Professora Selma Carloto

Lei Geral de Proteção de Dados

Instagram @selmacarloto
f
 ORIGEM DA PROTEÇÃO DE DADOS - EUROPA
The Right to
Privacy Diretiva UE
Diretiva 2020/518
Louis D. Convenção Tratado de Carta dos
2002/58CE
utilização de
Maastricht Direitos tecnologias e
Brandei Europeia sobre Privacidade dados para
Princípio da Fundamentai
Samuel D. Direitos Comunicaçõ combater a
Subsidiariedade e da s da União
es crise da COVID-
Warren Humanos Proporcionalidade Européia
Eletrônicas 19

1890 1948 1950 1981 1992 1995 2002 2016 2020

Declaração Convenção Proteção

no tratamento Diretiva GDPR General
Diretiva UE 2016/680
Universal dos Cooperação judiciário e
automatizado de 95/46/CE Data Protection
Direitos dados de caráter Regulation polícia para assuntos
Privacidade Regulamento criminais. Respeito ao
Humanos pessoal
Geral de tratamento de dados
Proteção de pessoais pelas autoridades
Dados
competentes
 Vigência LGPD- 13.709/2018
Datas de vigência ARTIGOS DA LGPD

28 de dezembro de 2018 Arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B-
constituição da Autoridade Nacional de Proteção de Dados e do Conselho Nacional de
Proteção de Dados Pessoais e da Privacidade. (13853)

18 de setembro de 2020 Demais artigos menos as sanções administrativas e os artigos do quadro anterior, de
constituição da ANPD e CNPD.

1o de agosto de 2021 Arts. 52, 53 e 54, que tratam das sanções administrativas. (14.010)
Proteção de Dados Garantia e Direito Fundamental
• APLICAR A QUALQUER ATIVIDADE DE TRATAMENTO:

• Sempre informar a finalidade de cada tratamento antes da coleta.-

Princípio da transparência.

• Apenas tratar dados necessários para cada finalidade- Privacy by

default (segurança por padrão)- Segurança, necessidade e finalidade.-

• Garantir segurança da informação desde a coleta e em todo ciclo de

vida do dados.- Privacy by design- (segurança desde a concepção)-
Princípio da segurança e prevenção.

• 10 princípios concomitantemente
• + 10 bases legitimadoras de tratamento- escolhemos uma ou mais
 SANÇÕES ESTABELECIDAS NO ART. 52 DA LGPD
PO R I NF RAÇÃO

Até 2% do faturamento
2% R$50 milhões
Multa de até 2% do faturamento do
seu último exercício, excluídos os Valor limite
tributos As multas são aplicadas por infração
Das Sanções Administrativas – Lei 13709/2018
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam
sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou
conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00
(cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
Uma cooperativa foi condenada, recentemente, a aplicar a nova legislação em sua
empresa para a proteção de dados de funcionários, com prazo de 90 dias, sob pena de
multa diária de R$ 1 mil.

A decisão é um marco para a justiça do trabalho, já que foi a primeira favorável em 12

ações civis públicas ajuizadas pelo Sindicato dos Trabalhadores nas Indústrias da
Alimentação de Montenegro e Região, no Rio Grande do Sul.

Até o momento, das 12 ações civis públicas ajuizadas pelo sindicato, há apenas duas
sentenças beneficiando empregadores, uma vez que teriam comprovado em juízo que já
fizeram adaptações necessárias.

No caso da Cooperativa, o Sindicato representante alega descumprimento sistemático na

proteção de dados e o compartilhamento de informações, sem os cuidados exigidos pela
Lei. Ainda argumenta que o tratamento de dados é compartilhado pela internet, e está
em desarmonia com o Marco Civil da Internet (Lei nº 12.965/14), ao não observar o
respeito à intimidade e à privacidade, além disso, o sindicato também pede indenização
por danos morais.
De acordo com a decisão da juíza do caso, a cooperativa não “demonstrou por
nenhum meio a implementação de um único dispositivo da LGPD”. Logo, exigiu que
a organização implemente e comprove nos autos as práticas relacionadas à
segurança e sigilo de dados, sob pena de multa, indicando também um
encarregado, o DPO.

Após o exposto neste caso, vale lembrar que a utilização da LGPD segue durante
toda vigência do contrato de trabalho e após a rescisão, considerando a finalidade
do tratamento de tais dados pessoais, os prazos de retenção obrigatória por lei dos
mesmos e política de eliminação pela empresa.

