O QUE MUDA COM A LGPD

O que é a Lei Geral de Proteção de Dados Pessoais? Dê um "giro" pela lei e conheça desde
já as principais transformações que ela traz para o país

De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a

órgãos públicos, da publicidade à tecnologia: pode ter certeza, a Lei Geral de Proteção de Dados
Pessoais (LGPD) afeta diferentes setores e serviços, e a todos nós brasileiras e brasileiros, seja
no papel de indivíduo, empresa ou governo. Aqui, a gente te ajuda a entender os seus direitos
como cidadão, ou suas obrigações, caso você seja responsável por bases de dados de pessoas.

E damos, é claro, as boas-vindas a você que quer entender mais a LGPD, contribuir com ela,
e buscar suporte. Vamos nessa?

Para começar
Já que você topou, então vamos dar um "giro" pela LGPD e conhecer os principais pontos
da lei
Para continuar
Agora que você deu um giro, leia a seguir mais detalhes sobre os principais pontos
apresentados na imagem acima
A LGPD é a lei nº 13.709, aprovada em agosto de 2018 e com vigência a partir de agosto de
2020. Para entender a importância do assunto, é necessário saber que a nova lei quer criar
um cenário de segurança jurídica, com a padronização de normas e práticas, para promover
a proteção, de forma igualitária e dentro do país e no mundo, aos dados pessoais de todo
cidadão que esteja no Brasil. E, para que não haja confusão, a lei traz logo de cara o que
são dados pessoais, define que há alguns desses dados sujeitos a cuidados ainda mais
específicos, como os sensíveis e os sobre crianças e adolescentes, e que dados tratados
tanto nos meios físicos como nos digitais estão sujeitos à regulação.

A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de
dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo
de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida.
Determina também que é permitido compartilhar dados com organismos internacionais e
com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir
exigências legais.

Consentimento
Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a
base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É
possível tratar dados sem consentimento se isso for indispensável para: cumprir uma
obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de
pesquisa; executar contratos; defender direitos em processo; preservar a vida e a
integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde
ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse
legítimo, que não fira direitos fundamentais do cidadão.

Automatização com autorização

Por falar em direitos, é essencial saber que a lei traz várias garantias ao cidadão, que pode
solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro
fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando
em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente
acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito
exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de
consumo, de crédito), o indivíduo deve ser informado que pode intervir, pedindo revisão
desse procedimento feito por máquinas.

ANPD e agentes de tratamento

E tem mais. Para a lei a "pegar", o país contará com a Autoridade Nacional de Proteção de
Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar.
Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre
como aplicar a lei. Cidadãos e organizações poderão colaborar com a autoridade.
Mas não basta a ANPD - que está em formação - e é por isso que a Lei Geral de Proteção de
Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas
organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que
realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos
e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da
organização e do volume de dados tratados).

Gestão em foco
Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso
quer dizer que quem gere base de dados pessoais terá que redigir normas de governança;
adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes
no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver
incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os
indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes
de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas
para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança
podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite
de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a
gravidade da falha. E enviará, é claro, alertas e orientações antes de aplicar sanções às
organizações.
MAPA DA PROTEÇÃO DE DADOS

Em que "estágio" estamos? Confira o mapa da proteção de dados pessoais no

mundo

A Lei Geral de Proteção de Dados Pessoais (LGPD) já foi sancionada e entrará em vigor em 2020,
e a Autoridade Nacional de Proteção de Dados foi aprovada em maio de 2019 e está em
formação. Isso significa que nosso país está no caminho certo! Mas o mapa a seguir mostra a
nós, brasileiros e brasileiras, que ainda há outros passos a dar. E precisamos avançar não porque
foi criada “mais uma lei chata ou burocrática”, mas sim porque a proteção de dados privativos é
algo que, mundialmente, as pessoas, governos e empresas têm se preocupado - um exemplo é o
da sociedade da União Europeia, que possui o Regulamento Geral sobre a Proteção de
Dados (RGPD), sigla do termo em português, ou GDPR, sigla do termo em inglês), em vigor desde
maio de 2018. Ou seja, no Brasil, a LGPD é, de fato, útil e sua aplicação é urgente se queremos
melhorar o dia a dia de cada um de nós. Portanto, fique por dentro do assunto, ajude a aplicar a
Lei Geral de Proteção de Dados Pessoais, cobre isso dos setores público e privado. Colabore!
COOPERAÇÃO

A LGPD permite a transferência de dados além-fronteira, desde que seja: com o

consentimento específico do titular dos dados; a pedido do titular para que esse
possa executar pré-contrato ou contrato; para proteger a vida e a integridade
física do titular ou de terceiro; para ajudar na execução de política pública; para
país ou organismo internacional que projeta dados pessoais de forma compatível
com o Brasil; para cooperar juridicamente com órgãos públicos de inteligência,
investigação, ou por conta de compromisso assumido via acordo internacional;
para cumprir obrigação legal; com a autorização da ANPD; comprovado que o
controlador segue a LGPD na forma de normas globais, selos, certificados e
códigos de conduta.

LGPD EM 2 MINUTOS

Em menos de dois minutos, você consegue ter uma ideia do que é a LGPD e seus
impactos no Brasil

Assista ao conteúdo e fique por dentro dos principais pontos da Lei Geral de Proteção de Dados
Pessoais. O vídeo traz um panorama, mas não deixe, é claro, de navegar pelo portal para
aprofundar em cada um dos pontos e acessar, ainda, outros detalhes sobre a nova lei.

https://www.youtube.com/watch?v=Tk-r0GUt1GU

GLOSSÁRIO LGPD

Fique por dentro das palavras e termos-chave que dão suporte à Lei Geral de
Proteção de Dados Pessoais
Publicada em agosto de 2018, a LGPD vem aprimorar a proteção de dados pessoais aos cidadãos
do Brasil. Entender melhor, e desde já, a nova legislação, que entra em vigor em 2020, é
importante para ajudar o país na missão coletiva de assegurar a privacidade: a qual é um direito
fundamental do indivíduo e, portanto, deve ser salvaguardada com o máximo de cuidado,
eficiência e qualidade. Sendo assim, que tal conhecer palavras e termos-chave relacionadas à Lei
Geral de Proteção de Dados Pessoais e o significado de cada um deles? Confira o glossário da
LGPD abaixo.

