LEI GERAL DE PROTEÇÃO DE DADOS

 

 

Índice

Introdução e Contex- to

1

Vigência e Abrangên- cia da LGPD

2

Histórico Legal Brasi- leiro Sobre Proteção de Dados

2

Influência do Direito Europeu

3

Princípios da LGPD

4

Objetivos da LGPD

4

Conceitos Importan- tes da LGPD

5

Base Legal da LGPD

6

Direitos do Titular

8

Obrigações do Con- trolador

11

Segurança e Notifica- ções

11

Transferência Inter- nacional de Dados

12

Sanções

13

Autoridade Nacional de Proteção de Dados

14

Composição da ANPD

14

 

 

 

 Introdução e Contexto

A Lei Geral de Proteção de Da- dos, conhecida como LGPD, Lei nº 13.709/2018, é um novo mar- co no sistema legal brasileiro e impactará, fortemente, as institui- ções públicas e privadas do país, assim como toda a sociedade civil, na medida em que se aplica a todas as relações, envolvendo dados pessoais de indivíduos, por qualquer meio, tanto por ente público, como por ente privado. A

 

legislação que estabelece direitos e obrigações, além de consolidar princípios éticos ao ativo mais valioso do universo digital: a base de dados provenientes de pesso- as.

Nesse contexto em que a infor- mação é o mais valioso ativo, é fato que empesas, públicas e pri- vadas, de todos os segmentos, acessam ou desejam acessar dados pessoais de seus clientes, parceiros, empregados, acionis- tas, etc. para incrementar seus negócios, o que as expõem, inva- riavelmente, a questões de or- dem legal e suas consequências.

Uma legislação sobre proteção de dados pessoais, além de ga- rantir a proteção desses dados, procura garantir que entidades públicas e privadas criem rela- ções de maior compromisso e confiança com seus clientes, par- ceiros, empregados, acionistas, etc., agregando valores a seus produtos, serviços e às suas mar- cas.

 

Lei nº 13.709/2018 - LGPD

 

 

 

 

 

 

 

 

 

 

 

ALGUMAS PREMISSAS:

  • Dados se tornaram o princi- pal produto da economia na era digital.

  • O uso desregrado de dados pode violar direitos de inti- midade e privacidade de seus titulares.

  • Dados pessoais pertencem aos seus titulares e não de- vem ser coletados e utiliza- dos sem a devida autoriza- ção.

 

 

 

 

 

 

 

 

 

 

Vigência e Abrangência da LGPD

 

 

A Lei Geral de Proteção de Dados brasileira foi promulgada em 14/08/2018 e concedeu um prazo de 18 meses para que entidades públicas e privadas se adequassem a ela, ou seja, todos deverão estar adaptados à nova regulamenta- ção até fevereiro de 2020, quando poderão ser aplicadas as penalidades previstas na LGPD. A lei estabelece regras detalhadas para coleta, uso, tratamento e armazenamento de dados pessoais, em ambiente digital ou não, impactando relações comerciais nacionais e transnacionais.

Sobre a abrangência:

  • Regula, apenas, o tratamento de dados de pessoas físi- cas;

  • Regula o tratamento de dados realizado dentro ou fora da Internet, utilizando ou não meios digitais;

  • Não revoga ou impede a aplicação de outras normas setoriais que versem sobre dados pessoais, as quais devem seguir sendo observadas;

  • É aplicável a operações de tratamento de dados que ocorram em território nacional e, também, em opera- ções transnacionais quando:

    • Os dados pessoais forem coletados no Brasil;

    • Os dados pessoais referirem-se a indivíduos localiza- dos no Brasil; e

    • O tratamento de dados pessoais visar a oferta de produtos/serviços a público brasileiro.