A lei assegura que o empregador respeite o direito dos titulares dos dados, como a
confirmação da existência de tratamento dos dados; acesso aos dados; correção;
anonimização; portabilidade; eliminação; consentimento, quando aplicável, e
revogação do consentimento. Portanto, é imprescindível que a empresa comece a
adequação à LGPD, uma vez que são processos que envolvem a empresa como um
todo.
Empresa divulga celular de empregada em seu site e é condenada com base na LGPD

26 de dezembro de 2021
A inserção do número de telefone do empregado no site da empresa, sem prova inequívoca de sua
autorização, implica divulgação de dado pessoal, que afronta sua vida privada. Com esse entendimento,
amparado na Constituição e na Lei Geral de Proteção de Dados (LGPD),
o Tribunal Regional do Trabalho da 3ª Região condenou uma empresa a indenizar em R$ 5 mil, por danos
morais, uma empregada cujo número de telefone foi divulgado no sítio eletrônico da empregadora.

A reclamante trabalhava em uma loja de chocolates, que usava o número de celular da ex-empregada
como se fosse o contato oficial do estabelecimento.
Em primeira instância, a indenização foi fixada em R$ 10 mil. A juíza considerou que número de telefone
móvel é dado pessoal, nos termos da LGPD.

Fonte: https://www.conjur.com.br/2021-dez-26/empresa-divulga-celular-empregada-condenada-base-lgpd
 E AS RELAÇÕES TRABALHISTAS?

Fase pré Fase contratual

contratual • Dados do
• Análise curricular trabalhador
• Processo seletivo • Folha de
pagamento
• Registro
biométrico
RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022
Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral
de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte
Do Encarregado pelo Tratamento de Dados Pessoais

Da Segurança e das Boas Práticas

Art. 12. Os agentes de tratamento de pequeno porte devem adotar
medidas administrativas e técnicas essenciais e necessárias, com base em
requisitos mínimos de segurança da informação para proteção dos dados
pessoais, considerando, ainda, o nível de risco à privacidade dos titulares
de dados e a realidade do agente de tratamento.
Parágrafo único. O atendimento às recomendações e às boas práticas de
prevenção e segurança divulgadas pela ANPD, inclusive por meio de guias
orientativos, será considerado como observância ao disposto no art. 52,
§1º, VIII da LGPD.
Art. 13. Os agentes de tratamento de pequeno porte podem estabelecer
política simplificada de segurança da informação, que contemple
requisitos essenciais e necessários para o tratamento de dados pessoais,
com o objetivo de protegê-los de acessos não autorizados e de situações
acidentais ou ilícitas de destruição, perda, alteração, comunicação ou
qualquer forma de tratamento inadequado ou ilícito.
§ 1º A política simplificada de segurança da informação deve levar em
consideração os custos de implementação, bem como a estrutura, a escala
e o volume das operações do agente de tratamento de pequeno porte.
§ 2º A ANPD considerará a existência de política simplificada de segurança
da informação para fins do disposto no art. 6º, X e no art. 52, §1º, VIII e IX
da LGPD.
 VAZAMENTO MESMO ANTES DA LGPD ENTRAR EM VIGOR- REPARAÇÃO CIVIL:

(Observação: regras de restrição e segregação de acesso em políticas de segurança coíbem estes

vazamentos)

A Justiça do Trabalho determinou que a Companhia de Saneamento de Minas Gerais (Copasa)

pague indenização por danos morais a um ex-empregado do setor administrativo que teve seus
dados sigilosos expostos no sistema interno de informação da empresa. Um trabalhador da
companhia confirmou, no processo que, ao fazer pesquisa no sistema, deparou-se com o relatório
médico do autor da ação, com a indicação de que ele tinha pensamentos suicidas e era usuário de
cocaína. A decisão é dos julgadores da Segunda Turma do TRT-MG, que, sem divergência,
mantiveram sentença proferida pela 24ª Vara do Trabalho de Belo Horizonte. A juíza convocada
Maria Cristina Diniz Caixeta entendeu que, pelas provas colhidas, ficaram claros os danos morais em
virtude da exposição indevida da intimidade do trabalhador.

O empregado declarou foi vítima de constrangimentos e humilhações. Ele relatou que, em

2015, passou por problemas pessoais com quadro de depressão e sofreu acidente fora do local de
trabalho, resultando em que afastamento do trabalho. Explicou que todos os relatórios e exames
médicos privados estavam livres para acesso de qualquer empregado. Na visão do trabalhador,
ocorreu invasão de privacidade em decorrência da publicidade dos dados sigilosos.
 A própria empresa reconheceu a fragilidade do sistema. E que “qualquer empregado poderia
pegar as informações sobre atestados e laudos médicos por meio de senha individual e que todos
possuíam esse acesso”. Depoimento de testemunha comprovou que os atestados médicos ficavam
em pastas de acesso público. Segundo ela, ao procurar sua própria pasta, acabou se deparando
com o relatório do autor do processo. Ela informou, ainda, que comunicou o fato ao trabalhador e
que enviou um e-mail à empresa questionando a exposição do documento, que posteriormente foi
retirado do sistema.