GLOSSÁRIO LGPD
Agentes de tratamento: o controlador e o operador
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do
tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a
um indivíduo
Autoridade nacional: órgão da administração pública responsável por zelar, implementar e
fiscalizar o cumprimento desta Lei em todo o território nacional
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários
locais, em suporte eletrônico ou físico
Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do
dado pessoal ou do banco de dados
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as
decisões referentes ao tratamento de dados pessoais
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento
Dado pessoal: informação relacionada à pessoa natural identificada ou identificável
Dado pessoal de criança e de adolescente: o Estatuto da Criança e do Adolescente
(ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre
12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de
dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e
acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e
adequada ao entendimento da criança
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político,
dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma
pessoa natural
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados,
independentemente do procedimento empregado
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de
comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de
Dados (ANPD)
Garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a
disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política
Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da
informação aos órgãos e às entidades da administração pública federal em seu âmbito de
atuação
Garantia da segurança de dados: ver garantia da segurança da informação
Interoperabilidade: capacidade de sistemas e organizações operarem entre si. A autoridade
nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos
padrões de interoperabilidade de governo eletrônico (ePING)
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de
dados pessoais em nome do controlador
Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa
jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com
sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou
estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou
estatístico
Relatório de impacto à proteção de dados pessoais: documentação do controlador que
contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de
mitigação de risco
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
Transferência internacional de dados: transferência de dados pessoais para país estrangeiro
ou organismo internacional do qual o país seja membro
Tratamento: toda operação realizada com dados pessoais; como as que se referem a:

 acesso - possibilidade de comunicar-se com um dispositivo, meio de armazenamento,

unidade de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados
 armazenamento - ação ou resultado de manter ou conservar em repositório um dado
 arquivamento - ato ou efeito de manter registrado um dado embora já tenha perdido a
validade ou esgotada a sua vigência
 avaliação - ato ou efeito de calcular valor sobre um ou mais dados
 classificação - maneira de ordenar os dados conforme algum critério estabelecido
 coleta - recolhimento de dados com finalidade específica
 comunicação - transmitir informações pertinentes a políticas de ação sobre os dados
 controle - ação ou poder de regular, determinar ou monitorar as ações sobre o dado
 difusão - ato ou efeito de divulgação, propagação, multiplicação dos dados
 distribuição - ato ou efeito de dispor de dados de acordo com algum critério estabelecido
 eliminação - ato ou efeito de excluir ou destruir dado do repositório
 extração - ato de copiar ou retirar dados do repositório em que se encontrava
 modificação - ato ou efeito de alteração do dado
 processamento - ato ou efeito de processar dados
 produção - criação de bens e de serviços a partir do tratamento de dados
 recepção - ato de receber os dados ao final da transmissão
 reprodução - cópia de dado preexistente obtido por meio de qualquer processo
 transferência - mudança de dados de uma área de armazenamento para outra, ou para
terceiro
 transmissão - movimentação de dados entre dois pontos por meio de dispositivos elétricos,
eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.
 utilização - ato ou efeito do aproveitamento dos dados
 Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão
de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e
entidades públicas no cumprimento de suas competências legais, ou entre esses e entes
privados, reciprocamente, com autorização específica, para uma ou mais modalidades de
tratamento permitidas por esses entes públicos, ou entre entes privados

DADOS PESSOAIS

O que são dados pessoais, segundo a LGPD

A informação continua sendo um bem muito precioso. Mas você sabia que a forma de lidar com a
informação, principalmente a que diz respeito ao indivíduo, tem exigido bastante transformações,
mundo afora e aqui no Brasil? Pois é, as pessoas estão, cada vez mais, buscando maior controle
sobre seus dados. Preservar conteúdos privados não é mais uma opção, tornou-se um
compromisso inadiável: tanto do cidadão consigo mesmo; como do governo e de empresas que
se relacionam com esses dados e que precisam escutar o clamor das pessoas, se não quiserem
ficar para trás.

Provavelmente você concorda com isso, que é indispensável cuidar dos seus
dados e dos dados das demais pessoas, certo? Então é hora de conhecer ainda
mais sobre a LGPD: a Lei Geral de Proteção de Dados Pessoais é a mudança mais
importante no que se refere à privacidade de dados, no Brasil. Aprovada pela
Presidência da República em agosto de 2018, a lei já circula por aí e, como pode
perceber, o conteúdo dela não será “pra inglês ver”, mas para auxiliar o Brasil a
evoluir, de fato, no tema,
gerando assim impactos
positivos na vida de milhões de
brasileiros.

Mas, enfim, o que é, de fato,

um dado pessoal?
É simples. Se uma informação permite identificar, direta ou indiretamente, um
indivíduo que esteja vivo, então ela é considerada um dado pessoal: nome, RG,
CPF, gênero, data e local de nascimento, telefone, endereço residencial,
localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário,
renda, histórico de pagamentos, hábitos de consumo, preferências de lazer;
endereço de IP (Protocolo da Internet) e cookies, entre outros.

Proposta quer inserir a proteção de dados pessoais na Constituição

PEC 17/2019

DADOS SENSÍVEIS

O que são dados sensíveis, de acordo com a LGPD

Há tipos de dado pessoal que exigem

atenção extra ao serem tratados?
Sim. Claro, todo dado pessoal só pode
ser tratado se seguir um ou mais
critérios definidos pela LGPD, mas,
dentro do conjunto de dados pessoais,
há ainda aqueles que exigem um pouco
mais de atenção: são os sobre crianças
e adolescentes; e os “sensíveis”, que
são os que revelam origem racial ou
étnica, convicções religiosas ou
filosóficas, opiniões políticas, filiação
sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.

Quando o foco for menores de idade, é imprescindível obter o consentimento inequívoco de um

dos pais ou responsáveis e se ater a pedir apenas o conteúdo estritamente necessário para a
atividade econômica ou governamental em questão, e não repassar nada a terceiros. Sem o
consentimento, só pode coletar dados se for para urgências relacionadas a entrar em contato
com pais ou responsáveis e/ou para proteção da criança e do adolescente.

Sobre os dados sensíveis, autônomos, empresas e governo também podem tratá-los se tiverem o
consentimento explícito da pessoa e para um fim definido. E, sem consentimento do titular, a Lei
Geral de Proteção de Dados Pessoais define que isso é possível quando for indispensável em
situações ligadas: a uma obrigação legal; a políticas públicas; a estudos via órgão de pesquisa; a
um direito, em contrato ou processo; à preservação da vida e da integridade física de uma pessoa;
à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção
de fraudes contra o titular.

DADOS PÚBLICOS

O que são dados públicos, segundo a LGPD

A lei cita “dados pessoais cujo acesso é público”.