 

 

 

A LGPD resgata e repactua o compromisso das insti- tuições com os indivíduos, protegendo e garantindo seus direitos fundamentais

 

 

 

 

 

 

Está na Lei: artigos 1º, 3º e 4º

 

 

 

Histórico Legal Brasileiro Sobre Proteção de Dados

  • 1948 - Declaração Universal dos Direitos Humanos

  • 1988 - Constituição da República Federativa do Brasil

  • 1990 - Código de Defesa do Consumidor (Lei nº 8.078)

  • 2013 - Lei do E-commerce e Plano Nacional de Consumo e Cidadania (Decreto Federal º 7.962 e 7.963)

  • 2014 - Marco Civil da Internet (Lei nº 12.965)

  • 2018 - Lei Geral de Proteção de Dados (Lei nº 13.709) e Autoridade Nacional de Proteção de Dados (Medida Provisória nº 869)

 

 

 

 

 

Influência do Direito Europeu

A Lei Geral de Proteção de Dados Brasileira foi fortemente influenciada pelo Regulamento europeu sobre a maté- ria, o “General Data Protection Regulation” (GDPR), que entrou em vigor em maio de 2018. Em síntese, as princi- pais mudanças trazidas pela GDPR são:

 

 

 

 

 

 

 

 

 

 


 

 

 

 

Princípios da LGPD

 

 

Finalidade: O tratamento de da- dos pessoais deve ser realizado para propósitos legítimos, específi- cos, explícitos e informados ao titular, respeitando as finalidades originárias.

Adequação: O tratamento de da- dos pessoais deve ser compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

Necessidade: O tratamento de dados pessoais deve ser limitado ao mínimo necessário para a reali- zação de suas finalidades, com abrangência dos dados pertinen- tes, proporcionais e não excessi- vos em relação às finalidades do tratamento de dados.

Livre acesso: É garantida aos titu- lares a consulta facilitada e gratuita sobre a forma e a duração do tra- tamento, bem como sobre a inte- gralidade de seus dados pessoais. Qualidade dos dados: É garantido aos titulares que seus dados sejam

 

Transparência: É garantido aos titulares o direito a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agen- tes de tratamento, observados os segredos comercial e industrial.

 

Cerca de 95 mil queixas foram feitas na União Europeia, junto às autoridades de proteção de dados, após a entrada em vigor do novo regulamento europeu (GDPR).

Fonte: https://tvi24.iol.pt/international/

rgpd/protecao-e-dados-ue-recebeu-10- mil-queixas-por-mês

Prevenção: Devem ser adotadas medidas para prevenir a ocorrên- cia de danos em virtude do trata- mento de dados pessoais.

 

 

Está na Lei: artigo 6º

 

 

Objetivos da LGPD

 

exatos, claros, relevantes e atuali- zados, de acordo com a necessi- dade e para o cumprimento da finalidade de seu tratamento.

Segurança: Devem ser utilizadas medidas técnicas e administrativas aptas a proteger os dados pesso- ais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Responsabilização e prestação de contas: Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

 

Não discriminação: Impossibilida- de de realização do tratamento para fins discriminatórios ilícitos ou abusivos.

 

Privacidade - Assegurar o direito à privacidade e à proteção de da- dos pessoais dos cidadãos, por meio de práticas transparentes e seguras, garantindo direitos e li- berdades fundamentais.

Transparência - Estabelecer re- gras claras sobre tratamento de dados pessoais por empresas.

 

Padronização - Estabelecimento de regras únicas e harmônicas sobre tratamento de dados pesso- ais, independentemente do setor da economia, facilitando as rela- ções comerciais e reduzindo cus- tos decorrentes de incompatibili- dades sistêmicas de tratamentos feitos por agentes diversos.

Desenvolvimento - Fomentar o desenvolvimento econômico e tecnológico.

 

Proteção do Mercado - Forta- lecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pesso- ais, garantindo a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo.

 

Concorrência - Promover a concorrência no mercado, facili- tando a portabilidade.

 

 

 

 

Conceitos Importantes da LGPD

 

 

Agentes de Tratamento - O con- trolador, que recepciona os dados pessoais do titular de dados, por meio de consentimento ou por hipótese de exceção, e o opera- dor, que realiza o tratamento des- ses dados, por meio de contrato ou o obrigação legal.

Anonimização - Utilização de mei- os técnicos razoáveis e disponíveis no momento do tratamento de da- dos pessoais que façam com que os mesmos não possam mais ser associados, direta ou indiretamen- te, a um indivíduo.

