ESTUDOS DISCIPLINARES VII: Introdução à Lei de Proteção de Dados (LGPD)

LGPD
 Agenda.

A LGPD:

 Definições;
 Aspectos legais;
 Abrangência;
 Direitos do titular;
 Obrigações do controlador;
 Transferência internacional de dados;
 Incidentes;
 Sanções;
 Conclusões;
 Referências.

Definições LGPD

PRINCIPAIS ELEMENTOS DA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD):

Autoridade Nacional de Proteção de Dados (ANPD):

Órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento da LGPD;

Com natureza transitória, autonomia técnica e decisória, a ANPD possui diversas competências e particularidades,
listadas, com detalhes, no Art. 55°.

FORMAS DE TRATAMENTO:
Finalidade:
Realização do tratamento para os propósitos legítimos, específicos, explícitos e informados ao titular, sem a
possibilidade de tratamento posterior ou adicional, de forma incompatível com essas finalidades.

Qualidade dos dados:

Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e
para o cumprimento da finalidade de seu tratamento.

Segurança:
Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, e
de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Livre acesso:
Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais.

Subsidiariedade:

Regra que só permite o tratamento dos dados, caso não exista outra alternativa .

EXEMPLO: Uma câmera que filme os carros em uma rodovia, para fins de controle de tráfego, não deve tornar pública
as placas dos automóveis, já que estas permitem a identificação do titular (trata-se de um dado pessoal indireto). O
direito de não usar as placas para identificar o titular se sobrepõe ao direito do controle de tráfego, que só deve ser
executado como última alternativa.

Adequação:
Compatibilidade do tratamento com as finalidades informadas ao titular;
Deve ser de acordo com o contexto do tratamento.

Necessidade:
Limitação do tratamento ao mínimo, necessário para a realização de suas finalidades, com a abrangência dos dados
pertinentes, proporcionais e não excessivos, em relação às finalidades do tratamento de dados.

Prevenção:
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados.

Transparência:
Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os
respectivos agentes de tratamento, observados os segredos comercial e industrial.

Não discriminação:
Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.

Responsabilização e prestação de contas:

Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o
cumprimento das normas de proteção de dados pessoais, e, inclusive, da eficácia dessas medidas.

INTERATIVIDADE

Marque a alternativa incorreta a respeito das definições dos elementos e das ações da LGPD:

a) A subsidiaridade prega o tratamento dos dados, apenas, quando há uma real necessidade.
b) A adequação garante o alinhamento do tratamento com o que foi autorizado pelo titular.
c) O agente de tratamento deve implementar medidas de segurança para os dados.
d) A transparência garante que qualquer pessoa interessada possa ter acesso a um dado pessoal armazenado.
e) O livre acesso indica que o titular tem acesso constante e irrestrito aos seus próprios dados pessoais.

Aspectos Legais LGPD

ASPECTOS LEGAIS: DADOS PESSOAIS - Art. 5° (XII), 7°, 8°, 9°, 10°, 11°, 12°, 13°, 14°, 15º e 16°.
O tratamento de dados pessoais só poderá ser realizado nas seguintes hipóteses:

 Mediante o consentimento do titular;

 Para o cumprimento de obrigação legal pelo controlador;
 Pela administração pública, para o cumprimento da lei;
 Para a realização de pesquisas anonimizadas;
 Para a execução de contrato que envolva o titular.
 Por interesses legítimos do controlador desde que prevaleçam os direitos do titular;
 Como direito em processo legal;
 Para a proteção da vida do titular ou de terceiros;
 Por profissionais de saúde, em caso de necessidade;
 Para a proteção do crédito, de acordo com a legislação pertinente.

Finalização no tratamento (eliminação dos dados pessoais) pode ser realizada:

 Por determinação do titular;

 Quando há mudança na finalidade do uso dos dados;
 Por falta de necessidade ou pertinência dos dados;
 Quando acaba o período de tratamento;
 Por determinação legal.