Para a juíza convocada Maria Cristina Diniz Caixeta, a conduta da Copasa revelou o dano sofrido, já
que a exposição de dados de cunho pessoal certamente causou dano moral ao autor.

E, diante das provas, a magistrada reforçou que não via elementos capazes de afastar o direito do
reclamante à reparação por dano moral. A julgadora manteve o valor fixado para a indenização, de
três salários do trabalhador, por entender que o montante atende à finalidade de atenuar as
consequências da lesão jurídica e reveste-se de razoabilidade.

Fonte TRT3- https://portal.trt3.jus.br/internet/conheca-o-trt/comunicacao/noticias-juridicas/nj-

copasa-devera-indenizar-trabalhador-por-exposicao-de-dados-pessoais-na-rede-interna-de-
informacao-da-empresa
 A legislação europeia traz as hipóteses ensejadoras de tratamento
dos dados pessoais sensíveis no artigo 9º, assim como a definição de
dados pessoais sensíveis, que denomina de dados especiais:
“Tratamento de categorias especiais de dados pessoais
1. É proibido o tratamento de dados pessoais que revelem a
origem racial ou étnica, as opiniões políticas, as convicções
religiosas ou filosóficas, ou a filiação sindical, bem como o
tratamento de dados genéticos, dados biométricos para
identificar uma pessoa de forma inequívoca, dados relativos à
saúde ou dados relativos à vida sexual ou orientação sexual de
uma pessoa.
Site- trabalhe conosco- 1- política de privacidade de candidatos:
Exe. Dados são coletados para processo seletivo, buscas no linkedin (privadas),
compartilhamento(com quem), período de armazenamento,etc...
check list- segurança por padrão- tratar apenas dados necessários por finalidade

Motorista Psicólogo
CNH CRP

Aprendiz
Idade- 14 a 24 incomp.
Vaga horário noturno- turnos
Se for maior de 24 pedir condição ininterruptos
de deficiente
idade

Próxima página:
Você autoriza a nossa empresa- marque sim ou não:
1- compartilhar dados com outra empresa- sim/não
2- armazenamento no banco de talentos por 1 ano- sim/não
3- tratar os dados para outra vaga- sim/não
Transparência- informação prévia sempre anterior
a qualquer tratamento
Antes da coleta informar o tratamento

Ciência=informação=transparência= política de
privacidade.

Política de privacidade para clientes

Política de privacidade para candidatos (antes
de abrir o trabalhe conosco), ou antes da inscrição no
concurso público
 ARTIGO 5º LGPD

VI – controlador VIII - encarregado:

pessoa indicada pelo
(RESPONSÁVEL): pessoa controlador e operador
natural ou jurídica, de para atuar como canal de
direito público ou VII – operador comunicação entre o
privado, a quem (SUBCONTRATANTE): controlador, os titulares
pessoa natural ou dos dados e a
competem as decisões
Autoridade Nacional de
referentes ao tratamento jurídica, de direito Proteção de Dados
de dados pessoais; público ou privado, que (ANPD)- DPO
realiza o tratamento de
dados pessoais em nome
do controlador;
TOMA DECISÕES SOBRE
AS ATIVIDADES DE
TRATAMENTOS
TRATA COMO
DETERMINADO PELO
CONTROLADOR
 Quando falamos de pessoa jurídica, a organização é que será o agente de
tratamento para os fins da LGPD, sendo que esta que estabelecerá as regras para o
tratamento de dados pessoais, as quais serem executadas por seus representantes ou
prepostos. Outro ponto importante é que o agente de tratamento será definido para cada
operação de tratamento de dados pessoais e por conclusão a mesma empresa ou
organização poderá ser controladora e operadora, em tratamentos distintos e de acordo
com sua atuação em diferentes operações de tratamento. Outro detalhe que uma pessoa
natural poderá ser controladora, como por exemplo um advogado ou um médico tratando os
prontuários de seus pacientes.

Controladoras- quando atuarem de acordo com os próprios interesses e tiverem poder de

decisão sobre as finalidades e os elementos essenciais de tratamento.