Como essa categoria de dados deve ser tratada?
Deve ser tratada considerando a finalidade, a boa-fé e o
interesse público que justificaram a sua
disponibilização. A LGPD define, por exemplo, que uma
organização pode, sem precisar pedir novo
consentimento, tratar dados tornados anterior e
manifestamente públicos pelo titular. Porém, se uma
organização quiser compartilhar esses dados com
outras, aí ela deverá obter outro consentimento para
esse fim - resguardadas as hipóteses de dispensa
previstas na lei. A LGPD também se relaciona com a Lei
de Acesso à Informação (LAI) e com princípios
constitucionais, como o de que “todos têm direito a receber dos órgãos públicos informações de
seu interesse particular, ou de interesse coletivo ou geral, ressalvadas aquelas cujo sigilo seja
imprescindível à segurança da sociedade e do Estado”.

Especialistas acreditam que a Lei Geral de Proteção de Dados Pessoais traz

parâmetros, mas que ainda há um debate sobre que tipos de dados pessoais
devem, de fato, ser considerados públicos e, assim, ficar disponíveis para a
sociedade em geral. A previsão é que a Autoridade Nacional de Proteção de Dados
(ANPD), em conjunto com a sociedade, regule, esclareça dúvidas e detalhe a
questão.

Lei de Acesso à Informação

DADOS ANONIMIZADOS

O que são dados anonimizados, segundo a LGPD

E o que anonimização tem a ver com tratamento de

dados?
A Lei Geral de Proteção de Dados Pessoais cita ainda o
dado anonimizado, que é aquele que, originariamente,
era relativo a uma pessoa, mas que passou por etapas
que garantiram a desvinculação dele a essa pessoa. Se
um dado for anonimizado, então a LGPD não se
aplicará a ele. Vale frisar que um dado só é
considerado efetivamente anonimizado se não permitir que, via meios técnicos e outros, se
reconstrua o caminho para "descobrir" quem era a pessoa titular do dado - se de alguma forma a
identificação ocorrer, então ele não é, de fato, um dado anonimizado e sim, apenas, um dado
pseudonimizado e estará, então, sujeito à LGPD.

Segundo especialistas, dados anonimizados são essenciais para o crescimento

da inteligência artificial, da internet das coisas, do aprendizado das máquinas, das
cidades Inteligentes, da análise de comportamentos, entre outros. Eles indicam
ainda que, sempre que possível, uma organização, pública ou privada, realize a
anonimização de dados pessoais, pois isso aperfeiçoa a segurança da informação
na organização e gera, assim, mais confiança em seus serviços e para seus
públicos.

PRINCÍPIOS DA LGPD

Conheça os princípios e as bases legais que dão suporte à Lei Geral de Proteção
de Dados Pessoais

A boa-fé no tratamento de dados pessoais é premissa básica. Além disso, é preciso refletir sobre
questões como "Qual o objetivo deste tratamento?", "É preciso mesmo utilizar essa quantidade de
dados?", "O cidadão com quem me relaciono deu o consentimento?", "O uso dos dados pode gerar
alguma discriminação?". Essas são algumas das perguntas que devem ser feitas. Quer saber o
que mais deve ser levado em conta na hora de tratar os dados? Confira então os princípios e as
bases legais da Lei Geral de Proteção de Dados Pessoais.

Decálogo para um efetivo tratamento

Os seguintes princípios devem ser observados na hora de tratar dados pessoais:
Consentimento
A base da LGPD é o consentimento: ou seja, é necessário solicitar a autorização
do titular dos dados, antes do tratamento ser realizado. E esse consentimento
deve ser recebido de forma explícita e inequívoca. O não consentimento é a
exceção: só é possível processar dados, sem autorização do cidadão, quando isso
for indispensável para cumprir situações legais, previstas na LGPD e/ou em
legislações anteriores, como a Lei de Acesso à Informação (LAI). Por exemplo,
uma organização - pública ou privada - pode, sem precisar pedir novo
consentimento, tratar dados tornados anterior e manifestamente públicos pelo
cidadão.
OBJETIVO E ABRANGÊNCIA DA LGPD

Detalhes sobre a lei que afeta seu dia a dia: mais sobre objetivo, abrangência e
fundamentos da LGPD

Quando um empresário ou um gestor público administra folhas de pagamentos, isso é tratamento

de dados pessoais. A ação de um comerciante que envia promoções por e-mail também é. O
mesmo vale para o ato de publicar uma foto ou de deletar documentos em uma rede social. E o
mesmo vale para quando se faz gravações em vídeo do movimento nos corredores de um
shopping. Ou quando uma loja virtual armazena os endereços IP de seus clientes.

A gente poderia citar vários e vários exemplos. Porém, a partir dessas poucas
situações do dia a dia, já dá para perceber que o tratamento de dados acontece a
todo momento e local, certo? E ocorre na forma de coleta, registro, produção,
recepção, organização, classificação, utilização, disponibilização, adaptação,
alteração, reprodução, transmissão, distribuição, processamento, armazenamento,
conservação, recuperação, comparação, interconexão, transferência, difusão,
extração, eliminação de dados. Ufa! É muita coisa, né? Mas o mais relevante a
saber é que todas as etapas de tratamento devem ser concebidas e concretizadas
com um único fim em mente: para servir as pessoas.

A Lei Geral de Proteção de Dados Pessoais (LGPD) vem para

proteger os direitos fundamentais de liberdade e de
privacidade e a livre formação da personalidade de cada
indivíduo. A lei dispõe sobre o tratamento de dados feito por
pessoa física ou jurídica de direito público ou privado e
engloba um amplo conjunto de operações efetuadas em meios manuais ou
digitais.

Vale para: dados relacionados à pessoa (brasileira ou não) que

esteja no Brasil, no momento da coleta; dados tratados dentro
do território nacional, independentemente do meio aplicado,
do país-sede do operador ou do país onde se localizam os
dados; dados usados para fornecimento de bens ou serviços.

Não se aplica para fins exclusivamente: jornalísticos e

artísticos; de segurança pública; de defesa nacional; de
segurança do Estado; de investigação e repressão de
infrações penais; particulares (ou seja, a lei só se aplica para
pessoa física ou jurídica que gerencie bases com fins ditos
econômicos). E não se aplica a dados de fora do Brasil e que não sejam objeto de
transferência internacional.

Fundamentos da LGPD

O tema proteção de dados pessoais, na

LGPD, tem como fundamentos:

 o respeito à privacidade, ao
assegurar os direitos
fundamentais de
inviolabilidade da intimidade,
da honra, da imagem e da vida
privada
  a autodeterminação informativa, ao expressar o direito do cidadão ao
controle, e assim, à proteção de seus dados pessoais e íntimos

 a liberdade de expressão, de informação, de comunicação e de opinião, que

são direitos previstos na Constituição brasileira

 o desenvolvimento econômico e tecnológico e a inovação, a partir da criação

de um cenário de segurança jurídica em todo o país

 a livre iniciativa, a livre concorrência e a defesa do consumidor, por meio de

regras claras e válidas para todo o setor privado

 os direitos humanos, o livre desenvolvimento da personalidade, a dignidade

e o exercício da cidadania pelas pessoas

CIDADÃO

SEU CONSENTIMENTO É LEI!

