Lei Geral de Proteção de Dados

 

 

 

Lei Geral de Proteção de Dados Pessoais (LGPD)

A Lei Geral de Proteção de Dados Pessoais - LGPD (Lei n° 13.709/2018) foi promulgada para tutelar os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais.

As disposições relativas a penalidades entraram em vigor em agosto de 2021

A nova legislação possui abrangência nacional, incidindo sobre todos os entes federados.

→ Lei Nº 13.709, de 14 de agosto de 2018

 

Autoridade Nacional de Proteção de Dados - ANPD

A Autoridade Nacional de Proteção de Dados foi criada pela Medida Provisória n. 869, de 27 de dezembro de 2018, posteriormente convertida na Lei n. 13.853, de 14 de agosto de 2019.

É uma autarquia de natureza especial, vinculada ao Ministério da Justiça e Segurança Pública, responsável por zelar e regulamentar questões relacionadas à proteção de dados pessoais, bem como desempenhar as funções fiscalizatórias e sancionatórias previstas na LGPD.

 A missão institucional da Autoridade Nacional é assegurar de forma abrangente a observância das diretrizes veiculadas pela legislação e, nesse sentido, garantir a tutela dos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos.

Dentre as competências da ANPD previstas no Art. 55-J da LGPD, podemos destacar:

• Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;

• Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;

• Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;

• Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;

• Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;

• Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à Lei;

• Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e

• Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD.

→ Site ANPD

 

Direitos do Titular - Art. 18

O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

• Confirmação da existência de tratamento;

• Acesso aos dados;

• Correção de dados incompletos, inexatos ou desatualizados;

• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

• Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;

• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

• Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

• Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

 

Princípios - Art. 6º

• Boa-Fé: Adoção de medidas de segurança nas fases do tratamento de dados pessoais, para que terceiros não tenham acesso a essas informações, evitando qualquer forma de tratamento inadequado ou ilícito.

• Finalidade: Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

• Adequação: Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

• Necessidade: Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

• Livre acesso: Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

• Qualidade dos dados: Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

• Transparência: Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

• Segurança: Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

• Prevenção: Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

Não discriminação: Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

Responsabilização e prestação de contas: Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

 

Bases Legais para o Tratamento de Dados - Art. 7º

• Execução de Políticas Públicas: A Administração Pública poderá realizar o tratamento de dados com a finalidade específica da execução de política pública formalmente instituída por lei ou ato administrativo. Hipótese que dispensa o consentimento do titular do dado.

• Cumprimento de Obrigação Legal ou Regulatória pelo controlador: Hipótese em que prevalece a legalidade ampla e o interesse público sobre o particular. O consentimento do titular do dado é dispensado.

• Atendimentos aos interesses legítimos do controlador ou de terceiro: Somente admite o tratamento de dados estritamente necessários à finalidade específica. Hipótese que dispensa o consentimento do titular do dado. 

• Execução de contrato ou de procedimentos preliminares: O tratamento de dados pessoais pode ser indispensável ao cumprimento do contrato. Será dispensado novo consentimento do titular, caso já tenha manifestado prévio consentimento, na celebração do contrato.

• Exercício regular de direitos: Hipótese de tratamento de dados em sede de processo judicial, administrativo ou arbitral. Hipótese que dispensa o consentimento do titular do dado.

• Estudos por órgão de pesquisa: Utilização estrita para realização de estudos por órgão de pesquisa público ou privado. Hipótese que dispensa o consentimento do titular do dado.

• Proteção da vida: Nos casos de necessidade de tutela do bem maior da pessoa natural, a vida e sua incolumidade. Hipótese que dispensa o consentimento do titular do dado.

• Tutela da saúde: Nos casos de estrita necessidade de tutela da saúde do titular, de terceiro ou pública. Hipótese que dispensa o consentimento do titular do dado.

• Proteção de crédito: Previsão para os casos estritos de tutela do crédito. Hipótese que dispensa o consentimento do titular do dado.

• Consentimento do Titular: Manifestação livre, inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade específica.  

 

Sanções Administrativas - Art. 52

• Advertência, com indicação de prazo para adoção de medidas corretivas;

• Multa simples ou diária, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

• Eliminação dos dados pessoais a que se refere a infração;

• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; 

• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  

• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

 

Glossário

Agentes de tratamento: O controlador e o operador – Art. 5º incisos VI e VII.

Anonimização: Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo – Art. 5º inciso XI.

Autoridade nacional de proteção de dados (ANPD): Órgão da Administração Pública responsável por zelar, implementar, aplicar sanções quando necessário e fiscalizar o cumprimento desta Lei em todo o território nacional – Art. 5º inciso XIX.

Banco de dados: Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico – Art. 5º inciso VI.

Bloqueio: Suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados – Art. 5º inciso XIII. 

Consentimento: Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada – Art. 5º inciso XII.

Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais – Art. 5º inciso VI. 

Dado anonimizado: Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento – Art. 5º inciso III.

Dado pessoal: Informação relacionada à pessoa natural identificada ou identificável – Art. 5º inciso I.

Dado pessoal de criança e de adolescente: O Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança – Art. 14º § 1º ao § 6º.

Dado pessoal sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural – Art. 5º inciso II.

Eliminação: Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado – Art. 5º inciso XIV.

Encarregado pelo tratamento de dados pessoais: Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) – Art. 5º inciso VIII.

Interoperabilidade: Capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade – Art. 40.

Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador – Art. 5º inciso VII.

Órgão de pesquisa: Órgão ou entidade da Administração Pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico – Art. 5º inciso XVIII.

Relatório de impacto à proteção de dados pessoais: Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco – Art. 5º inciso XVII.

Titular: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento – Art. 5º inciso V.

Transferência internacional de dados: Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro – Art. 5º inciso XV.

Tratamento de dados pessoais: Toda operação realizada com dados pessoais; – Art. 5º inciso X. Como as que se referem a:

• Acesso - Possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados;

• Armazenamento - Ação ou resultado de manter ou conservar em repositório um dado;

• Arquivamento - Ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência;

• Avaliação - Ato ou efeito de calcular valor sobre um ou mais dados;

• Classificação - Maneira de ordenar os dados conforme algum critério estabelecido;

• Coleta - Recolhimento de dados com finalidade específica;

• Comunicação - Transmitir informações pertinentes a políticas de ação sobre os dados;

• Controle - Ação ou poder de regular, determinar ou monitorar as ações sobre o dado;

• Difusão - Ato ou efeito de divulgação, propagação, multiplicação dos dados;

• Distribuição - Ato ou efeito de dispor de dados de acordo com algum critério estabelecido;

• Eliminação - Ato ou efeito de excluir ou destruir dado do repositório;

• Extração - Ato de copiar ou retirar dados do repositório em que se encontrava;

• Modificação - Ato ou efeito de alteração do dado;

• Processamento - Ato ou efeito de processar dados;

• Produção - Criação de bens e de serviços a partir do tratamento de dados;

• Recepção - Ato de receber os dados ao final da transmissão;

• Reprodução - Cópia de dado preexistente obtido por meio de qualquer processo;

• Transferência - Mudança de dados de uma área de armazenamento para outra, ou para terceiro;

• Transmissão - Movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc;

• Utilização - Ato ou efeito do aproveitamento dos dados.

Uso compartilhado de dados: Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados – Art. 5º inciso XVI.

 

 

 

 

Encarregado pelo Tratamento de Dados Pessoais - DPO | ISP