OPERADORAS - quando atuarem de acordo com os interesses do controlador, sendo-lhes

facultada apenas a definição de elementos não essenciais à finalidade do tratamento.

O operador deve ser uma entidade distinta do controlador.

FUNCIONÁRIOS atuarão em subordinação às decisões do

controlador, não se confundindo, portanto,
com os operadores de dados pessoais.

Guideline da ANPD do Brasil e na Guideline 07/2020

 “Exemplo 3 - Órgão público contratante de um serviço de inteligência
artificial:
Um órgão público, vinculado à União, contrata uma solução de
inteligência artificial fornecida por uma sociedade empresária com a
finalidade específica de realizar o tratamento automatizado de decisões
com base em um banco de dados gerido pelo órgão. Seguindo as
instruções fornecidas pelo gestor público responsável e estabelecidas em
contrato, a sociedade empresária realiza as operações necessárias para
viabilizar o tratamento dos dados em questão. A União, pessoa jurídica
de direito público, é a controladora na hipótese. Não obstante, o órgão
público responsável detém obrigações legais específicas em face dos
titulares e da ANPD, conforme previsto na LGPD. A sociedade empresária
é a operadora, uma vez que realiza o tratamento dos dados conforme as
instruções fornecidas pelo controlador. Por fim, o gestor público
responsável, por atuar como servidor público subordinado à União, não se
caracteriza como agente de tratamento.” (destaques nossos)
 “Exemplo 4 E-commerce:
Em um canal de venda online de livros, que conta com diversas
formas de pagamento, o canal que realiza a venda é o controlador
dos dados pessoais, enquanto cada serviço de pagamento
disponível será um operador diferente, como, por exemplo, a
empresa de cartão de crédito, uma fintech, o banco em caso de
transferência bancárias, dentre outros. O operador dessa
transação, seja ele qual for, não poderá utilizar os dados
fornecidos para novas finalidades que não aquelas
determinadas pelo controlador.”

“Exemplo 5 - Call center:

A empresa XRAY tem sob sua responsabilidade os dados de
seus clientes e repassa para uma empresa terceirizada de call
center, ZULU, que recebe as informações. A empresa XRAY é a
controladora e o call center terceirizado ZULU, o operador, que
executará o tratamento de dados dos clientes a mando da empresa
XRAY. Caso realize o tratamento de dados fora do que foi
orientado pelo controlador, a empresa ZULU poderá ser
responsabilizada.”
Exemplo: administração da folha de pagamento- Guideline 07/2020

O empregador A contrata outra empresa para administrar o pagamento dos salários de seus funcionários.
O empregador A dá instruções claras sobre quem pagar, quais valores, em que data, em que
banco, por quanto tempo os dados devem ser armazenados, quais dados devem ser divulgados para a autoridade fiscal,
etc. Neste caso, o processamento de dados é realizado para o propósito da Empresa A de pagar salários
aos seus funcionários e o administrador da folha de pagamento não pode usar os dados para qualquer finalidade distinta.
Controlador Operador: a maneira pela qual o administrador da folha de pagamento deve realizar o
processamento é, em essência claramente e rigidamente definida. No entanto, o administrador da folha de
pagamento pode decidir sobre certos assuntos detalhados sobre o processamento, como qual software usar, como
distribuir acesso dentro de sua própria organização, etc. Isso não altera seu papel como processador (operador),
desde que o administrador não vá contra ou além das instruções dadas pela Empresa A.

Exemplo: pagamentos bancários. Como parte das instruções do Empregador A, a administração da folha de
pagamento transmite informações ao Banco B para que eles possam realizar o pagamento real aos funcionários do
Empregador A. Esta atividade inclui o processamento de dados pessoais pelo Banco B, que realiza com o propósito de
realização de atividade bancária. Dentro desta atividade, o banco decide independentemente de
Empregador A sobre quais dados devem ser processados ​para fornecer de serviço, por quanto tempo
os dados devem ser armazenados, etc. O empregador A não pode ter qualquer influência sobre a finalidade e os meios de
Processamento de dados do Banco B. O Banco B deve, portanto, ser visto como um controlador para este processamento
e a transmissão de dados pessoais da administração da folha de pagamento deve ser considerada como um divulgação de
informações entre dois controladores, do Empregador A. - Guideline 07/2020
Exemplo: Contadores
O empregador A contrata a empresa de contabilidade C para realizar auditorias de sua contabilidade e, portanto,
transfere dados sobre transações financeiras (incluindo dados pessoais) para C. Empresa de contabilidade C
processa esses dados sem instruções detalhadas de A. A empresa de contabilidade C se decide,
de acordo com as disposições legais que regulam as atribuições das atividades de auditoria realizadas pela
C, que os dados que coleta serão processados ​apenas para fins de auditoria de A e
determina quais dados ele precisa ter, quais categorias de pessoas precisam ser registradas,
por quanto tempo os dados devem ser mantidos e que meios técnicos usar. Sob essas circunstâncias,
A empresa de contabilidade C deve ser considerada como controladora indepente ao realizar sua auditoria
serviços para A. No entanto, esta avaliação pode ser diferente dependendo do nível de
instruções de A. Em uma situação em que a lei não estabeleça obrigações específicas para o
empresa de contabilidade e a empresa cliente fornecem instruções muito detalhadas sobre o processamento,
a firma de contabilidade estaria de fato atuando como processadora. Uma distinção pode ser feita
entre uma situação em que o processamento é - de acordo com as leis que regulam este
profissão - feito como parte da atividade principal da empresa de contabilidade e onde o processamento é um
Tarefa acessória mais limitada que é realizada no âmbito da atividade da empresa cliente.

