O que as empresas precisam aprender?

- Na era de economia de dados, o verdadeiro valor da empresa está nos dados dos seus
clientes. Isso significa dizer que os dados são sim um ativo da empresa muito importante e que
são dignos de proteção.

- Os dados pessoais dos indivíduos, são apenas emprestados, são das empresas, deverá ser
demonstrado a forma de tratamento, a transparecia, para que você como empresa
mantenham esses dados, demonstrar quem é o processador, qual é a finalidade, como é feito
o tratamento.

- Consequências da não conformidade, é muito arriscado, correm o risco de multas, e ações

judiciais, além da perda da reputação e da fidelidade do cliente. (imagina roubarem todas as
informações dos seus clientes, ou ainda dos seus colaboradores).

- 66% dos países no mundo detém legislação própria de proteção de dados, então analisando
esse quesito, verificamos que o brasil está muito atrasado se compararmos inclusive com
alguns países da américa latina.

- Motivos da multas na Europa: 1- falhas na base jurídica para o tratamento, 2 – falhas em

segurança da informação.

- Países com as multas mais altas – 1 – reino unido, 2- frança, 3- italia.

- GDPR enforcement tracker (multas nos países)

- LGPD APROVADA EM 2018 (dados pessoais – pessoas físicas e pessoas naturais) – ou seja, os
dados de contratos que apesar de termos dados coorporativos nós precisamos cuidar dos
dados de pessoas que nós temos naqueles documentos (banco de dados de contratos).

- LPGD histórico – a mais de 10 anos essa lei vem sendo debatida, não é um assunto novo,
entre 2010 e 2015 houve uma consulta publica sobre esse tema. (mais de 2 mil contribuições
de entidades privadas e públicas)

1948 (declaração universal dos direitos humanos) importância da privacidade de dados como
um direito fundamental

Art. 5º CF vida privada, direito a privacidade (1988)

2019 – Proposta de emenda 119 – quer colocar a proteção de dados como direito
fundamental, (está sendo discutida).

1990 – CDC – direito a informação, a transparência das informações.

2010 – Marco civil da internet – trouxe a importância da proteção de dados e do

consentimento.

LGPD É BEM PARECIDA COM O GDPR – são similares, com algumas diferenças, porém é
importante ressaltar que a nossa lei foi fundada com base no GDPR.

LEI 13.709/18 LGPD –

LGPD era pra ser uma lei que iria alterar o marco civil da internet – porém por questões
internacionais em que havia uma cobrança para que o brasil tivesse uma legislação própria de
DADOS PESSOAIS verificando uma tendência mundial, o brasil fez a LGPD.
- art. 1º - essa lei dispõe sobre o tratamento de dados pessoais ( tudo que você fizer com os
dados pessoais – coleta, extração, acessar, armazenar, aliminar, compartilhar) , inclusive nos
meios digitais (inclui o físico), e esse tratamento pode ser feito tanto por uma pessoa física ou
jurídica de direito público ou privado.

- Objetivo de proteger os direitos de privacidade, liberdade, livre desenvolvimento.

- Ou seja, dados que envolvem a pessoa jurídica, segredos de indústria, direitos de software
seguem as legislações especificas, isso aqui não se mistura com a LGPD. Ela somente protege
dados pessoais (de pessoas físicas).

- MP 959/2020 – passa a vigência plena da LGPD para 03/05/2021

- PL 1.179/2020 – vigência em 08/2020 e as sanções para 05/2021.

-ESCOPO TERRITORIAL – a LGPD se aplica a todo e qualquer tratamento feito no território

brasileiro. (art. 3º)

- Atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços

de indivíduos localizados em território brasileiro.

- Os dados pessoais tenham sido coletados em território nacional. (EX. CLOUD)

- A lei não se aplica ao tratamento de dados pessoais exclusivamente particulares e não

econômicos (lista de convidados pra sua festa de aniversário que você deixa na portaria).

- A lei não se aplica pra fins de segurança pública, e defesa nacional – para esse fim vai ser
criada uma lei especifica para regulamentar essa matéria.

CONCEITOS (art. 5º) – Dado pessoal – pessoa natural identificada (RG) ou identificável (loira,
nasceu em 1995, no estado de são Paulo, é formada em direito, trabalha na Itamarati contábil)

Dado pessoal sensível – aquele que pode resultar em alguma discriminação, como por
exemplo opinião política, convicção religiosa, filiação a sindicato, dado genético ou biométrico,
referente a saúde, a vida sexual (cuidado com as informações dos seus colaboradores).

Banco de dados – conjunto estruturado de dados pessoais, estabelecidos em um ou em vários

locais em suporte eletrônicos ou físicos.

- DADO PESSOAL (decreto nº 10.046/2019) – atributos biográficos, nome civil ou social, data
de nascimento, filiação, naturalidade, nacionalidade, sexo, estado civil, grupo familiar,
endereço, vínculos empregatícios.

Para esse decreto são Atributos biométricos – reconhecimento automatizados, palma da mão,
digitais dos dedos, retina dos olhos, o formato da face, a voz a maneira de andar.

Dados cadastrais – informações identificadoras perante os órgãos públicos (CPF, RG, ETC)

- LGPD – dados anonimizados não são objetos dessa lei – porém, os dados anonimizados é
aquele que o titular não seja identificado e que para a sua reversão seja muito difícil, se for
facilmente revertido não é anonimização e é considerado como dado pessoal.

