Escolar Documentos
Profissional Documentos
Cultura Documentos
1
XI - solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais
informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade
de emitir parecer técnico complementar para garantir o cumprimento desta Lei;
XII - elaborar relatórios de gestão anuais acerca de suas atividades;
XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de
impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais
de proteção de dados pessoais previstos nesta Lei;
XIV - ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades
e planejamento;
XV - arrecadar e aplicar suas receitas e publicar, no relatório de gestão a que se refere o inciso XII do caput deste artigo, o
detalhamento de suas receitas e despesas;
XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a
devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes
de tratamento, incluído o poder público;
XVII - celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica
ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de
setembro de 1942;
XVIII - editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que
microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se
autodeclarem startups ou empresas de inovação, possam adequar-se a esta Lei;
XIX - garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu
entendimento, nos termos desta Lei e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
XX - deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os
casos omissos;
XXI - comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
XXII - comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da
administração pública federal;
XXIII - articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de
atividades econômicas e governamentais sujeitas à regulação; e
XXIV - implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o
tratamento de dados pessoais em desconformidade com esta Lei.
A empresa DLA Piper mantém o site “Data Protection Laws of the World” (https://www.dlapiperdataprotection.com/), que
atribui a cada país um indicador de “Regulation & Enforcement” em quatro graus em ordem decrescente (Heavy, Robust,
Moderate, Limited), constitui um elemento de consolidação muito útil na comparação de leis de proteção de dados no mundo.
Além de permitir acesso a um resumo da situação legal de cada país e permitir comparações entre países, o site também mostra
a situação de todos os países em conjunto, identificando o respectivo grau de Regulation & Enforcement em 4 cores: Heavy:
vermelho, Robust: rosa, Moderate: amarelo e Limited: verde. O mapa de cores junho/2022 mostrava o Brasil como Moderate,
enquanto outros 10 países selecionados tinham os seguintes graus: Heavy: Canadá, China, Dinamarca, EUA, França, Reino
Unido; Robust: Argentina, Japão; Moderate: Chile; Limited: Índia.
A Medida Provisória Nº 1.124, de 13 de junho de 2022, que “Altera a Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de
Proteção de dados Pessoais, transforma a Autoridade Nacional de Proteção de Dados em autarquia de natureza especial e
transforma cargos em comissão.” estabelece, em seu Art. 7º, que a Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar
com as seguintes alterações:
“Art. 55-A. Fica criada a Autoridade Nacional de Proteção de Dados – ANPD, autarquia de natureza especial, dotada de
autonomia técnica e decisória, com patrimônio próprio e foro no Distrito Federal.”
“Art. 55-C. .....
.......................
V – Procuradoria; e
.......................”
Em seu Art. 8º, a MP Nº 1.124 dispõe que o Art. 2º Lei nº 13.844, de 2019, que lista os órgãos que integram a Presidência da
República, passa a vigorar com as seguintes alterações:
2
“Art. 8º A Lei nº 13.844, de 18 de junho de 2019, passa a vigorar com as seguintes alterações:
Art. 60. .....
.................
VI – a Autoridade Nacional de Proteção de Dados – ANPD, até 31 de dezembro de 2026.
...”.
Assim, caso a MP Nº 1.124 seja aprovada como originalmente enviada, a partir de 01/01/2027 a ANPD deixará de integrar a
Presidência da República, passando a ser uma autarquia especial.
Os fundamentos da proteção de dados pessoais listados no Art. 2º da LGPD constituem os direcionadores básicos para definir
concentrações iniciais para “Proteção de Dados Pessoais”:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor;
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas
naturais.
De acordo com aspectos (i) Intrapessoais (Intrapersonal, pessoa com a própria pessoa-person to himself/herself); (ii)
InterpessoalSainte (InterpersonalInOut, pessoa para o ambiente-person to environment); (iii) InterpessoalEntrante
(InterpersonalOutIn, ambiente para a pessoa-environment to person); e (iv) Extrapessoais (Extrapersonal, ambiente com o
ambiente-environment to environment), os Fundamentos da LGPD podem ser categorizados de acordo com: (i)
Intrapessoais/Intrapersonal: II; (ii) InterpessoaisSaintes/InterpersonalInOut: III, VII; (iii) Interpessoais/InterpersonalOutIn: I,
IV; e (iv) Extrapessoais/Extrapersonal: V, VI.
