Desde as compras realizadas em plataformas digitais até o uso de redes sociais, abrangendo desde empresas privadas até órgãos públicos, bem como nas áreas de publicidade e tecnologia, em ambientes virtuais e presenciais — é fato: a Lei Geral de Proteção de Dados Pessoais (LGPD) impacta a todos nós.

Como parte do compromisso com a legislação brasileira, o CREA-RJ encontra-se em processo de adequação à conformidade legal e reforça que a referida Lei tem como objetivo assegurar a proteção dos dados pessoais dos titulares em todas as etapas e processos, tanto os já existentes quanto aqueles que serão transformados digitalmente.

Neste espaço, disponibilizamos os principais conceitos relacionados à LGPD e apresentamos, de forma clara e acessível, as medidas que o CREA-RJ vem adotando para garantir total transparência quanto ao tratamento de seus dados pessoais.

O QUE É LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, estabelece as normas relativas ao tratamento de dados pessoais, definindo diretrizes para sua proteção e prevendo sanções em caso de descumprimento. Seu principal objetivo é assegurar transparência quanto à utilização dos dados dos cidadãos brasileiros, abrangendo todas as etapas — desde a coleta até a sua exclusão.

Importa ressaltar que a LGPD é aplicável independentemente da localização da sede da organização ou de seus centros de dados. Caso haja o tratamento de informações de indivíduos, brasileiros ou não, situados no território nacional, o cumprimento da legislação é obrigatório.

A LGPD contempla uma série de conceitos e definições que necessitam de esclarecimento. A seguir, apresentamos os principais agentes envolvidos na aplicação da Lei:

\NOTÓICIA 12

Titular

Pessoa natural, física, detentora dos dados e de direito aos dados tratados.

\NOTÓICIA 12

Controlador

Pessoa física ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.

\NOTÓICIA 12

Operador

Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador e de acordo com as instruções fornecidas pelo mesmo.

\NOTÓICIA 12

DPO - Encarregado de dados

Pessoa indicada pela empresa para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

\NOTÓICIA 12

ANPD

Órgão responsável por zelar pela proteção de dados pessoais, implementar e fiscalizar o cumprimento da LGPD, elaborar diretrizes e aplicar as sanções em caso de irregularidades.

QUAIS OS REQUISITOS DA LGPD?

De maneira bastante evidente, a implementação da Lei Geral de Proteção de Dados Pessoais (LGPD) impacta significativamente a rotina das atividades desenvolvidas por empresas e órgãos públicos. No âmbito do CREA-RJ, não é diferente.

Ao longo do programa de conformidade, serão instituídos novos códigos de conduta, políticas de privacidade, termos de uso, além de ações de capacitação voltadas à conscientização e à sensibilização. Essas medidas visam promover uma mudança cultural tanto comportamental quanto na aplicação de boas práticas relacionadas à segurança da informação e à proteção de dados pessoais.

Tais iniciativas serão gradualmente incorporadas ao Conselho no decorrer do programa, com o objetivo de assegurar a transparência e a boa-fé no tratamento de dados dos seus titulares. Todos esses esforços têm como finalidade o fiel cumprimento dos dez princípios fundamentais para o tratamento de dados, conforme estabelecido pela LGPD.

Finalidade:

O tratamento de dados deve possuir um propósito legítimo, específico e explícito, devidamente informado ao titular dos dados.

Adequação:

A atividade de tratamento deve ser compatível com as finalidades previamente informadas ao titular.

Necessidade:

O tratamento deve se limitar ao mínimo necessário para o cumprimento de suas finalidades, evitando excessos.

Livre acesso:

Deve-se assegurar ao titular a possibilidade de consulta facilitada e gratuita sobre a forma, a duração do tratamento e a integralidade de seus dados pessoais.

Qualidade dos dados:

Os dados tratados devem ser exatos, claros, relevantes e mantidos atualizados, de acordo com a necessidade e a finalidade do tratamento.

Transparência:

É essencial fornecer ao titular informações claras, precisas e de fácil acesso a respeito do tratamento de seus dados e dos respectivos agentes envolvidos.

Segurança:

Devem ser adotadas medidas técnicas e administrativas eficazes para proteger os dados pessoais contra acessos não autorizados, situações acidentais ou ilícitas.

Prevenção:

É necessário implementar medidas preventivas que evitem a ocorrência de danos em virtude do tratamento de dados pessoais.

Não discriminação:

É vedado o tratamento de dados com fins discriminatórios, ilícitos ou abusivos.

Responsabilização e prestação de contas:

O agente de tratamento deve demonstrar a adoção de medidas eficazes que comprovem o cumprimento da legislação e das normas de proteção de dados pessoais.

As bases legais constituem as condições estabelecidas pela Lei Geral de Proteção de Dados Pessoais (LGPD) que legitimam a coleta e o tratamento de dados pessoais. Cada uma dessas bases é autônoma, ou seja, não há hierarquia ou predominância entre elas. Cabe à organização identificar e adotar a base legal mais adequada conforme a finalidade e o contexto de cada processo de tratamento de dados.

As bases legais previstas na LGPD são:

  • Consentimento do titular:
    Autorização livre, informada e inequívoca fornecida pelo titular dos dados.