Tirando algumas situações previstas na LGPD, é você, cidadão, que define se

seus dados pessoais podem ou não ser tratados por terceiros

Se a gente fosse eleger a principal palavra da Lei Geral de

Proteção de Dados Pessoais (LGPD), a escolhida seria, sem
dúvidas, CONSENTIMENTO. É o titular, ou seja, a pessoa a
quem se referem os dados que deve, se quiser - ao ser
questionada, de forma explícita e inequívoca - autorizar que
suas informações sejam usadas, por empresas e órgãos públicos, na hora da oferta de produtos e
serviços, gratuitos ou não.

Portanto, com a nova lei, fica claro que quem é o verdadeiro dono do dado não é
aquele que o utiliza, nem aquele que o salvaguarda em bancos de dados. Nada
disso, o dado pessoal é estritamente da pessoa a quem ele diz respeito. Na teoria
isso parece algo óbvio, mas na prática não é bem assim. E tem muito dado
particular sendo usado para fins que seu dono ou dona real sequer sabem. Usos,
inclusive, que podem até mesmo prejudicá-los.

Logo, se você não quer seus dados sendo manipulados por aí de forma indevida,
tenha atenção aos seus direitos, que estão elencados na LGPD. E, aos poucos,
você vai aprendendo mais e mais sobre como exercê-los!

Consentimento na prática
Imagine que você autorizou que seus dados fossem empregados por uma
organização: essa deverá pedir nova permissão sua, e especificamente para o
novo fim, caso ela deseje compartilhar os dados com outras organizações
- ressalvadas as hipóteses de dispensa do consentimento previstas na Lei Geral
de Proteção de Dados Pessoais.
E o seu consentimento deve ser para finalidades determinadas. Isso significa que
se te pedirem - para tratar dados - de uma forma muito genérica, sem
especificações, o pedido e sua posterior autorização serão considerados nulos.

Vale lembrar que você pode revogar, a qualquer momento, um consentimento

cedido anteriormente. E caso a organização altere informações no decorrer do
tratamento dos dados, você deve ser avisado sobre isso - e poderá revogar o
consentimento, caso não concorde com a alteração.

Quando tratar dados pessoais for condição para fornecimento de produto ou

serviço ou para exercício de um direito, você deve ser avisado sobre isso e sobre
os meios pelos quais pode exercer seus direitos como titular. E se as informações
fornecidas tiverem conteúdo enganoso ou abusivo, ou não forem apresentadas
previamente com transparência e clareza, o consentimento será considerado nulo.
Além disso, quando forem feitas mudanças, na finalidade de um tratamento, não
compatíveis com o consentimento original, o gestor dos dados deverá informar
isso previamente, e dar a opção de revogar o consentimento, se você discordar
das alterações propostas. A oposição deverá ser feito mediante manifestação
expressa, por meio de procedimento gratuito e facilitado.

VOCÊ JÁ PROTEGE SEUS DADOS?

A LGPD chegou para ajudar, mas você também pode atuar, no seu dia a dia, para
se proteger
Quando o assunto é dado pessoal, o conselho geral que podemos dar a cada um,
seja você criança, adolescente, adulto ou idoso, é que “ande” com cautela, tanto
no mundo real como no virtual. Ou seja, tanto faz se pedem seus dados numa
pesquisa de rua, por exemplo, ou num cadastro on-line: o importante é estar
vigilante! Não confie em desconhecidos, feche bem as “portas” e controle seus
dados pessoais, para evitar cair em ciladas.

15 dicas para a proteção de seus dados pessoais, em meios físicos ou digitais

Se você perdeu ou teve documentos pessoais (RG, CPF, CNH, etc) furtados, faça
um Boletim de Ocorrência (B.O.). E, se possível, cadastre o ocorrido em serviços
de alerta. No Brasil, instituições como SPC e Serasa ofertam o serviço, ajudando
que não roubem sua identidade e realizem fraudes e compras em seu nome.

Antes de comprar um celular, uma câmera fotográfica, um videogame ou outro

eletroeletrônico que se conecte à internet, pesquise se o dispositivo é seguro,
confira a opinião de usuários.
Não deixe seu celular, notebook ou computador ser acessado por pessoas
estranhas. Encerre a sessão sempre que sair do e-mail, de redes sociais. E limpe o
histórico de navegação sobre os sites visitados.
Proteja sua máquina de ataques virtuais. Mantenha antivírus
e firewalls atualizados, e procure navegar e fazer downloads via sites confiáveis.

Não divulgue, sem critérios, o seu número de celular. E, para não receber
ligações com ofertas comerciais indesejadas, confira o serviço que Procons e
Decons, em alguns Estados, oferecem em seus sites – cadastrando-se,
gratuitamente. Tem ainda o serviço do site www.naomeperturbe.com.br, criado
por operadoras de telefonia para atender à uma determinação da Anatel. Se não
respeitarem sua vontade como consumidor, as empresas de produtos e serviços
podem receber advertências e multas.

Se não quiser receber e-mails com propagandas, lembre-se que, com a LGPD,
as empresas só poderão enviar publicidade se você der o consentimento prévio; e,
caso você autorize, deverão oferecer a você a opção de sair da lista de envios.
 Desconfie de qualquer pessoa que peça dados bancários seus ou de seus pais,
e navegue por plataformas com conexão segura para, por exemplo, comprar ou
jogar on-line – no caso de games que interligam jogadores, atenção redobrada,
pois podem captar imagens e sons, por microfones e câmeras.

Escolha suas senhas cuidadosamente. Faça senhas fortes, que não sejam
fáceis de serem desvendadas por terceiros.
Deixe sua conexão Wi-Fi mais segura com pequenas atitudes: não deixe o nome
de fábrica, troque; desative a conexão automática, porque assim você não corre o
risco de ser conectado automaticamente a redes abertas desconhecidas e
potencialmente perigosas.

Assuma o controle de suas informações nas redes sociais. Revise as políticas

de privacidade (a partir de agosto de 2020, essas políticas deverão respeitar a
LGPD), veja o que vão fazer com seus dados e só dê o consentimento se de fato
concordar. Se não concordar, conteste.

Não disponibilize muitas informações pessoais a muitas pessoas, como em

cadastros físicos ou on-line. Nas redes sociais, configure seu perfil para que suas
publicações só sejam vistas por quem você realmente conhece. Quanto menos
seus dados, gostos e preferências ficarem disponíveis, melhor!

