Escolar Documentos
Profissional Documentos
Cultura Documentos
Material de Apoio
Material de Apoio
Ler o INFOGRAFICO.
Na aula de hoje vamos trabalhar a questão territorial, falar um pouco mais de conceitos,
princípios, bases legais e sanções da LGPD
O escopo territorial e aplicabilidade da Lei.
Primeiramente é imporante que se diga que é uma lei que se aplica a dados pessoais,
portanto, não são dados de pessoas jurídicas, portanto, somente de pessoa física identificada
ou identificável.
Sobre a aplicação da LGPD, primeiro, qualquer empresa que esteja estabelecida no BRASIL e
trate dado pessoal, independente de o titular do dado é um estrangeiro ou um brasileiro, essa
empresa por estar em território nacional tem que cumprir a LGPD.
Mas a lei não atinge somente as empresas que tratam dados aqui no brasil, ou que esteja
estabelecidas no brasil.
Ela tb atinge as empresas estrangeiras, ainda que sem filial no Brasil, se essa empresa tiver
como foco, de alguma forma, titulares de dados que estejam situados no território da UNIÃO,
não importando se são estrangeiros ou brasileiros.
Se a empresa tiver como foco o tratamento de dados de titulares que estejam no território da
UNIÃO, essa empresa deverá cumprir a LGPD.
Portanto, vamos supor que um site de comércio eletrônico de Portugal, que só aceita cartão
de crédito da União Europeia e só entrega dentro da União Europeia, não entrega no Brasil.
Obviamente esse site tem que cumprir o GDPR, por estar lá e por ter como pública alvo
titulares de dados que estão na U E . Vamos supor que alguns brasileiros acessam o site para
pesquisa, uma vez que não entregam produtos no Brasil, e esse site tem uma coleta
automatizada de Cookies, que são dados pessoais, a partir do momento que esse site, por mais
que não tem como alvo brasileiros ou pessoas no território brasileiro, se ele começa a
perceber que diversas pessoas no Brasil passam a utilizar esse site ele estará obrigado a
cumprir a LGPD. Ou indisponibilizar o acesso para não correr risco no Brasil.
Essa situação foi recorrente no GDPR, isso porque a regra de territorialidade é parecida. E
várias empresas do mundo que não tinham um mercado forte na U E, mas que permitiam o
acesso de cidadãos da U E cortaram o acesso dessas pessoas, para não ter que adequar ao
GDPR.
A empresa brasileira que está situada aqui, mesmo que o foco seja estrangeiros, ou armazenar
dados de estrangeiros, coletados fora do Brasil, e armazenados fora do Brasil, da mesma forma
terá que cumprir a legislação brasileira por estar constituída aqui no Brasil e por ter a
possibilidade desses dados serem tratados aqui no Brasil.
Uma das diferenças é que no GDPR, quando a empresa estrangeira vai ter que cumprir a GDpr
ela terá que constituir um encarregado dentro do território europeu. Na LGPD não precisa
nomear um encarregado estabelecido aqui no Brasil.
O que são dados pessoais, vamos retomar, para que fique bastante claro.
E é importante que fique claro porque a LGPD atinge todos setores da economia.
Dados pessoais são quaisquer dados que possam identificar diretamente uma pessoa, como
nome, rg, cpf, título de eleitor, ou qualquer dado seguindo conceito expansionista que possa
tornar identificável uma pessoa.
Esse tornar identificável uma pessoa que torna a lei muito abrangente.
Dados pessoais são desde cookies de internet; números de IP, Geolocalização, difícil é saber o
que não é dado pessoal efetivamente, porque qualquer dado que possa tornar identificável
uma pessoa já é dado pessoal.
Se a gente faz uma avaliação de quantos dados pessoais são coletados diariamente, como o
smartwatch?
Ele vai te indicar quantas horas de sono profundo nós tivemos, sono leve, que horas levantou,
o controle o peso, índice de massa magra, batimento cardíaco.
Você saí do WIFI e entre no 4G, o waze já mostra de acordo com o dia e horário se está indo
para academia, para a escola da filha, ou para o escritório.
São todos dados relevantes que bem utilizados podem até salvar uma vida. Antecipar uma
enfermidade.
São dados que demandam um tratamento mais rigoroso, porque o risco é maior que o
tratamento dos dados pessoais tradicionais.
Outras definições
LER O SLIDE
Se for anonimizado, não é dado pessoal, não precisa seguir os requisitos da lei LGPD, posto
que não é dado pessoal.
Todas essas questões devem ser pensadas por aquele que trata os dados, como custo e
tempo..
O Controlador que toma as decisões sobre tratamento de DADOS PESSOAIS, e a quem recai
mais responsabilidade.
Todos eles devem ser respondidos pelo controlador. Cabe a ele o controle da legalidade do
processamento dos dados.
Em algum ponto o controlador pode eleger um operador. É possível, para inclusive, trazer mais
segurança e um processamento mais eficaz e organizados.
Nesse caso o operador detém alguma autonomia para tomar decisões no foco de atender À
demanda do controlador.
No caso do operador extrapolar ao que foi combinado com o controlador, ele assume, em
relação a esses ilícitos o papel do controlador e como tal será responsabilizado.
EXEMPLO: Você precisa disparar um email marketing para seus clientes. E contrata uma outra
empresa especializada em marketing digital, para moldar o e-mail e disparo do e-mail.
Contrate uma empresa só para essas atividades. Você precisa passar dados pessoais para essa
empresa, como operadora, para fazer o disparo.
Se a empresa de mail marketing decide ficar com a base de dados e querer enriquecer sua
própria base de dados para outras filnalidades, afora ser um ilícito, ele passa a ser considerado
um controlador para aquele finalidade, porque ele passou a tomar decisões sobre dados
pessoais.
