Escolar Documentos
Profissional Documentos
Cultura Documentos
Proteção de Dados - Material de Apoio
Proteção de Dados - Material de Apoio
Iremos ingressar no estudo vários aspectos importantes desses conceitos. Importante estar
com a Lei por perto, para poder fazer a leitura dos conceitos com a Lei.
Importante definir o que é dado pessoal. O que é dado pessoal de acordo com a LGPD?
Aqui se confunde muito o dado pessoal é tudo aquilo que identifica uma pessoa natural,
contudo, esse conceito não é completo, é tudo que identifica ou torna identificável uma
pessoa natural.
O conceito é bem amplo. Não apenas o que identifica (Nome, CPF, RG, data de nascimento),
mas não é só isso. O conceito da Lei é expansionista, porque basicamente tudo que fizer
referência a uma pessoa natural vai ser considerado como dado pessoal.
Se dizer que essa pessoa é brasileira e advogado. Quantos advogados têm no Brasil? Em
grandes números, temos 1 milhão de advogados no Brasil.
Dessas pessoas, por exemplo, quantas advogam no Estado de São Paulo, 400 mil.
Tudo aproximado.
Em diante, quantas pessoas que atuam no meu escritório preenchem esses requisitos?
Brasileiro, advogado, do estado de São Paulo, gênero masculino, trabalha do escritório X e que
torce para o time X. Vamos supor que a pessoa torce para o time da Portuguesa.
Dependendo do contexto, o time que a pessoa torce, é um dado pessoal que pode até mesmo
identificá-lo.
Por isso que o conceito é expansionista, porque um dado, de inicio irrelevante, pode tornar a
pessoa natural identificável
Explicando, a nacionalidade é dado pessoal. A sua profissão é dado pessoal. O gênero é dado
pessoal. O Estado que atua é dado pessoal. O escritório que trabalha é dado pessoal. O time de
coração é dado pessoal. Por que todos podem tornar aquela identificável.
A consideranda 27 da GDPR,
A GDPR tem antes dos 99 artigos da lei, tem 173 considerandas. São explanações gerais
introdutórias.
Na 27, consta que a regulamentação, GDPR, não se aplica ao tratamento de dados de pessoas
falecidas. Isso trouxe alguma dúvida no seguinte sentido, como a Lei foi inspirada no GDPR,
será que ele não se aplicar ao tratamento de dados de pessoas falecidas?
Não se tem certeza, porque ainda não se sabe como será essa situação. Com certeza em algum
tempo a Autoridade irá analisar essa questão.
Outro ponto, são os direitos do nascituro. Quando a criança tem dados pessoais coletados
(tamanho, peso, doenças). Esses dados pessoais da criança serão protegidos de que forma?
A LGPD não abordou o tema. Deve-se remeter ao CC em proteção ao menor que nascendo
com vida estará protegido integralmente.
É um dado pessoal, com uma característica particular que é um dado pessoal sensível.
É mais objetivo, estritamente detalhado na LGPD. O conceito está no artigo 5, inciso II da LEI.
Em linhas gerais, origem racial e étnica, preferencia politica religiosa e filosófica, orientação
sexual, filiação a sindicato, dados de saúde, genéticos e biométricos.
Vejam que a Lei não me proíbe de tratar os dados sensíveis. Mas sim deve haver uma cautela,
uma atenção muito maior para tratar esses dados pessoais sensíveis. Uma vez que o incidente
de segurança com esses dados pode mais danoso que os demais dados protegidos pela LGPD.
É natural que o vazamento de dados do NOME, CPF acarreta um risco, sendo que um
vazamento com o NOME, CPF E UMA DOENÇA GRAVE, o risco é muito maior.
Exemplo: Você vai pegar um UBER do seu trabalho para casa. O trajeto é integralmente
monitorado, desde caminho a horário.
Se o UBER colocar inteligência sobre os dados pessoais, ele vai monitorar o dia a dia de todos
os usuários.
Com isso ele pode indicar quem frequenta um Sinagoga, ou uma igreja, ou um partido político.
