Escolar Documentos
Profissional Documentos
Cultura Documentos
dados pessoais, e foi sancionada em agosto de 2018, com o período de vacância da Lei de 2
anos.
Assim, entrou oficialmente em vigor em 18/09/2020, contudo, com o PL 1179/20, convertido
na Lei nº 14.010/20, as sanções administrativas foram deferidas para aplicação a partir de
agosto 2021.
O que é:
A Lei Geral de Proteção de Dados Pessoais é a legislação brasileira que regula as atividades do
tratamento de dados pessoais.
A lei estabelece regras sobre a coleta, armazenamento, tratamento e compartilhamento de
dados pessoais e tem o objetivo proteger os direitos fundamentais de liberdade e de
privacidade e o livre desenvolvimento da personalidade da pessoa natural. Além de promover
um cenário de segurança jurídica, garantindo a proteção dos dados pessoais de todo cidadão
brasileiro.
A quem se aplica
A Lei se aplica a qualquer operação de tratamento de dados por pessoa natural (física) ou
pessoa jurídica de direito público ou privado, independentemente do país de sua sede ou do
país onde estejam localizados os dados, desde que:
1. O respeito à privacidade;
2. A autodeterminação informativa;
A LGPD também traz em sua redação os 10 (dez) princípios fundamentais que, além da
boa fé, regem o tratamento dos dados pessoais e que devem fazer parte do dia a dia das
suas operações em relação aos dados pessoais, são eles:
1. Finalidade: tratar os dados pessoais com base em finalidade clara, objetiva, específica,
legítima e informada ao titular;
4. Livre Acesso: garantir ao titular de dados a facilidade para acessar seus dados, assim
como a forma e duração do tratamento, de forma fácil, livre e gratuita.
5. Qualidade dos dados: garantir que os dados estão claros, exatos e relevantes, com fácil
possibilidade para atualização, de acordo com a necessidade e cumprimento da finalidade;
6. Transparência: garantir aos titulares que seus dados estão claros, precisos e de fácil
acesso. O titular tem que ter a clareza do que será feito com o seu dado, assim como quem
são os respectivos agentes de tratamento;
7. Segurança: garantir que o tratamento do dado seja realizado da forma mais segura
possível, por meio da utilização de medidas técnicas e administrativas aptas e eficazes que
possibilitem a proteção em todas as situações adversas, acidentes e de eventuais
vazamentos;
9. Não Discriminação: garantir que o dado não será tratado para fins discriminatórios,
ilícitos ou abusivos;
Conceitos:
Alguns termos você também precisa conhecer para entender, exatamente, por qual motivo
seu trabalho pode impactar a LGPD.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento
de dados pessoais em nome do controlador.
Encarregado de Tratamento de Dados (DPO): Pessoa física ou jurídica que atua como canal de
comunicação entre o controlador e os titulares dos dados e a autoridade nacional.
Tratamento de dados: toda operação realizada com dados pessoais, como as que se referem a
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada.
Conforme vimos no módulo anterior, dado pessoal é toda informação relacionada a uma
pessoa natural que a identifique ou possa identificá-la, ou seja, trata-se de toda e qualquer
informação que identifique, direta ou indiretamente uma pessoa, tais como: nome, CPF, RG,
carteira de habilitação, gênero, data e local de nascimento, telefone, endereço residencial,
retrato em fotografia, conta bancária, renda, histórico de pagamentos, endereço de IP
(Protocolo da Internet), entre outros.
Assim, a LGPD, que regulamenta o tratamento destes dados pessoais, traz em sua redação as
hipóteses em que eles podem ser tratados, e é o que veremos aqui.
Em todo o caminho que o dado percorre, desde sua coleta até sua eliminação, há algum tipo
de tratamento de dado, como: coleta, armazenamento, transferência, compartilhamento,
exclusão, enfim, tudo o que se pode fazer com um dado.
Agora que relembramos o que são dados pessoais e o que é tratamento de dados pessoais,
vamos falar das hipóteses que legitimam este tratamento.
As hipóteses nada mais são do que as bases legais que autorizam o tratamento dos dados.
Assim, para realizar qualquer atividade de tratamento de Dado Pessoal é fundamental
observar qual a base legal que permite tratá-lo.
A redação da Lei apresenta as hipóteses, conforme verão abaixo, e vamos explicá-las para seu
melhor entendimento:
4. Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais: Nesta hipótese o tratamento é valido para instituições públicas
e privadas com a finalidade de realizar estudos e/ou pesquisas cientificas, econômicas ou sociais, e
para tanto é preconizado que os dados utilizados sejam, sempre que possível, anonimizados,
impossibilitando a associação do dado ao indivíduo.
