A aula de hoje é para apresentar para vocês dois pontos específicos da LGPD, primeiro, alguns

conceitos importantes da Lei e os principais direitos dos titulares de Dados Pessoais.

Iremos ingressar no estudo vários aspectos importantes desses conceitos. Importante estar
com a Lei por perto, para poder fazer a leitura dos conceitos com a Lei.

O primeiro conceito é o de Dado Pessoal.

Importante definir o que é dado pessoal. O que é dado pessoal de acordo com a LGPD?

Aqui se confunde muito o dado pessoal é tudo aquilo que identifica uma pessoa natural,
contudo, esse conceito não é completo, é tudo que identifica ou torna identificável uma
pessoa natural.
O conceito é bem amplo. Não apenas o que identifica (Nome, CPF, RG, data de nascimento),
mas não é só isso. O conceito da Lei é expansionista, porque basicamente tudo que fizer
referência a uma pessoa natural vai ser considerado como dado pessoal.

Exemplo: Quantos habitantes tem o Brasil? 200 milhões. Linhas gerais.

Eu saber que uma pessoa é brasileira. É um dado pessoal? A nacionalidade, é um dado

pessoal?

Se dizer que essa pessoa é brasileira e advogado. Quantos advogados têm no Brasil? Em
grandes números, temos 1 milhão de advogados no Brasil.

Vejam, saímos de 200 milhões para 1 milhões, apenas sabendo a profissão.

A profissão de uma pessoa é um dado pessoal?

Eu consigo identificar ou isso torna identificável uma pessoa natural?

Dessas pessoas, por exemplo, quantas advogam no Estado de São Paulo, 400 mil.

Quantas são do gênero masculino, 200 mil. Metade do número inicial.

Tudo aproximado.

Nesse caso eu renovo a pergunta. O gênero, masculino ou feminino é um dado pessoal?

Em diante, quantas pessoas que atuam no meu escritório preenchem esses requisitos?

No meu caso, 10 pessoas.

Eu saber o local de trabalho da pessoa é um dado pessoal?

Por fim, o time que a pessoa torce?

Brasileiro, advogado, do estado de São Paulo, gênero masculino, trabalha do escritório X e que
torce para o time X. Vamos supor que a pessoa torce para o time da Portuguesa.

Dependendo do contexto, o time que a pessoa torce, é um dado pessoal que pode até mesmo
identificá-lo.

Por isso que o conceito é expansionista, porque um dado, de inicio irrelevante, pode tornar a
pessoa natural identificável

Explicando, a nacionalidade é dado pessoal. A sua profissão é dado pessoal. O gênero é dado
pessoal. O Estado que atua é dado pessoal. O escritório que trabalha é dado pessoal. O time de
coração é dado pessoal. Por que todos podem tornar aquela identificável.

O numero do cartão de crédito é um dado pessoal.

A placa do carro é um dado pessoal.

O trajeto do Waze é um dado pessoal.

O conceito é muito amplo de dado pessoal.

Outro ponto importante, é se dados pessoais de pessoas falecidas serão tratados pela LGPD.

A consideranda 27 da GDPR,

A GDPR tem antes dos 99 artigos da lei, tem 173 considerandas. São explanações gerais
introdutórias.

Na 27, consta que a regulamentação, GDPR, não se aplica ao tratamento de dados de pessoas
falecidas. Isso trouxe alguma dúvida no seguinte sentido, como a Lei foi inspirada no GDPR,
será que ele não se aplicar ao tratamento de dados de pessoas falecidas?

Não se tem certeza, porque ainda não se sabe como será essa situação. Com certeza em algum
tempo a Autoridade irá analisar essa questão.

Outro ponto, são os direitos do nascituro. Quando a criança tem dados pessoais coletados
(tamanho, peso, doenças). Esses dados pessoais da criança serão protegidos de que forma?

A LGPD não abordou o tema. Deve-se remeter ao CC em proteção ao menor que nascendo
com vida estará protegido integralmente.

Conceito muito importante, é o de DADOS PESSOAIS SENSÍVEIS.

É um dado pessoal, com uma característica particular que é um dado pessoal sensível.

É mais objetivo, estritamente detalhado na LGPD. O conceito está no artigo 5, inciso II da LEI.

Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

 II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou
político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando
vinculado a uma pessoa natural;

Em linhas gerais, origem racial e étnica, preferencia politica religiosa e filosófica, orientação
sexual, filiação a sindicato, dados de saúde, genéticos e biométricos.