Se você é um dos muitos adeptos da nuvem, verifique se a segurança e a

disponibilidade do serviço são adequadas aos tipos de arquivo que deseja
carregar. E reflita sobre quem pode acessar os uploads feitos por você.
Controle os cookies: você pode impedir a instalação deles, não dando seu
consentimento quando é solicitado, durante a navegação. Outra opção é desativar
os cookies direto no navegador. O cookie é um tipo de arquivo, enviado para um
site por meio do navegador, baixado em computadores, celulares ou qualquer
outro dispositivo, a fim de armazenar informações do usuário.
Caso não esteja satisfeito, não hesite em pedir detalhes ou em solicitar a
revisão de decisões tomadas unicamente com base em tratamento automatizado
de dados pessoais que afetem seus interesses, incluídas as decisões destinadas
a definir seu perfil pessoal, profissional, de consumo, e outros aspectos de sua
personalidade.
 No rol acima, de revisões possíveis, também está a sobre o seu perfil de
pagamentos e empréstimos. Nenhum credor é obrigado a emprestar dinheiro a
você, claro, mas se achar que foi recusado crédito injustamente, peça a esse
credor que explique a razão e reveja, se possível, a decisão.

EMPRESA

ESTÁ PREPARADA PARA A LGPD?

Se gere bases de dados pessoais, será preciso se adequar à legislação. Verifique

aqui como sua empresa está em relação à LGPD

É responsável por gerir bases de dados pessoais e quer saber em que parte do caminho está, em
relação à adequação à Lei Geral de Proteção de Dados Pessoais? Então faça o simples teste a
seguir, escolhendo as respostas que mais se ajustem à situação atual de sua empresa. O
questionário não é algo conclusivo, e nem tem a pretensão de ser, mas é uma forma de visualizar
como sua empresa está para, assim, superar obstáculos de conformidade em relação à LGPD,
evitar multas e atender, é claro, ao que o cidadão, que é seu cliente e consumidor, exige neste
século XXI.
A empresa faz algum tipo de tratamento de dados pessoais, coletados no
território brasileiro, para fins econômicos?
SIM, com o objetivo de ofertar produtos e serviços.
NÃO, utiliza dados pessoais apenas para fins acadêmicos e/ou artísticos e/ou
jornalísticos.

- Se sua resposta foi NÃO, a empresa não está sujeita à LGPD (conforme critérios
do artigo 4º da lei)
- Se sua resposta foi SIM, prossiga:

1 - A empresa possui dados pessoais, de seus colaboradores e clientes, de forma

organizada?
SIM, sabemos o que são dados pessoais, e que há alguns deles sujeitos a
cuidados ainda mais específicos (como os sensíveis e os sobre crianças e
adolescentes).
NÃO, e não sabemos bem o que é considerado dado pessoal, e quais são suas
especificidades.

2 – A empresa sabe que, segundo a LGPD, há tratamentos de dados pessoais que

poderão ser considerados discriminatórios, ilegais e/ou abusivos?
SIM, e sabemos que podemos, por exemplo, tratar dados pessoais para definir o
perfil de consumo de uma pessoa, mas se ela autorizar isso. Se for sem
consentimento, só se for para algum fim legitimado por lei. Sabemos também que,
com a LGPD, o titular terá direito de pedir que revisemos decisões tomadas
unicamente com base em tratamento automatizado de dados pessoais que
afetem seus interesses, incluídas as decisões destinadas a definir seu perfil
pessoal, profissional, de consumo e de crédito ou os aspectos de sua
personalidade.
NÃO, não sabia que, dependendo do tratamento que a empresa fizer, de seu
objetivo e do consentimento ou não do titular, isso poderá ser considerado
irregular. Não sabia, por exemplo, que contratar ou desligar um profissional
baseando-se em dados sobre origem racial, religião, política, filiação sindical, vida
sexual, dado genético pode ser discriminação. Não sabia que será preciso pedir o
consentimento explícito para enviar, via e-mail, alguma promoção comercial a
meus clientes.

3 - Os tratamentos de dados feitos pela empresa estão devidamente justificados?

SIM, e tratamos dados com o consentimento do titular, ou para: cumprir uma
obrigação legal; realizar estudos via órgão de pesquisa; executar contratos;
defender um direito em processo; preservar a vida e a integridade física de uma
pessoa; tutelar procedimentos feitos por profissionais das áreas da saúde ou
sanitária; prevenir fraudes contra o titular; propiciar a proteção do crédito; para
atender um interesse legítimo da empresa, mas que não fere direitos
fundamentais do titular.
NÃO, há tratamentos que a empresa não sabe justificar, se levar em conta os
critérios acima.

4 - A empresa informa ao titular o que vai fazer, de fato, com os dados pessoais
coletados?
SIM, pois já solicitamos o consentimento do cidadão de forma explícita, e para
as finalidades específicas.
NÃO, pois só solicitamos o consentimento do cidadão de forma genérica, sem
detalhar as finalidades.

5 - Se o cidadão quisesse saber como seus dados pessoais são tratados, a

empresa já estaria preparada para atendê-lo?
SIM, já temos alguns procedimentos e/ou tecnologias, mas precisamos evoluir,
de acordo com a LGPD, para garantir aos cidadãos todos os seus direitos - de
acesso, retificação, oposição, extinção de dados.
NÃO, pois ainda temos pouco ou nenhum preparo e/ou ferramentas para lidar
com essas demandas.

6 - Os profissionais – sejam eles da empresa ou terceirizados, e trabalhando no

Brasil ou no exterior – responsáveis por tratar os dados pessoais estão
claramente identificados?
SIM, e há uma monitoração sobre as atividades de tratamento que esses
profissionais realizam em nome de minha empresa.
 NÃO, e também não há um controle sobre as atividades de tratamento que
esses profissionais realizam em nome de minha empresa.

7 - A empresa possui documentações e práticas relacionadas à gestão da

privacidade da informação?
SIM, mas precisamos atualizar as documentações e as práticas para adequá-las
à nova lei.
NÃO, até o momento esse assunto não era, na teoria e/ou na prática, uma
grande preocupação para nós.

8 – Caso transmita dados pessoais para outras empresas, de dentro ou de fora

do Brasil, faz isso apenas para a responsável por tratar os dados em seu nome?
SIM, a transmissão é feita apenas para esse operador responsável pelo
tratamento de dados em meu nome.
NÃO, transmito dados para outras empresas, inclusive dados sensíveis, pois
acredito que não tem problema fazer isso, já que é em prol de benefícios
econômicos.

9 – São realizados cursos e outras atividades, em matéria de proteção de

dados, para profissionais e empresas que trabalham com a sua empresa?
SIM, já realizamos ações de formação e/ou conscientização sobre o respeito à
privacidade dos usuários e estamos atentos à adaptação dessas ações à LGPD.
NÃO, ainda precisamos começar a capacitar e a orientar os profissionais e os
parceiros que lidam com informação das pessoas, na empresa.