São dados pessoais, que podem expor e revelar dados sensíveis.
Exemplo: Um empregado preenche uma ficha de admissão. Qual o nome do seu companheiro,
companheira, marido, esposa. Na resposta é indicada uma pessoa do mesmo sexo. Assim um
dado pessoal comum, nome da companheira, pode revelar um dado sensível, qual seja, a
orientação sexual.
Com a revelação do dados sensível, o tratamento do dado pessoal deve ser feito com se
sensível fosse.
A LGPD também traz o conceito de dados anonimizado.
A partir apenas daquela manchete daquele jornal não se identifica uma pessoa contida
naquele conceito, ou contexto estatístico. Assim, esse conceito estatístico é um dado
anonimizado.
Quanto menor seu espaço amostral, maior a chance de um dado identificar ou ser identificável
de uma pessoa por amostragem.
Para tratar um dado anonimizado é importante ter CERTEZA de que não se poderá identificar
uma pessoa sobre ele.
O artigo 12 da LGPD estipula que o conceito de dados aninimizados deve ser renovada a cada
dia.
Isso porque a inteligência artificial permite uma identificação de pessoas por dados
anonimizados, e a tendência é que a tecnologia avança e assim permite a identificação das
pessoas.
Assim, os meios técnicos razoáveis não podem reverter o tratamento do dado anonimizado.
Os dados Pseudononimizados.
Vêm de pseudônimos.
Não é um conceito amplo, mas naqueles casos do §4º é cabível a identificação do dado
pseudonimizados.
Ele se aplica para órgãos de pesquisa no tratamento de dados para pesquisa pública. Por
órgãos de pesquisa em Saúde Pública.
A técnica de pseudominização pode ser usada como técnica de segurança da informação.
Resumindo, é pegar um código e aplicar em cima da base de dados, e assim, ninguém poderá
identificar de quem se tratam aqueles dados.
Somente a pessoa que criou o código pode fazer o caminho inverso e divulgar os dados.
LER O SLIDE.
O controlador pode ser pessoa física ou jurídica. E ele pode ser de direito público ou privado.
Exemplo: vai ser atendido por um médico ou médica, ortopedista. Aquele médico vai coletar
diversos dados pessoais, e é uma pessoa física. E o médico terá acesso, inclusive a dados
sensíveis. Assim, uma pessoa física pode ser controladora de dados pessoais.
OPERADOR tb uma pessoa natural ou jurídica de dir. público ou privado, que REALIZA O
TRATAMENTO EM NOME DO CONTROLADOR.
Exemplo: Banco. O banco, via de regra, vai ser o controlador dos dados pessoais dos seus
clientes. Se o Banco entrega esse conjunto de dados pessoais para um terceiro, empresa de
marketing, ou telemarketing. Essa empresa vai ser a OPERADORA e o Banco vai ser o
CONTROLADOR.
Ele é uma pessoa física ou jurídica, atualizado pela MP que autorizou ser pessoa jurídica, que
vai responsável por entender dentro da companhia, ou pessoa física que controle de dados
pessoais, como são seus processo de tratamento de dados, e vai ser a ponte de contato entre
eles e a Autoridade, especialmente de houver incidente de segurança da informação. O
Encarregado vai ser acionado para atuar e fazer a operação de controle dos dados.
5 pontos importantes
Coleta
Uso
Armazenamento
Compartilhamento
Exclusão
Excluir dado é tratar dado pessoal e deve ser feito de forma responsável e deve acontecer de
uma forma específica.
Um dos direitos dos titulares de dados pessoais é o de ver seus dados excluídos da base de
forma adequada.
Vamos falar dos direitos dos titulares de dados. Esses direitos estão espalhados pelo LGPD. São
6 artigos sobre o tema. Do art. 17 ao 22. O artigo 18 tem vários incisos sobre o tema. Mas ele
não concentra todos os direitos dos titulares que se encontram espalhados do 17 ao 22.