 

Consentimento - Manifestação livre, informada e inequívoca pela qual o titular concorda que seus dados pessoais sejam tratados para uma finalidade específica. Não é o único motivo que pode autorizar o tratamento de dados, mas é uma das hipóteses previstas pela lei.

 

Controlador - É a pessoa que tem competência para tomar decisões referentes a dados pessoais. Essa pessoa pode ser natural ou jurídi- ca, de direito público ou privado.

 

Dados Anonimizados - São os dados relativos a um titular que não possa ser identificado, em fun- ção de meios técnicos razoáveis e disponíveis na ocasião de seu tra-

 

tamento.

Dados Pessoais - São as informa- ções relacionadas a uma pessoa natural identificada ou identificável, ou seja, qualquer informação que identifique ou torne possível identi- ficar uma pessoa, tais como nome, números, endereços, códigos de identificação.

Dados Pessoais Sensíveis - São os Dados Pessoais sobe origem étnica ou racial, crença religiosa, orientação política, filiação a sindi- cato ou a organizações de caráter político, filosófico ou religioso, ori- entação sexual, dados de saúde, genéticos ou biométricos, dentre outros, quando vinculados a uma pessoa natural.

 

Encarregado - Pessoal natural, indicada pelo Controlador, para atuar como canal de comunicação entre o Controlador e a Autoridade Nacional de Dados.

Operador - É a pessoa natural, de direito público ou privado, que rea- liza o tratamento de dados pesso- ais em nome do Controlador.

Transferência Internacional de Dados - É a transferência de Da- dos Pessoais para país estrangeiro ou para organismo internacional do qual o país seja membro.

 

 

 

A LGPD não revoga a aplicação de ou- tras normas setoriais que regulamentem Dados pessoais, as quais devem continu- ar sendo observadas.

 

 

 

Tratamento de Dados - É toda a operação realizada com Dados Pessoais, exem- plo: coleta, recepção, utiliza- ção, classificação, reprodu- ção, produção, acesso, trans- missão, distribuição, arquiva- mento, processamento, elimi- nação, armazenamento, avali- ação, controle da informação, comunicação, transferência, difusão e/ou extração.

Titular - É a pessoa a quem se referem os Dados Pessoais que são objeto de algum tipo de Tratamento.

 

 

 

 

 

As autoridade europeias competentes iniciaram mais de 255 investigações a empresas por alegado desrespeito ao GDPR, após denúncias individuais ou por iniciativa própria das

autoridades competentes.

Fonte: https://tvi24.iol.pt/international/rgpd/protecao-e-dados-ue-recebeu-10-mil- queixas-por-mês

 

 

 

 

Base Legal da LGPD

 

 

Tratamento de Dados Pessoais

A LGPD estabeleceu, de forma taxativa, os requisitos que justificam o Tratamento de Dados Pessoais:

 

  • Mediante o consentimento do titular dos dados pessoais;

  • Para o cumprimento de obrigação legal ou regula- tória pelo Controlador dos Dados;

  • Pela administração pública, para o Tratamento e uso compartilhado de Dados Pessoais necessários à execução de políticas públicas previstas em leis e regulamentos;

  • Para a realização de estudos por órgão de pesqui- sa, garantida, sempre que possível, a Anonimização dos Dados Pessoais;

  • Quando necessário para a execução de contrato ou de procedimentos contratuais preliminares;

  • Para a proteção da vida ou da incolumidade física do Titular ou de terceiros;

  • Para o exercício regular de direito em processo judicial, administrativo ou arbitral;

  • Para atendimento de interesses legítimos do Con- trolador ou de terceiros, exceto no caso de prevale- cerem direitos e liberdades fundamentais do titular que exijam a proteção dos Dados Pessoais;

  • Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

  • Para a proteção do crédito, inclusive quanto ao dis- posto na legislação pertinente.