10 - Há algum tipo de gestão para se prevenir ou minimizar falhas de segurança,

como o vazamento de dados?
SIM, já estamos atentos aos temas análise de riscos e gestão de incidentes, e
sabemos que a LGPD prevê que autoridade nacional e afetados pelos vazamentos,
por exemplo, sejam comunicados sobre o fato.
NÃO, ainda não paramos para saber qual é a importância desses assuntos e não
sabemos bem o que a LGPD prevê em relação a isso.
RESULTADO

- De 0-2 perguntas respondidas com SIM:

RISCO ELEVADÍSSIMO
Sua empresa apresenta uma conformidade bastante baixa em relação aos
requisitos da LGPD. Provavelmente repensar processos, cultura e tecnologias é
bem necessário.

- De 3-4 perguntas respondidas com SIM:

RISCO ELEVADO
Sua empresa apresenta uma conformidade baixa em relação aos requisitos da
LGPD. Provavelmente, uma vigorosa reforma é necessária.

- De 5 a 6 perguntas respondidas com SIM:

RISCO MÉDIO
Sua empresa apresenta uma conformidade razoável em relação aos requisitos da
LGPD. Mas, ainda assim, uma significativa reforma é necessária.

- De 7 a 8 perguntas respondidas com SIM:

RISCO BAIXO
Sua empresa apresenta uma conformidade alta em relação aos requisitos da
LGPD. Você está num bom ponto do caminho, mas fique atento, ainda há
diferentes ajustes a fazer!

- De 9 a 10 perguntas respondidas com SIM:

RISCO BAIXÍSSIMO
Sua empresa apresenta uma conformidade muito alta em relação aos requisitos
da LGPD. Você está adiantado no caminho, mas fique atento, ainda há o que
fazer!

O IMPACTO DA LGPD NOS NEGÓCIOS

 Um dos efeitos da nova lei é na competitividade das empresas. Para se manter
no mercado, será essencial seguir a legislação

A internet e a globalização transformaram o modo das pessoas lidarem com seus dados
particulares. Ao longo das décadas, as pessoas divulgaram esses dados mais e mais, e aí isso
virou um costume. Disponibilizaram em formulários na web, nas redes sociais, em compras on-
line, entre outros canais.

Bem, se a rotina social foi mudando, a econômica também, evidentemente. E as

empresas tiveram que aprender a manejar o volume de dados pessoais que
crescia velozmente. Aos poucos, operar isso virou, também, algo usual. Mas,
agora, qual é o desafio para quem é do setor privado?
Se antes houve um “boom” de disponibilização de dados, digamos que hoje
estamos numa fase de retração ou, no mínimo, de mais cuidado com esses dados
pessoais. As coisas se inverteram, e os indivíduos – também na figura de
consumidores e clientes - vêm pedindo por mais proteção de dados, inclusive no
Brasil. Por isso, foi sancionada a Lei Geral de Proteção de Dados Pessoais.
O caminho
Uma lei sólida, forte como a LGPD, além de ser uma trilha para que os brasileiros
sigam e tenham mais controle sobre o que é feito com seus dados pessoais,
significa construir um cenário de segurança jurídica, com padronização de normas
e procedimentos, para que o empresariado se beneficie com igualdade de
condições para competir. Afinal, em meio à economia digital e às novas
tecnologias, perpetuar desequilíbrios entre os níveis de proteção, nas diferentes
esferas (federal, estadual e municipal) e setores do mercado, só causaria mais
concorrência desleal e mais obstáculos ao desenvolvimento econômico do país.

Portanto, você, que é empreendedor individual, micro, pequeno ou grande

empresário, percebe que precisa se dedicar a entender a Lei Geral de Proteção de
Dados Pessoais? Afinal, ela gerará impactos nos negócios, na hora de tratar dados
de seus clientes e funcionários, no momento de fazer a portabilidade de dados, na
hora de cooperar internacionalmente, quando isso for exigido. Só estando ligado
na nova lei que seu empreendimento conseguirá manter a confiança dos
consumidores.

LGPD: alguns dos ramos mais impactados

Software e tecnologia - Direito e advocacia - Financeira e seguros - Comércio

digital - Pesquisa e perfilamento - Saúde privada e planos - Financeira e seguros
- Publicidade e marketing

COMO CUMPRIR A LGPD?

Mais que multas que afetem o caixa, não aplicar a nova lei pode abalar a
reputação diante dos clientes e a confiança em seus produtos e serviços

Confira os passos para ficar compatível com a Lei Geral de Proteção de Dados Pessoais (LGPD)
e, assim, não desrespeitar os direitos de seus funcionários e de seus clientes, que são os donos
dos dados pessoais utilizados por sua empresa:

Nomear os “técnicos” do time

A LGPD prevê os agentes de tratamento de dados pessoais: tem
o controlador, que é a quem compete as decisões relativas ao
tratamento; tem o operador, que é quem realiza o tratamento, em nome do
controlador. Há ainda o encarregado que, com autonomia e estabilidade, é o
responsável por atender as demandas dos titulares, interagir com a autoridade
nacional (ANPD) e orientar funcionários e contratados quanto às práticas de
proteção de dados pessoais – e ele poderá ou não ser exigido, a depender da
natureza ou porte da empresa e do volume de dados tratados por ela.

Gerir os dados e respeitar a privacidade

Identifique, entre as informações que gerencia, quais são dados pessoais
(cheque também se há aqueles que exigem um tratamento ainda mais
específico, como os sensíveis, e sobre crianças e adolescentes). Verifique os
meios em que se encontram (físico ou digital).

Atenção ao consentimento e à guarda de provas

O titular deve concordar, de forma explícita e inequívoca, que seus dados
sejam tratados. E o empresário deve fazer esse tratamento levando em
conta princípios da LGPD (finalidade, adequação, livre acesso, qualidade dos
dados, transparência, prevenção, não discriminação, responsabilização).

A exceção à regra diante de bases legais

O consentimento é a palavra-chave da LGPD. De modo geral, você não
poderá enviar ofertas se o consumidor não permitir isso explicitamente.
As exceções em que não é preciso o consentir é quando tratar dados for
indispensável em situações relacionadas: a uma obrigação legal; a políticas
públicas; a estudos via órgão de pesquisa; a um direito, em contrato ou processo;
à preservação da vida e da integridade física de uma pessoa; à tutela de
procedimentos feitos por profissionais das áreas da saúde ou sanitária; à
prevenção de fraudes contra o titular; à proteção do crédito; a interesses legítimos
da empresa, desde que esses interesses não firam direitos fundamentais do
titular.