Vejam que a Lei não me proíbe de tratar os dados sensíveis. Mas sim deve haver uma cautela,
uma atenção muito maior para tratar esses dados pessoais sensíveis. Uma vez que o incidente
de segurança com esses dados pode mais danoso que os demais dados protegidos pela LGPD.

É natural que o vazamento de dados do NOME, CPF acarreta um risco, sendo que um
vazamento com o NOME, CPF E UMA DOENÇA GRAVE, o risco é muito maior.

A lei protege dados pessoais que possas revelar dados sensíveis.

Exemplo: Você vai pegar um UBER do seu trabalho para casa. O trajeto é integralmente
monitorado, desde caminho a horário.

Se o UBER colocar inteligência sobre os dados pessoais, ele vai monitorar o dia a dia de todos
os usuários.

Com isso ele pode indicar quem frequenta um Sinagoga, ou uma igreja, ou um partido político.
São dados pessoais, que podem expor e revelar dados sensíveis.

Exemplo: Um empregado preenche uma ficha de admissão. Qual o nome do seu companheiro,
companheira, marido, esposa. Na resposta é indicada uma pessoa do mesmo sexo. Assim um
dado pessoal comum, nome da companheira, pode revelar um dado sensível, qual seja, a
orientação sexual.

Com a revelação do dados sensível, o tratamento do dado pessoal deve ser feito com se
sensível fosse.
A LGPD também traz o conceito de dados anonimizado.

O que é um dado Anonimizado.

Art. 5, inc III LGPD:

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

Melhor dizendo, vc tem um conjunto de informações que não te permitem identificar de

forma alguma quem está por traz daqueles dados pessoais. Isso é que se chama dado
anonimizado.

Impossível reverter o processo.

As estatísticas, via de regra, são dados anonimizados.

Exemplo: O caso inicial brasileiro advogados e etc...

Imagine a divulgação em jornal a seguinte manchete: 0,5% DA POPUÇÃO NACIONAL É

FORMADA POR ADVOGADOS.

A partir apenas daquela manchete daquele jornal não se identifica uma pessoa contida
naquele conceito, ou contexto estatístico. Assim, esse conceito estatístico é um dado
anonimizado.
Quanto menor seu espaço amostral, maior a chance de um dado identificar ou ser identificável
de uma pessoa por amostragem.

Para tratar um dado anonimizado é importante ter CERTEZA de que não se poderá identificar
uma pessoa sobre ele.

O artigo 12 da LGPD estipula que o conceito de dados aninimizados deve ser renovada a cada
dia.

Isso porque a inteligência artificial permite uma identificação de pessoas por dados
anonimizados, e a tendência é que a tecnologia avança e assim permite a identificação das
pessoas.

Assim, os meios técnicos razoáveis não podem reverter o tratamento do dado anonimizado.

Os dados Pseudononimizados.

Vêm de pseudônimos.

A lei LGPD traz o conceito no artigo 13, § 4.

Não é um conceito amplo, mas naqueles casos do §4º é cabível a identificação do dado
pseudonimizados.

Ele se aplica para órgãos de pesquisa no tratamento de dados para pesquisa pública. Por
órgãos de pesquisa em Saúde Pública.
A técnica de pseudominização pode ser usada como técnica de segurança da informação.

É possível reverter e identificar os dados pessoas.

Pelo conceito da pseudominização, é aplicação de técnica, em cima de uma base de dados

pessoais, se aplica uma técnica que torne impossível de identificar temporariamente quem são
aqueles titulares de dados pessoais.

Resumindo, é pegar um código e aplicar em cima da base de dados, e assim, ninguém poderá
identificar de quem se tratam aqueles dados.

Somente a pessoa que criou o código pode fazer o caminho inverso e divulgar os dados.

É uma máscara em cima da base de dados.

A pseudominização é uma técnica de segurança da informação.

LER A CONSIDERANDA E MOSTRAR COMO A GDPR ORIENTA A UTILIZAÇÃO DA
PSEUDOMINIZAÇÃO PARA DAR SEGURANÇA AOS DADOS TRATADOS.
Outros conceitos importantes, são de controlador e operador.

LER O SLIDE.

CONTROLADOR a quem competem as decisões sobre tratamento de dados.

