LGPD

1. DISPOSIÇÕES GERAIS:

1.1 OBJETIVO:

Proteção dos dados pessoais de pessoas naturais (pessoas físicas), tanto dados físicos ou
eletrônicos.
Com o objetivo proteger:
1.1.1 Direitos fundamentais de liberdade:
1.1.2. Direitos fundamentais de privacidade:
1.1.3. Livre desenvolvimento da personalidade da pessoa natural:

1.2 APLICAÇÃO:

tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou
privado.
1.2.1. pessoa natural
1.2.2. Empresas privadas;
1.2.3. empresas publicas:
1.2.4. profissionais liberais:
1.2.5. Órgãos do poder público;
1.2.6. Organizações da Sociedade Civil de Interesse Público;
1.2.7. Instituições filantrópicas
1.2.8 Fundações;
1.2.9 Empresas de fora do país
1. 2.9.1 se o tratamento dos dados for realizado em território nacional:
1.2.9.2. for ofertado para oferecer bens ou serviços no território nacional
1.2.9.3. se os dados forem coletados em território nacional.

1.3. EXCEÇÃO – NÃO SE APLICA

1.3.1 realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
1.3.2 realizado para fins exclusivamente:
a) jornalístico
b) artísticos;
c) realizado para fins exclusivamente acadêmicos;
1.3.3 realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
1.3.4. provenientes de fora do território nacional e que não sejam objeto de comunicação, uso
compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência
internacional de dados com outro país que não o de proveniência, desde que o país de
proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
2. CONCEITO:

2.1. PESSOA NATURAL:

-Toda pessoa física.
- não está prevista no escopo da lei a proteção de informação de pessoa jurídica;

2.2. DADOS PESSOAIS:

a) cadastro de funcionários;
b) cadastro de terceiros;
c) cadastro de clientes;
d) endereços com geolozalização;
e) dados financeiros;
f) dados de consumo;
g) profissão* (desde que se consiga identificar o individuo);
h) qualquer dado que possa ser considerado dado pessoal e que possa identificar o indivíduo;

2.3. DADOS SENSÍVEIS:

a) origem étnica ou racial;
b) convicção religiosa;
c) opinião política;
d) filiação sindical;
e) dados de saúde;
f) vida sexual;
g) genética ou biometria

2.4. ANONIMIZADO: (fora da aplicação da lei)

- quando o titular não possa ser identificado;
- o processo não pode ser reversível;
- não é um processo fácil e precisa ter muita cautela principalmente do tamanho da amostra.

2.5. TRATAMENTO:
- toda operação realizada com dados pessoais de pessoa física;
a) coleta;
b) produção;
c) recepção;
d) utilização;
e) transmissão;
f) arquivamento;
g) eliminação;

3. PARTES ENVOLVIDAS

3.1. AGENCIA NACIONAL DE PROTEÇÃO DE DADOS - ANPD

3.1.1. REGULAMENTAÇÃO
3.1.2. MONITORAMENTO
3.1.3. FISCALIZAÇÃO
3.1.4. ORIENTAÇÃO
3.1.5. PREVENÇÃO
3.1.6. REPRESSÃO

3.2. TITULAR

Pessoa física a quem se referem os dados pessoais

3.3. AGENTES DE TRATAMENTO

3.3.1 CONTROLADOR
Controlador: quem toma as decisões referentes ao tratamento dos dados pessoais;

3.3.2. OPERADOR
Operador: quem realiza o tratamento dos dados pessoais em nome do controlador.

*Por exemplo, se uma empresa terceiriza sua folha de pagamento, ela envia dados pessoais de
seus funcionários para o prestador de serviços. A primeira é a controladora dos dados pessoais
de seus funcionários. É ela quem decide como os dados pessoais serão tratados. Já a segunda é
a operadora, ela irá processar a folha de pagamento a pedido do controlador. A importância
dessa definição é por conta da responsabilidade dos agentes de tratamento. A LGPD determina
que o controlador, o operador que em razão do exercício de sua atividade causar dano será
obrigado a repara-lo. O operador responde solidariamente junto ao controlador quando
descumprir a LGPD ou quando não tiver seguido as orientações do controlador. Já o
controlador que estiver diretamente envolvido e atividade de tratamento que causar danos
aos titulares, serão solidariamente responsáveis. Assim, caso o operador em conformidade
com a LGPD e atenda rigorosamente as determinações do controlador, ele não será
responsabilizado solidariamente por eventuais danos causados pelo controlador. Da mesma
forma, o controlador que não participe do tratamento do qual decorram danos aos titulares
não será solidariamente responsável por danos causados. Por isso recomendamos que tenha
contratualmente uma definição clara das atribuições de cada parte e das limitações de
responsabilidade.