Apoio da alta liderança e dos funcionários

A LGPD envolve mudanças profundas na forma de lidar com dados
pessoais e, para “pegar” na empresa, é preciso engajamento da diretoria
e dos colaboradores. Para isso, é importante que gestores de dados e corpo
funcional como um todo busquem conhecer boas práticas, participem de cursos
de formação, entre outras ações.

Menos “acaso” e mais prevenção para sua infraestrutura

Elabore e adotes normas de governança para tratamento de dados pessoais,
medidas preventivas de segurança. Replique boas práticas e certificações
aplicadas no mercado.

Errou? Assuma e corrija com rapidez

Construa planos de contingência para tratar incidentes de segurança e
trate os problemas com agilidade. Faça auditorias de tempos em
tempos.

Transparência e proatividade
Seja ágil no atendimento aos pedidos do titular dos dados, segundo os
critérios definidos pela LGPD e pela autoridade nacional. Se causou,
comprovadamente, algum dano patrimonial, moral, individual ou coletivo,
responda por eles. Tenha atenção, ainda, às questões sobre quando deve encerrar
um tratamento e informe sobre o término ao titular.

Extraterritorial
A LGPD se aplica a empresas que ou têm estabelecimento no Brasil, e/ou
oferecem produtos e serviços ao mercado brasileiro, e/ou coletam e
tratam dados de pessoas que estejam no país. Vale lembrar que não interessa: se
o titular dos dados é brasileiro ou não; qual o meio de operação de tratamento dos
dados (físico ou digital); qual o país sede da empresa; se os dados estão
hospedados em datacenters no país ou não. Vale reforçar que a LGPD permite a
transferência de dados além-fronteira, desde que seja: com o consentimento
específico do titular; a pedido do titular para que esse possa executar pré-contrato
ou contrato; para proteção da vida e da integridade física do titular ou de terceiro;
para ajudar na execução de política pública; para país ou organismo internacional
que projeta dados pessoais de forma compatível com o Brasil; para cooperar
juridicamente com órgãos públicos de inteligência, investigação, ou por conta de
compromisso assumido via acordo internacional; para cumprir obrigação legal;
com a autorização da ANPD; comprovado que o controlador segue a LGPD na
forma de normas globais, selos, certificados e códigos de conduta.
Não há saída. Ou melhor, a LGPD é a saída!
No cenário atual, em que as pessoas cada vez mais exigem saber o que é feito
com seus dados, e em que para competir de igual pra igual é preciso investir em
mudanças, sua empresa não pode “fazer de conta” que a Lei Geral de Proteção de
Dados Pessoais não existe. Prepare-se desde já para a lei que entra em vigor em
agosto de 2020. Evitar vazamentos de dados, multas, descontentamento de
clientes e se manter vivo no mercado depende de sua postura proativa!

GOVERNO

QUAL O PAPEL DO AGENTE PÚBLICO EM RELAÇÃO À LGPD?

Entidades públicas de todos os poderes e esferas devem se comprometer com a

Lei Geral de Proteção de Dados Pessoais

O Brasil tem dimensão continental. É um país onde “cabe” a cidade de

Altamira/PA, com seus cerca de 159 mil Km², “cabe” Santa Cruz de Minas/MG,
com seus poucos 3,5 mil km², e “cabe” mais 5.568 municípios e o Distrito Federal.
Isso significa muita riqueza e diversidade cultural, social, econômica, ambiental.
Significa, também, muitas diferenças, desafios. É aí que entram as novas
legislações, como a Lei Geral de Proteção de Dados Pessoais (LGPD), que busca
assegurar que um tema como este, de interesse público, seja tratado de forma
igualitária nas cidades do país, não importando seu tamanho e população, já que
em todas elas vivem pessoas que possuem os mesmos direitos e liberdades
fundamentais.

Por falar em interesse público, a razão de existir de qualquer órgão de governo é

servir, única e exclusivamente, a esse interesse. Quem trabalha em um ente
governamental tem, portanto, que se alinhar às novas regulamentações que são
criadas para atender às necessidades da sociedade. E se você está aqui, nesta
página web, é porque tem vontade de entender mais sobre isso, certo?

Preparar a casa
Não importa se é de uma área meio ou fim, se da esfera federal, estadual ou
municipal, se de uma capital ou do interior, se de uma pequena prefeitura ou de
um grande ministério: cada agente público é peça fundamental neste processo de
transformar o Brasil num país que zela pela proteção dos dados pessoais de seus
cidadãos. É peça essencial para que, no futuro – quiçá! - nosso país, que hoje
ainda ocupa um “cantinho acanhado” no que se refere à privacidade de dados
pessoais, se torne uma grande referência no tema, ocupando “o centro da sala” e
auxiliando, assim, o mundo a evoluir no que diz respeito a direitos fundamentais.

Claro, para um dia ser referência internacional, a médio e a longo prazo, primeiro é
preciso que cada instituição da administração pública brasileira “prepare a casa”,
tanto para quem nela mora como para quem a visita, digamos assim. Ou seja, a
aplicação da Lei Geral de Proteção de Dados Pessoais envolve tanto dados
corporativos, dos próprios empregados e demais contratados, como, é claro, do
público externo com o qual o órgão se relaciona. Vale reforçar que, com a nova lei
em vigor, em 2020, mais do que nunca os indivíduos poderão contactar a
administração pública para exercerem os direitos que são conferidos a eles pela
LGPD (direitos de acesso a dados, retificação e eliminação deles, entre outros).

Brasil avança em proteção de dados pessoais

Confira a linha do tempo da LGPD no país. Há sim conquistas a comemorar.
Porém, ainda há muitos desafios a resolver.
COMO SE ADEQUAR À LGPD?

Ao tratar os dados, cada órgão deve sempre considerar o interesse do cidadão e

as atribuições do serviço público

Prepare a casa para a LGPD, que entra em vigor em agosto de 2020. Confira as
recomendações abaixo e tenha em mente, sempre, que toda instituição
governamental deve, ao tratar dados pessoais, levar em conta o interesse do
cidadão e as atribuições legais do serviço público.