EXEMPLO 1:
Uma escola vai postar no site fotos de alguns alunos. Para isso, ela precisa:

1) Obter, de forma escrita, o consentimento dos alunos ou dos responsáveis;

2) Deixar claro qual o propósito específico desta ação;
3) Entender que este consentimento é temporário, e sujeito a mudanças ou cancelamento por parte dos titulares dos
dados;
4) Documentar todos estes detalhes e procedimentos.

EXEMPLO 2:
Uma pesquisa de opinião deve ser colhida para um determinado propósito;
Não pode ter os dados usados para outra finalidade, sem o consentimento dos titulares.

OBS:
A LGPD é mais rigorosa para os dados sensíveis, que devem ser tratados, apenas, quando for indispensável.
É preciso uma autorização especial para o tratamento.
Não atendem aos interesses legítimos do controlador, de terceiros ou de proteção ao crédito.
O consentimento para os dados de crianças e adolescentes deve vir só dos responsáveis.

Exceção
Coleta para o contato com os pais – usar, apenas, uma vez!
Exemplo: Alguém que coletar os dados pessoais e/ou sensíveis de uma criança ou adolescente perdido, com o
objetivo de fazer contato com os pais, não está sujeito aos termos da LGPD.

Sugestões de adequação:
Manter documentação probatória sobre o consentimento de uso dos dados;

Observar a origem dos dados sensíveis, para verificar, corretamente, o enquadramento dado a eles na lei;

Manter transparentes os processos de manipulação dos dados pessoais.

INTERATIVIDADE

Os dados pessoais de um adolescente foram tratados sem a autorização do titular. Marque a alternativa correta:

a) Trata-se de um dado pessoal sensível.

b) O titular, neste caso, é o agente de tratamento.
c) Uma autorização escrita seria necessária, caso se tratasse de uma criança.
d) Mudanças no tratamento de dados sensíveis são autorizadas de forma automática.
e) Uma exceção que autoriza o tratamento de dados sensíveis acontece quando o próprio controlador precisa realizar
uma modificação nos dados.

LGPD
ABRANGÊNCIA GEOGRÁFICA - Art. 1°, 3° e 4°.
O Art. 3º diz que a LGPD vale para:

1) Dados e atividades gerados ou executados no Brasil;

2) Dados pessoais que forem coletados no país;
3) Forem relacionados a indivíduos presentes no país;
4) Quando a empresa oferece serviços ou produtos ao público brasileiro;

Exemplo: empresa estrangeira que manipula os dados sobre o consumo coletados no Brasil.

A LGPD não se aplica a:

1) Dados gerados fora do país;

2) Dados de pessoas jurídicas;
3) Dados de pessoas físicas falecidas.

Exceções:
Dados pessoais usados para fins artísticos, jornalísticos, acadêmicos;
Exemplo: um jornal pode citar dados pessoais de um político sem estar sujeito à lei;

Dados pessoais que não tenham objetivos econômicos;

Exemplo: quando alguém gera dados para uso particular, sem preocupações econômicas.

Dados relacionados à segurança pública.

Eventuais normas setoriais podem moldar as determinações da LGPD.

Sugestões de adequação:
O ideal é que empresas, entidades, pessoas físicas, órgãos públicos e militares, entre outros, que lidem com os
dados pessoais se adequem às regras da lei;

Isso pode ser feito por meio da contratação de consultorias e treinamentos;

Documentação com registros que provem a adoção de medidas estabelecidas na lei.

Direito do Titular LGPD

DIREITOS DO TITULAR - Art. 8° (§ 5°), Art. 9° (caput, § 3°), Art. 14º (§ 6°), Art. 17°, Art. 18°, Art. 19°, Art. 20°, Art. 21°,
Art. 22°.
Acesso à forma de tratamento dada por terceiros aos seus próprios dados pessoais.

Finalidade, duração e razão do uso dos dados, entre outros.

Informações simplificadas (imediatas) sobre os seus dados.

Informações completas (prazo para a apresentação) sobre os seus dados.

Exigir a correção em dados errados ou incompletos.

Portabilidade: transferir a custódia dos dados para outro agente de tratamento.

