A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n. 13.709, de 14 de agosto de 2018) dispõe sobre o tratamento de dados pessoais da pessoa natural, não esquecendo que pessoa natural é o mesmo que física.

A LGPD não abrange os dados titularizados por pessoas jurídicas, os quais não são considerados dados pessoais para os efeitos da Lei.

O texto é aplicável mesmo a empresas com sede no exterior, desde que a operação de tratamento de dados seja realizada no território nacional.

Entre outros pontos, a Lei proíbe o tratamento dos dados pessoais para a prática de discriminação ilícita ou abusiva.

Seu objetivo é resguardar os indivíduos contra o uso inapropriado de seus dados pessoais, protegendo os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade de todas as pessoas naturais.

A LGPD tutela a pessoa natural no tratamento de seus dados pessoais realizado por pessoas físicas e jurídicas, sejam elas empresas privadas ou do setor público, inclusive nos meios digitais.

A CPTM, como empresa pública, deve submeter-se à LGPD.

A Lei não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins particulares e não econômicos, exclusivamente, jornalísticos, artísticos ou acadêmicos, e quando realizados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais. 

Para começar, um dado pessoal é informação relacionada a uma pessoa natural, portanto essa pessoa tem que ser identificada ou identificável. Identificamos as pessoas pelo nome, RG (Registro Geral), CPF (Cadastro Nacional de Pessoas Físicas), endereço e também por meio de características como aparência, hábitos de consumo, aspectos da personalidade, passatempos preferidos, entre outras.

Segundo o art. 12, §2º da LGPD, poderão ser igualmente considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

Já os dados pessoais sensíveis são aqueles relacionados aos aspectos mais íntimos de uma pessoa. De acordo com a Lei são aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural. Esses dados só podem ser utilizados com autorização dos titulares ou para atender a finalidades específicas da Lei. 

Os dados identificáveis são aqueles que não permitem o reconhecimento da pessoa com as informações isoladas. Entretanto, quando somamos a eles outros dados pessoais, conseguimos identificar o titular.

A pseudonimização, de acordo com a LGPD, é "o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro".
Ao serem utilizadas pelo controlador, essas informações escondidas estarão sujeitas à Lei.

Anonimizado é o "dado relativo ao titular que não pode ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento".
Em outras palavras, um dado anonimizado não leva ao reconhecimento da pessoa, pois não há qualquer associação da informação com um titular.

Uma medida técnica muito usada para anonimização de dados é a criptografia, que utiliza a cifragem dos dados para embaralhar as informações. Somente quem detém a chave tem acesso à informação original.

Já vimos que na anonimização e na pseudonimização são utilizadas técnicas para "mascarar" dados.
A LGPD traz em seu art. 12 que "os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido."

O tratamento de dados pessoais de crianças e adolescentes também merece cuidado especial e sempre na busca de seu melhor interesse. É necessário o consentimento expresso de um dos pais ou responsáveis e devem ser solicitados apenas os dados estritamente indispensáveis para a atividade a ser realizada, sem repassar a terceiros, pois são considerados de alto risco. Se não houver consentimento, somente será permitido coletá-los em casos de urgência, para contato com os pais ou responsáveis e/ou para proteção da criança e do adolescente.

Tratamento tem um significado muito peculiar para a LGPD. Segundo a Lei, "tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração".

Recomenda-se a quem vai tratar um dado pessoal, associar o conceito de tratamento ao da base legal. É que sem observar as hipóteses prescritas na Lei, não se fala em tratamento de dados. Elas estão previstas no art. 7º e no caso de dados pessoais sensíveis, no art. 11, da LGPD. Já para transferência internacional de informações pessoais, é necessário atender aos fundamentos indicados no art. 33, da Lei.

A LGPD não define um prazo, contudo, o art. 15, especifica que o término do tratamento de dados pessoais deve ocorrer nas seguintes situações:

• finalidade alcançada ou porque deixaram de ser pertinentes para a finalidade almejada;
• fim do período de tratamento;
• comunicação do titular, inclusive para revogação do consentimento, resguardado o interesse público;
• ou determinação da autoridade nacional, a ANPD, quando houver violação ao disposto na LGPD.

A conservação de dados pessoais é autorizada apenas nas hipóteses previstas no art. 16, da LGPD:

• cumprimento de obrigação legal ou regulatória pelo controlador;
• estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou
• uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

A ANPD "é uma autarquia de natureza especial, vinculada ao Ministério da Justiça e Segurança Pública, responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil".

A confirmação da existência de tratamento, o acesso aos dados pessoais e os demais direitos do titular previstos no art. 18 e seguintes da LGPD poderão ser obtidos por meio de solicitação encaminhada ao Serviço de Informação ao Cidadão – SIC, devendo ser retirada pessoalmente, mediante comprovação de identidade ou por procurador devidamente constituído.

Também o titular poderá encaminhar dúvidas, solicitações e reclamações ao Encarregado pelo Tratamento de Dados Pessoais, via encarregado.dados@cptm.sp.gov.br, de segunda a sexta-feira, das 9h00 às 17h00.

A PPDP - Política de Proteção de Dados Pessoais do Estado de São Paulo, foi deliberada pelo Comitê Gestor de Governança de Dados e Informações do Estado e chega alinhada às diretrizes da Política de Governança de Dados e Informações, a PGDI.

