LGPD
Lei Geral de Proteção de Dados – A lei 13.709/2018
Em agosto de 2020, entrará em vigor a Lei Geral de Proteção de Dados Pessoais – LGPD, (Lei nº 13.709/2018), foi elaborada com o intuito de mitigar os riscos associados ao tratamento indevido e/ou abusivo de dados e, ao mesmo tempo, viabilizar que novos negócios e tecnologias sejam desenvolvidos em um ambiente de segurança jurídica, tecnológica e de Governança. A aplicação da LGPD impactará as empresas brasileiras que ofertam produtos e/ou serviços.
- Autoridade Nacional - Órgão da administração pública responsável por fiscalizar o cumprimento da LGPD no território brasileiro.
- Controlador - Pessoa física, ou entidade do setor público ou privado, que determina a finalidade e a forma de tratamento dos dados pessoais, dentre outros fatores relacionados ao processamento.
- Dados anonimizados - Informações que se referem a pessoas físicas, mas que não podem ser ligados a nenhuma pessoa física específica nem direta, nem indiretamente, considerando-se os meios técnicos disponíveis. Exemplo: “mulher”, “faixa de 20 a 40 anos”, “Dona de casa”, “Estado de Sergipe”. Apenas com essas informações, não será possível determinar uma pessoa específica, um único CPF. Em geral, dados anonimizados são utilizados em estudos estatísticos.
- Dados pessoais - Informações relacionadas a pessoas físicas que podem ser identificadas direta ou indiretamente, por meio de um conjunto de informações.
- Dados pessoais sensíveis - Dentro da categoria de dados pessoais, os dados pessoais sensíveis são exclusivamente as informações relacionadas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculadas a uma pessoa física.
- Encarregado - Também chamado de Data Protection Officer (DPO), o Encarregado pela Proteção de Dados é uma pessoa indicada pelo Controlador/Operador para agir como canal de comunicação entre o Controlador e os titulares de dados, e entre o Controlador e a Autoridade Nacional de Proteção de Dados (ANPD). Aqui no Grupo Tiradentes a Gerência de Proteção de Dados é quem faz o papel do Encarregado.
- Operador - Pessoa física, ou entidade do setor público ou privado, que realiza o tratamento dos dados pessoais em nome do Controlador.
- Tratamento - Toda e qualquer operação com dados pessoais. Alguns exemplos: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Titular de dados - Pessoa física a quem os dados se referem.
Aplicações
De acordo com o artigo 3º da LGPD, estão sujeitas à aplicação da lei todos os tratamentos de dados pessoais: Realizados no Brasil; que envolvam a oferta de bens ou serviços para titulares que se encontram no Brasil, seja de modo gratuito ou oneroso, e independentemente do país em que o tratamento ocorra, e que envolvam dados pessoais coletados no Brasil.Exceções
Já o artigo 4º da Lei traz exceções expressas à aplicação da LGPD, que se resumem aos tratamentos de dados pessoais realizados para fins:- Particulares e não econômicos,
- Exclusivamente jornalísticos,
- Artísticos ou acadêmicos;
- Exclusivamente de segurança pública,
- Defesa nacional,
- Segurança do Estado ou atividades de investigação e repressão de infrações penais, e que não tenham nenhum contato com o Brasil em toda a cadeia do processamento.
O artigo 6º da Lei estabelece que OS SEGUINTES PRINCÍPIOS DEVEM SER OBSERVADOS NO TRATAMENTO DOS DADOS PESSOAIS:
- Adequação - Tratar os dados pessoais de forma compatível com as finalidades informadas ao titular dos dados.
- Finalidade - Tratar os dados pessoais para objetivos legítimos, específicos, explícitos e informados ao titular.
- Livre acesso - Garantir ao titular de dados a consulta gratuita e facilitada aos seus dados pessoais tratados, bem como à forma e duração do tratamento.
- Não discriminação - Não utilizar o tratamento para fins discriminatórios ilícitos ou abusivos.
- Necessidade - Tratar somente os dados necessários - tanto em questão de categorias de dados, como em proporção, o mínimo possível para atingir as finalidades.
- Prevenção - Adotar todas as medidas possíveis para evitar danos ao (ou em decorrência do) tratamento de dados pessoais.
- Qualidade de dados - Garantir exatidão, clareza, relevância e atualização dos dados.
- Responsabilização e prestação de contas - Demonstrar a adoção de medidas eficazes para comprovar a observância e o cumprimento das normas de proteção de dados.
- Segurança - Utilizar medidas técnicas e administrativas/organizacionais para proteger os dados pessoais de tratamento não autorizado, seja intencional ou acidental.
- Transparência - Dar acesso aos titulares a informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados pessoais, resguardados os segredos comercial e industrial.
De acordo com o artigo 7º da LGPD, os dados pessoais podem ser tratados nas seguintes hipóteses:
- Consentimento do Titular
- Cumprimento de obrigação legal ou regulatória
- Execução de políticas públicas pela administração pública,
- Realização de estudos por órgão de pesquisa;
- Execução de contrato ou procedimentos preliminares;
- Exercício de direito em processo judicial, administrativo ou arbitral;
- Proteção da vida ou incolumidade física;
- Tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Interesse legítimo;
- Proteção do crédito.
Já os dados pessoais sensíveis, podem ser tratados nas seguintes hipóteses, de acordo com o artigo 11º:
- Consentimento do Titular
- Cumprimento de obrigação legal ou regulatória
- Execução de políticas públicas pela administração pública,
- Realização de estudos por órgão de pesquisa;
- Execução de contrato ou procedimentos preliminares;
- Exercício de direito em processo judicial, administrativo ou arbitral;
- Proteção da vida ou incolumidade física;
- Tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Garantia de prevenção à fraude
Pela leitura do artigo 18 da LGPD, A PESSOA FÍSICA TEM OS SEGUINTES DIREITOS:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
- Portabilidade dos dados a outro fornecedor de serviço ou produto mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no artigo 16 da Lei (cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD, ou uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados);
- Informação das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados;
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- Revogação do consentimento, nos termos do § 5º do artigo 8º da Lei, segundo o qual “o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação”.
O artigo 33 da LGPD determina que A TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS SOMENTE SERÁ PERMITIDA:
- Para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD;
- Quando o controlador comprovar o cumprimento dos princípios, direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais ou selos, certificados e códigos de conduta regularmente emitidos;
- Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
- Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros;
- Quando a autoridade nacional autorizar a transferência;
- Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
- Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade;
- Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente está de outras finalidades; ou
- Quando necessário para cumprimento de obrigação legal ou regulatória pelo controlador, quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
Segundo o artigo 46 da LGPD, o Controlador e o Operador devem “adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. Isso significa que esses agentes devem:
- Implementar sistemas, ferramentas e serviços aptos a proteger e monitorar o tratamento de dados pessoais,
- Apresentar políticas, normas e procedimentos internos que orientem a atuação dos colaboradores em prol da proteção de dados pessoais.
Suzan Kelly Oliveira dos Santos
Gerente de Proteção de Dados