para a transferência;
• Para o cumprimento de obrigação legal ou regulatória pelo controlador;
• Quando necessário para a execução de contrato do qual seja parte o titular;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

3. Os dados pessoais de processos judiciais podem ser transferidos para instituições do setor privado?

O artigo 26 prevê que o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei.

Veta a transferência dos dados pessoais constantes de bases de dados a que tenha acesso, exceto:

• Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
• Em casos em que os dados forem acessíveis publicamente;
• Quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
• Para prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados.

4. É possível o uso compartilhado de dados de processos judiciais entre diferentes órgãos da Administração Pública?

A Lei permite o uso compartilhado de dados pessoais entre entes do poder público, desde que atenda a finalidades específicas de execução de políticas públicas e a atribuição legal desses órgãos, respeitados os princípios do art. 6º. O inciso III do art. 7º assegura, como uma de suas dez bases legais para o tratamento de dados, o tratamento e uso compartilhado pela Administração Pública de dados necessários à execução de políticas públicas previstas em leis, regulamentos ou ainda respaldadas em contratos, convênios ou instrumentos congêneres, nos termos do Capítulo IV.

5. Os processos judiciais constituem base legal para o tratamento de dados pessoais?

Sim. De acordo com o inc. VI do art. 7º da LGPD, o tratamento de dados pessoais poderá ser realizado para exercício regular de direitos em processo judicial, administrativo ou arbitral.

6. Em que se fundamenta a incidência da LGPD nos processos judiciais?

O art. 3º, I, da LGPD, que traz o princípio da territorialidade, estabelecendo que a lei se aplica a qualquer tratamento de dados pessoais realizados no território nacional (por pessoa natural ou jurídica, de direito público ou privado);

O art. 4º da LGPD, que contém as hipóteses em que a lei não incide, trazendo em seu inciso III o tratamento de dados para os fins exclusivos de segurança pública, defesa nacional e segurança do Estado (não abrangendo litígios judiciais), além das atividades de investigação e repressão de infrações penais (desse modo, a LGPD afasta expressamente a sua observância nos inquéritos policiais e nos processos criminais, o que significa que incide nos processos judiciais cíveis, isto é, em todos os processos sobre matéria não penal);

O art. 7º da LGPD, que lista os fundamentos que justificam o tratamento de dados (com ou sem o consentimento do titular), e prevê, no inciso VI, o exercício regular de direitos em processo judicial, administrativo ou arbitral (logo, o tratamento de dados nos processos judiciais cíveis independe do consentimento do titular);

Além disso, o fato de os dados de processos judiciais terem publicidade, torna necessária a regulamentação específica do assunto pelo Judiciário, a fim de evitar a captura e o tratamento ilícito dos dados pessoais.

7. Qual o papel do Judiciário no que diz respeito às penas previstas pela LGPD?

Em relação à aplicação das penas previstas, o art. 55-K da LGPD dispõe que a ANPD é a agência que detém competência exclusiva para a aplicação das sanções previstas na legislação — prevendo, inclusive, que suas competências prevalecerão, quanto à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.

Por outro lado, o Judiciário também julgará diversos casos envolvendo infrações aos princípios e regras contidas na LGPD. O procedimento administrativo na ANPD não impede a discussão judicial do assunto, principalmente pelo princípio fundamental previsto na Constituição de acesso à Justiça.

O Poder Judiciário poderá rever as decisões e sanções administrativas aplicadas pela ANPD, atuando para verificar se elas foram corretas e se a legislação está sendo aplicada sem beneficiar ou prejudicar qualquer envolvido.

Medidas administrativas para o cumprimento da LGPD

Ano 2024

• Despacho TRF2-DES-2024/21065 - solicita exclusão do site do Tribunal de pauta de sessão de julgamento.
• Despacho TRF2-DES-2024/09066 - solicita orientações acerca do tratamento dos dados pessoais existentes no sistema da área de Gestão de Pessoas da SJRJ. 

Ano 2023

• Despacho TRF2-DES-2023/46838- solicita relatório de log de acesso de terceiros.
• Despacho TRF2-DES-2023/37266- solicita a data de nascimento dos Desembargadores, para subsidiar pesquisa acadêmica.
• Despacho TRF2-DES-2023/33182- solicita o Processo Administrativo que autorizou a publicação de edital de Concurso Público destinado à formação de cadastro reserva para provimento de cargos na Justiça Federal da 2ª Região. 
• Despacho TRF2-DES-2023/19734- Toma ciência e determina que se dê ciência de ofício do CNJ acerca de ação para contribuir com a elaboração de políticas judiciárias afirmativas. 
• Despacho TRF2-DES-2023/17900- solicita autorização para a realização de pesquisa de mestrado, através de formulário online a ser aplicado aos Oficiais de Justiça de Itaperuna. 
• Despacho TRF2-DES-2023/17879- solicita a data de nascimento dos Desembargadores, para estimar o tempo de permanência de cada um no tribunal em face de futura e eventual compulsória e prestar homenagens de aniversário. 
• Ofício TRF2-OFI-2023/01579- solicita que sejam fornecidas as fichas financeiras dos servidores filiados ao sindicato, para fins de cumprimento da sentença. 

Ano 2022

• Despacho TRF2-DES-2022/50785- trata das ações tendentes à implementação da LGPD na Justiça Federal da 2ª Região, notadamente no que tange ao aditamento dos contratos administrativos celebrados.