 

Está na Lei: artigos 5º, XIII, 7º a 16 e artigo 37

 

Consentimento

Manifestação livre, informada e inequívoca que au- toriza o tratamento de dados pessoais para uma finalidade determinada;

 

Autorizações genéricas, sem finalidade específica explícita e informada serão consideradas nulas;

Deve ser dado por escrito, em cláusula destacada, ou por qualquer outra ação afirmativa que demons- tre, inequivocamente, a vontade do titular dos da- dos;

Consentimento implícito não será válido;

Tem caráter temporário, pois poderá ser revogado, a qualquer momento pelo titular dos dados pesso- ais, por procedimento gratuito e facilitado;

 

Alteração na finalidade inicial ensejará nova obten- ção de Consentimento. O controlador deverá infor- mar, previamente, o titular sobre a mudança de fi- nalidade;

Se o titular dos dados os tornar manifestamente públicos, o agente fica desobrigado de obter o Con- sentimento para tratamento de dados, mantendo-se obrigado a respeitar a finalidade original do trata- mento, de modo que permanecem vigentes os de- mais direitos do titular e os princípios estabelecidos na LGPD.

 

Término do Tratamento

O término do tratamento de dados pessoais ocorrerá quando:

For verificado que a finalidade para a qual o consen- timento foi obtido foi atingida ou que os dados pes- soais coletados deixaram de ser necessários ou per- tinentes ao atingimento da finalidade almejada;

Decorrer o fim do período de tratamento;

Ocorrer manifestação do titular dos dados pessoais nesse sentido;

Houver determinação legal.

Ocorrendo o término de tratamento de dados pesso- ais, os dados devem ser eliminados, salvo se de ou- tra forma a sua guarda for autorizada pela LGPD, tal como o emprego de anonimização.

 

 

 

Interesse Legítimo

Desde que os direitos e liberdades fundamentais do Titular dos Dados sejam mantidos e que existam medidas que visem garantir a transparência no Tra- tamento dos Dados, o Tratamento de Dados Pesso- ais necessário para atender ao Interesse Legítimo do Controlador ou de terceiro é permitido pela LGPD.

O Interesse Legítimo deverá ser verificado a partir da análise da situação concreta e com base nos princípios da LGPD e poderá ser revisto pela Auto- ridade Nacional de Proteção de Dados.

Somente os Dados estritamente necessários pode- rão ser tratados, sempre respeitando a finalidade pretendida

Rol de finalidades, previstas na LGPD, que podem vir a justificar o Interesse Legítimo do Controlador ou de terceiros, a depender da situação concreta:

 

  • Apoio e promoção de atividades do Controla- dor;

 

  • Proteção, em relação ao Titular dos Dados, do exercício regular dos direitos ou presta- ção de serviços que beneficiem o Titular, desde que respeitadas as legítimas expectati- vas do Titular dos Dados.

 

 

 

Tratamento de Dados Pessoais Sensíveis

Por conta de sua natureza, a LGPD se preocupou em diminuir as hipóteses para Tratamento de Dados Sensíveis e impôs Consentimento mais rigoroso;

O Consentimento deve ser fornecido de forma espe- cífica e destacada. Deve ser obtida uma autorização especial para o Tratamento de Dados Pessoais Sen- síveis.

Não é permitido o Tratamento de Dados Pessoais Sensíveis para atender ao Interesse Legítimo do Controlador ou de terceiros ou proteção do crédito;

Permanece a possibilidade de tratar Dados Pessoais Sensíveis quando for indispensável para o cumpri- mento de obrigação legal ou regulatória pelo Contro- lador dos Dados, para o exercício regular de direitos em processo judicial, administrativo ou arbitral ou necessário para a execução de contrato.

 

 

 

A LGPD estabelece rol taxativo para Tratamento de Dados, enquanto o Marco Civil da Internet permite o uso de Dados Pessoais, apenas, mediante o Consentimento de seu Titular.

 

 

 

 

Tratamento de Dados de Crianças e Adoles- centes

O Tratamento de Dados Pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, com Consentimento específico e em destaque dado por, pelo menos, um dos pais ou pelo responsável legal.

Cabe aos Controladores o ônus de verificar que o Consentimento foi, realmente, fornecido pelos pais ou pelo responsável pela criança.

A LGPD autoriza, como hipótese única, a coleta de Dados Pessoais de criança ou adolescente sem o Consentimento dos pais ou do responsá- vel legal, a coleta de Dados para realizar contato com os pais ou com o responsável legal,. Nesta hipótese, os Dados Pessoais coletados poderão ser utilizados uma única vez e não poderão ser armazenados, já que sua única finalidade é a realização do referido contato.

