Nesta aula nós vamos verificar dentro dos requisitos da LGPD como buscar um tratamento

lícito dos dados pessoais.

A LGPD tem 12 principais pontos, e nossa pretensão é trabalhar todos eles.

Ler o INFOGRAFICO.

Na aula de hoje vamos trabalhar a questão territorial, falar um pouco mais de conceitos,
princípios, bases legais e sanções da LGPD
O escopo territorial e aplicabilidade da Lei.

Primeiramente é imporante que se diga que é uma lei que se aplica a dados pessoais,
portanto, não são dados de pessoas jurídicas, portanto, somente de pessoa física identificada
ou identificável.

Sobre a aplicação da LGPD, primeiro, qualquer empresa que esteja estabelecida no BRASIL e
trate dado pessoal, independente de o titular do dado é um estrangeiro ou um brasileiro, essa
empresa por estar em território nacional tem que cumprir a LGPD.

Mas a lei não atinge somente as empresas que tratam dados aqui no brasil, ou que esteja
estabelecidas no brasil.

Ela tb atinge as empresas estrangeiras, ainda que sem filial no Brasil, se essa empresa tiver
como foco, de alguma forma, titulares de dados que estejam situados no território da UNIÃO,
não importando se são estrangeiros ou brasileiros.

Se a empresa tiver como foco o tratamento de dados de titulares que estejam no território da
UNIÃO, essa empresa deverá cumprir a LGPD.

Portanto, vamos supor que um site de comércio eletrônico de Portugal, que só aceita cartão
de crédito da União Europeia e só entrega dentro da União Europeia, não entrega no Brasil.
Obviamente esse site tem que cumprir o GDPR, por estar lá e por ter como pública alvo
titulares de dados que estão na U E . Vamos supor que alguns brasileiros acessam o site para
pesquisa, uma vez que não entregam produtos no Brasil, e esse site tem uma coleta
automatizada de Cookies, que são dados pessoais, a partir do momento que esse site, por mais
que não tem como alvo brasileiros ou pessoas no território brasileiro, se ele começa a
perceber que diversas pessoas no Brasil passam a utilizar esse site ele estará obrigado a
cumprir a LGPD. Ou indisponibilizar o acesso para não correr risco no Brasil.

Essa situação foi recorrente no GDPR, isso porque a regra de territorialidade é parecida. E
várias empresas do mundo que não tinham um mercado forte na U E, mas que permitiam o
acesso de cidadãos da U E cortaram o acesso dessas pessoas, para não ter que adequar ao
GDPR.
A empresa brasileira que está situada aqui, mesmo que o foco seja estrangeiros, ou armazenar
dados de estrangeiros, coletados fora do Brasil, e armazenados fora do Brasil, da mesma forma
terá que cumprir a legislação brasileira por estar constituída aqui no Brasil e por ter a
possibilidade desses dados serem tratados aqui no Brasil.

No GDPR é muito parecido com a LGPD, art. 3º.

Uma das diferenças é que no GDPR, quando a empresa estrangeira vai ter que cumprir a GDpr
ela terá que constituir um encarregado dentro do território europeu. Na LGPD não precisa
nomear um encarregado estabelecido aqui no Brasil.
O que são dados pessoais, vamos retomar, para que fique bastante claro.

E é importante que fique claro porque a LGPD atinge todos setores da economia.

Dados pessoais são quaisquer dados que possam identificar diretamente uma pessoa, como
nome, rg, cpf, título de eleitor, ou qualquer dado seguindo conceito expansionista que possa
tornar identificável uma pessoa.
Esse tornar identificável uma pessoa que torna a lei muito abrangente.

REVER O EXEMPLO DA AULA PASSADA – PROFESSOR DA FIG

Dados pessoais são desde cookies de internet; números de IP, Geolocalização, difícil é saber o
que não é dado pessoal efetivamente, porque qualquer dado que possa tornar identificável
uma pessoa já é dado pessoal.