ATENÇÃO
Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados
pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
10. Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente: Nesta
hipótese, legitima-se o tratamento para atividades de aprovação de crédito e minimização de
riscos na transação, os dados pessoais podem ser consultados.
• Convicção religiosa;
• Opinião política;
• Dado biométrico.
É sempre necessário que se faça uma análise cuidadosa de modo a garantir quando este
dado poderá ser tratado, uma vez que hipóteses utilizadas para tratar dados comuns
podem não ser as mesmas que legitimam o tratamento de dados sensíveis e é disto que
vamos tratar.
Sendo assim, você poderá notar que o tratamento de dados pessoais sensíveis não pode
ser feito com base no legítimo interesse, execução de contrato e proteção ao crédito!
Esperamos que desta forma tenha ficado claro para você todas as hipóteses que
legitimam o tratamento de dados pessoais e de dados pessoais sensíveis.
A proteção de dados pessoais de crianças e adolescentes é um tema que ganha cada vez mais
importância diante do cenário que reflete a exacerbação do uso de tecnologias da informação
e comunicação por pessoas cada vez mais jovens.
A LGPD traz uma seção específica que aborda o tratamento de dados pessoais de crianças e
adolescentes, e, como não poderia ser diferente, estabelece medidas de proteção mais
cautelosas, especificando que deve ser realizado em seu melhor interesse, o que por si só já
denota a obrigatoriedade do cuidado, considerando a família, a sociedade e Estado.
Assim como nos demais casos de tratamento de dados que falamos, aqui também remete a
toda e qualquer operação que envolva, acesso, coleta, extração, transferência,
compartilhamento e eliminação de informações pessoais.
3. Poderão ser coletados dados pessoais de crianças sem o consentimento, quando a coleta for
necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem
armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro
sem o consentimento;
5. O controlador deve realizar todos os esforços razoáveis para verificar se o consentimento foi
dado pelo responsável pela criança, consideradas as tecnologias disponíveis;
Temos que enfatizar que, assim como nos demais pontos tratados neste módulo, todas
as operações de tratamento de dados, neste caso, a transferência internacional, deve
obrigatoriamente estar fundamentada na base legal, devendo esta ser registrada, visto
que implica em maiores riscos aos direitos dos titulares, quer seja proveniente da
distância e pela divergência de legislação dos diferentes países.
b) cláusulas-padrão contratuais;
Um colaborador do Banco XPTO, cuja agência está localizada em Bangladesh, realiza uma ligação
para o seu gestor, passando dados sobre investimentos e ativos de dois de seus clientes, pessoas
físicas brasileiras. Findada a ligação, o gestor registra e armazena os dados em seu computador no
sistema da agência em Bangladesh. Estará caracterizada a transferência internacional de dados.
Se você chegou até aqui, já entendeu que a LGPD permite o tratamento de dados
pessoais embasada em várias hipóteses e uma delas é o consentimento.
• Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula
destacada das demais cláusulas contratuais.
Notem que no item 2, aparece a figura do encarregado de tratamento de dados (DPO), que
também vimos o conceito no módulo anterior e reiteramos aqui:
• Encarregado de Tratamento de Dados (DPO): Pessoa física ou jurídica que atua como canal
de comunicação entre o controlador e os titulares dos dados e a autoridade nacional, quanto à
aplicação da lei para a proteção dos dados das pessoas físicas.
A Lei determina que o titular de dados tem direito de receber do controlador, em relação aos
dados por ele tratados, a qualquer tempo e mediante requerimento expresso do titular ou de
representante legalmente constituído:
6. Eliminação dos dados pessoais tratados com o consentimento do titular, exceto quando
autorizada a conservação de dados pessoais, conforme elencado abaixo:
b) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados
pessoais;
c) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados
dispostos na LGPD; ou
d) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os
dados.
7. Informação das entidades públicas e privadas com as quais o controlador realizou uso
compartilhado de dados;
• Comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o
agente; ou
• O requerimento deverá ser atendido sem custos para o titular, nos prazos e nos termos
previstos em regulamento.
• O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os
quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou
o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta
comunicação seja comprovadamente impossível ou implique esforço desproporcional.
Desta forma, podemos resumidamente afirmar que o titular de dados tem o direito de saber
se o controlador de seus dados faz qualquer tipo de tratamento, e neste caso, a resposta do
controlador também deve atender as prerrogativas legais, sendo realizada de forma imediata
e indicando como o dado foi coletado, os critérios utilizados e a finalidade do tratamento.
O titular também possui o direito de acesso aos dados pessoais tratados pelo controlador,
podendo receber cópia desses dados quando solicitado, além de poder requerer a alteração
dos dados pessoais tratados pelo controlador sempre que estiverem incompletos, inexatos ou
desatualizados. E ainda de poder solicitar a anonimização, o bloqueio ou a eliminação de
dados desnecessários, excessivos ou tratados pelo controlador em desconformidade com a
legislação.
Quando o assunto é portabilidade, o titular tem direito, por meio de requisição expressa, de
solicitar o compartilhamento dos dados tratados pelo controlador para outra instituição.
Também prevê a lei que, havendo a revogação do consentimento, pelo titular (possibilidade
prevista em lei), é um direito exigir a eliminação dos dados pessoais tratados, salvaguardados
os casos em que os dados por normativas legais devam ser mantidos. Assim, o titular tem o
direito de revogar o consentimento dado anteriormente e, para isso, o controlador deve ter
meios facilitados para o exercício deste direito.
O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados,
que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras
características previstas em regulamentação para o atendimento do princípio do livre acesso:
Caso haja alteração das informações transmitidas ao titular, o controlador deverá informar ao
titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos
em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Você já viu que a LGPD tem como uma das hipóteses, que legitima o tratamento de dados
pessoais, a proteção do crédito. Além disso já conheceu nesse módulo os direitos dos titulares
de dados pessoais.
Ao observar a Lei do Cadastro Positivo, você encontra sinergia com a LGPD, algumas delas
apresentadas abaixo:
I - Informações excessivas, assim consideradas aquelas que não estiverem vinculadas à análise
de risco de crédito ao consumidor; e
III - solicitar a impugnação de qualquer informação sobre ele erroneamente anotada em banco
de dados e ter, em até 10 (dez) dias, sua correção ou seu cancelamento em todos os bancos de
dados que compartilharam a informação;
II - Indicação das fontes relativas às informações de que trata o inciso I, incluindo endereço e
telefone para contato;
III - Indicação dos gestores de bancos de dados com os quais as informações foram
compartilhadas;
IV - Indicação de todos os consulentes que tiveram acesso a qualquer informação sobre ele nos
6 (seis) meses anteriores à solicitação
V - Cópia de texto com o sumário dos seus direitos, definidos em lei ou em normas infralegais
pertinentes à sua relação com gestores, bem como a lista dos órgãos governamentais aos
quais poderá ele recorrer, caso considere que esses direitos foram infringidos; e
VII - ter os seus dados pessoais utilizados somente de acordo com a finalidade para a qual eles
foram coletados.
Os dados pessoais dos clientes são tratados com o devido
sigilo? Os documentos com os dados pessoais dos clientes
estão seguros?
Sabemos hoje que os dados são um dos ativos mais preciosos e valiosos de uma empresa e,
como muitos dizem, são o novo petróleo.
Deste modo, considerando o cenário atual e as especificações legais, a cada dia se torna mais
essencial, oferecer às pessoas um ambiente seguro para que entreguem as suas informações.
No caso de ocorrência de incidente de segurança, que possa ocasionar risco ou dano ao titular,
é previsto na LGPD que o controlador deve comunicar à Autoridade Nacional de Proteção de
Dados Pessoais (ANPD) e ao titular de dados, em prazo razoável ou os motivos da demora, no
caso de a comunicação não ter sido imediata, o fato, considerando:
Assim, conforme definição da Lei, ficam as diretrizes norteadoras para estes quesitos de
governança e boas práticas:
Observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos
dados tratados, a probabilidade e a gravidade dos danos para os titulares dos dados, o
controlador, poderá implementar e demonstrar a efetividade do programa de governança em
privacidade que, no mínimo:
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação
transparente e que assegure mecanismos de participação do titular;
Dessa forma, enfatizamos que as organizações devem coletar o mínimo de dados e apenas o
necessário justificado sempre por sua finalidade e podem ter como norteador os princípios de
privacy by design e privacy by default, garantindo a segurança e privacidade dos dados do
início ao fim.
A Autoridade Nacional de Proteção de Dados (ANPD) foi criada pela Lei nº 13.853/19 e passou
a funcionar em novembro de 2020, com autonomia técnica e decisória.
Dentre as principais competências da ANPD, podemos citar:
Como você pôde observar, o órgão vai muito além de fiscalização e aplicação de punições.
Servirá para orientar as pessoas e empresas.
Ao enfatizar as principais competências da ANPD, mencionamos as sanções previstas na LGPD
em caso de não cumprimento da legislação por parte do controlador ou operador, abaixo as
sanções a que estão sujeitos:
Para as aplicações das sanções, se faz necessária a análise criteriosa das diversas circunstâncias
da infração, conforme abaixo:
É muito importante, nesse contexto, entender também as responsabilidades sobre
ressarcimento de danos com efetiva indenização ao titular dos dados, aos quais tanto o
controlador quanto o operador de dados pessoais estão expostos, no caso de causarem dano
patrimonial, moral, individual ou coletivo em razão de violação da LGPD.
