Texto: ORIENTAÇÃO LGPD/SEFAZ Nº 002/2025
Data: [a mesma da assinatura digital] TEMA: Como Efetuar o Tratamento de Dados Pessoais
2. Legislação do Estado de Mato Grosso: 2.1. Resolução nº 002/2024/COGGE/SEFAZ, de 18 de dezembro de 2024: Art. 8º (Dos Princípios) e Art. 9º, inciso I (Das Diretrizes). 2.2. Decreto Estadual nº 1.427, de 30 de abril de 2025: Art. 3º (Objetivos) e Art. 4º (Diretrizes). 2.3. Resolução nº 003/2024/COGGE/SEFAZ, de 18 de dezembro de 2024, art. 2º, III. 2.4. Informações de contato com o Encarregado de Dados para exercer os direitos do titular: https://www5.sefaz.mt.gov.br/encarregado-de-dados-pessoais RESUMO:
Nenhum tratamento de dado pessoal pode ser realizado na SEFAZ sem um propósito claro (finalidade) e uma justificativa legal (base legal). O tratamento deve se limitar ao estritamente necessário para atingir essa finalidade, garantindo ao cidadão que suas informações sejam usadas de forma legítima, transparente e segura, majoritariamente para a execução das competências legais e a persecução do interesse público atribuídas à Secretaria. ARGUMENTOS (Questões, Dúvidas e Cenários Práticos): 1. Argumento 1: O que significa "tratar" um dado? Apenas armazenar um documento em uma pasta já é considerado "tratamento"? 1.1. Sim. "Tratamento" é um conceito muito amplo. De acordo com a LGPD, qualquer operação realizada com dados pessoais é tratamento. Isso inclui, mas não se limita a: coletar, armazenar, acessar, utilizar, compartilhar, classificar, arquivar, transferir e eliminar. Portanto, o simples ato de salvar um documento com o CPF de alguém em uma pasta de rede já constitui uma operação de tratamento e deve seguir as regras.
2. Argumento 2: Posso coletar todos os dados que julgar úteis de um contribuinte para "eventuais necessidades futuras"? 2.1. Não. Isso viola diretamente os princípios da finalidade e da necessidade. A finalidade exige que o propósito do tratamento seja específico e informado ao titular. A necessidade (também chamada de minimização) determina que o tratamento deve ser limitado ao mínimo de dados indispensáveis para alcançar essa finalidade. Coletar dados "para o caso de precisar um dia" é ilegal.
3. Argumento 3: A SEFAZ precisa sempre do consentimento (autorização) do cidadão para usar seus dados? 3.1. Não. O consentimento é apenas uma das dez bases legais previstas na LGPD. Para a atuação da SEFAZ, a base legal mais comum é o "cumprimento de obrigação legal ou regulatória" (Art. 7º, II) e a "execução de políticas públicas" (Art. 7º, III). Quando um servidor solicita o CPF em uma nota fiscal ou dados para um cadastro fiscal, ele o faz com base na lei, não precisando pedir o consentimento do cidadão para isso.
4. Argumento 4: Um dado coletado para a finalidade de fiscalização tributária pode ser usado para outra finalidade, como enviar um convite para um evento da SEFAZ? 4.1. Não. Utilizar um dado para uma finalidade diferente daquela que justificou sua coleta é conhecido como "desvio de finalidade", uma prática vedada pela LGPD. O dado coletado para fiscalização só pode ser usado para este fim. Para enviar um convite de evento (que não é a atividade-fim da SEFAZ), seria necessário obter o consentimento explícito e específico do titular para esta nova finalidade.
5. Argumento 5: Como garantir que o tratamento de dados é seguro e transparente? 5.1. A segurança é garantida pela adoção de medidas técnicas (controle de acesso, senhas fortes, etc.) e administrativas (políticas, treinamentos) para proteger os dados. A transparência é garantida informando ao titular (por meio de avisos de privacidade, por exemplo) porque seus dados estão sendo coletados, como são usados e com quem podem ser compartilhados, além de garantir seus direitos de acesso e correção.
6. Argumento 6: Como e quando devem ser descartados os documentos (físicos ou digitais) que contêm dados pessoais? 6.1. A política de retenção e descarte deve ser cumprida e sempre ter em consideração o conceito de limitação da conservação vinculando aos prazos legais e tabelas de temporalidade quando for inserir os dados nos sistemas, em obediência ao art. 16, LGPD. 6.2. O descarte de dados é uma fase obrigatória do tratamento. A regra de ouro é o princípio da limitação da conservação: os dados só devem ser mantidos pelo tempo estritamente necessário para cumprir a finalidade para a qual foram coletados e para cumprir obrigações legais. 6.2.1. Quando descartar: O descarte deve ocorrer assim que a finalidade for alcançada e os prazos de guarda obrigatória expirarem. Esses prazos são definidos na Tabela de Temporalidade de Documentos do Estado e em outras legislações (fiscais, previdenciárias, etc.). Manter dados por tempo indefinido é ilegal (Art. 16 da LGPD). 6.2.2. Como descartar: O método de descarte deve garantir que a informação não possa ser recuperada. 6.2.3. Documentos Físicos: Devem ser destruídos por meio de fragmentadoras de papel (picotadoras). O simples descarte no lixo comum é proibido. 6.2.4. Documentos Digitais: Devem ser excluídos de forma permanente. Mover para a "lixeira" não é suficiente, pois o arquivo pode ser restaurado. É preciso usar a função de exclusão definitiva ou seguir os procedimentos técnicos definidos pela STDI - Secretaria Adjunta de Transformação Digital e Inovação para garantir a eliminação segura. CONCLUSÃO:
Esta orientação trata dos critérios e limites legais para o tratamento de dados pessoais na SEFAZ-MT que deverão ser tratados conforme a legislação vigente. Por fim, este documento está alinhado com as orientações legais e as melhores práticas até aqui conhecidas. Caso sejam publicadas novas legislações, novos entendimentos e mudanças nas melhores práticas este documento poderá ser revisado a qualquer tempo, porém o seu efeito é de observância obrigatória para evitar riscos legais, considerando o art. 6º, X; art. 50, LGPD, podendo ser anotado em qualquer documento, desde que citada a fonte, devendo, em todos os casos concretos, ser submetido à avaliação das unidades jurídicas da organização.