3.4. ENCARREGADO - DATA PROTECTION OFFICER – DPO

Também temos a figura do encarregado, conhecido pelo nome dado na Europa, pela GDPR,
que é o data protection officer – DPO. No conceito é a pessoa indicado pelo controlador e o
operador para atuar como um canal de comunicação entre o controlador, os titulares dos
dados e ANPD. NO primeiro texto da lei estava indicado que deveria ser uma pessoa natural,
uma pessoa física, mas o texto foi alterado para tirar essa obrigatoriedade e permitir que as
empresas possam ter um DPO terceirizado, conhecido como “DPO as a Service”. É o DPO que
será responsável pelo atendimento dos pedidos dos titulares, por receber orientações da
ANPD e orientar os funcionários e contratados da empresa a respeito de praticas a serem
tomadas em relação à proteção de dados pessoais. Da forma como está redigido o texto da lei
hoje entende-se que todas as empresas devem ter hoje um DPO, mas a NPD poderá
estabelecer normas complementares sob a definição e atribuições do DPO, inclusive hipóteses
de dispensa de acordo com o porte da entidade ou o volume das operações de tratamento de
dados como ocorre na Europa.

4. PRINCÍPIOS

4.1. FINALIDADE:
Os dados pessoais somente poderão ser tratados para propósitos legítimos, específicos e
explícitos, informados ao titular;

4.2. ADEQUAÇÃO:
O tratamento dos dados deve ser compatível com as finalidades informadas ao titular;

4.3. TRANSPARÊNCIA:
Os titulares devem receber informações claras, precisas e facilmente acessíveis sobre a
realização do tratamento. Isso quer dizer que as empresas devem informar aos titulares
exatamente tudo o que elas irão fazer com os dados pessoais não poderão utilizar os dados de
incompatível com aquela finalidade que foi informada ao titular.
Teve um caso de fiscalização pelo Ministério Publico, de uma grande empresa varejista que
abriu processo seletivo e vários candidatos receberam posteriormente um cartão de crédito de
uma empresa do grupo. Houve um claro desvio de finalidade, vendo os três princípios aqui
comentados.

4.4. NECESSIDADE:
O tratamento dos dados deve ser limitado mínimo necessário para a realização de suas
finalidades. É bem diferente da nossa realidade hoje, a cultura das empresas é coletar o
máximo de informação possível e isso deve mudar.

4.5. LIVRE ACESSO:

Os titulares poderão consultar de maneira facilitada e gratuita sobre a forma e a duração do
tratamento dos seus dados. Nós vamos ver na parte do direito dos titulares, que as empresas
precisarão se preparar para esta e outras demandas dos titulares de dados.

4.6. QUALIDADE DOS DADOS:

Que é a garantia aos titulares da exatidão, clareza, relevância e atualização.

4.7. SEGURANÇA:
as empresas deverão utilizar medidas técnicas e administrativas para proteger os dados
pessoais;

4.8. PREVENÇÃO:
As empresas deverão adotar medidas preventivas contra a ocorrência de eventuais danos
decorrentes do tratamento de dados pessoais;
4.9. NÃO DISCRIMINAÇÃO:
trata da proibição de tratamento para fins discriminatórios, ilícitos ou abusivos;

4.10. RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS:

Famoso accountability está relacionado a capacidade dos agentes de tratamento a demonstrar
que estão adotando medidas eficazes e capaz de comprovar a observância e o cumprimento
da LGPD;

5. REQUISITOS (BASES) LEGAIS

A LGPD elenca 10 requisitos legais para o tratamento dos dados pessoais, ou seja, a empresa
só pode tratar dados pessoais se ela tiver pelo menos 1 desses requisitos que são chamados na
LGPD de bases legais. Seja qual for a base legal para o tratamento de dados essa decisão deve
ser devidamente registrada e documentada pelo controlador e o operador de dados.

5.1. CONSENTIMENTO DO TITULAR DE DADOS PESSOAIS:

O consentimento é definido pela PGPD como a manifestação livre, informada e inequívoca do
titular. Isso quer dizer que não mais vai poder ter aquela caixinha praticada, nem informações
genéricas, No caso de dados pessoais sensíveis, o consentimento deverá ser fornecida de
maneira específica para aquela finalidade determinada e também deve ser feito isso de forma
destacada. Por isso, se a Empresa coleta o consentimento para tratar dados pessoais, ela
precisa rever os seus termos para ter certeza que eles estão de acordo com a LGPD.