Revogar o consentimento do tratamento.

Bloquear, apagar ou anonimizar dados.

Solicitar a revisão de decisões automatizadas no tratamento.

Consentir ou não, com o tratamento de dados de adolescentes e crianças.

Descumprimento de solicitação:
O controlador deve justificar problemas de prazo na apresentação das solicitações.

Sugestões de adequação:

Para garantir os direitos descritos é preciso uma organização;

Muitos sistemas precisam ser alterados para atender às solicitações;
Boa documentação de sistemas, responsabilização e treinamento sempre ajudam.

Obrigações do controlador LGPD

Art. 5°, Art. 7° (§ 5), Art. 8° {§ 2), Art. 9, Art. 10, Art. 11, Art. 14, Art. 16, Art. 18, Art. 20, Art. 33, Art. 37, Art. 38, Art.
39, Art. 40, Art. 41, Art. 42, Art. 48, Art. 50, Art. 52.

Vão de encontro aos direitos do titular.

Prover as solicitações do titular.
Provar que o consentimento é válido e legal.
Registrar as operações do tratamento.
Definir, claramente, quem é o agente de tratamento.

Exemplo de exceção:
1. Uma empresa (controlador) colheu opiniões políticas de pessoas em uma pesquisa;
2. Essa mesma empresa quer usar os dados recolhidos em uma propaganda;
3. Houve mudança de finalidade, portanto, é preciso a autorização dos titulares;
4. Suponha que um titular autorizou o uso de seus dados pessoais em propagandas;
5. Imagine que a empresa recebeu uma intimação judicial solicitando acesso aos dados;
6. Neste caso, mesmo sem a autorização do titular, a empresa pode tratar os dados pessoais, estritamente
requisitados pela justiça, da forma mais transparente possível.

Sugestões de adequação:
Buscar garantir a segurança (CIDA) durante o tratamento dos dados;

Definir o(s) responsável(is) pelo tratamento (agente de tratamento), de forma clara;

Manter a finalidade e os registros das operações de tratamento dos dados;

Conservar os dados, a fim de que estes possam ser adequadamente recuperados, manipulados ou eliminados, em
caso de solicitação do controlador.

INTERATIVIDADE

Marque a alternativa que não constitui uma obrigação do agente de tratamento:

a) Realizar o registro do tratamento de dados realizados.

b) Aplicar os controles e as medidas de segurança nos dados.
c) Em caso de necessidade, provar quem, realmente, é o controlador dos dados.
d) Armazenar, com segurança, os dados diretos e compartilhar os dados indiretos.
e) Manter a finalidade do tratamento.

Transferência internacional de dados LGPD

TRANSFERÊNCIA INTERNACIONAL DE DADOS - Art. 3°, Art. 33°, Art. 34°, Art. 35°, Art. 36°.
É permitida, apenas, para os países que garantam a segurança dos dados.

O controlador deve garantir todos os direitos do titular. Contratos, certificados, códigos de conduta etc.

É permitida em processos judiciais, políticas públicas ou de cooperação entre os países.

Requer o consentimento do titular.

A ANPD é responsável pela fiscalização e por medidas legais.

EXEMPLO:

Suponha que uma agência brasileira mantém um contrato para o uso da imagem de uma modelo. O contrato permite
que a imagem da moça seja utilizada em propagandas de folhetos e revistas brasileiras, tudo de acordo com o que
está estipulado na LGPD.
Paralelo a isso, a agência é comprada por uma grande multinacional da moda, que quer expor o catálogo da agência
brasileira internacionalmente.
Como isso interessa à modelo, que quer expandir a sua própria carreira, caso haja consentimento dela, a
transferência internacional de dados pode ser realizada, desde que observadas as premissas previstas na LGPD.

Sugestões de adequação:
Verificações e garantias prévias sobre o cumprimento da lei são essenciais;

Elaborar a documentação contratual nacional e internacional para garantir a lei;

Ajuda a provar a “boa fé” do controlador original;

Serve como guia na supervisão das atividades realizadas.