O controlador pode ser pessoa física ou jurídica. E ele pode ser de direito público ou privado.

Como pode ter um controlador pessoa física?

Exemplo: vai ser atendido por um médico ou médica, ortopedista. Aquele médico vai coletar
diversos dados pessoais, e é uma pessoa física. E o médico terá acesso, inclusive a dados
sensíveis. Assim, uma pessoa física pode ser controladora de dados pessoais.

Exemplo: Corretor de imóveis.

OPERADOR tb uma pessoa natural ou jurídica de dir. público ou privado, que REALIZA O
TRATAMENTO EM NOME DO CONTROLADOR.

O CONTRALADOR dá as ordens. O operador é quem trata os dados por ordem do Controlador.

Exemplo: Banco. O banco, via de regra, vai ser o controlador dos dados pessoais dos seus
clientes. Se o Banco entrega esse conjunto de dados pessoais para um terceiro, empresa de
marketing, ou telemarketing. Essa empresa vai ser a OPERADORA e o Banco vai ser o
CONTROLADOR.

A distinção é importante porque a RESPONSABILIDADE DO CONTROLADOR É MUITO MAIOR.

Isso porque o titular dos dados não sabe que um OPERADOR está tratando seus dados. Para o
titular os dados estão com o Banco.

ENCARREGADO, vamos estudar, mas como a lei define, e importante trazer.

Ele é uma pessoa física ou jurídica, atualizado pela MP que autorizou ser pessoa jurídica, que
vai responsável por entender dentro da companhia, ou pessoa física que controle de dados
pessoais, como são seus processo de tratamento de dados, e vai ser a ponte de contato entre
eles e a Autoridade, especialmente de houver incidente de segurança da informação. O
Encarregado vai ser acionado para atuar e fazer a operação de controle dos dados.

TRATAMENTO DE DADOS PESSOAS

Tratar dados pessoais é tudo que você faz com o dado.

5 pontos importantes

 Coleta
 Uso
 Armazenamento
 Compartilhamento
 Exclusão

CICLO DE VIDA DO TRATAMENTO DOS DADOS PESSOAIS

Qualquer contato com dado pessoal é tratamento.

Excluir dado é tratar dado pessoal e deve ser feito de forma responsável e deve acontecer de
uma forma específica.

Um dos direitos dos titulares de dados pessoais é o de ver seus dados excluídos da base de
forma adequada.

Esses são os principais conceitos da lei, LGPD.

Assim nós cobrimos os conceitos

  Dados pessoal
 Dados pessoais sensível
 Anonimizado
 Pseudonimizado
 Controlador
 Operador
 Encarregado
 Tratamento Dados Pessoas

Ler argito 5ª e art. 13 da LGPD.

DIREITOS DOS TITULARES

Vamos falar dos direitos dos titulares de dados. Esses direitos estão espalhados pelo LGPD. São
6 artigos sobre o tema. Do art. 17 ao 22. O artigo 18 tem vários incisos sobre o tema. Mas ele
não concentra todos os direitos dos titulares que se encontram espalhados do 17 ao 22.

O conceito de Autodeterminação Informativa é importante para esse estudo.

Ele é um dos fundamentos, pilares da LGPD, art. 2, inciso II da LEI.

O que é a Auto Determinação Informativa, já vimos na aula anterior, é basicamente a
possiblidade que os titulares de dados pessoais possam, por eles mesmo, controlar todo o ciclo
de vida de seus dados pessoais.

Sempre importante mencionar o titular do dado pessoal.

Uma farmácia tem diversos dados pessoas do titular, mas quem é o dono dos dados? É você.
Cada pessoa física que tem seus dados pessoais tratados.

A auto determinação informativa surge para trazer de volta ao titular o controle e a

possibilidade de determinar por eles mesmos o que pode ser feito com seus dados pessoais.

Exemplo: Imagina que vc está entrando em uma farmácia. E o atendente te pergunta alguns
dados pessoais. Nome, CPF, plano de saúde, data de nascimento, etc... Esses dados pessoais
sem mantém sobre seu controle? Vc consegue manter o ciclo de vida dos dados?

Como os dados serão utilizados? Com quem serão compartilhados? Quando serão destruídos?

A resposta é invariavelmente negativa.

Isso porque não se tem uma cultura de proteção de dados.

A LGPD tem esse objetivo, causar essa mudança cultural no país. Que já existem na Europa.