Uma farmácia tem diversos dados pessoas do titular, mas quem é o dono dos dados? É você.
Cada pessoa física que tem seus dados pessoais tratados.
Exemplo: Imagina que vc está entrando em uma farmácia. E o atendente te pergunta alguns
dados pessoais. Nome, CPF, plano de saúde, data de nascimento, etc... Esses dados pessoais
sem mantém sobre seu controle? Vc consegue manter o ciclo de vida dos dados?
Como os dados serão utilizados? Com quem serão compartilhados? Quando serão destruídos?
A LGPD tem esse objetivo, causar essa mudança cultural no país. Que já existem na Europa.
Importante observar que vários direitos da LGPD já existem hoje na legislação existente, como
por exemplo, o CDC.
No CDC, artigo 43, dever de informação, e formação de base de dados. Direito de acesso aos
dados pessoais pelos consumidores, retificação ou atualização de dados incorretos.
Outro exemplo, O marco Civil da Internet, dispõe sobre a exclusão de dados pessoais, art. 7,
inciso X do Marco Civil.
A LGPD tronou esses direitos mais específicos e condensá-los ao longo dos artigos da lei.
O CDC e o Marco Civil da Internet são leis afetas às relações por eles tratadas, RELAÇÃO DE
CONSUMO ou INCIDENTE NA INTERNET.
A LGPD é uma lei ampla, que protege os dados, independente do campo de tratamento dos
dados. Seja digital ou analógico, mundo físico.
1º DIREITO DA LGPD
A partir da eficácia plena da lei qualquer titular de dados pessoais, poderá chegar em qualquer
companhia ou pessoa física e questionar: Operador você trata meus dados pessoais?
E a companhia vai ter que responder se trata dados daquela pessoa física.
Confirmado que os dados pessoais são tratados terá um novo direito, o DIREITO DE ACESSO
AOS DADOS PESSOAIS.
A companhia terá de elaborar relatório de dados pessoais, art. 19 da LGPD, simplificado, com
dados básicos, entregue de imediato. Em no máximo 24 horas, o que já é muito.
Nem tudo que a empresa tem será entregue, mas sim o que não estiver protegido pelo
segredo de negócio.
3º DIREITO
Art 18 da LGPD.
A autoridade vai ter um papel investigativo. O trabalho da Autoridade vai ser objeto de aula
específica. É importante entender com é feito o tratamento dos dados pessoais pelo
controlador de dados. Se o controlador segue integralmente toda a legislação.
Em que pese não haver gravidade de sanção na LGPD, pelos exemplos da GDPR, esses
incidentes podem ser tidos por graves de acordo com o que já foi feito.
Eu posso ir até o controlador e solicitar a exclusão dos meus dados pessoas dos arquivos do
banco de dados, ou galpão de armazenagem.
ASSIM, ainda que solicitado, é possível manter o dado pessoal nos arquivos.
Exemplo: Vc faz uma compra em um portal de venda pela internet. 15 dias após a compra
você solicita a exclusão dos dados. A empresa que emitiu a NOTA vai poder armazenar os
dados para cumprir obrigações legais, legislação tributária, secretaria da receita federal,
obrigam o armazenamento dos dados por período maior, prescricional. A empresa vai ter uma
obrigação legal para justificar a não exclusão dos dados, apesar do pedido do titular.
Ou ainda, com base no CPC, porque o consumidor, pode dentro de 5 anos, ingressar com ação
judicial. Assim a empresa precisa ter algumas informações para atender a essa demanda e se
defender.
Assim, mesmo que o titular exerça seu direito de eliminação, dependendo do caso, o
controlador poderá manter os dados em sua base para tratamento.
5º Direito – Portabilidade dos Dados Pessoais.
O titular dos dados é quem detém os dados, assim, ele pode portá-los para onde desejar. Ele
pode chegar ao controlador dos dados e pedir a portabilidade dos dados pessoais para outra
empresa qualquer, ou pessoa natural qualquer.
Ainda muito embrionário, e não tem sido tranquila a análise sobre essa possibilidade.