Se a gente faz uma avaliação de quantos dados pessoais são coletados diariamente, como o
smartwatch?

Ele vai te indicar quantas horas de sono profundo nós tivemos, sono leve, que horas levantou,
o controle o peso, índice de massa magra, batimento cardíaco.

Você saí do WIFI e entre no 4G, o waze já mostra de acordo com o dia e horário se está indo
para academia, para a escola da filha, ou para o escritório.

Todos são dados pessoais.

E são muito utéis.

A LGPD não quer impedir a utilização dos dados.

São todos dados relevantes que bem utilizados podem até salvar uma vida. Antecipar uma
enfermidade.

Mas precisam ser tratados da forma adequada.

O QUE NÃO É DADO PESSOAL

 Dado de pessoa jurídica

 Dado anonimizado – aquele em que por mais que o controlador dos dados tente
identificar ou tornar identificável a através de esforços razoáveis determinada pessoa,
ele pode até tentar, mas não vai conseguir.
O dado pessoal sensível é tido por especial. Carregam forte conteúdo discriminatório se mal
utilizado.

São dados que demandam um tratamento mais rigoroso, porque o risco é maior que o
tratamento dos dados pessoais tradicionais.

Outras definições

LER O SLIDE

Se for anonimizado, não é dado pessoal, não precisa seguir os requisitos da lei LGPD, posto
que não é dado pessoal.

Todas essas questões devem ser pensadas por aquele que trata os dados, como custo e
tempo..

Os dados pseudonimizados, continuam sendo dados pessoais, mas é uma característica de

segurança fazer a pseudominização, uma garantia do controlador dos dados. O controlador
ainda consegue identificar a pessoa, pelo sistema reverso.

Exemplo: um aplicativo para treinamento de corridas de bicicleta, que dá a geolocalização e

traça o percurso. Se esse aplicativo faz um mapa de calor para mostrar os percusros utilizados
por todos os seus usurários e disponibiliza isso na internet, as pessoas que veem a rota traçada
não identifica o titular do dado, mas somente a rota.

Quem pode identificar e cruzar a informação? O controlador.

Trata-se de um dado pseudominizado.

É um requisito de segurança da informação para várias práticas do mercado.

Importante falar um pouco mais do Controlador.

O Controlador que toma as decisões sobre tratamento de DADOS PESSOAIS, e a quem recai
mais responsabilidade.

As perguntas do SLIDE são todas de responsabilidade do CONTROLADOR – LER O SLIDE

Todos eles devem ser respondidos pelo controlador. Cabe a ele o controle da legalidade do
processamento dos dados.
Em algum ponto o controlador pode eleger um operador. É possível, para inclusive, trazer mais
segurança e um processamento mais eficaz e organizados.

Nesse caso o operador detém alguma autonomia para tomar decisões no foco de atender À
demanda do controlador.

No caso do operador extrapolar ao que foi combinado com o controlador, ele assume, em
relação a esses ilícitos o papel do controlador e como tal será responsabilizado.

EXEMPLO: Você precisa disparar um email marketing para seus clientes. E contrata uma outra
empresa especializada em marketing digital, para moldar o e-mail e disparo do e-mail.
Contrate uma empresa só para essas atividades. Você precisa passar dados pessoais para essa
empresa, como operadora, para fazer o disparo.

Se a empresa de mail marketing decide ficar com a base de dados e querer enriquecer sua
própria base de dados para outras filnalidades, afora ser um ilícito, ele passa a ser considerado
um controlador para aquele finalidade, porque ele passou a tomar decisões sobre dados
pessoais.

Responsabilidades do controlador: LER SLIDE

Cabe ao controlador analisar se o uso dos dados é por (enquadramento) obrigação legal,
legítimo interesse, consentimento, execução de políticas públicas. É o controlador que faz essa
avaliação.

Cabe ao controlador acompanhar o descarte dos dados, no exemplo anterior, caberia ao

controlador fazê-lo.