Exemplo: serviços de hospedagem

O empregador A contrata o serviço de hospedagem H para armazenar dados criptografados nos servidores de H. O
serviço de hospedagem H não determina se os dados que hospeda são dados pessoais nem processa dados em
qualquer outra forma que não seja armazená-lo em seus servidores. Como o armazenamento é um exemplo de dados
pessoais ou atividade de processamento, o serviço de hospedagem H está processando dados pessoais em nome do
empregador A e é, portanto, um operador. O empregador A deve fornecer as instruções necessárias para H sobre,por
exemplo, quais medidas de segurança técnicas e organizacionais são necessárias e o processamento será de acordo
com o artigo 28.º deve ser celebrado. H deve ajudar A a garantir que as medidas de segurança necessárias sejam
tomadas e notifique-o no caso de quaisquer dados pessoais violação.
 Empregado não é agente de tratamento

DPO não é agente de tratamento- pode ser empregado

Empregado e DPO empregado respondem nos termos da CLT

Cláusula importantíssima de LGPD nos contratos de trabalho:

Objetivo: poder entrar com ação regressiva posteriormente

Art. 462 CLT- Ao empregador é vedado efetuar qualquer desconto nos

salários do empregado, salvo quando este resultar de adiantamentos, de
dispositivos de lei ou de contrato coletivo.

§ 1º - Em caso de dano causado pelo empregado, o desconto será

lícito, desde de que esta possibilidade tenha sido acordada ou na
ocorrência de dolo do empregado.
 LGPD
Da Responsabilidade e do Ressarcimento de Danos-
(Quem responde são os agentes de tratamento: controlador e
operador)
Art. 42. O controlador ou o operador que, em razão do exercício de
atividade de tratamento de dados pessoais, causar a outrem dano
patrimonial, moral, individual ou coletivo, em violação à legislação de
proteção de dados pessoais, é obrigado a repará-lo.

§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:

I - o operador responde solidariamente pelos danos causados pelo tratamento:

a- quando descumprir as obrigações da legislação de proteção de dados ou
b-quando não tiver seguido as instruções lícitas do controlador, hipótese em que
o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art.
43 desta Lei;
II - os controladores que estiverem diretamente envolvidos no tratamento do qual
decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos
de exclusão previstos no art. 43 desta Lei. (controladores conjuntos)
DPO- Encarregado- É obrigatório no Brasil? Artigo 41 LGPD
Boas práticas- recomenda-se mesmo para as empresas de
pequeno porte
GDPR- ARTIGO 37
LGPD-art. 41. O controlador deverá indicar
encarregado pelo tratamento de dados pessoais. WEAKNESSES
§ 1º A identidade e as informações de contato do
INTERNAL
encarregado deverão ser divulgadas FACTORS
publicamente, de forma clara e objetiva,
§ 3º A autoridade nacional poderá estabelecer
preferencialmente no sítio eletrônico do
normas complementares sobre a definição e as
controlador. atribuições do encarregado, inclusive hipóteses de
§ 2º As atividades do encarregado consistem em: dispensa da necessidade de sua indicação,
conforme a natureza e o porte da entidade ou o
I - aceitar reclamações e comunicações dos titulares,
volume de operações de tratamento de dados.
prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar
providências;
III - orientar os funcionários e os contratados da entidade
a respeito das práticas a serem tomadas em relação à
proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo NEGATIVE
controlador ou e respeito das práticas estabelecidas em
normas complementares.
.
RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022
DOU 28/01/2022 | Edição: 20 | Seção: 1 | Página: 6
Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral
de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte
Do Encarregado pelo Tratamento de Dados Pessoais

Art. 11. Os agentes de tratamento de pequeno porte não são obrigados a indicar o
encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.
§ 1º O agente de tratamento de pequeno porte que não indicar um encarregado deve
disponibilizar um canal de comunicação com o titular de dados para atender o
disposto no art. 41, § 2º, I da LGPD.