Levando em conta essa categorização, a Figura AO6.1 contempla 4 concentrações iniciais para “Proteção de Dados Pessoais”:
(i) Intrapessoais-Intrapersonal: Consentimento-Consent; (ii) InterpessoalEntrante-InterpersonalOutIn: SegurançaEntrante-
SecurityOutIn; (iii) InterpessoalSainte-InterpersonaInOut: SegurançaSainte-SecurityInOut; e (iv) Extrapessoais-
Extrapersonal: Fiscalização-Surveillance.
CONCENTRAÇÕES PARA PROTEÇÃO À PRIVACIDADE COM BASE NOS 7 FUNDAMENTOS DA LGPD
ASPECTO DE
CONCENTRAÇÃO FUNDAMENTOS DA LGPD
RELACIONAMENTO PESSOAL
INTRAPESSOAL
CONSENTIMENTO PESSOAL II-A AUTODETERMINAÇÃO INFORMATIVA
PESSOA↔PRÓPRIA PESSOA
III-A LIBERDADE DE EXPRESSÃO, DE
INFORMAÇÃO, DE COMUNICAÇÃO E DE
OPINIÃO
INTERPESSOAL SAINTE
VII-OS DIREITOS HUMANOS, O LIVRE
PESSOA→AMBIENTE
INTERAÇÃO VIA DADOS DESENVOLVIMENTO DA PERSONALIDADE,
SER HUMANO/MÁQUINA A DIGNIDADE E O EXERCÍCIO DA
CIDADANIA PELAS PESSOAS NATURAIS
I-O RESPEITO À PRIVACIDADE
INTERPESSOAL ENTRANTE
IV-A INVIOLABILIDADE DA INTIMIDADE,
AMBIENTE→PESSOA
DA HONRA E DA IMAGEM
V-O DESENVOLVIMENTO ECONÔMICO E
TECNOLÓGICO E A INOVAÇÃO
EXTRAPESSOAL
FISCALIZAÇÃO VI-A LIVRE INICIATIVA, A LIVRE
AMBIENTE↔AMBIENTE
CONCORRÊNCIA E A DEFESA DO
CONSUMIDOR
FIGURA AO6.1–CONCENTRAÇÕES PARA PROTEÇÃO DE DADOS PESSOAIS
Ainda em relação à LGPD, vale salientar os seguintes conceitos:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a
sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético
ou biométrico, quando vinculado a uma pessoa natural;
3
III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos
razoáveis e disponíveis na ocasião de seu tratamento;
IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou vários locais, em suporte eletrônico
ou físico;
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao
tratamento de dados pessoais;
VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em
nome do controlador;
VIII – encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e
os titulares e a autoridade nacional;
IX – agentes de tratamento: o controlador e o operador;
AO6.2–PROTEÇÃO DADOS PESSOAIS UNIÃO EUROPEIA: GENERAL DATA PROTECTION REGULATION–GDPR
A Figura AO6.2 apresenta as concentrações para Proteção à Privacidade segundo os aspectos de processamento de dados, de
acordo com os Principles do Article 5 da General Data Protection Regulation – GDPR, da União Europeia.