 

 

 

 

 

Direitos do Titular

A LGPD garante ao Titular de Dados os seguintes direi- tos:

  • Confirmar a existência de Tratamento de seus Dados Pessoais;

  • Acessar seus Dados Pessoais;

  • Corrigir Dados Pessoais incompletos, inexatos ou desatualizados;

  • Anonimizar, bloquear ou eliminar de Dados Pesso- ais desnecessários, excessivos ou tratados em desconformidade com a LGPD;

  • Portabilidade de Dados Pessoais a outro fornece- dor de produto ou serviço;

  • Eliminar Dados tratados com o seu Consentimen- to;

  • Obter de informações sobre as entidades públicas e privadas com as quais o Controlador realizou o compartilhamento de Dados Pessoais;

  • Obter informações sobre a possibilidade de não consentir com o Tratamento de Dados Pessoais e sobre as consequências da negativa; e

  • Revogar do Consentimento Dado para o Trata- mento de Dados Pessoais.

 

Dados Pessoais de Crianças

No caso de tratamento de dados pessoais de crianças, as informações devem ser fornecidas de maneira sim- ples, clara e acessível, considerando as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do público-alvo.

As empresas poderão empregar recursos audiovisuais ou afins para passar as informações pertinentes, para proporcionar à criança um adequado entendimento.

 

Está na Lei: artigos 8º, §5º; 9º, ca- put e § 3º; 14, §6º; 17, 18, 19, 20, 21

 

 

 

 

Direito à Informação

O titular dos dados tem direito a ter acesso facilitado a informações relacionadas ao tratamento de dados pes- soais, de forma clara, adequada e ostensiva, para atendi- mento do princípio do livre acesso:

 

  • Finalidade específica do tratamento;

  • Forma e duração do tratamento;

 

  • Identificação e contato do controlador;

 

  • Informações sobre uso compartilhado de dados e a respectiva finalidade;

 

  • Responsabilidade dos agentes de tratamento;

 

  • Tratamento de dados pessoais como condição para o fornecimento de produto ou de serviço ou para o exercício de direito, caso aplicável;

  • Demais direitos do titular, nos termos da LGPD.

 

 

 

Direito à Confirmação e Acesso aos Dados Pes- soais

O titular dos dados pessoais tem o direito de obter confirmação da existência de tratamento e acesso aos seus dados pessoais, a qualquer momento, em uma das formas a seguir:

 

  • Formato simplificado, caso a confirmação ou o acesso seja providenciado imediatamente;

 

  • Por meio de declaração clara e completa, com indicação da origem dos dados, inexis- tência de registro, critérios utilizados e finali- dade do tratamento, conforme o caso, no pra- zo de quinze dias a contar da data do requeri- mento do titular dos dados.

 

As informações deverão ser fornecidas por meio eletrônico ou de forma impressa, conforme solicita- ção do titular.

 

Quando o tratamento de dados tiver fundamento no consentimento ou em contrato, o titular poderá soli- citar cópia eletrônica integral dos seus dados pesso- ais.

 

 

 

 

 

A LGPD visa a proteção dos direitos fundamentais de liberdade e privacidade dos indivíduos.

 

 

 

 

Direito à Revisão de Decisão Automatizada

O titular dos dados poderá requisitar a revisão, por pessoa natural, de decisões tomadas, exclu- sivamente, com base em tratamento automati- zado, inclusive decisões destinadas à formação de perfis.

O titular dos dados poderá solicitar a disponibili- zação de informações claras e adequadas a respeito dos critérios e dos procedimentos utili- zados para formação da decisão automatizada.

 

 

 

Impossibilidade de Cumprimento Imediato

Não havendo a possibilidade de cumprir, de imediato, a providência requerida pelo titular dos dados, o controlador deverá enviar ao titular uma justificativa com as razões que impediram o cumprimento imediato do quanto requerido ou uma comunicação para indicar que não é o agente de tratamento dos dados e, caso tenha conhecimento, apontar quem é o agente de fa- to.