§ 2º A indicação de encarregado por parte dos agentes de tratamento de pequeno porte

será considerada política de boas práticas e governança para fins do disposto no art. 52,
§1º, IX da LGPD.
QUANDO PODEMOS TRATAR OS DADOS PESSOAIS?

A r t . 7 º - BASES LEGAIS

CUMPRIMENTO DE
EXECUÇÃO ESTUDOS
LGPD

OBRIGAÇÃO
DE POR
1 CONSENTIMENTO
2 LEGAL OU
REGULÁTORIA DO
3 POLÍTICAS
PÚBLICAS
4 ÓRGÃOS DE
PESQUISA
CONTROLADOR

TUTELA DA SAÚDE EXERCÍCIO EXECUÇÃO DE

8 -pporrocedimento realizado PROTEÇÃO REGULAR DE CONTRATO /
profissionais de
saúde, serviços de
7 DA VIDA 6judicial, administrativo ou 5
DIREITO em processo DILIGÊNCIAS
PRÉ
saúde ou autoridade arbitral CONTRATUAIS
sanitária

INTERESSES

LGPD
DO
9 CONTLEGÍTIMO 10 PROTEÇÃO AO CRÉDITO 12
S ROLADOS /
TERCEIROS
QUANDO PODEMOS TRATAR OS DADOS PESSOAIS
SENSÍVEIS?
A r t . 1 1 º - BASES LEGAIS

CUMPRIMENTO DE
EXECUÇÃO ESTUDOS
LGPD

OBRIGAÇÃO
DE POR
1 CONSENTIMENTO
2 LEGAL OU
REGULÁTORIA DO
3 POLÍTICAS
PÚBLICAS
4 ÓRGÃOS DE
PESQUISA
CONTROLADOR

TUTELA DA SAÚDE EXERCÍCIO REGULAR DE

8 -pporrocedimento realizado PROTEÇÃO DIREITO, INCLUSIVE EM
profissionais de
saúde, serviços de
7 DA VIDA 6 JUDICIAL, ADMINISTRATIVO OU
CONTRATO EM PROCESSO
saúde ou autoridade ARBITRAL
sanitária

Artigo 11, II, g) garantia da prevenção à fraude e à

INTERESSES
segurança do titular, nos processos de identificação e

LGPD
DO
9
autenticação
10 PROTEÇÃO
de cadastro em sistemas
CONTLEGÍTIMO
AO CRÉDITO
eletrônicos,
resguardados os direitos mencionados no art. 9º desta Lei e
12
S ROLADOS /
exceto no caso de prevalecerem direitos e liberdades
TERCEIROS
fundamentais do titular que exijam a proteção dos dados
pessoais.
 Do Tratamento de Dados Pessoais
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I. mediante o fornecimento de consentimento pelo titular; - benefícios, campanha de marketing, ações
comerciais- provar que houve liberdade de escolha-considerandos 42 43 do GDPR
II. para o cumprimento de obrigação legal ou regulatória pelo controlador; esocial, rep,
III. pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de
políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou
instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV. para a realização de estudos pesquisa, por órgão de garantida, sempre que possível, a anonimização dos
dados pessoais;
V. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a
contrato a pedido do titular dos dados; - currículo ou ficha de processo seletivo/ conta para pagar
salário
VI. para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos
termos da Lei nº 9.307, de 23.09.96 (Lei de Arbitragem) ; - jurídico na defesa
VII. para a proteção da vida ou da incolumidade física do titular ou de terceiro; -portaria, termômetro,
câmeras de segurança; Brumadinho.
VIII. para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços
de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019)- exame de Aids
para empregada que se espetou com agulha.
IX. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de
prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
– e-mail corporativo, monitorar rede social profissional cláusula de não concorrência. Background
checks de antecedentes criminais- ver incidente de abril de 2017
X. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.- não se aplica nas
relações de trabalho.
 ART. 7
§ 3º O tratamento de dados pessoais cujo acesso é
público deve considerar a finalidade, a boa-fé e o
interesse público que justificaram sua 1
disponibilização.