5.2. CUMPRIMENTO DE OBRIGAÇÃO LEGAL OU REGULATÓRIA DO CONTROLADOR:

muitas empresas traçam determinados dados de funcionários por uma obrigação legal ou
regulatória e, portanto irão utilizar essa hipótese para legitimar o tratamento de dados;

5.3. EXECUÇÃO DE POLÍTICAS PÚBLICAS:

é o tratamento de dados pela administração pública para implementação de políticas
públicas:

5.4. REALIZAÇÃO DE ESTUDOS POR ÓRGÃOS DE PESQUISAS:

aqui o cuidado na LGPD, se a empresa for privada só pode ser sem fins lucrativos;

5.5. EXECUÇÃO DE UM CONTRATO ou EXERCÍCIO REGULAR DE DIREITOS EM PROCESSO

JUDICIAL, ADMINISTRATIVO OU ARBITRAL:

5.6. PARA PROTEÇÃO DA VIDA:

5.7. INCOLUMIDADE FÍSICA:

5.8. PARA TUTELA DA SAÚDE COM PROCEDIMENTO REALIZADO POR PROFISSIONAIS DA

SAÚDE, SERVIÇOS DE SAÚDE OU POR ENTIDADES SANITÁRIAS:
5.9. PROTEÇÃO DO CRÉDITO:
ela ficou assim, bem subjetiva, mas na prática vemos a aplicação dela principalmente pelo
setor financeiro para analise de crédito.

5.10. LEGÍTIMO INTERESSE:

de acordo com a LGPD o legítimo interesse do controlador só pode ser utilizado para
finalidades legítimas e situações concretas. E a Lei traz exemplos, como o apoio a promoção de
atividades do controlador e a proteção em relação ao titular de dados, do exercício dos seus
direitos ou para prestação de serviços que sejam benéficos ao titular. Não existe uma regra das
situações onde é cabível legítimo interesse, existe bastante discussão em relação a isso
inclusive na europa, já que também é uma base legal que existe na GDPR. Na prática
costumamos ver a sua utilização para fins de marketing direto, prevenir fraudes, para garantir
a segurança da rede e da informação no sistema de TI e comunicação.

6. DIREITO DOS TITULARES

a LGPD deixa claro que os dados pertencem ao titular que ele se refere. E não as empresas.
Dentro dos direitos assegurados na LGPD, temos:

6.1. DIREITO DE ACESSO

6.2. CORREÇÃO
6.3. CONFIRMAÇÃO DA EXISTÊNCIA DO TRATAMENTO
6.4. INFORMAÇÃO DE COMPARTILHAMENTO
O titular vai pode procurar a empresa pelo canal que a empresa disponibilizará para
atendimento dessas demandadas e questionar quais dados que a empresa trata dele, se a
empresa trata dados dele e pra que finalidade com quem a empresa compartilha ou já
compartilhou os dados e pedir uma cópia das informações , claro que resguardado o segredo
comercial e industrial.
6.5. DIREITO DE ELIMINAÇÃO
6.6. BLOQUEIO DOS DADOS
6.7. REVOGAR O CONSENTIMENTO FORNECIDO
6.8. DIREITO DE PORTABILIDADE DE DADOS PESSOAIS A OUTRO FORNECEDOR DE SERVIÇO
OU PRODUTO:
O titular de dados pode solicitar que a empresa forneça os seus dados ao concorrente, por
exemplo.
6.9. DIREITO DE SOLICITAR REVISÕES DE DECISÕES AUTOMATIZADAS:
ou seja decisões tomadas unicamente com a base de tratamento automatizado de dados
pessoais muito utilizado pelas empresas para avaliações de crédito, recrutamento e seleção e
seguros.

O TITULAR PODE EXIGIR:

 Pode ligar na empresa e saber se a empresa tem dados pessoais dele armazenado
 Pra que que utiliza os dados
 Com quem a empresa compartilha
 Quer ter acesso aos dados pessoais e informações
 Requerer a revogação do consentimento
 Informações sobre a negativa de consentimento
 Pedir para corrigir um dado
 Exigir a portabilidade dos dados a outra empresa
 Rever Decisão automatizada (ex. concessão de crédito num banco por um sistema
automatizado)
 Requere que seja o dado anonimizado ou eliminado