• Autoridade Nacional - Órgão da administração pública responsável por fiscalizar o cumprimento da LGPD no território brasileiro.
• Controlador - Pessoa física, ou entidade do setor público ou privado, que determina a finalidade e a forma de tratamento dos dados pessoais, dentre outros fatores relacionados ao processamento.
• Dados anonimizados - Informações que se referem a pessoas físicas, mas que não podem ser ligados a nenhuma pessoa física específica nem direta, nem indiretamente, considerando-se os meios técnicos disponíveis. Exemplo: “mulher”, “faixa de 20 a 40 anos”, “Dona de casa”, “Estado de Sergipe”. Apenas com essas informações, não será possível determinar uma pessoa específica, um único CPF. Em geral, dados anonimizados são utilizados em estudos estatísticos.
• Dados pessoais - Informações relacionadas a pessoas físicas que podem ser identificadas direta ou indiretamente, por meio de um conjunto de informações.
• Dados pessoais sensíveis - Dentro da categoria de dados pessoais, os dados pessoais sensíveis são exclusivamente as informações relacionadas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculadas a uma pessoa física.
• Encarregado - Também chamado de Data Protection Officer (DPO), o Encarregado pela Proteção de Dados é uma pessoa indicada pelo Controlador/Operador para agir como canal de comunicação entre o Controlador e os titulares de dados, e entre o Controlador e a Autoridade Nacional de Proteção de Dados (ANPD). Aqui no Grupo Tiradentes a Gerência de Proteção de Dados é quem faz o papel do Encarregado.
• Operador - Pessoa física, ou entidade do setor público ou privado, que realiza o tratamento dos dados pessoais em nome do Controlador.
• Tratamento - Toda e qualquer operação com dados pessoais. Alguns exemplos: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
• Titular de dados - Pessoa física a quem os dados se referem.

Aplicações

De acordo com o artigo 3º da LGPD, estão sujeitas à aplicação da lei todos os tratamentos de dados pessoais: Realizados no Brasil; que envolvam a oferta de bens ou serviços para titulares que se encontram no Brasil, seja de modo gratuito ou oneroso, e independentemente do país em que o tratamento ocorra, e que envolvam dados pessoais coletados no Brasil.

Exceções

Já o artigo 4º da Lei traz exceções expressas à aplicação da LGPD, que se resumem aos tratamentos de dados pessoais realizados para fins:

• Particulares e não econômicos,
• Exclusivamente jornalísticos,
• Artísticos ou acadêmicos;
• Exclusivamente de segurança pública,
• Defesa nacional,
• Segurança do Estado ou atividades de investigação e repressão de infrações penais, e que não tenham nenhum contato com o Brasil em toda a cadeia do processamento.

O artigo 6º da Lei estabelece que OS SEGUINTES PRINCÍPIOS DEVEM SER OBSERVADOS NO TRATAMENTO DOS DADOS PESSOAIS:

• Adequação - Tratar os dados pessoais de forma compatível com as finalidades informadas ao titular dos dados.
• Finalidade - Tratar os dados pessoais para objetivos legítimos, específicos, explícitos e informados ao titular.
• Livre acesso -  Garantir ao titular de dados a consulta gratuita e facilitada aos seus dados pessoais tratados, bem como à forma e duração do tratamento.
• Não discriminação - Não utilizar o tratamento para fins discriminatórios ilícitos ou abusivos.
• Necessidade - Tratar somente os dados necessários - tanto em questão de categorias de dados, como em proporção, o mínimo possível para atingir as finalidades.
• Prevenção - Adotar todas as medidas possíveis para evitar danos ao (ou em decorrência do) tratamento de dados pessoais.
• Qualidade de dados - Garantir exatidão, clareza, relevância e atualização dos dados.
• Responsabilização e prestação de contas - Demonstrar a adoção de medidas eficazes para comprovar a observância e o cumprimento das normas de proteção de dados.
• Segurança - Utilizar medidas técnicas e administrativas/organizacionais para proteger os dados pessoais de tratamento não autorizado, seja intencional ou acidental.
• Transparência - Dar acesso aos titulares a informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados pessoais, resguardados os segredos comercial e industrial.

De acordo com o artigo 7º da LGPD, os dados pessoais podem ser tratados nas seguintes hipóteses:

• Consentimento do Titular
• Cumprimento de obrigação legal ou regulatória
• Execução de políticas públicas pela administração pública,
• Realização de estudos por órgão de pesquisa;
• Execução de contrato ou procedimentos preliminares;
• Exercício de direito em processo judicial, administrativo ou arbitral;
• Proteção da vida ou incolumidade física;
• Tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• Interesse legítimo;
• Proteção do crédito.

Já os dados pessoais sensíveis, podem ser tratados nas seguintes hipóteses, de acordo com o artigo 11º:

• Consentimento do Titular
• Cumprimento de obrigação legal ou regulatória
• Execução de políticas públicas pela administração pública,
• Realização de estudos por órgão de pesquisa;
• Execução de contrato ou procedimentos preliminares;
• Exercício de direito em processo judicial, administrativo ou arbitral;
• Proteção da vida ou incolumidade física;
• Tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• Garantia de prevenção à fraude

Pela leitura do artigo 18 da LGPD, A PESSOA FÍSICA TEM OS SEGUINTES DIREITOS:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
• Portabilidade dos dados a outro fornecedor de serviço ou produto mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no artigo 16 da Lei (cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD, ou uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados);
• Informação das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Revogação do consentimento, nos termos do § 5º do artigo 8º da Lei, segundo o qual “o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação”.

O artigo 33 da LGPD determina que A TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS SOMENTE SERÁ PERMITIDA:

• Para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD;
• Quando o controlador comprovar o cumprimento dos princípios, direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais ou selos, certificados e códigos de conduta regularmente emitidos;
• Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
• Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros;
• Quando a autoridade nacional autorizar a transferência;
• Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
• Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade;
• Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente está de outras finalidades; ou
• Quando necessário para cumprimento de obrigação legal ou regulatória pelo controlador, quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

Segundo o artigo 46 da LGPD, o Controlador e o Operador devem “adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. Isso significa que esses agentes devem:

• Implementar sistemas, ferramentas e serviços aptos a proteger e monitorar o tratamento de dados pessoais,
• Apresentar políticas, normas e procedimentos internos que orientem a atuação dos colaboradores em prol da proteção de dados pessoais.

Suzan Kelly Oliveira dos Santos
Gerente de Proteção de Dados

E-mail: gpd@grupotiradentes.com