Entre outras, a iniciativa de sua deliberação, demonstra o empenho da Administração Estadual em obedecer às disposições da LGPD.

De acordo com o seu art. 3º, a Política de Proteção de Dados Pessoais – PPDP, instituída pela Deliberação Normativa CGGDIESP-2, de 30 de dezembro de 2021, tem por objetivos:

•  divulgar as diretrizes estabelecidas pelo Estado de São Paulo para operações de tratamento de dados pessoais;
• estabelecer responsabilidades e limites de atuação aos agentes públicos;
• declarar o compromisso do Estado de proteção do direito à privacidade no desempenho das atividades estatais.

São medidas técnicas e organizacionais, físicas e administrativas, que vão de treinamentos e conscientização de servidores, até a adoção de normas de segurança.

O acesso restrito a pessoas autorizadas também é usado com o objetivo de mitigar riscos de ocorrência de incidentes de segurança em ambientes físicos ou eletrônicos.

São medidas técnicas e organizacionais, físicas e administrativas, que vão de treinamentos e conscientização de servidores, até a adoção de normas de segurança.

O acesso restrito a pessoas autorizadas também é usado com o objetivo de mitigar riscos de ocorrência de incidentes de segurança em ambientes físicos ou eletrônicos.

Assim como as empresas privadas, o Estado de São Paulo deve eliminá-los, uma vez cumprido o propósito da coleta de dados pessoais ou na hipótese de os dados deixarem de ser necessários ou pertinentes ao alcance da finalidade específica do tratamento. Pode mantê-los, contudo, nos casos de cumprimento de obrigação legal ou regulatória.  

Desde que seja necessário para o atendimento dos preceitos da Administração Pública, de finalidade pública ou na persecução do interesse público e sempre observado o princípio da legalidade, não é vedado ao Poder Público transferir a entidades privadas dados pessoais a que tenha acesso.

Vale ressaltar que o Estado de São Paulo garante que os terceiros autorizados a receber Dados Pessoais observam as diretrizes da PPDP e demais normativos internos, a Lei Geral de Proteção de Dados Pessoais e as orientações da Administração Pública estadual.

O compartilhamento de dados pessoas com entidades privadas se dará nos termos do art. 19 da PPDP, somente mediante a existência de autorização formal, emitida em casos específicos, na forma da Lei ou regulamento, e quando:

• necessário à execução descentralizada de atividade pública, exclusivamente para esse fim específico e determinado.
• os dados pessoais forem acessíveis publicamente, observada legislação específica;
• houver previsão legal;
• respaldado em contratos, convênios ou instrumentos congêneres firmados pela Administração Pública com entes privados;
• na prevenção de fraudes e irregularidades;
• na proteção à segurança e à integridade do titular de dados pessoais; ou
• houver consentimento do titular de dados pessoais.

São aquelas que possam afetar o indivíduo, incluídas as decisões destinadas a definir perfil pessoal, profissional, de consumo e de crédito ou os aspectos de personalidade e que foram programadas para funcionar automaticamente, sem a necessidade de uma operação humana, com base em tratamento automatizado de dados pessoais.

Cookies consistem em arquivos digitais coletados e armazenados durante a navegação. São utilizados para aprimorar a experiência do usuário, tanto em termos de performance, como em termos de usabilidade da plataforma digital.

O seu uso não prejudica os dispositivos em que são armazenados, sendo possível gerenciá-los diretamente nas opções do navegador de internet utilizado pelo Titular.

No site da CPTM são utilizados Cookies para fins estatísticos dos acessos às informações disponibilizadas. São Cookies técnicos, estritamente necessários, armazenados em caráter temporário.

Os direitos garantidos ao titular, sem prejuízo daqueles previstos em demais leis, são: 

• Confirmação da existência do tratamento; 
• Acesso aos dados;
• Correção de dados desatualizados ou incompletos;
• Eliminação na hipótese de consentimento;
• Anonimização ou bloqueio de dados pessoais excessivos;
• Revogação do consentimento quando aplicável;
• Informação sobre negativa de consentimento e suas consequências;
• Oposição ao tratamento em desacordo com a LGPD;
• Portabilidade dos dados de acordo com regulamentação da ANPD;
• Informação sobre entidades públicas e privadas com as quais o Estado realizou uso compartilhado de dados pessoais;
• Revisão de decisões tomadas unicamente com base em tratamento automatizado e que afetem o titular.

Por e-mail ou telefone, ao Encarregado pelo Tratamento de Dados Pessoais, com atendimento disponível de segunda a sexta-feira, das 9h00 às 17h00.

De acordo com o art. 8º da PPDP, a identidade e as informações de contato dos Encarregados são divulgadas no sítio eletrônico da Central de Dados do Estado de São Paulo – CDESP.

As autarquias, fundações, empresas públicas e sociedades de economia mista devem designar e fazer publicar a identidade e as informações de contato de seus Encarregados em sítio próprio. É o que já faz a CPTM, que disponibiliza a identidade da Encarregada de Dados Pessoais e o respectivo endereço eletrônico para contato: confira

Dentre os eventos mais significativos podemos citar a Emenda Constitucional nº 115, de 10 de fevereiro de 2022, que incluiu a matéria na Constituição Federal. Ao Artigo 5º foi acrescido o inciso LXXIX, assegurando o direito à proteção dos dados pessoais, inclusive nos meios digitais.

O Dia Nacional da Proteção de Dados é comemorado no Brasil em 17 de julho.