Desde as compras realizadas em plataformas digitais até o uso de redes sociais, abrangendo desde empresas privadas até órgãos públicos, bem como nas áreas de publicidade e tecnologia, em ambientes virtuais e presenciais — é fato: a Lei Geral de Proteção de Dados Pessoais (LGPD) impacta a todos nós.
Como parte do compromisso com a legislação brasileira, o CREA-RJ encontra-se em processo de adequação à conformidade legal e reforça que a referida Lei tem como objetivo assegurar a proteção dos dados pessoais dos titulares em todas as etapas e processos, tanto os já existentes quanto aqueles que serão transformados digitalmente.
Neste espaço, disponibilizamos os principais conceitos relacionados à LGPD e apresentamos, de forma clara e acessível, as medidas que o CREA-RJ vem adotando para garantir total transparência quanto ao tratamento de seus dados pessoais.
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, estabelece as normas relativas ao tratamento de dados pessoais, definindo diretrizes para sua proteção e prevendo sanções em caso de descumprimento. Seu principal objetivo é assegurar transparência quanto à utilização dos dados dos cidadãos brasileiros, abrangendo todas as etapas — desde a coleta até a sua exclusão.
Importa ressaltar que a LGPD é aplicável independentemente da localização da sede da organização ou de seus centros de dados. Caso haja o tratamento de informações de indivíduos, brasileiros ou não, situados no território nacional, o cumprimento da legislação é obrigatório.
A LGPD contempla uma série de conceitos e definições que necessitam de esclarecimento. A seguir, apresentamos os principais agentes envolvidos na aplicação da Lei:

Pessoa natural, física, detentora dos dados e de direito aos dados tratados.

Pessoa física ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.

Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador e de acordo com as instruções fornecidas pelo mesmo.

Pessoa indicada pela empresa para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Órgão responsável por zelar pela proteção de dados pessoais, implementar e fiscalizar o cumprimento da LGPD, elaborar diretrizes e aplicar as sanções em caso de irregularidades.
De maneira bastante evidente, a implementação da Lei Geral de Proteção de Dados Pessoais (LGPD) impacta significativamente a rotina das atividades desenvolvidas por empresas e órgãos públicos. No âmbito do CREA-RJ, não é diferente.
Ao longo do programa de conformidade, serão instituídos novos códigos de conduta, políticas de privacidade, termos de uso, além de ações de capacitação voltadas à conscientização e à sensibilização. Essas medidas visam promover uma mudança cultural tanto comportamental quanto na aplicação de boas práticas relacionadas à segurança da informação e à proteção de dados pessoais.
Tais iniciativas serão gradualmente incorporadas ao Conselho no decorrer do programa, com o objetivo de assegurar a transparência e a boa-fé no tratamento de dados dos seus titulares. Todos esses esforços têm como finalidade o fiel cumprimento dos dez princípios fundamentais para o tratamento de dados, conforme estabelecido pela LGPD.
O tratamento de dados deve possuir um propósito legítimo, específico e explícito, devidamente informado ao titular dos dados.
A atividade de tratamento deve ser compatível com as finalidades previamente informadas ao titular.
O tratamento deve se limitar ao mínimo necessário para o cumprimento de suas finalidades, evitando excessos.
Deve-se assegurar ao titular a possibilidade de consulta facilitada e gratuita sobre a forma, a duração do tratamento e a integralidade de seus dados pessoais.
Os dados tratados devem ser exatos, claros, relevantes e mantidos atualizados, de acordo com a necessidade e a finalidade do tratamento.
É essencial fornecer ao titular informações claras, precisas e de fácil acesso a respeito do tratamento de seus dados e dos respectivos agentes envolvidos.
Devem ser adotadas medidas técnicas e administrativas eficazes para proteger os dados pessoais contra acessos não autorizados, situações acidentais ou ilícitas.
É necessário implementar medidas preventivas que evitem a ocorrência de danos em virtude do tratamento de dados pessoais.
É vedado o tratamento de dados com fins discriminatórios, ilícitos ou abusivos.
O agente de tratamento deve demonstrar a adoção de medidas eficazes que comprovem o cumprimento da legislação e das normas de proteção de dados pessoais.
As bases legais constituem as condições estabelecidas pela Lei Geral de Proteção de Dados Pessoais (LGPD) que legitimam a coleta e o tratamento de dados pessoais. Cada uma dessas bases é autônoma, ou seja, não há hierarquia ou predominância entre elas. Cabe à organização identificar e adotar a base legal mais adequada conforme a finalidade e o contexto de cada processo de tratamento de dados.
As bases legais previstas na LGPD são:
Consentimento do titular:
Autorização livre, informada e inequívoca fornecida pelo titular dos dados.
Cumprimento de obrigação legal ou regulatória:
Tratamento necessário para atender a exigências legais ou regulatórias.
Execução de políticas públicas:
Tratamento realizado pela administração pública para a implementação de políticas públicas previstas em leis ou regulamentos.
Estudo por órgão de pesquisa:
Tratamento realizado exclusivamente para fins acadêmicos ou estatísticos, assegurada a anonimização dos dados, sempre que possível.
Execução de contrato ou procedimentos preliminares:
Tratamento necessário para a execução de contrato ou para atender a pedidos do titular antes da formalização contratual.
Exercício regular de direitos em processos judiciais, administrativos ou arbitrais:
Tratamento necessário para assegurar o direito de defesa ou o exercício regular de direitos.
Proteção da vida ou da incolumidade física:
Tratamento indispensável à preservação da vida ou da integridade física do titular ou de terceiros.
Tutela da saúde:
Tratamento realizado por profissionais ou entidades da área da saúde, exclusivamente para procedimentos médicos ou sanitários.
Legítimo interesse do controlador ou de terceiros:
Quando houver a necessidade de atender interesses legítimos, respeitados os direitos e liberdades fundamentais do titular.
Proteção ao crédito:
Tratamento de dados necessário para atividades relacionadas à proteção do crédito, como análise de risco e concessão de financiamentos.
A Lei Geral de Proteção de Dados Pessoais (LGPD) dedica um capítulo específico aos direitos dos titulares, configurando-se como um dos aspectos mais relevantes da legislação, na medida em que visa assegurar o pleno exercício desses direitos por parte dos indivíduos. O objetivo central é evidenciar que os dados pessoais não pertencem ao CREA-RJ, a quaisquer outros órgãos públicos ou a organizações privadas, mas sim ao próprio indivíduo — à pessoa física a quem tais dados se referem.
Dessa forma, tanto os controladores quanto os operadores de dados devem garantir o respeito e o cumprimento dos direitos dos titulares, promovendo uma relação pautada na transparência. Por essa razão, o Programa de Conformidade deve incluir regras claras, específicas, acessíveis e gratuitas acerca do exercício desses direitos, os quais são:
Solicitação de confirmação quanto à existência de tratamento de dados pessoais;
Requisição de acesso aos dados pessoais tratados;
Pedido de retificação de dados pessoais que estejam incorretos, incompletos ou desatualizados;
Solicitação de revogação do consentimento previamente concedido;
Manifestação de oposição à base legal utilizada para determinado tratamento de dados;
Requisição de portabilidade dos dados pessoais a outro controlador, conforme regulamentação da autoridade competente;
Pedido de informação acerca das entidades públicas e privadas com as quais os dados pessoais são compartilhados;
Solicitação de revisão de decisões automatizadas que afetem seus interesses, incluindo aquelas baseadas em perfis comportamentais ou creditícios.
A Lei Geral de Proteção de Dados Pessoais (LGPD) consolidou uma nova e relevante função nas organizações: o Encarregado pelo Tratamento de Dados Pessoais, conhecido internacionalmente como DPO (Data Protection Officer). Essencial para a adequada observância da LGPD, esse profissional é especializado em proteção de dados e atua na supervisão das organizações, assegurando o cumprimento das normas legais e das boas práticas relacionadas ao tratamento de dados pessoais.
Além disso, o DPO exerce o papel de elo entre o controlador (a organização), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
No âmbito do CREA-RJ, todas as ações voltadas à implementação da LGPD estão sob a responsabilidade do DPO – Encarregado pelo Tratamento de Dados Pessoais.
Jacqueline Frinhani Pereira, designada como DPO/LGPD do CREA-RJ, em conjunto com a Comissão Multidisciplinar, será responsável pela estruturação e condução das atividades relativas à implementação da LGPD, conforme disposto na Portaria nº 297/2021.
Principais atribuições:
Receber reclamações e comunicações dos titulares de dados pessoais, prestar os devidos esclarecimentos e adotar as providências cabíveis;
Atender às comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e tomar as medidas necessárias;
Receber notificações sobre incidentes relacionados a dados pessoais no âmbito do CREA-RJ e agir conforme as exigências legais;
Orientar colaboradores e contratados do Conselho quanto às práticas relativas à proteção de dados pessoais, atuando ativamente nos projetos, serviços e produtos, com foco na proposição de soluções que atendam às necessidades do negócio.
Principais competências:
Domínio da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018);
Coordenação e implementação de programas de conformidade relacionados à proteção de dados;
Avaliação de riscos e proposição de estratégias mitigadoras, em parceria com as áreas envolvidas;
Conhecimento aprofundado sobre legislações e normas de privacidade e proteção de dados;
Habilidade para gestão de conflitos, resolução de problemas e manutenção de uma boa relação com as áreas internas e com a liderança institucional.
E-mail: [email protected]