É preciso:

ANALISAR as bases jurídicas que devem ser consideradas para se tratar dados
pessoais
 IDENTIFICAR e ORGANIZAR os dados pessoais, com atenção àqueles que
exigem cuidados ainda mais específicos no tratamento (como os pessoais
sensíveis e os sobre crianças e adolescentes)

INFORMAR ao titular, antes de efetuar o tratamento, as finalidades da ação

(compatíveis com a função pública do órgão), os dados recolhidos, os
destinatários dos dados e os direitos dele em matéria de proteção de dados
DIVULGAR de forma clara e atualizada, em site ou outro veículo de fácil acesso,
as hipóteses em que, no exercício de suas competências, trata dados pessoais, e
a previsão legal, os procedimentos e as práticas utilizadas

ELABORAR medidas técnicas, normas e políticas que contemplem os requisitos

da Lei Geral de Proteção de Dados Pessoais para alcançar a conformidade e
poder demonstrar isso, caso seja pedido pelo cidadão e pela ANPD
IMPLANTAR um plano de formação e conscientização dos empregados,
terceirizados e demais colaboradores sobre a importância da privacidade de
dados pessoais
DESIGNAR um encarregado - caso seja necessário (padrões serão definidos
pela ANPD, segundo volume de dados tratados, porte da empresa) - que interagirá
com o público e com a ANPD

ADAPTAR e revisar procedimentos e formulários, habilitando meios digitais,

para atender ao cidadão, em demandas de solicitação e revogação do
consentimento e outras mais sobre como seus dados estão sendo tratados
RESPONDER às demandas do cidadão com agilidade. A confirmação de
existência ou o acesso a dados pessoais serão providenciados, mediante
requisição do titular: em formato simplificado, imediatamente; ou por declaração
clara e completa, fornecida no prazo de até 15 dias, e que indique origem dos
dados, critérios utilizados, finalidade do tratamento (observados os segredos
comercial e industrial). E, caso faça um determinado pedido e isso seja negado, o
cidadão tem direito de saber os motivos da rejeição e, ainda, de fazer uma
reclamação à ANPD e/ou uma ação judicial

SABER que o cidadão tem direito a se opor ao tratamento mesmo que este
tenha como fim o interesse público. Porém, neste caso, o titular deve apresentar à
instituição os motivos, e essa poderá continuar o tratamento dos dados e recusar,
assim, o pedido: se demonstrar razões legítimas e imperiosas que prevaleçam
sobre os interesses e os direitos do indivíduo; ou caso os dados sejam
necessários para declaração, exercício ou defesa de um direito num processo
judicial

NÃO ESQUECER que o cidadão titular dos dados também tem direitos, perante
um órgão público, regidos por outras legislações, em especial a Lei do Habeas
Data, a Lei Geral do Processo Administrativo, e a Lei de Acesso à Informação

EFETUAR análises de riscos e adotar medidas para fazer frente a falhas que
possam ferir os direitos e liberdades do cidadão

ESTABELECER protocolos para gerir e, se for o caso, notificar brechas de

segurança e vazamentos de dados. Dados pessoais vazados acidental ou
ilicitamente a destinatários não autorizados, ou que fiquem temporariamente
indisponíveis ou sejam alterados: qualquer violação deve ser notificada ao titular
dos dados e à ANPD, sem demora injustificada
NÃO TRANSFERIR a entidades privadas, sem consentimento do titular, dados
pessoais constantes de bases a que tenha acesso. Exceto: em casos de execução
descentralizada de atividade pública que exija a transferência, observado o
disposto na LAI; se for indicado um encarregado para o tratamento de dados
pessoais; com respaldo em contratos, convênios ou afins comunicados à ANPD;
quando for para prevenir fraudes e irregularidades; para resguardar a segurança e
a integridade do titular; quando houver outra previsão legal para tal; ou nos casos
em que os dados já forem acessíveis publicamente

LEMBRAR que o uso compartilhado de dados pessoais de pessoa jurídica de

direito público a pessoa jurídica de direito privado depende de consentimento do
titular, exceto nas hipóteses de dispensa de consentimento previstas na LGPD e
nos casos citados no item acima

PROVIDENCIAR os dados em formato interoperável para compartilhamento

com outros órgãos públicos, quando isso for necessário para políticas e serviços
públicos, descentralização da atividade pública, e para a disseminação e o acesso
das informações pela sociedade
 ATENTAR que a LGPD permite a transferência de dados além-fronteira, desde
que seja: com o consentimento específico do titular; a pedido do titular para que
esse possa executar pré-contrato ou contrato; para proteção da vida e da
integridade física do titular ou de terceiro; para ajudar na execução de política
pública; para país ou organismo internacional que projeta dados pessoais de
forma compatível com o Brasil; para cooperar juridicamente com órgãos públicos
de inteligência, investigação, ou por conta de compromisso assumido via acordo
internacional; para cumprir obrigação legal; com a autorização da ANPD;
comprovado que o controlador segue a LGPD na forma de normas globais, selos,
certificados e códigos de conduta

QUEM VAI REGULAR A LGPD?

 A Autoridade Nacional de Proteção de Dados. É claro que, antes de fiscalizar e
penalizar um ente, a ANPD orientará sobre como aplicar a lei

A fiscalização e a regulação da LGPD

ficarão a cargo da Autoridade Nacional de
Proteção de Dados Pessoais (ANPD).
Essas são tarefas essenciais para que a
autoridade nacional atue como um órgão
a serviço do cidadão. A autoridade será
ainda um elo entre sociedade e governo,
permitindo que as pessoas enviem
dúvidas, sugestões, denúncias ligadas à
LGPD para apuração.

Terá também um importante papel de

orientadora e de apoiadora dos órgãos de
governo e empresas em relação às situações em que elas podem ou não tratar
dados pessoais do cidadão. A proposta da ANDP é orientar, orientar e orientar,
preventivamente. Após isso, fiscalizar, advertir e, somente após tudo isso,
penalizar, se a LGPD continuar sendo descumprida.

Vale frisar que o “sucesso” da LGPD e da ANDP no país depende da adoção da lei
por cada órgão de governo, cada empresa. E, para diminuir disparidades, é
essencial que todos atuem juntos. Só assim para a lei “pegar” e atender, então, ao
clamor social por mais proteção aos dados pessoais.

Autonomia
A ANPD, que está em processo de formação, será vinculada à Presidência da
República, e com autonomia técnica garantida pela lei. A autoridade contará com
o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. O
colegiado será composto por 23 titulares, não remunerados, com mandato de dois
anos, e de diferentes setores: seis do Executivo Federal; um do Senado Federal;
um da Câmara dos Deputados; um do Conselho Nacional de Justiça; um do
Conselho Nacional do Ministério Público; um do Comitê Gestor da Internet no
Brasil; quatro da sociedade civil com atuação comprovada em proteção de dados
pessoais; quatro de instituição científica, tecnológica e de inovação; e quatro de
entidade do setor empresarial ligado à área de tratamento de dados pessoais.

Vale lembrar que a criação da autoridade nacional estava prevista na Lei Geral de
Proteção de Dados Pessoais, sancionada em agosto de 2018 pelo presidente
Michel Temer. No entanto, o dispositivo da lei que criava a ANPD foi vetado por
Temer que, posteriormente, em dezembro de 2018, recriou a autoridade, por meio
de uma medida provisória, aprovada em maio de 2019 pela Câmara e pelo Senado,
e sancionada em julho de 2019 pelo presidente da República.