No caso do incidente é o controlador que deve identificar, avaliar e comunicar a Autoridade.

10 Princípios de Tratamento de Dados Pessoais.

Os 3 primeiros formam um conjunto único que seriam o coração do tratamento.

FINALIDADE – É preciso ter uma finalidade para tratamento de dados.

ADEQUAÇÃO – O que se busca precisa ser adequado à finalidade

NECESSIDADE – Somente é autorizado a utilizar os dados necessários para a finalidade.

Exemplo: Smartwatch – Dados sensíveis – batimento cardíaco – esclarecimento pontual sobre

a saúde do titular do dado

FINALIDADE – DADOS SENSÍVEIS para que a aplicação devolva informações sobre a saúde;

Caso essa aplicação, que coleta um dado para finalidade lícita, com propósito legítimo, e obvio
que o batimento cardíaco é razoável para tanto. Se houver a comercialização desses dados
para seguro de saúde e seguro de vida, é um desvio de finalidade, e, portanto, um ilícito.

NECESSIDADE – É um estudo que precisa ser feito de qual a quantidade mínima de dado e qual
o critério mínimo para utilizar para atingir aquela finalidade.

Exemplo: certificação para entrar em um condomínio por biometria digital. Isso facilita a
segurança, autenticação de quem pode, ou não entrar no ambiente. Ajuda no fluxo das
pessoas. Contudo, é um dado sensível. A lei autoriza a fazer essa coleta. O que o executivo
precisa analisar. Imagina se esses dados vazarem, ou se alguém tiver acesso a eles. O executivo
precisa analisar se existe outro meio de tratar um dado menos crítico possível, para atingir a
mesma finalidade? Se for optar por uma questão de biometria, é preciso atentar para uma
série de requisitos de segurança da informação para ser respeitado.

Então, é preciso saber se a coleta do dado é mesmo necessária?

A necessidade deve andar ao lado da proporcionalidade. Para assim atingir uma finalidade.
LIVRE ACESSO – Exteriorização da Auto determinação informativa, para permitir o acesso aos
dados tratados pela empresa.

QUALIDADE DOS DADOS – relacionado ao fundamento da LGPD de direito da personalidade. O

dados inexato, desatualizado traz um risco à formação da personalidade da pessoa.

EXEMPLO – Creditscore, cadastro positivo

NÃO DISCRIMINAÇÃO – Vedada a utilização para fins discriminatórios.

TRANSPARÊNCIA – Maior dificuldade atual, dar transparência ao tratamento de dados

pessoais.

OUTROS 3 PRINCÍPIOS QUE SÃO MUITO RELEVANTES

A LGPD já traz a segurança como princípio.

SEGURANÇA – PREVENÇÃO – RESPONSABILIZAÇÃO E PRESTAÇAÕ DE CONTAS

Esses princípios caminham em consonância com as bases legais para o tratamento dos dados.

Antes, o Tratamento de dados era muito baseado no CONSENTIMENTO. Agora a LGPD traz 10
opções de tratamento.

Não existe hierarquia em relação as bases legais de tratamento.

O controlador precisa no mínimo encontrar um base legal para tratamento de dados pessoais.

É preciso de apenas uma base, podendo cumular mais de uma.

CUMPRIMENTO DE OBRIGAÇAÕ LEGAL – Pesquisa pre´via em relação ao seu negócio e tem

uma politica em que as leis obrigam a armazenar dados pessoais, não precisa de
consentimento.
EXERCÍCIO REGULAR DE DIREITO – processos administrativos, judiciais, ou arbitragem. Precisa
guardar o ponto eletrônico dos funcionários, feito inclusive com biometria, porque se for
processado, precisa comprovar que não tinha hora extra. O dado pessoal é guardado para
exercer regular de um direito.

A lei autoriza a INVERSÃO DO ÔNUS DA PROVA, existe um dever do controlador de armazenar

a comprovação do consentimento, mesmo que a pessoa peça a revogação do consentimento,
é preciso armazenar que a pessoa deu o consentimento para o exercício regular de um direito.