 

 

 

Direito à Portabilidade dos Dados Pessoais

O titular dos dados poderá, mediante requisição expressa, solicitar a transferência de seus dados pessoais a outro fornecedor de serviço ou pro- duto.

 

Direito à Correção, Anonimização, Pseudoni- mização, Bloqueio ou Eliminação de Dados Pessoais

O titular dos dados poderá:

 

  • Requerer a correção de dados que consi- dere incompletos, inexatos ou desatualiza- dos;

 

  • Solicitar anonimização, bloqueio ou elimi- nação de dados pessoais considerados como desnecessários, excessivos ou trata- dos em desconformidade com a LGPD;

 

  • Solicitar a eliminação de quaisquer dados coletados, ressalvadas as hipóteses de guarda permitidas pela LGPD, o que inclui a guarda de dado especialmente para cum- primento de obrigação legal pelo controla- dor ou para uso exclusivo do controlador, sendo que, neste último caso, os dados deverão ser anonimizados.

(Para fins da LGPD, “anonimização” é um proce- dimento por meio do qual um dado perde a possi- bilidade de identificar um titular e “bloqueio” sig- nifica suspensão temporária de qualquer opera- ção de tratamento de dados pessoais)

Na hipótese de uso compartilhado de dados cuja correção, anonimização, bloqueio ou eliminação seja solicitada pelo titular dos dados, a empresa deverá informar, imediatamente, tal providência aos demais agentes de tratamento de modo que atendam ao procedimento.

Nos casos de estudos em saúde pública, os ór- gãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados, exclusiva- mente, dentro do órgão e, estritamente, para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, e que incluam, sempre que possível, a anonimiza- ção ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relaciona- dos a estudos e pesquisas.

(Para fins da LGPD, “pseudonimização” é o trata- mento por meio do qual um dado perde a possibi- lidade de associação, direta ou indireta, a um indi- víduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em am- biente controlado e seguro).

 

 

 

Obrigações do Controlador

 

 

 

 

 

Obrigações do Controlador

 

É quem deve tomar as decisões sobre o Tratamento de Dados Pessoais, zelando por sua correta preserva- ção, atendendo aos requisitos e exigências formulados pelas autoridades competentes. A LGPD atribuiu ao Controlador as seguintes responsabilidades:

 

  • Provar que o consentimento foi obtido em con- formidade com a LGPD;

 

  • Manter registro das operações de tratamento de dados pessoais que realize;

 

  • Mediante solicitação da autoridade nacional de proteção de dados, elaborar relatório de impac- to à proteção de dados;

 

  • Informar o titular caso haja alguma alteração na finalidade para a coleta de dados;

 

  • Responder solidariamente, em conjunto com o operador, se causar a terceiros danos por viola- ção da LGPD.

 

  • Confirmar a existência ou providenciar o acesso a Dados Pessoais, mediante requisição de seu Titular, em formato simplificado, imediatamente ou por meio de declaração clara e completa, que indique a origem dos Dados, a inexistência de registro, os critérios utilizados e a Finalidade do Tratamento.

 

 

 

Está na Lei: artigos 5º; 7º, § 5º; 8º, § 2º;

 

 

 

 

  • Manter registro das operações de Tratamento de Dados que realizar, podendo a Autoridade Nacional determinar que seja elaborado rela- tório de impacto à proteção de Dados (Pessoais ou Sensíveis) referente às suas operações, incluindo em tal relatório, obriga- toriamente, as seguintes informações:

 

  • Descrição Dados coletados;

 

  • Metodologia utilizada para a coleta dos Da- dos;

 

  • Metodologia utilizada para garantir a seguran- ça das informações;

 

  • Análise sobre as medidas de segurança, as salvaguardas e os mecanismos de mitigação de riscos adotados.

 

  • Confirmar a existência ou providenciar o acesso a Dados Pessoais, mediante requisi- ção de seu Titular, em formato simplificado, imediatamente ou por meio de declaração clara e completa, que indique a origem dos Dados, a inexistência de registro, os critérios utilizados e a Finalidade do Tratamento.