- AGENTES – CONTROLADOR E OPERADOR –

- ENCARREGADO – pessoa que faz para que a ANPD tenha contato com o controlador, além
disso é a pessoa que faz a ponte entre os titulares de dados e o controlador.
- A nossa lei é geral e ela não comporta as situações possíveis para cada área, para cada porte
de empresa, ou seja, os princípios, e as bases são muito importantes para nós auxiliar nessa
fase um pouco nebulosa que estamos passando. (de uma lei que a maiorias dos seus conceitos
precisam de interpretação).

- Art. 49 (requisitos de segurança, padrões de boas práticas, os princípios) é o que deve nortear
o tratamento de Dados.

- Como garantir que é o titular que está pedindo os seus dados – autenticação por meio de
documento, ou algo que possa identificar o titular.

- (art. 7 ao 16) BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS – qual é a

justificativa jurídica que permite que uma determinada atividade de tratamento seja realizada,
permite então ao controlador (empresa) utilizar aqueles dados na sua atividade econômica.

- Tratamento – é qualquer coisa que se faça com o dado pessoal, existem vários verbos que
configuram como tratamento.

- DOS REQUISITOS PARA O TRATAMENTO DOS DADOS PESSOAIS – existem 10 bases legais, ou
seja, você precisa escolher pelo menos uma base legal para um tratamento de dado. Você
pode escolher mais de uma base legal, porém em momentos distintos do tratamento (para a
coleta eu tenho um, para a utilização X eu tenho uma, para a utilização Y eu tenho outra).

- Você controlador que é uma empresa que vende serviço, eu vou fazer a propaganda de um
produto novo para os consumidores que eu já tenho ou que eu ainda pretendo ter (uma
atividade de tratamento), ai um consumidor entra no meu site e compra (outra atividade de
tratamento) , para o envio da mercadoria ( outro tatamento), quando ele recebeu a
mercadoria e eu quero manter esses dados ( outro tatamento)

- art. 7º bases legais – não existe hierarquia dentre as bases legais. (todas tem o mesmo peso)

a) consentimento – deve ser livre informado, inequívoco (deve ser utilizado como a última
base legal para fundamentar os tratamentos, e isso se dá pelo simples fato de que ele pode ser
revogado da mesma forma em que ele foi concedido)

B) Para o cumprimento de obrigação legal ou regulatória – você tem uma lei que te obriga a
tratar determinado dado (obrigação de guarda de certos dados ou documentos pela empresa,
notas fiscais)

c) pela administração pública, para politicas publicas

d) para realizar estudos por órgão de pesquisa (órgão de pesquisa – quem é?) eu tenho uma
empresa que irá realizar uma pesquisa, eu não sou um órgão de pesquisa , a lei trás o que é o
órgão de pesquisa.

e) quando necessário para execução de contrato ou procedimentos preliminares relacionados

ao contrato (ex. compra e venda, aluguel, contrato de trabalho, orçamento que a própria
pessoa pediu).

f) para exercício em processo judicial, administrativo ou arbitral.

g) para a proteção da vida do titular ou de terceiros.

h) tutela da saúde – exclusivo para profissionais da saúde.

i) interesse legitimo do controlador ou de terceiro –

j – proteção do crédito

- Se o dado é público? que que acontece? – o dado que é publico deve considerar a finalidade,
a boa fé e o interesse que justificaram a sua disponibilização (ex. lei de acesso a informação –
nome e quanto ela ganha) você tem que sempre verificar qual é a finalidade para aquela
divulgação. (ex não posso pegar aqueles dados e enviar propaganda pra ele).

- dados tornados públicos pelo titular – (foto do instagram) – devo também ter finalidade para
o tratamento e verificar os princípios da LGPD.

- art. 8º - O CONSENTIMENTO – tem que seguir uma série de regras, como por exemplo você
conseguir demonstrar de forma inequívoca por escrito ou por outro meio que demonstre a
manifestação de vontade do titular. O consentimento deve ser fornecido por escrito , a
cláusula deve ser destacada das demais cláusulas contratuais, além disso o consentimento não
pode ser genérico, ele deve ser para uma finalidade especifica. (ex. para o oferecimento de
novos produtos) O controlador deverá demonstrar que o consentimento foi obtido
exatamente como a lei exige.

- Se precisar você como empresa terá que fazer VARIOS consentimentos específicos, você vai
coletar o consentimento para cada uma das finalidade que você deseja utilizar aqueles dados
(para marketing, para melhoria dos produtos, para formação de um perfil personalizado, para
receber notícias)

Art. 10 legitimo interesse – FINALIDADE LEGITIMA DA EMPRESA (dentro da lei) , situação

concreta (não pode ser uma situação hipotética) , legitima expectativa do titular (se eu sou
controlador e eu vendo canetas no meu site – o titular que comprou a caneta pode vir querer
comprar lápis e que eu estou vendendo – são atividades similares e dentro da expectativa
disso). (diferente se eu compro caneta e a empresa depois passa a me oferecer pneu)

- Relatório de impacto a proteção de dados – hipóteses que a ANPD pode pedir.

- O tratamento de dados pessoais sensíveis também precisa ter uma base legal, quais são:

I – CONSENTIMENTO – ESPECÍFICO E DESTACADO PARA FINALIDADES ESPECIFICAS (ex. coleta

de dados sanguíneos)

II – Todas as bases legais com exceção do interesse legitimo, e da execução do contrato.

- TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS – precisa do consentimento de um dos

pais, consentimento especifico e em destaque e no caso desses dados de criança a forma de
tratamento deverão ser informações publicas e fácil acesso.

- QUANDO UMA ATIVIDADE TERMINA (ART. 15) – a) finalidade foi alcançada, dados
perderam a necessidade, b) fim do período de tratamento, c) revogação do consentimento ,
d) determinação pela autoridade nacional quando há violação ao disposto.

- ELIMINAÇÃO DOS DADOS (ART. 16) -