PROTAÇAÕ à VIDA – Brumadinho, quando liberaram as antenas para identificar a

geolocalização de vidas. Para aquele caso, o tratamento do dado pessoal visava proteção à
vida.

PROTEÇAÕ AO CRÉDITO – Recente atualização da lei do cadastro positivo, agora, os dados dos
titulares vão direto para o cadastro positivo, gerando mais benefício e girar a economia. A lei
exige que os titulares sejam informados, mas independe do consentimento.

QUESTÕES CONTRATUAIS – ou se fornece o dado cadastral para abrir uma conta para comprar
no e-comerce, precisa do nome, CPF e número do cartão do crédito, data de validade e código
de segurança, regras previstas no contrato de adesão. Ou fornece ou não contrata.

Para executação de contrato existe essa previsão da LGPD.

O STJ recentemente decidiu a respeito do tema.

O STJ já decidiu com base no CC e no CDC, em um contrato de adesão para abertura de cartão
de crédito em uma instituição financeira. Esse contrato tinha uma cláusula única com a
seguinte previsão:

“Dados cadastrais necessários a abertura de cartão de crédito”

Na mesma clausula o BANCO também coletaria dados relacionados ao perfil comportamental

de compras para compartilhar esses dados para fornecer produtos e serviços com outras
empresas do grupo econômico.

O que o STJ decidiu que dados cadastrais essenciais à empresa pode exigir em contrato de
adesão, mas aqueles outros dados que não são essenciais, a empresa deveria dar uma opção à
parte, um consentimento a parte, para que a pessoa lesse aquilo e verifica-se se ela queria que
seus dados fossem compartilhados e que não fazem a finalidade do contrato.

Enfim, a empresa pode exigir dados para a prestação do serviço, desde que essenciais para o
serviço.

Ex: WAZE precisa da geolocalização. Sem ela não tem como usar.

Agora se quiser usar esses dados para outros serviços, precisa de consentimento.

EXECUÇÃO DE POLÍTICAS PUBLICAS - Concessão pública. Para tratamento de dados pessoais.E

Exemplo – Metrô – dentro do contrato de concessão, vc pode não só tratar dado pessoal para
execução de políticas públicas, mas também dados pessoais variados.

O metro pode querer saber a quantidade de mulheres que acessam o metro, e assim aumentar
o número de vagões exclusivos.
Exemplo – pesquisa de dados anonimizados de pessoas que passam em frente as propagandas
veicular ao metro. E assim atingir melhor seu público alvo.

INTERESSE LEGITIMO DO CONTROLADOR OU DE TERCEIRO QUE SERÁ COMENTADO EM

SEGUIDA.

TRATAMENTO DE DADOS PESSOAIS SENSIVEIS.

O Consentimento específico e destacado.

Previsão de tratamento de dados sem consentimento para cumprir obrigação legal, execução
de políticas públicas estudos por órgão de pesquisa, exercício regular de direito, proteção da
vida, tutela da saúde e prevenção à fraude ou segurança do titular.

São as únicas possibilidades para tratamento de dados sensíveis.

Consentimento deve ser livre (sem vícios), informado (transparência), e inequívoco (inferido).

O momento do consentimento deve ser bastante simples.

Exemplo: se quiser mandar uma newsletter para interessados em proteção de dados. O

primeiro ponto é informar o e-mail para recebimento.

Assim, só vai mandar o e-mail, que é um dado pessoal, quem estiver interessado. Então o
consentimento é livre, informado e inequívoco.

O momento do consentimento não pode ser burocrático, tem que transparente e objetivo.

LER O SLIDE

O consentimento pode ser por escrito, ou por qualquer meio que demonstre a manifestação
do titular. Se for por escrito a clausula deve ficar destcada dos demais.

E a finalidade deve estar presente.

O consentimento genérico é NULO.

O ônus da prova do consentimento é do Controlador.