 

  • Manter registro das operações de Tratamento de Dados que realizar, podendo a Autoridade Nacional determinar que seja elaborado rela- tório de impacto à proteção de Dados (Pessoais ou Sensíveis) referente às suas operações, incluindo em tal relatório, obriga- toriamente, as seguintes informações:

 

  • Descrição Dados coletados;

 

  • Metodologia utilizada para a coleta dos Dados;

 

  • Metodologia utilizada para garantir a segu- rança das informações; e

 

  • Análise do Controlador sobre as medidas de segurança, as salvaguardas e os meca- nismos de mitigação de riscos adotados.

 

 

 

  • Indicar um encarregado pelo Tratamento dos Dados Pessoais divulgando, publicamente, de forma clara e objetiva, preferencialmente no seu sítio eletrônico, a identidade da pessoa e suas informações de contato.

 

Obrigações do Encarregado

Consistem em:

 

  • Receber reclamações e comunicações dos Titu- lares de Dados Pessoais, prestando esclareci- mentos e tomando as devidas providências;

 

  • Receber comunicações da Autoridade Nacional, tomando as devidas providências;

 

 

Segurança e Notificações

 

  • Orientar e treinar os funcionários, os colabora- dores e os contratados da organização sobre as práticas a serem adotadas em relação à prote- ção de Dados Pessoais; e

 

  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares emitidas pela autoridade naci- onal de proteção de dados.

 

 

 

 

 

 

 

Está na Lei: artigos 44, § único; 46; 47;

48; 49; 50 e 51.

 

 

A Autoridade Nacional de Proteção de Dados é a responsável por determinar os padrões técnicos de segurança e de Proteção de Dados Pessoais. As autoridades setoriais também poderão colaborar nesta função.

Os Agentes de Tratamento deverão proteger os Dados Pessoais contra acessos não autorizados e situações aciden- tais ou ilícitas, para o que deverão adotar uma série de medidas de segurança, técnicas e administrativas.

Pelos danos decorrentes da violação da segurança dos Dados, responderão o controlador e/ou o Operador. A res- ponsabilidade será subjetiva e solidária.

Qualquer pessoa que intervenha no processo de Tratamento de Dados tem a obrigação de garantir a segurança de- les. Os agentes de Tratamento que derem causa a um dano, responderão pelos danos que causarem em decorrên- cia da inobservância das medidas de segurança.

Recomenda-se que os Agentes de Tratamento adotem medidas técnicas que tornem os Dados Pessoais ininteligí- veis para que, se afetados, terceiros não autorizados não consigam acessá-los. A adoção dessas medidas técnicas será levada em consideração na análise da gravidade do incidente.

 

Casos de incidente de segurança que possam acarretar risco ou danos relevantes aos seus titulares, deverão ser comunicados à: Autoridade Nacional, ao (ii) Titular dos Dados, em prazo razoável (a ser definido pela autoridade) e aos (iii) órgãos reguladores setoriais. Essa comunicação deverá conter no mínimo as seguintes informações:

  • descrição da natureza dos Dados Pessoais afetados;

  • os Titulares envolvidos;

 

  • as medidas técnicas e de segurança utilizadas para a proteção dos Dados;

  • os riscos relacionados ao incidente;

  • os motivos da demora, no caso de a comunicação não ter sido imediata;

  • as medidas adotadas para reverter ou mitigar os efeitos do prejuízo causado pelo incidente.

A depender da gravidade do incidente, a autoridade nacional poderá determinar a adoção de providências, tais co- mo divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.

 

 

 

Transferência Internacional de Dados

 

 

 

A LGPD autoriza a Transferência Internacional de Da- dos sob condições que estabelece expressamente, quais sejam:

 

  • Que sejam obedecidas as mesmas condições de proteção de Dados estabelecidas pela LGPD brasileira;

 

  • Que para recepcionar os Dados transferidos, o país ou organismo internacional deve oferecer um padrão apropriado de proteção aos Dados do Titular, o que será verificado pela Autoridade Nacional de Proteção de Dados brasileira;

 

  • Que seja autorizada pela Autoridade Nacional de Proteção de Dados;

 

  • Que seja necessária para executar políticas pú- blicas ou atribuições legais do serviço público;

 

  • Que o titular forneça seu consentimento especí- fico e em destaque para a Transferência, tendo sido fornecida informação prévia e distinta de outras finalidades sobre o caráter internacional da operação;

