LGPD

Lei Geral de Proteção de Dados – A lei 13.709/2018

Em agosto de 2020, entrará em vigor a Lei Geral de Proteção de Dados Pessoais – LGPD, (Lei nº 13.709/2018), foi elaborada com o intuito de mitigar os riscos associados ao tratamento indevido e/ou abusivo de dados e, ao mesmo tempo, viabilizar que novos negócios e tecnologias sejam desenvolvidos em um ambiente de segurança jurídica, tecnológica e de Governança. A aplicação da LGPD impactará as empresas brasileiras que ofertam produtos e/ou serviços.

  • Autoridade Nacional - Órgão da administração pública responsável por fiscalizar o cumprimento da LGPD no território brasileiro.
  • Controlador - Pessoa física, ou entidade do setor público ou privado, que determina a finalidade e a forma de tratamento dos dados pessoais, dentre outros fatores relacionados ao processamento.
  • Dados anonimizados - Informações que se referem a pessoas físicas, mas que não podem ser ligados a nenhuma pessoa física específica nem direta, nem indiretamente, considerando-se os meios técnicos disponíveis. Exemplo: “mulher”, “faixa de 20 a 40 anos”, “Dona de casa”, “Estado de Sergipe”. Apenas com essas informações, não será possível determinar uma pessoa específica, um único CPF. Em geral, dados anonimizados são utilizados em estudos estatísticos.
  • Dados pessoais - Informações relacionadas a pessoas físicas que podem ser identificadas direta ou indiretamente, por meio de um conjunto de informações.
  • Dados pessoais sensíveis - Dentro da categoria de dados pessoais, os dados pessoais sensíveis são exclusivamente as informações relacionadas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculadas a uma pessoa física.
  • Encarregado - Também chamado de Data Protection Officer (DPO), o Encarregado pela Proteção de Dados é uma pessoa indicada pelo Controlador/Operador para agir como canal de comunicação entre o Controlador e os titulares de dados, e entre o Controlador e a Autoridade Nacional de Proteção de Dados (ANPD). Aqui no Grupo Tiradentes a Gerência de Proteção de Dados é quem faz o papel do Encarregado.
  • Operador - Pessoa física, ou entidade do setor público ou privado, que realiza o tratamento dos dados pessoais em nome do Controlador.
  • Tratamento - Toda e qualquer operação com dados pessoais. Alguns exemplos: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
  • Titular de dados - Pessoa física a quem os dados se referem.

Aplicações

De acordo com o artigo 3º da LGPD, estão sujeitas à aplicação da lei todos os tratamentos de dados pessoais: Realizados no Brasil; que envolvam a oferta de bens ou serviços para titulares que se encontram no Brasil, seja de modo gratuito ou oneroso, e independentemente do país em que o tratamento ocorra, e que envolvam dados pessoais coletados no Brasil.

Exceções

Já o artigo 4º da Lei traz exceções expressas à aplicação da LGPD, que se resumem aos tratamentos de dados pessoais realizados para fins:
  • Particulares e não econômicos,
  • Exclusivamente jornalísticos,
  • Artísticos ou acadêmicos;
  • Exclusivamente de segurança pública,
  • Defesa nacional,
  • Segurança do Estado ou atividades de investigação e repressão de infrações penais, e que não tenham nenhum contato com o Brasil em toda a cadeia do processamento.

O artigo 6º da Lei estabelece que OS SEGUINTES PRINCÍPIOS DEVEM SER OBSERVADOS NO TRATAMENTO DOS DADOS PESSOAIS:
  • Adequação - Tratar os dados pessoais de forma compatível com as finalidades informadas ao titular dos dados.
  • Finalidade - Tratar os dados pessoais para objetivos legítimos, específicos, explícitos e informados ao titular.
  • Livre acesso -  Garantir ao titular de dados a consulta gratuita e facilitada aos seus dados pessoais tratados, bem como à forma e duração do tratamento.
  • Não discriminação - Não utilizar o tratamento para fins discriminatórios ilícitos ou abusivos.
  • Necessidade - Tratar somente os dados necessários - tanto em questão de categorias de dados, como em proporção, o mínimo possível para atingir as finalidades.
  • Prevenção - Adotar todas as medidas possíveis para evitar danos ao (ou em decorrência do) tratamento de dados pessoais.
  • Qualidade de dados - Garantir exatidão, clareza, relevância e atualização dos dados.
  • Responsabilização e prestação de contas - Demonstrar a adoção de medidas eficazes para comprovar a observância e o cumprimento das normas de proteção de dados.
  • Segurança - Utilizar medidas técnicas e administrativas/organizacionais para proteger os dados pessoais de tratamento não autorizado, seja intencional ou acidental.
  • Transparência - Dar acesso aos titulares a informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados pessoais, resguardados os segredos comercial e industrial.

De acordo com o artigo 7º e 11 da LGPD, os dados pessoais e dados pessoais sensíveis somente podem ser tratados se tiverem ao menos uma das bases legais abaixo:
  • Consentimento do titular;
  • Cumprimento de obrigação legal ou regulatória;
  • Execução de políticas públicas pela administração pública;
  • Realização de estudos por órgão de pesquisa;
  • Execução de contrato ou procedimentos preliminares com o titular e a pedido do titular;
  • Exercício de direito em processo judicial, administrativo ou arbitral;
  • Proteção da vida e incolumidade física;
  • Tutela da saúde em procedimento feito por profissionais ou serviços de saúde, ou autoridade sanitária;
  • Interesse legítimo;
  • Proteção do crédito;
  • Prevenção à fraude e à segurança do titular.

Pela leitura do artigo 18 da LGPD, A PESSOA FÍSICA TEM OS SEGUINTES DIREITOS:
  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
  • Portabilidade dos dados a outro fornecedor de serviço ou produto mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no artigo 16 da Lei (cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD, ou uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados);
  • Informação das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados;
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • Revogação do consentimento, nos termos do § 5º do artigo 8º da Lei, segundo o qual “o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação”.

O artigo 33 da LGPD determina que A TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS SOMENTE SERÁ PERMITIDA:
  • Para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD;
  • Quando o controlador comprovar o cumprimento dos princípios, direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais ou selos, certificados e códigos de conduta regularmente emitidos;
  • Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
  • Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros;
  • Quando a autoridade nacional autorizar a transferência;
  • Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
  • Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade;
  • Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente está de outras finalidades; ou
  • Quando necessário para cumprimento de obrigação legal ou regulatória pelo controlador, quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

Segundo o artigo 46 da LGPD, o Controlador e o Operador devem “adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. Isso significa que esses agentes devem:
  • Implementar sistemas, ferramentas e serviços aptos a proteger e monitorar o tratamento de dados pessoais,
  • Apresentar políticas, normas e procedimentos internos que orientem a atuação dos colaboradores em prol da proteção de dados pessoais.

Suzan Kelly Oliveira dos Santos
Gerente de Proteção de Dados

E-mail: gpd@grupotiradentes.com

 

O Modelo de Governança de Proteção de Dados do Grupo Tiradentes é representado por pilares estruturantes que atendem aos requisitos da LGPD – Lei Geral de Proteção de Dados.

Formulário para Atendimento dos Titulares dos Dados

Grupo Tiradentes