Transparência nos processos:

Informar a ANPD a alteração na finalidade, no tratamento ou nos acordos internacionais.
Incidentes LGPD
INCIDENTES - Art. 44°, Art. 46°, Art. 47°, Art. 48°, Art. 49°, Art. 50°, Art. 51°.
Situações inesperadas, vazamentos, tratamento incorreto, falhas ou perdas de dados.

Controladores devem buscar a antecipação e a documentação dos problemas.

Garantir a CIDA e realizar o controle de acesso aos dados.

Definir os controles de segurança mínimos que devem ser aplicados.

O agente de segurança pode ser responsabilizado judicialmente, caso os controles de segurança não sejam
aplicados aos dados.

Exemplo:
Duas empresas lidam com dados pessoais sensíveis. A empresa A1 realiza o tratamento dos dados na forma da lei.
Porém, não aplica qualquer tratamento de segurança que garanta a confidencialidade destes dados.

A empresa B1 lida com os mesmos dados sensíveis da empresa A1, mas implementa a criptografia nos dados, antes
do tratamento. Em caso de um vazamento acidental, os dados da empresa B1 estão mais seguros que os da A1.

Se uma das recomendações da ANPD for a garantia da confidencialidade dos dados, o controlador da empresa A1
deve responder pelo problema, justamente por não ter implementados os controles de segurança que garantam a
minimização do problema.

OBS:
Em caso de incidente, com dano ou risco aos titulares, o controlador deve criar um comunicado enviado em prazo
razoável para:

 À ANPD;
 Ao titular;
 Aos órgãos reguladores oficiais.

Os controladores e a ANPD podem providenciar os treinamentos, os testes de segurança e a divulgação de

informações dos incidentes.

Sugestões de adequação:
Implementar os controles de segurança, de acordo com as normas de segurança;

Definir as responsabilidades sobre as tarefas;

Treinamento e conscientização de todos os envolvidos;

Supervisão e constante atualização das práticas de tratamento;

Políticas de segurança, e parcerias técnicas e jurídicas com terceiros são recomendadas.

Sanções LGPD
SANÇÕES - Art. 52°, Art. 53° e Art. 54°

 As penalidades estão a cargo da ANPD.

 Alguns fatores são levados em conta nas penalidades.
 Cooperação e boa-fé do controlador.
 Vantagens pretendidas.
 Condições econômicas.
 Reincidência do infrator.
 Gravidade do dano.

Penalidades financeiras:
Multa de, até, 2% do faturamento do controlador (limitada a R$ 50 milhões). Esta multa também pode ser diária, até o
limite especificado de R$ 50 milhões.
Penalidades administrativas:
Advertências com a indicação de prazo, para a adoção de medidas corretivas;

Divulgação pública da infração após a apuração;

Bloqueio ou eliminação dos dados pessoais correspondentes à infração.

Sugestões de adequação:
É importante que o controlador analise, antecipadamente, a conformidade dos métodos e dos processos adotados,
em relação à LGPD. Relatórios que atestem esses procedimentos podem ser gerados e apresentados,
antecipadamente, ao titular na forma de contratos;

Deve-se buscar a cooperação em caso de descumprimento da lei;

Se possível, ter uma equipe interna e/ou externa pronta para atender às solicitações da ANPD, para minimizar os
eventuais custos com as sanções.

Conclusões LGPD
1) A tecnologia vai mudando a vida das pessoas;

2) Regulamentações são necessárias;

3) No médio prazo, a privacidade dos dados deve fazer parte da cultura das corporações;

4) As pessoas precisam respeitar as opiniões e a privacidade das pessoas.

INTERATIVIDADE

Entre as várias funções da ANPD está:

a) Checar se o país, para o qual estão sendo transferidos os dados pessoais, aplica os termos da LGPD.
b) Determinar para qual agente de tratamento o titular vai repassar os seus dados pessoais.
c) Autorizar as mudanças nos dados pessoais de um determinado titular.
d) Realizar o tratamento dos dados.
e) Impedir os acordos que beneficiem o titular.