 

  • Que o Controlador possa oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei, através de cláusulas contratuais específicas para determinada Trans- ferência, cláusulas-padrão contratuais, normas corporativas globais ou selos, certificados e có- digos de conduta regularmente emitidos;

 

  • Que seja para o cumprimento de obrigação le- gal ou regulatória pelo controlador;

 

  • Que a transferência seja necessária para coope- ração jurídica internacional entre órgãos públi- cos de inteligência, investigação e persecução, observados os instrumentos de direito internaci- onal, ou quando seja resultado de compromisso assumido em acordo de cooperação internacio- nal; e

 

  • Que seja para a execução de contrato ou proce- dimentos relacionados ao contrato do qual seja parte o Titular dos Dados e desde que requeri- do pelo próprio Titular.

 

 

 

São agentes de tratamento de dados o con- trolador e o operador

 

 

 

 

 

 

 

 

Está na Lei: artigos 3º; 33; 4; 35 e 36

 

 

 

Sanções

 

 

 

Na hipótese de seu descumprimento, a LGPD estabe- lece a obrigação de indenizar o Titular dos Dados, além de estabelecer sanções de caráter administrati- vo.

 

As sanções administrativas são aplicáveis pela Autori- dade Nacional e vão desde advertência até a imposi- ção de sanções pecuniárias.

Os Agentes de Tratamento de Dados estão sujeitos às seguintes penalidades:

advertência, com indicação de prazo para adoção de medidas corretivas;

multa de até 2% do faturamento da empresa ou do grupo limitada, no total, a R$ 50 milhões por infração;

publicização da infração após devidamente apurada e confirmada a sua ocorrência;

bloqueio dos Dados Pessoais correspondentes à infra- ção até a sua regularização;

eliminação dos Dados Pessoais relativos à infração;

Um procedimento administrativo deverá preceder to- das as sanções, para garantir a ampla defesa do infra- tor.

As sanções serão aplicadas considerando as particula- ridades de cada caso e os seguintes parâmetros e critérios:

 

  • gravidade e a natureza das infrações e dos di- reitos pessoais afetados;

 

  • boa-fé do infrator;

 

  • vantagem auferida ou pretendida pelo infrator;

  • condição econômica do infrator;

  • reincidência;

  • grau do dano;

 

  • cooperação do infrator;

  • adoção reiterada e demonstrada de mecanis-

 

mos e procedimentos internos capazes de minimizar o dano;

 

  • adoção de política de boas práticas e gover- nança;

 

  • pronta adoção de medidas corretivas; e

 

  • proporcionalidade entre a gravidade da falta e a intensidade da sanção.

No cálculo do valor da multa, a Autoridade Nacio- nal poderá considerar o faturamento total do infra- tor, além de fundamentar a aplicação da sanção na gravidade da falta e na extensão do dano e do prejuízo causado ao Titular dos Dados Pessoais.

Em casos de incidentes de vazamento transnacio- nais, as multas aplicadas em uma jurisdição não serão compensadas ou abatidas com as aplicadas em outra na qual também verificados os efeitos do evento.

 

 

 

 

 

 

Está na Lei: artigos 52; 53 e 54.

 

 

 

Autoridade Nacional de Proteção de Dados - ANPD

 

 

A LGPD criou a Autoridade Nacional de Proteção de Dados, órgão responsável por fiscalizar e orientar o cum- primento das normas nela previstas.

Na versão atual da Lei, a ANPD é órgão da administração pública federal direta e integrante da Presidência da República. Contudo, o Poder Executivo poderá reavaliar a natureza jurídica da ANPD dentro de 2 anos, a contar da entra em vigor de sua estrutura regimental.

Nesse sentido, a ANPD poderá ser transformada em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República, hipótese em que seria conferida, ao me- nos legalmente, maior independência e autonomia à ANPD.

 

 

 

 

Composição da ANPD

 

 

 

 


 

 

 

 

 

A finalidade da presente Cartilha é um guia orientador para finalidade legais. Seu objetivo é, apenas, abrir novos horizontes de um cenário para o direito digital no Basil.