4
CONCENTRATIONS FOR PRIVACY PROTECTION: FOCUS ON GDPR DATA PROCESSING
5
(5) ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be
attributed to a specific data subject without the use of additional information, provided that such additional information is
kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed
to an identified or identifiable natural person;
(6) ‘filing system’ means any structured set of personal data which are accessible accoding to specific criteria, whether
centralised, decentralised or dispersed on a functional or geographical basis;
(7) ‘controller’ means the natural or legal person, public authority, agency, or other body which, alone or jointly with others,
determines the purposes and means of the processing of personal data; where the purposes and means of such processing
are determined by Union or Member State Law, the controller or the specific criteria for its nomination may be provided for
by Union or Member State law;
(8) ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on
behalf of the controller;
(9) ‘recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are
disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a
particular inquiry in accodance with Union or Member State law shall not be regarded as recipients; the processing of those
data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes
of the processing;
(10) ‘third party’ means a natural or legal person, public authority, agency or body other than the data subject, controller,
processor and persons who, under the direct authority of the controller or processor, are authorised to process personal
data;
(16) ‘main establishment’ means:
(a) as regards a controller with establishments in more than one Member State, the place of its central administration
in the Union, unless the decisons on the purposes and means of the processing of personal data are taken in another
establishment of the controller in the Union and the later establishment has the power to have such decisions
implemented, in which case the establishment having taken such decisions is to be considered to be the main
establishment;
(b) as regards a controller with establishments in more than one Member State, the place of its central administration
in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the
Union where the main processing activities in the contexto of the activities of an establishment of the processor take
place to the extent that the processor is subject to specific obligations under this Regulation;
(17) ‘representative’ means a natural or legal person established in the Union who, designated by the controller or processor
in writing pursuant to Article 27, represents the controller or processor with regard to tjeir respective obligations under this
Regulation;
(18) ‘enterprise’ means a natural or legal person engaged in an economic activity, irrespective of its legal form, including
partnerships or assciations regularly engaged in an economic activity;
(19) ‘group of undertakings’ means a controlling undertaking and its controlled undertakings;
(20) ‘binding corporate rules’ means personal data protection policies which are adhered to by a controller or processor
established on he territory of a Member State for transfers or a set of transfers of personal data to a controller or processor
in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity;
(21) ‘supervisory authority’ means an independente public authority which is established by a Member State pursuant to
Article 51;
(22) ‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal
data because:
(a) the controller or processor is established on the territory of the Member State of that supervisory aythority;
(b) data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be
substantially affected by the processing; or
(c) a complaint has been lodged with that supervisory authority;
(26) ‘international organization’ means an organization and its subordinate bodies governed by public international law, or
any other body which is set up by, or an agreement between two or more countries.
AO6.3–PROTEÇÃO DE DADOS PESSOAIS EUA: FAIR INFORMATION PRACTICE PRINCIPLES–FIPPs
Apesar de a maioria dos estados ter legislação em Privacidade de Dados Pessoais, em alguns até bastante avançadas, não existe
uma lei federal específica sobre o assunto. Daí decorre a força de conceitos contidos em regulamentos federais, como os “Fair
6
Information Practice Principles – FIPPs”, descritos nas páginas 112 e 113 do Appendix II da Circular A130 – Managing
Information as a Strategic Resource, do Office of Management and Budget (OMB). Conforme a Figura AO6.3 as concentrações
de Proteção à Privacidade podem ser segmentadas segundo os títulos das FIPPs.
CONCENTRATIONS FOR PRIVACY PROTECTION: FOCUS ON FAIR INFORMATION PRACTICE PRINCIPLES - FIPPs
CONCENTRATION FIPP TITLE FIPP DESCRIPTION (OMB CIRCULAR A-130, APPENDIX II, PP. II2-II3)
AGENCIES SHOULD INVOLVE THE INDIVIDUAL IN THE PROCESS OF USING PII AND, TO
THE EXTENT PRACTICABLE, SEEK INDIVIDUAL CONSENT FOR THE CREATION,
(f) INDIVIDUAL
COLLECTION, USE, PROCESSING, STORAGE, MAINTENANCE, DISSEMINATION, OR
ROLES OF PARTICIPATION DISCLOSURE OF PII. AGENCIES SHOULD ALSO ESTABLISH PROCEDURES TO RECEIVE
INDIVIDUALS AND ADDRESS INDIVIDUALS' PRIVACY-RELATED COMPLAINTS AND INQUIRIES.
(AUTHENTICATION)
AGENCIES SHOULD PROVIDE INDIVIDUALS WITH APPROPRIATE ACCESS TO
(a) ACCESS AND
PERSONALLY IDENTIFIABLE INFORMATION AND APPROPRIATE OPPORTUNITY TO
AMENDMENT CORRECT OR AMEND PII.