§ 4º É dispensada a exigência do consentimento previsto no

caput deste artigo para os dados tornados manifestamente
2 públicos pelo titular, resguardados os direitos do titular e os
princípios previstos nesta Lei. (próximo slide)- FINALIDADE E
TRANSPARÊNCIA

§ 5º O controlador que obteve o consentimento referido no

inciso I do caput deste artigo que necessitar comunicar ou
compartilhar dados pessoais com outros controladores deverá 3
obter consentimento específico do titular para esse fim,
ressalvadas as hipóteses de dispensa do consentimento
previstas nesta Lei.
§ 6º A eventual dispensa da exigência do consentimento não
desobriga os agentes de tratamento das demais obrigações
4 previstas nesta Lei, especialmente da observância dos
princípios gerais e da garantia dos direitos do titular.

(Artigos 6 e 18 sempre na íntegra,

independentemente da base legal)
§ 7º O tratamento posterior dos dados pessoais a que se referem os
§§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, 5
desde que observados os propósitos legítimos e específicos para o
novo tratamento e a preservação dos direitos do titular, assim como os
fundamentos e os princípios previstos nesta Lei.
 Relação de consumo- três bases legais mais utilizadas

Consentimento (quando
puder ser recusado ou
revogado). Ex. cookies,
cadastro em site.
Livre, informado e
inequívoco

Execução de um contrato. Ex.

(contrato de compra e venda,
quando envolve pagamentos
mensais)

Proteção ao crédito- pesquisa antes de

concretizar um negócio ao Serasa/ SPC

Legítimo interesse- promoções, mailing, lembrete em carrinho de

compras- tem de ser já cliente e você ter os dados – opt out
Proteção à vida- Revista pessoal na entrada de uma faculdade
 Relação de trabalho- as três bases legais
mais utilizadas em ordem decrescente

Obrigação legal ou regulatória. Ex.

eSocial, REP, exames admissionais,
periódicos e demissionais.- tudo que
estiver em lei ou outra norma fica
aqui-exame virtual ergonomia em
teletrabalho. Antecedentes para
vigilante (7102).

Execução de um contrato- conta

salário, direitos decorrentes de
negociação coletiva

Proteção à vida e integridade física do titular ou terceiro-

portaria/ vídeo vigilância, exame virtual de ergonomia em
teletrabalho. Revista pessoal na entrada de uma faculdade,
uma obra. Antecedentes para uma vaga de babá.
Legítimo interesse- revista pessoal na saída/monitorar e-mail
corporativo, performance, canal de denúncia- teste de
ponderação (LIA)

Consentimento- vídeo institucional, comercial TV, foto de

revista, plano de saúde (ele tem opção), previdência privada,
cartão de aniversário, flores, bolo de aniversário.- Sempre que
não houver lei ou outra norma ou quando o tratamento não for
indispensável- tem de haver opção de se dizer não.
Dados tornados manifestamente públicos pelo titular
O parágrafo 4º. ainda dispõe que será dispensada a exigência
do consentimento previsto no caput do artigo 7º. da Lei
13709/2018, quando os dados forem tornados manifestamente
públicos pelo titular, resguardados os direitos do titular e os
princípios previstos na Lei Geral de Proteção de Dados:

Se o próprio titular tornou seus dados públicos não

haverá necessidade de consentimento para
tratamento- mas nunca esquecendo- mesmo
públicos- existe ainda proteção destes dados

Se utilizados para Observar os

outra finalidade princípios
ou se tratados de constitucionais, a
forma ilícita não boa fé e o
interesse público Exemplo- currículo
poderão ser disponibilizado em perfil público
tratado. que justifiquem a
do Linkedin
sua utilização.
I - MEDIANTE O FORNECIMENTO DE CONSENTIMENTO PELO TITULAR;

Artigo 5º, inciso XII - consentimento: manifestação livre, informada e

inequívoca pela qual o titular concorda com o tratamento de seus dados
pessoais para uma finalidade determinada;

CONTINUA SENDO PREFERÊNCIA- principalmente nas relações de consumo.