1. Introdução à LGPD
Esperamos que tenha observado a relevância dos fundamentos e princípios da lei, além da
adoção de todas as medidas de segurança e proteção dos dados pessoais nela contida, que
contribuem para a minimização de danos no caso de qualquer incidente com o tratamento do
dado, como por exemplo:
• Acesso indevido
• Vazamentos
• Golpes
• Violação da Privacidade
Jamais se esqueça que os “donos” (titulares) dos dados pessoais possuem uma série de
direitos prescritos na lei que devem ser cumpridos sob pena de sanções administrativas. Ah! E
claro...assim como você, em pouco tempo todos os cidadãos entenderam a LGPD e
reivindicarão seus direitos, então se antecipe!
2) A LGPD prevê que o controlador deve comunicar à Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e ao titular de
dados os casos de ocorrência de incidente de segurança, que possam ocasionar risco ou dano ao titular. Em relação a esta
comunicação, assinale a alternativa incorreta:
3) O cliente de um correspondente bancário, muito bravo, pergunta ao correspondente como faz para excluir os dados pessoais, pois
conhece a LGPD e não entendeu porque ele pediu informações sobre partido político e religião. Qual seria a conduta correta do
correspondente?
• 2) Informar o contato responsável pelo tratamento de dados pessoais para que ele
possa requerer a exclusão, uma vez que por já ter enviado a documentação, não poderia
excluir.
• 3) Dizer que o cliente tem razão, não precisaria ter pedido essas informações e que
o cliente pode ficar tranquilo que não acarretará problema algum na aprovação, vez que
as informações são apenas para formar um banco de dados que melhor atenda às
necessidades dos clientes.
• 4) No mínimo se desculpar e informar que uma vez que os dados já foram
imputados no sistema, não há como exclui-los.
4) A Lei Geral de Proteção de Dados Pessoais faz distinção entre dados pessoais e dados pessoais sensíveis. Assinale um tipo de dado
que não se enquadra na categoria de dados sensíveis.
• 1) Convicção religiosa.
• 2) Dados biométricos.
• 3) Data de nascimento.
• 4) Filiação a sindicatos.
6) O titular dos dados pessoais tem direito à confirmação de existência ou acesso aos dados, mediante requisição. Como deve ser
atendida a requisição do titular?
7) Um profissional autônomo que presta serviços de manutenção elétrica em domicílio, para várias empresas da construção civil, é
agente de tratamento conforme a LGPD?
• 1) Sim, pois ele recebe das empresas para as quais trabalha dados pessoais como
nome completo, endereço e telefone do domicílio onde vai prestar serviço.
• 2) Sim, pois ele representa no momento do serviço a empresa para qual trabalha e
pode danificar algo no domicílio.
• 3) Não, pois ele apenas presta o serviço em nome da empresa para qual trabalha,
que é a controladora dos dados pessoais.
• 4) Não, pois ele não tem vínculo algum com as empresas para as quais trabalha,
considerando que é autônomo.
8) De acordo com a LGPD, qualquer instituição que intervenha em uma das fases do tratamento de dados pessoais obriga-se a
garantir a segurança da informação desses dados, mesmo após o término do tratamento. Em relação a esta afirmativa podemos
afirmar que:
• 2) Está parcialmente correta, visto que não há que se falar em obrigação até o
término de tratamento
• 3) Está incorreta, pois a responsabilidade é do controlador dos dados pessoais.
• 4) Nenhuma das alternativas anteriores está correta.
9) Um correspondente recebe da Instituição Financeira para a qual trabalha um procedimento para atendimento ao cliente, com
novas regras sobre a LGPD. Assinale a resposta correta:
10) Para cumprir o princípio de livre acesso, o titular dos dados pessoais tem direito, por exemplo a:
13) O correspondente, que trabalha com seu notebook pessoal para a instituição financeira XPTO, abriu uma mensagem com vírus e
simplesmente apagou todos os arquivos que tinha, inclusive o dos dados pessoais dos clientes. Qual a postura correta do
correspondente frente a essa situação:
• 1) Fica aliviado porque ele tem um pen drive com as informações do cliente e,
portanto, não as perdeu o que seria um problema para LGPD.
• 2) Fica preocupado em razão da LGPD e informa imediatamente o responsável na
instituição financeira, para avaliarem a criticidade da situação.
• 3) Fica desesperado, uma vez que pode ser responsabilizado pela perda dos dados
do notebook e abre um chamado da ANPD.
• 4) Nenhuma das posturas acima está correta.
17) Quando há dano patrimonial, moral, individual ou coletivo em razão da violação da LGPD, quem responde pela indenização ao
titular de dados?