Cabe ao controlador analisar se o uso dos dados é por (enquadramento) obrigação legal,
legítimo interesse, consentimento, execução de políticas públicas. É o controlador que faz essa
avaliação.
FINALIDADE – DADOS SENSÍVEIS para que a aplicação devolva informações sobre a saúde;
Caso essa aplicação, que coleta um dado para finalidade lícita, com propósito legítimo, e obvio
que o batimento cardíaco é razoável para tanto. Se houver a comercialização desses dados
para seguro de saúde e seguro de vida, é um desvio de finalidade, e, portanto, um ilícito.
NECESSIDADE – É um estudo que precisa ser feito de qual a quantidade mínima de dado e qual
o critério mínimo para utilizar para atingir aquela finalidade.
Exemplo: certificação para entrar em um condomínio por biometria digital. Isso facilita a
segurança, autenticação de quem pode, ou não entrar no ambiente. Ajuda no fluxo das
pessoas. Contudo, é um dado sensível. A lei autoriza a fazer essa coleta. O que o executivo
precisa analisar. Imagina se esses dados vazarem, ou se alguém tiver acesso a eles. O executivo
precisa analisar se existe outro meio de tratar um dado menos crítico possível, para atingir a
mesma finalidade? Se for optar por uma questão de biometria, é preciso atentar para uma
série de requisitos de segurança da informação para ser respeitado.
A necessidade deve andar ao lado da proporcionalidade. Para assim atingir uma finalidade.
LIVRE ACESSO – Exteriorização da Auto determinação informativa, para permitir o acesso aos
dados tratados pela empresa.
Esses princípios caminham em consonância com as bases legais para o tratamento dos dados.
Antes, o Tratamento de dados era muito baseado no CONSENTIMENTO. Agora a LGPD traz 10
opções de tratamento.
O controlador precisa no mínimo encontrar um base legal para tratamento de dados pessoais.
PROTEÇAÕ AO CRÉDITO – Recente atualização da lei do cadastro positivo, agora, os dados dos
titulares vão direto para o cadastro positivo, gerando mais benefício e girar a economia. A lei
exige que os titulares sejam informados, mas independe do consentimento.
QUESTÕES CONTRATUAIS – ou se fornece o dado cadastral para abrir uma conta para comprar
no e-comerce, precisa do nome, CPF e número do cartão do crédito, data de validade e código
de segurança, regras previstas no contrato de adesão. Ou fornece ou não contrata.
O STJ já decidiu com base no CC e no CDC, em um contrato de adesão para abertura de cartão
de crédito em uma instituição financeira. Esse contrato tinha uma cláusula única com a
seguinte previsão:
O que o STJ decidiu que dados cadastrais essenciais à empresa pode exigir em contrato de
adesão, mas aqueles outros dados que não são essenciais, a empresa deveria dar uma opção à
parte, um consentimento a parte, para que a pessoa lesse aquilo e verifica-se se ela queria que
seus dados fossem compartilhados e que não fazem a finalidade do contrato.
Enfim, a empresa pode exigir dados para a prestação do serviço, desde que essenciais para o
serviço.
Ex: WAZE precisa da geolocalização. Sem ela não tem como usar.
Agora se quiser usar esses dados para outros serviços, precisa de consentimento.
Exemplo – Metrô – dentro do contrato de concessão, vc pode não só tratar dado pessoal para
execução de políticas públicas, mas também dados pessoais variados.
O metro pode querer saber a quantidade de mulheres que acessam o metro, e assim aumentar
o número de vagões exclusivos.
Exemplo – pesquisa de dados anonimizados de pessoas que passam em frente as propagandas
veicular ao metro. E assim atingir melhor seu público alvo.
Consentimento deve ser livre (sem vícios), informado (transparência), e inequívoco (inferido).
Assim, só vai mandar o e-mail, que é um dado pessoal, quem estiver interessado. Então o
consentimento é livre, informado e inequívoco.
O momento do consentimento não pode ser burocrático, tem que transparente e objetivo.
LER O SLIDE
O consentimento pode ser por escrito, ou por qualquer meio que demonstre a manifestação
do titular. Se for por escrito a clausula deve ficar destcada dos demais.
Se mudar a finalidade do tratamento dos dados o controlador deve cientificar o titular sobre
essa mudança e pedir um novo consentimento.
LEGÍTIMO INTERESSE É DO CONTROLADOR OU DE TERCEIRO
O CONTROLADOR, deve se ater a questão da transparência, quando for tratar por legítimo
interesse.
Somente os dados estritamente necessários precisam ser coletados para o tratamento pelo
legítimo interesse.
As sanções podem ser pecuniárias, multa de até 2% do faturamento do grupo econômico, teto
de até 50 milhões por infração.
Imagina o empresário que estruturou um negócio para tratamento de dados e ao final ele não
tem base legal, e é impedido de tratar dados pessoais.
Advertência
Para evitar as sanções deve atender ao máximo o nível de conformidade com o LGPD
Governança corporativa
Segurança de dados
Nomeação de Encarregado
Avaliação de bases legais
Guarda de inventário de dados
ETC...
DANO À REPUTAÇAO, SEJA EM CASO DE VAZAMENTO OU DE CONDUTA ANTI-ÉTICA
RESPONSABILIDADE
LER O SLIDE
FASE 1 – DIAGNÓSTICO
Faz toda a análise dos dados tratados. Com um relatório final de tratamento
Vai nomear o DPO – relatórios de impactos – fluxo de conscientização – código de ética sobre
proteção de dados – vai posicionar a empresa na realidade da LGPD.
FASE 3 –
FASE 4 –
Direitos dos titulares – SAQ de proteção de dados – canal direto com o titular
FASE 5 –