Importante observar que vários direitos da LGPD já existem hoje na legislação existente, como
por exemplo, o CDC.

No CDC, artigo 43, dever de informação, e formação de base de dados. Direito de acesso aos
dados pessoais pelos consumidores, retificação ou atualização de dados incorretos.

Outro exemplo, O marco Civil da Internet, dispõe sobre a exclusão de dados pessoais, art. 7,
inciso X do Marco Civil.

A LGPD trata de direito já existente.

A LGPD tronou esses direitos mais específicos e condensá-los ao longo dos artigos da lei.

O CDC e o Marco Civil da Internet são leis afetas às relações por eles tratadas, RELAÇÃO DE
CONSUMO ou INCIDENTE NA INTERNET.

A LGPD é uma lei ampla, que protege os dados, independente do campo de tratamento dos
dados. Seja digital ou analógico, mundo físico.

1º DIREITO DA LGPD

Dentre os direitos o primeiro é CONFIRMAÇÃO SOBRE O TRATAMENTO DE DADOS PESSOAIS.

A partir da eficácia plena da lei qualquer titular de dados pessoais, poderá chegar em qualquer
companhia ou pessoa física e questionar: Operador você trata meus dados pessoais?

E a companhia vai ter que responder se trata dados daquela pessoa física.

Como se vai operacionalizar essa confirmação? Depende de confirmação positiva de titulares

de dados, para que não incidente de segurança da informação tentando atender a LGPD.
2 º DIREITO

Confirmado que os dados pessoais são tratados terá um novo direito, o DIREITO DE ACESSO
AOS DADOS PESSOAIS.

A companhia terá de elaborar relatório de dados pessoais, art. 19 da LGPD, simplificado, com
dados básicos, entregue de imediato. Em no máximo 24 horas, o que já é muito.

Um segundo relatório, completo, que deve ser entregue dentro de 15 dias.

Nem tudo que a empresa tem será entregue, mas sim o que não estiver protegido pelo
segredo de negócio.

3º DIREITO

Outro direito é o Direito de peticionar para Autoridade de Proteção de Dados contra o

Controlador.

Art 18 da LGPD.

A autoridade vai ter um papel investigativo. O trabalho da Autoridade vai ser objeto de aula
específica. É importante entender com é feito o tratamento dos dados pessoais pelo
controlador de dados. Se o controlador segue integralmente toda a legislação.

Em que pese não haver gravidade de sanção na LGPD, pelos exemplos da GDPR, esses
incidentes podem ser tidos por graves de acordo com o que já foi feito.

Outros direitos da LGPD.

4º Direito – EXCLUSÃO eliminação

Eu posso ir até o controlador e solicitar a exclusão dos meus dados pessoas dos arquivos do
banco de dados, ou galpão de armazenagem.

Existem bases legais para legitimar o tratamento de dados pessoais. O consentimento é um

deles. Mas não é o único. Existem 10 hipóteses legais para tratamento do dado pessoal.

ASSIM, ainda que solicitado, é possível manter o dado pessoal nos arquivos.

Exemplo: Vc faz uma compra em um portal de venda pela internet. 15 dias após a compra
você solicita a exclusão dos dados. A empresa que emitiu a NOTA vai poder armazenar os
dados para cumprir obrigações legais, legislação tributária, secretaria da receita federal,
obrigam o armazenamento dos dados por período maior, prescricional. A empresa vai ter uma
obrigação legal para justificar a não exclusão dos dados, apesar do pedido do titular.

Ou ainda, com base no CPC, porque o consumidor, pode dentro de 5 anos, ingressar com ação
judicial. Assim a empresa precisa ter algumas informações para atender a essa demanda e se
defender.

NÃO EXISTEM DIREITOS ABSOLUTOS.

Assim, mesmo que o titular exerça seu direito de eliminação, dependendo do caso, o
controlador poderá manter os dados em sua base para tratamento.
5º Direito – Portabilidade dos Dados Pessoais.

Ainda precisa ser regulamentado pela Autoridade.

O titular dos dados é quem detém os dados, assim, ele pode portá-los para onde desejar. Ele
pode chegar ao controlador dos dados e pedir a portabilidade dos dados pessoais para outra
empresa qualquer, ou pessoa natural qualquer.

O controlador deverá atender ao pedido e transmitir os dados.

Ainda muito embrionário, e não tem sido tranquila a análise sobre essa possibilidade.