 § 4º O consentimento deverá referir-se a
finalidades determinadas, e as
autorizações genéricas para o
tratamento de dados pessoais serão
Art. 8º O consentimento previsto no nulas.
inciso I do art. 7º desta Lei deverá ser § 5º O consentimento pode ser
fornecido por escrito ou por outro revogado a qualquer momento
meio que demonstre a manifestação mediante manifestação expressa
de vontade do titular. do titular, por procedimento
gratuito e facilitado, ratificados
os tratamentos realizados sob
§ 1º Caso o consentimento
seja fornecido por escrito, amparo do consentimento
esse deverá constar de anteriormente manifestado
cláusula destacada das enquanto não houver
demais cláusulas requerimento de eliminação, nos
contratuais.
termos do inciso VI do caput do
art. 18 desta Lei.
§ 2º Cabe ao controlador o ônus
da prova de que o
consentimento foi obtido em § 6º Em caso de alteração de informação referida
nos incisos I, II, III ou V do art. 9º desta Lei, o
conformidade com o disposto
controlador deverá informar ao titular, com
nesta Lei. destaque de forma específica do teor das
alterações, podendo o titular, nos casos em que o
§ 3º É vedado o tratamento de seu consentimento é exigido, revogá-lo caso
dados pessoais mediante vício de discorde da alteração.
consentimento.
TERMO DE CONSENTIMENTO

Este termo visa registrar a autorização livre, inequívoca e informada para a

utilização da imagem pessoal (fotografia) e do nome do(a) estudante para fins de
veiculação em revista impressa “XXXX”, edição 03/2022, nos termos do art. 8º., par.
4º., da LGPD (Lei n.º 13.709/2018).
Ressalta-se que a ausência ou negativa do consentimento não implicará qualquer
penalidade ou restrição de direito(s) do(a) estudante relacionados à sua matrícula e
os serviços oferecidos pela instituição, nos termos do artigo 18, inciso VIII da LGPD.
Os dados coletados serão utilizados exclusivamente para o fim mencionado, e serão
descartados após a utilização no material publicitário, permanecendo, porém, como
conteúdo impresso no interior da Revista XXXX, edição 03/2022.

Eu, __________________________, através do presente Termo, autorizo a escola

XXXXX a utilizar a minha imagem e nome para os fins especialmente definidos
acima.

Cidade, data.

Assinatura
Termo de consentimento:

Finalidade da atividade de tratamento

Quais dados serão coletados

informação sobre a possibilidade de não fornecer consentimento e sobre as

consequências da negativa;- artigo 18, inciso VIII da LGPD

Forma e prazo de armazenamento e conservação (se aplicável)

Artigo 28.º
Relações laborais
1 - O empregador pode tratar os dados
pessoais dos seus trabalhadores para as
finalidades e com os limites definidos no
Código do Trabalho e respetiva legislação
complementar ou noutros regimes
setoriais, com as especificidades
estabelecidas no presente artigo.
2 - O número anterior abrange igualmente
o tratamento efetuado por
subcontratante ou contabilista certificado
em nome do empregador, para fins de
gestão das relações laborais, desde que
realizado ao abrigo de um contrato de
prestação de serviços e sujeito a iguais
garantias de sigilo.
DIREITO COMPARADO 3 - Salvo norma legal em contrário, o consentimento
do trabalhador não constitui requisito de
legitimidade do tratamento dos seus dados pessoais:
a) Se do tratamento resultar uma vantagem jurídica
ou económica para o trabalhador; ou
b) Se esse tratamento estiver abrangido pelo disposto
na alínea b) do n.º 1 do artigo 6.º do RGPD.
4 - As imagens gravadas e outros dados pessoais
registados através da utilização de sistemas de vídeo
Lei 58/2019 Portugal ou outros meios tecnológicos de vigilância à distância,
nos termos previstos no artigo 20.º do Código do
Trabalho, só podem ser utilizados no âmbito do
processo penal.
5 - Nos casos previstos no número anterior, as imagens
gravadas e outros dados pessoais podem também ser
utilizados para efeitos de apuramento de
responsabilidade disciplinar, na medida em que o
sejam no âmbito do processo penal.
6 - O tratamento de dados biométricos dos
trabalhadores só é considerado legítimo para controlo
de assiduidade e para controlo de acessos às
instalações do empregador, devendo assegurar-se que
apenas se utilizem representações dos dados
biométricos e que o respetivo processo de recolha não
permita a reversibilidade dos referidos dados.
 EXEMPLO GRUPO DE TRABALHO ARTIGO 29
Situação em que o consentimento pode ser dado de forma livre,
informada, específica e explícita.

Relações de trabalho:

“ Uma equipa de filmagem pretende filmar

determinada parte de um escritório. O empregador solicita o
consentimento de todos os trabalhadores que se sentam
nessa zona (lado) do escritório para serem filmados, uma vez
que podem aparecer em segundo plano nas filmagens do
vídeo. Os trabalhadores que não quiserem ser filmados não
serão de forma alguma penalizados, uma vez que serão
colocados noutro local de trabalho equivalente numa outra
zona (local) do edifício enquanto durar a filmagem.”