O consentimento pode ser revogado a qualquer instante mediante manifestação expressa do

titular.
Também será nulo o consentimento enganoso ou abusivo.

Se mudar a finalidade do tratamento dos dados o controlador deve cientificar o titular sobre
essa mudança e pedir um novo consentimento.
LEGÍTIMO INTERESSE É DO CONTROLADOR OU DE TERCEIRO

É importante destacar se prevalece o legítimo interesse ou os direitos fundamentais do titular.

O legítimo interesse só pode ser pautado em situações concretas

Exemplos: apoio e promoção de atividades do controlador, ou para proteção do exercício

regular do direito ou serviços que beneficiem o próprio titular dos dados.

O CONTROLADOR, deve se ater a questão da transparência, quando for tratar por legítimo
interesse.

Deve ser feito um relatório de prinvacidade.

Somente os dados estritamente necessários precisam ser coletados para o tratamento pelo
legítimo interesse.

A análise do legítimo interesse, depende da análise do propósito, e um teste da necessidade,

(existe outra possibilidade que naõ o legítimo interesse) e de equilíbrio. Para ver a
proporcionalidade do uso dos dados.
Para o tratamento é imprescindível haver ao menos uma base legal.

Contudo, é possível localizar uma base legal com segurança jurídica.

Se houver a finalidade alcançada no tratamento, se os dados deixarem de serem necessários

ou pertinentes, o fim do período de tratamento, ou a comunicação do titular em relação à
revogação do consentimento se dará o termino do tratamento, consequentemente os dados
devem ser descartados.
SANÇÕES

As sanções podem ser pecuniárias, multa de até 2% do faturamento do grupo econômico, teto
de até 50 milhões por infração.

Sanção de eliminação dos dados pessoais ou de banco de dados.

Imagina o empresário que estruturou um negócio para tratamento de dados e ao final ele não
tem base legal, e é impedido de tratar dados pessoais.

Advertência

Para evitar as sanções deve atender ao máximo o nível de conformidade com o LGPD

 Governança corporativa
 Segurança de dados
 Nomeação de Encarregado
 Avaliação de bases legais
 Guarda de inventário de dados

ETC...
DANO À REPUTAÇAO, SEJA EM CASO DE VAZAMENTO OU DE CONDUTA ANTI-ÉTICA

RESPONSABILIDADE

Tanto o controlador quanto o operador, em violação ao LGPD são obrigados a repará-lo.

O operador responde solidariamente, quando descumprir as obrigações da LGPD ou não tiver

seguida as instruções lícitas do controlador.

É uma responsabilidade solidária entre o CONTROLADOR E O OPERADOR.

Se o controlador responder por uma conduta do operador, terá direito de regresso.

Todos os operadores envolvidos podem ser solidariamente responsabilizados.

INVERSÃO DO ÔNUS DA PROVA

TRATAMENTO IRREGULAR QUANDO DEIXAR DE ATENTAR À INFORMAÇAÕ OU NÃO FORNECER

A segurança

SOMENTE NÃO SERÃO RESOPNSABILIZADOS QUANDO COMPROVAR QUE NÃO

LER O SLIDE
FASE 1 – DIAGNÓSTICO

Faz toda a análise dos dados tratados. Com um relatório final de tratamento

FASE 2 – GOVERNANÇA CORPORATIVA

Ocasião em que se ajusta o futuro de adequação da empresa.

Vai nomear o DPO – relatórios de impactos – fluxo de conscientização – código de ética sobre
proteção de dados – vai posicionar a empresa na realidade da LGPD.

FASE 3 –

Construir modelos de cláusulas contratuais – desde contrato de trabalho, para expor ao

contratado o nível de utilização de dados pessoais, atualização de políticas de privacidade.

FASE 4 –
Direitos dos titulares – SAQ de proteção de dados – canal direto com o titular

FASE 5 –

Treinamento interno – governança corporativa – canal de denuncia interna para tratamento

inadequado de dados pessoais.

FASE 6 – REVISÃO FINAL