O que é a LGPD?

 

A Lei Geral de Proteção de Dados (13.709/2018) tem como principal objetivo a proteção dos dados pessoais de pessoais físicas, criando um cenário de segurança jurídica, com a padronização de regulamentos e práticas  para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, de acordo com os parâmetros internacionais existentes.

De acordo com a LGPD, são considerados dados pessoais todos os dados capazes de identificar uma pessoa, tanto na forma direta quanto na forma indireta. Além disso, a Lei n. 13.709/2018 dispões que todos os dados  tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação, estabelecendo ainda que alguns tipos de dados, como os dados sensíveis e os dados de crianças e adolescentes merecem proteção especial. 

Consentimento

De acordo com a LGPD, o consentimento do titular é considerado elemento essencial para o tratamento dos dados, salvo nos casos expressamente excepcionados pelos arts. 11, II, e 23, ambos da própria Lei.

As principais situações que dispensam o consentimento são:

  1. Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  2.  Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis;
  3. Para a realização de estudos por órgão de pesquisa;
  4. Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  5. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  6. Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  7. Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
  8. Para a proteção do crédito;
  9. Para o atendimento da finalidade pública e institucional do Órgão Público.

Além disso, de acordo com o art. 18 da LGPD, o titular dos dados pessoais tem os seguintes direitos: ter a confirmação da existência do tratamento, acesso, correção, portabilidade, eliminação dos dados utilizados sem consentimento, revogação do consentimento, bem como de saber qual a finalidade específica do tratamento, a forma e duração, o contato do controlador, se há uso compartilhado e quais as responsabilidades dos agentes que realizam o tratamento.

Quem fiscaliza?

Para fiscalizar e aplicar penalidades pelos descumprimentos da LGPD, o Brasil conta com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição terá as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. No entanto, não basta a ANPD, e é por isso que a Lei Geral de Proteção de Dados Pessoais também prevê a existência dos agentes de tratamento de dados e estipula suas funções, nas organizações, como: o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com os titulares dos dados pessoais e a autoridade nacional.

Com relação à administração de riscos e falhas, o responsável por gerir dados pessoais também deve redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado; elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade, com o aviso imediato sobre violações à ANPD e aos indivíduos afetados.

As infrações cometidas em matéria de LGPD, previstas no artigo 52, incisos I, IV, V, VI, X, XI e XII, podem ser aplicadas à entidades e aos órgãos públicos, sem prejuízo do disposto nas leis ns. º 8.112/90 (Estatuto dos Servidores Públicos Federais), 8.429/92 (Lei de improbidade administrativa) e 12.527/2011 (Lei de Acesso à Informação).

 

Fundamentos e Princípios

 

O tema proteção de dados pessoais, na LGPD, tem como fundamentos (art. 2º, LGPD):

  • respeito à privacidade, ao assegurar os direitos fundamentais de inviolabilidade da intimidade, da honra, da imagem e da vida privada;
  • a autodeterminação informativa, ao expressar o direito do cidadão ao controle, e assim, à proteção de seus dados pessoais e íntimos;
  • a liberdade de expressão, de informação, de comunicação e de opinião, que são direitos previstos na Constituição brasileira;
  • desenvolvimento econômico e tecnológico e a inovação, a partir da criação de um cenário de segurança jurídica em todo o país;
  • a livre iniciativa, a livre concorrência e a defesa do consumidor, por meio de regras claras e válidas para todo o setor privado; e
  • os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas.

Princípios

A boa-fé no tratamento de dados pessoais é premissa básica. Além disso, é preciso refletir sobre questões como "Qual o objetivo deste tratamento?", "É preciso mesmo utilizar essa quantidade de dados?", "O cidadão com quem me relaciono deu o consentimento?", "O uso dos dados pode gerar alguma discriminação?". Essas são algumas das perguntas que devem ser feitas. Quer saber o que mais deve ser levado em conta na hora de tratar os dados? Confira então os princípios e as bases legais da Lei Geral de Proteção de Dados Pessoais.

Os seguintes princípios (art. 6º, LGPD) devem ser observados na hora de tratar dados pessoais:

Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. 

Finalidade
Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Adequação
Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
Necessidade
Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do  tratamento de dados.
Livre acesso
Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
Qualidade dos dados
Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
Transparência
Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
Segurança
Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos  não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Prevenção
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Não discriminação
Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos. 
Responsabilização e
prestação de contas
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia
dessas medidas.

 

Glossário

 

Agentes de tratamento: o controlador e o operador

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo

Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional 

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico 

Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guardado dado pessoal ou do banco de dados 

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada 

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais 

Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento 

Dado pessoal: informação relacionada à pessoa natural identificada ou identificável 

Dado pessoal de criança e de adolescente: o Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança 

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural

Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)

Garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da administração pública federal em seu âmbito de atuação Garantia da segurança de dados: ver garantia da segurança da informação 

Interoperabilidade: capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING) 

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador

Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico,
científico, tecnológico ou estatístico 

Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco 

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento 

Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro

Tratamento: toda operação realizada com dados pessoais; como as que se referem a:

  • acesso - possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados
  • armazenamento - ação ou resultado de manter ou conservar em repositório um dado 
  • arquivamento - ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência 
  • avaliação - ato ou efeito de calcular valor sobre um ou mais dados
  • classificação - maneira de ordenar os dados conforme algum critério estabelecido
  • coleta - recolhimento de dados com finalidade específica 
  • comunicação - transmitir informações pertinentes a políticas de ação sobre os dados 
  • controle - ação ou poder de regular, determinar ou monitorar as ações sobre o dado 
  • difusão - ato ou efeito de divulgação, propagação, multiplicação dos dados 
  • distribuição - ato ou efeito de dispor de dados de acordo com algum critério estabelecido 
  • eliminação - ato ou efeito de excluir ou destruir dado do repositório 
  • extração - ato de copiar ou retirar dados do repositório em que se encontrava 
  • modificação - ato ou efeito de alteração do dado 
  • processamento - ato ou efeito de processar dados 
  • produção - criação de bens e de serviços a partir do tratamento de dados 
  • recepção - ato de receber os dados ao final da transmissão 
  • reprodução - cópia de dado preexistente obtido por meio de qualquer processo 
  • transferência - mudança de dados de uma área de armazenamento para outra, ou para terceiro 
  • transmissão - movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.
  • utilização - ato ou efeito do aproveitamento dos dados

Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados