A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei Federal nº 13.709, de 2018) disciplina o tratamento de dados pessoais das pessoas naturais, inclusive em meios digitais, realizado por pessoa natural ou jurídica, de direito público ou privado. A Lei define as hipóteses em que esses dados podem ser legitimamente utilizados por terceiros e estabelece mecanismos para proteger os titulares dos dados contra usos inadequados.

Conforme o artigo 1º, a LGPD tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A LGPD garante proteção dos dados pessoais de indivíduos naturais, identificados ou identificáveis, que sejam coletados e tratados em território brasileiro. Essa proteção abrange dados utilizados para oferecer bens ou serviços, ou para tratamento de dados de indivíduos localizados no Brasil.

A LGPD adota, no artigo 5º, inciso I, um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável.

Assim, além de informações básicas de identificação, a exemplo de nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que estejam relacionados com uma pessoa natural, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade.

Segundo artigo 12, § 2º, da LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionados aos aspectos mais íntimos da personalidade de um indivíduo. Assim, de acordo com o artigo 5º, II, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

O tratamento de dados, conforme estabelecido pela LGPD, abrange qualquer operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Em outras palavras, o tratamento engloba todas as etapas do ciclo de vida dos dados pessoais, desde a sua coleta até a sua eliminação.

O titular do dado é a pessoa natural a quem se referem os dados pessoais que são objeto do tratamento.

A LGPD é uma norma de interesse nacional, devendo ser observada pela União, Estados, Distrito Federal e Municípios e se aplica a qualquer pessoa, natural ou jurídica de direito público ou privado, que realize o tratamento de dados pessoais.

As hipóteses gerais autorizadoras estão listadas no artigo 7º da LGPD, que incluem:

• mediante o fornecimento de consentimento pelo titular;
• para o cumprimento de obrigação legal ou regulatória pelo controlador;
• pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
• para a realização de estudos por órgão de pesquisa;
• para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
• para a proteção do crédito.

Quanto à transferência internacional de dados pessoais, é necessário observar as hipóteses legais indicadas no artigo 33 da mesma lei.

Conforme as hipóteses autorizadoras listadas no artigo 11 da LGPD, o tratamento de dados pessoais sensíveis somente poderá ocorrer com consentimento do titular ou seu responsável legal, de forma destacada e para finalidades específicas.

Ou sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

• para o cumprimento de obrigação legal ou regulatória pelo controlador;
• para o tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
• para a realização de estudos por órgão de pesquisa;
• para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• para garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

O tratamento de dados pessoais pelo Poder Público deve estar fundamentado em uma das hipóteses previstas no artigo 7º da LGPD ou, no caso de dados sensíveis, no artigo 11. No entanto, no âmbito público, esses dispositivos devem ser interpretados em conjunto com o artigo 23, que orienta e complementa a aplicação das bases legais, garantindo que o tratamento de dados pela Poder Público seja legítimo e compatível com as finalidades públicas.

De acordo com a LGPD, os agentes de tratamento responsáveis pelo tratamento de dados pessoais são o controlador e o operador.

O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. No caso da Prefeitura Municipal de Curitiba, conforme o Decreto Municipal nº 31, 13 de janeiro de 2026, a própria Prefeitura é o controlador dos dados nos órgãos da administração direta, como as secretarias, a Procuradoria- Geral do Município e a Controladoria-Geral do Município. Já nas entidades da administração indireta, como autarquias, fundações e sociedade de economia mista, cada uma delas atua como controlador de seus próprios dados.

O operador, por sua vez, é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Na Prefeitura Municipal de Curitiba, os operadores são os prestadores de serviços que tratam dados em nome da Prefeitura.

Consulte aqui o conteúdo do Decreto Municipal nº 31/2026.

É a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Agência Nacional de Proteção de Dados – ANPD.

Os princípios estabelecidos no artigo 6º da LGPD representam valores que devem ser observados em toda e qualquer atividade de tratamento de dados pessoais. Nesse contexto, a LGPD define uma série de princípios, os quais orientam a aplicação e o cumprimento da lei:

• Princípio da finalidade: o tratamento de dados deve ocorrer apenas para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
• Princípio da adequação: o tratamento de dados deve ser compatível com as finalidades previamente informadas ao titular, de acordo com o contexto do tratamento.
• Princípio da necessidade: limita o tratamento dos dados ao mínimo necessário para a realização de suas finalidades, com a abrangência de dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
• Princípio do livre acesso: garante aos titulares o direito de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
• Princípio da qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
• Princípio da transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
• Princípio da segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
• Princípio da prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
• Princípio da não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
• Princípio da responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

A LGPD garante, nos artigos 18 e 20, diversos direitos para as pessoas que têm seus dados pessoais coletados. Entre esses direitos, podemos destacar os seguintes:

• acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva;
• confirmação da existência de tratamento;
• acesso aos dados;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
• portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
• eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
• informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado;
• peticionamento em relação aos seus dados contra o controlador, perante a ANPD e perante os organismos de defesa do consumidor;
• oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD;
• solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e
• fornecimento, mediante solicitação, de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

O art. 9º da LGPD confere ao titular dos dados pessoais o direito ao acesso facilitado às informações sobre o tratamento de seus dados, os quais deverão ser disponibilizadas de forma clara, adequada e ostensiva a respeito de, entre outras características:

• A finalidade específica do tratamento;
• A forma e duração do tratamento, observados os segredos comercial e industrial;
• A identificação do controlador;
• As informações de contato do controlador;
• As informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
• As responsabilidades dos agentes que realizarão o tratamento; e
• Os direitos do titular, com menção explícita aos direitos contidos no art. 18 da LGPD.

Encaminhar e-mail para lgpd@curitiba.pr.gov.br, informando o(s) direito(s) que deseja exercer e descrevendo sua solicitação.

A LGPD, conforme o artigo 23, §3º, estabelece que os prazos e procedimentos para o exercício dos direitos do titular perante o Poder Público devem observar as disposições de legislações específicas. Em especial, devem seguir as normas previstas na Lei Federal nº 9.507. de 1997 (Lei do Habeas Data), na Lei Federal nº 9.784, de 1999 (Lei Geral do Processo Administrativo), e na Lei Federal nº 12.527, de 2011 (Lei de Acesso à Informação).

ANPD (Agência Nacional de Proteção de Dados) é a entidade da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

Sim, o Poder Público pode tratar dados pessoais sem o consentimento do titular em situações como: quando o tratamento for necessário para a execução de políticas públicas, para o cumprimento de atribuições legais pelos órgãos e entidades da Administração Pública, para a proteção da vida ou da incolumidade física, ou para fins de saúde.

Isso ocorre porque o consentimento é apenas uma das hipóteses legais que autorizam o tratamento de dados pessoais, conforme se verifica nos artigos 7º e 11 da LGPD.

A LGPD determina que o controlador deverá comunicar tanto ao titular dos dados quanto à ANPD sobre a ocorrência de qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Contudo, o conteúdo dessas comunicações difere: à ANPD devem ser prestadas informações técnicas para avaliação da gravidade do incidente, enquanto aos titulares cabe informar, de forma clara, como se proteger contra eventuais consequências danosas, quais soluções estão sendo disponibilizadas para remediar danos já concretizados e como exercer seus direitos de titular.