LGPD: Lei Geral de Proteção de Dados Pessoais

 

A Lei nº 13.709 de 14 de Agosto de 2018 institui a Lei Geral de Proteção de Dados Pessoais – LGPD que dispõe sobre o tratamento de dados pessoais, inclusive nos meio digitais, por uma pessoa natural (pessoa física) ou pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Fundamentos da LGPD

A disciplina da proteção de dados pessoais possui o seguintes fundamentos:

• O respeito à privacidade;
• A autodeterminação informativa;
• A liberdade de expressão, de informação, de comunicação e de opinião;
• A inviolabilidade da intimidade, da honra e da imagem;
• O desenvolvimento econômico e tecnológico e a inovação;
• A livre iniciativa, a livre concorrência e a defesa do consumidor; e
• Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A quem se aplica esta lei

Aplica-se a qualquer operação de tratamento realizada por pessoa física ou por pessoa jurídica de direito público ou privado, independente do meio, do país de sua sede ou do país onde estejam localizados os dados. Desde que:

• A operação de tratamento seja realizada no território nacional;
• A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
• Os dados pessoais objeto do tratamento tenham sido coletados no território nacional. Para isso, consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.

A quem não se aplica a LGPD

Esta lei não se aplica aos seguintes casos:

• Quando for realizado por pessoa física para fins exclusivamente particulares e não econômicos;
• Quando for realizado exclusivamente para fins jornalísticos, artístico ou acadêmico (neste último deve observar os artigos 7º e 11º desta lei);
• Quando realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; e
• Quando provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

Conceitos considerados na LGPD

1-Dados pessoais – Informação relacionada a pessoa natural identificada ou identificável;

2-Dado pessoal sensível – Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

3-Dado anonimizado – Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

4-Banco de dados – Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

5-Titular – Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

6-Controlador – Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

7-Operador – Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

8-Encarregado – Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

9-Agentes de tratamento – O controlador e o operador;

10-Tratamento – Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

11-Anonimização –  Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

12-Consentimento – Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

13-Bloqueio – Suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

14-Eliminação – Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

15-Transferência internacional de dados – Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

16-Uso compartilhado de dados – Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

17-Relatório de impacto à proteção de dados pessoais – Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

18-Órgão de pesquisa –  Órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos, legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

19-Autoridade nacional – Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Princípios desta Lei

Além do princípio de boa-fé, as atividades de tratamento de dados pessoais devem considerar:

1. Finalidade – A realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
2. Adequação – A compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
3. Necessidade – A limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
4. Livre acesso – A garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
5. Qualidade dos dados – A garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
6. Transparência – A garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
7. Segurança – A utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
8. Prevenção – A adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
9. Não discriminação – A impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
10. Responsabilização e prestação de contas – A demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Requisitos para o Tratamento de Dados Pessoais

O tratamento de dados pessoais pode ser realizado nas seguintes hipóteses:

• Mediante o fornecimento de consentimento pelo titular (por escrito);
• Para o cumprimento de obrigação legal ou regulatória pelo controlador;
• Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
• Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
• Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Consentimento do titular

A autorização do titular deve observar:

• Que será fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular;
• Que o documento escrito deve constar de cláusula destacada das demais cláusulas contratuais;
• Que cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei;
• Que é vedado o tratamento de dados pessoais mediante vício de consentimento;
• Que consentimento deve referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas;
• Que o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado;
• Que em caso de alteração de informação o controlador deve informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.

Direito de acesso às informações

A pessoa física, titular das informações, terá direito ao acesso de suas informações, de maneira facilitada, sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva. Observando:

• Finalidade específica do tratamento;
• Forma e duração do tratamento, observados os segredos comercial e industrial;
• Identificação do controlador;
• Informações de contato do controlador;
• Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
• Responsabilidades dos agentes que realizarão o tratamento; e
• Direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

Requisitos para o Tratamento de Dados Pessoais Sensíveis

O tratamento de dados pessoais sensíveis pode ser realizado nas seguintes hipóteses:

1. Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; ou
2. Quando, sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
   • Cumprimento de obrigação legal ou regulatória pelo controlador;
   • Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
   • Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
   • Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
   • Proteção da vida ou da incolumidade física do titular ou de terceiro;
   • Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
   • Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Requisitos para Tratamento de Dados Pessoais de Crianças e de Adolescentes

O tratamento dos dados pessoais de crianças e adolescentes podem ser realizados mediante observância das seguintes hipóteses:

⇒ Quando houver consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal;

⇒ Os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei;

⇒ Quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro, será permitida a coleta dos dados sem o consentimento dos pais ou responsáveis;

⇒ Os controladores não deverão condicionar a participação dos titulares (crianças e adolescentes) em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade;

⇒ O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis;

⇒ As informações sobre o tratamento de dados de crianças e adolescentes deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

 

Autoridade Nacional de Proteção de Dados

A Autoridade Nacional de Proteção de Dados – ANPD é o órgão da administração pública federal responsável por zelar pela proteção dos dados pessoais, nos termos da legislação, fiscalizar e aplicar sanções, elaborar diretrizes para Política Nacional de Proteção de Dados Pessoais e da Privacidade, etc.

 

Sanções Administrativas

Em caso de infrações cometidas às normas previstas na LGPD, os agentes de tratamento de dados ficam sujeitos as seguintes penalidades:

• Advertência – Onde haverá indicação de prazo para adoção de medidas corretivas;
• Multa – Que varia de até 2% do faturamento até R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• Bloqueio dos dados – Haverá o bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados – Haverá eliminação dos dados pessoais a que se refere a infração;
• Suspensão – Haverá a suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período até 6 meses, prorrogável por igual período;
• Proibição parcial ou total – Ocorrerá a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

 

É importante que a empresa observe a base legal que será utilizada para tratamento dos dados pessoais da pessoa natural, para evitar sanções administrativas do órgão fiscalizador.

Além disso, a LGPD possui princípios rígidos que devem ser observados pelas instituições, onde se deve analisar em qual deles está amparado a utilização dos dados pessoais da pessoa física.

O primeiro a ser observado é o princípio da finalidade, onde as instituições devem se questionar: Qual o motivo da utilização destes dados pessoais? Qual a sua finalidade?

Os direitos e princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio relacionado à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte.

 

 

Fonte:

Lei nº 13.709/2018 | Lei Geral de Proteção de Dados Pessoais – LGPD