  • Cumprimento de obrigação legal ou regulatória:
    Tratamento necessário para atender a exigências legais ou regulatórias.

  • Execução de políticas públicas:
    Tratamento realizado pela administração pública para a implementação de políticas públicas previstas em leis ou regulamentos.

  • Estudo por órgão de pesquisa:
    Tratamento realizado exclusivamente para fins acadêmicos ou estatísticos, assegurada a anonimização dos dados, sempre que possível.

  • Execução de contrato ou procedimentos preliminares:
    Tratamento necessário para a execução de contrato ou para atender a pedidos do titular antes da formalização contratual.

  • Exercício regular de direitos em processos judiciais, administrativos ou arbitrais:
    Tratamento necessário para assegurar o direito de defesa ou o exercício regular de direitos.

  • Proteção da vida ou da incolumidade física:
    Tratamento indispensável à preservação da vida ou da integridade física do titular ou de terceiros.

  • Tutela da saúde:
    Tratamento realizado por profissionais ou entidades da área da saúde, exclusivamente para procedimentos médicos ou sanitários.

  • Legítimo interesse do controlador ou de terceiros:
    Quando houver a necessidade de atender interesses legítimos, respeitados os direitos e liberdades fundamentais do titular.

  • Proteção ao crédito:
    Tratamento de dados necessário para atividades relacionadas à proteção do crédito, como análise de risco e concessão de financiamentos.

QUAIS SÃO OS BENEFÍCIOS PARA O TITULAR DOS DADOS?

A Lei Geral de Proteção de Dados Pessoais (LGPD) dedica um capítulo específico aos direitos dos titulares, configurando-se como um dos aspectos mais relevantes da legislação, na medida em que visa assegurar o pleno exercício desses direitos por parte dos indivíduos. O objetivo central é evidenciar que os dados pessoais não pertencem ao CREA-RJ, a quaisquer outros órgãos públicos ou a organizações privadas, mas sim ao próprio indivíduo — à pessoa física a quem tais dados se referem.

Dessa forma, tanto os controladores quanto os operadores de dados devem garantir o respeito e o cumprimento dos direitos dos titulares, promovendo uma relação pautada na transparência. Por essa razão, o Programa de Conformidade deve incluir regras claras, específicas, acessíveis e gratuitas acerca do exercício desses direitos, os quais são:

  • Solicitação de confirmação quanto à existência de tratamento de dados pessoais;

  • Requisição de acesso aos dados pessoais tratados;

  • Pedido de retificação de dados pessoais que estejam incorretos, incompletos ou desatualizados;

  • Solicitação de revogação do consentimento previamente concedido;

  • Manifestação de oposição à base legal utilizada para determinado tratamento de dados;

  • Requisição de portabilidade dos dados pessoais a outro controlador, conforme regulamentação da autoridade competente;

  • Pedido de informação acerca das entidades públicas e privadas com as quais os dados pessoais são compartilhados;

  • Solicitação de revisão de decisões automatizadas que afetem seus interesses, incluindo aquelas baseadas em perfis comportamentais ou creditícios.

O PAPEL DO DPO

A Lei Geral de Proteção de Dados Pessoais (LGPD) consolidou uma nova e relevante função nas organizações: o Encarregado pelo Tratamento de Dados Pessoais, conhecido internacionalmente como DPO (Data Protection Officer). Essencial para a adequada observância da LGPD, esse profissional é especializado em proteção de dados e atua na supervisão das organizações, assegurando o cumprimento das normas legais e das boas práticas relacionadas ao tratamento de dados pessoais.

Além disso, o DPO exerce o papel de elo entre o controlador (a organização), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

No âmbito do CREA-RJ, todas as ações voltadas à implementação da LGPD estão sob a responsabilidade do DPO – Encarregado pelo Tratamento de Dados Pessoais.

Jacqueline Frinhani Pereira, designada como DPO/LGPD do CREA-RJ, em conjunto com a Comissão Multidisciplinar, será responsável pela estruturação e condução das atividades relativas à implementação da LGPD, conforme disposto na Portaria nº 297/2021.

Principais atribuições:

  • Receber reclamações e comunicações dos titulares de dados pessoais, prestar os devidos esclarecimentos e adotar as providências cabíveis;

  • Atender às comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e tomar as medidas necessárias;

  • Receber notificações sobre incidentes relacionados a dados pessoais no âmbito do CREA-RJ e agir conforme as exigências legais;

  • Orientar colaboradores e contratados do Conselho quanto às práticas relativas à proteção de dados pessoais, atuando ativamente nos projetos, serviços e produtos, com foco na proposição de soluções que atendam às necessidades do negócio.

Principais competências:

  • Domínio da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018);

  • Coordenação e implementação de programas de conformidade relacionados à proteção de dados;

  • Avaliação de riscos e proposição de estratégias mitigadoras, em parceria com as áreas envolvidas;

  • Conhecimento aprofundado sobre legislações e normas de privacidade e proteção de dados;

  • Habilidade para gestão de conflitos, resolução de problemas e manutenção de uma boa relação com as áreas internas e com a liderança institucional.

DPO – Encarregada pelo Tratamento de Dados Pessoais

Jacqueline Frinhani Pereira

E-mail: