Lei Geral de Proteção de Dados e as mudanças

Lei Geral de Proteção de Dados (LGPD)

Olá, Estrategista. Tudo joia?

A era digital modificou por completo a forma de vida das pessoas. Podemos
considerar estar virtualmente em vários lugares ao mesmo tempo,
consumir produtos a milhas de distância, em tempo real.

Além disso, grandes avanços tecnológicos trouxeram a necessidade de

adaptação emergente das pessoas, provocando uma transição rápida de
um modelo de vida mais individual para outro completamente globalizado.

Existe, no entanto, uma tecnologia que permite toda essa integração

generalizada entre os povos: a internet. Inegavelmente, a internet é a arma
mais poderosa dos últimos tempos, capaz, até mesmo, de eleger um
Presidente da República que não tinha voz na mídia tradicional.

É por meio da internet que muitas pessoas se relacionam, compram,

vendem, estudam, ensinam, informam e, até mesmo, desinformam,
ofendem, roubam, ameaçam.

Consequentemente, certas práticas recentes vêm despertando a

preocupação de nossas autoridades: o acesso indevido a dados particulares
e ameaças veladas e anônimas, por meio de perfis fakes. Afinal de contas,
embora alguns acreditem, a internet não é uma terra de ninguém.

Por conta disso, desde 2014, foi criada a Lei nº 12.965 (Marco Civil da
Internet) que estabelece princípios, garantias, direitos e deveres para o uso
da Internet no Brasil. Além desta lei, como forma de proteger ainda mais a
segurança e privacidade das informações, foi estabelecida a Lei de Geral de
Proteção de Dados Pessoais (LGPD).

Marco Civil da Internet – Lei 12.965/14

A Lei 12.965/14 estabelece que a disciplina do uso da internet no Brasil tem
como fundamento maior o respeito à liberdade de expressão. Não
obstante, o acesso à internet é essencial ao exercício da cidadania.

Direitos e Garantias dos Usuários

O Marco Civil da Internet ainda apresenta direitos e garantias dos usuários,

como:

 inviolabilidade da intimidade e da vida privada, sua proteção e

indenização pelo dano material ou moral decorrente de sua violação;
 inviolabilidade e sigilo do fluxo de suas comunicações pela
internet, salvo por ordem judicial, na forma da lei;
 aplicação das normas de proteção e defesa do consumidor nas
relações de consumo realizadas na internet.

Ademais, a garantia do direito à privacidade e à liberdade de expressão nas

comunicações é condição para o pleno exercício do direito de acesso à
internet.

Como se percebe, essa lei garante muitos direitos aos usuários de internet,
porém não regulamenta, de maneira objetiva, como esses direitos serão
assegurados, por parte do governo, empresas e provedores de internet.

Com o objetivo de suprir algumas lacunas, surge a Lei 13.709, Lei Geral de
Proteção de Dados Pessoais (LGPD).

Lei Geral de Proteção de Dados (LGPD)

Como o próprio nome sugere, a LGPD vem para garantir mais segurança
aos dados dos usuários, sejam eles pessoas físicas ou jurídicas.

Embora inicialmente a lei foi criada para entrar em vigor em agosto de

2020, apenas entrará em vigor em maio de 2021 – é o que dispõe a Medida
Provisória nº 959, de 2020.

Uma pergunta surge às nossas mentes: Qual a necessidade de se reforçar

tanto a segurança de dados? Cada vez mais, nossas vidas estão na internet:
fotos, vídeos, família, endereço, números de cartões de créditos e contas
bancárias, conversas íntimas, e por aí vai.

Desse modo, é cada vez mais frequente a exposição de dados em larga

escala, mostrando as fragilidades de sistemas e protocolos, permitindo,
assim, que algumas pessoas recebem, até mesmo, ameaçadas veladas e
anônimas.

Pessoas jurídicas, outrossim, podem ser prejudicadas, uma vez que seus
CNPJs, endereços, logomarcas e telefones estão abertamente disponíveis
ao público.

Regulamentação
Com a LGPD, baseada no protocolo europeu GDPR, o Brasil passou a
fazer parte dos países que contam com uma legislação específica para
proteção de dados e da privacidade dos seus cidadãos.

Dessa forma, a lei garante que o tratamento de dados pessoais somente

poderá ser realizado nas seguintes hipóteses:

I. mediante o fornecimento de consentimento pelo titular;

II. para o cumprimento de obrigação legal ou regulatória pelo
controlador;
III. pela administração pública, para o tratamento e uso compartilhado
de dados necessários à execução de políticas públicas previstas em
leis e regulamentos ou respaldadas em contratos, convênios ou
instrumentos congêneres, observadas as disposições do Capítulo IV
desta Lei;
IV. para a realização de estudos por órgão de pesquisa,
garantida, sempre que possível, a anonimização dos dados
pessoais;
V. quando necessário para a execução de contrato ou de
procedimentos preliminares relacionados a contrato do qual seja
parte o titular, a pedido do titular dos dados;
VI. para o exercício regular de direitos em processo judicial,
administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de
23 de setembro de 1996 (Lei de Arbitragem) ;
VII. proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII. para a tutela da saúde, exclusivamente, em procedimento realizado
por profissionais de saúde, serviços de saúde ou autoridade
sanitária;
IX. quando necessário para atender aos interesses legítimos do
controlador ou de terceiro, exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a proteção dos dados
pessoais; ou
X. para a proteção do crédito, inclusive quanto ao disposto na legislação
pertinente.
Restrições ao uso de dados dos clientes
Já percebeu que algumas empresas nos ligam e, até mesmo, conhecem
alguns de nossos dados pessoais, sem que nós nunca tenhamos entrado
em contato com elas antes? Isso acontece, pois existe – ou existia – um
compartilhamento indevido, entre as empresas, de dados de seus clientes.

Com esse novo marco regulatório, fica expressamente proibido que

qualquer empresa transmita dados pessoais sem consentimento
expresso dos titulares.

Aliás, essa preocupação com a proteção de dados surgiu quando o

gigante Facebook foi condenado a pagar US$ 5 bilhões por vazar dados de
seus usuários indevidamente.

Como consequência da LGPD, fica proibido ceder ou vender informações

de contato de clientes, por exemplo. Além disso, está proibido até mesmo o
uso dos dados por parte da própria empresa para uma finalidade
diferente daquela que foi combinada com o cliente.

Art. 9º- §2º Na hipótese em que o consentimento é requerido, se houver

mudanças da finalidade para o tratamento de dados pessoais não
compatíveis com o consentimento original, o controlador deverá informar
previamente o titular sobre as mudanças de finalidade, podendo o titular
revogar o consentimento, caso discorde das alterações.

Fiscalização
No intuito de pegar pesado com a proteção de dados, o governo irá atuar
com a Autoridade Nacional de Proteção de Dados (ANPD), autarquia
especial vinculada à Presidência da República, com objetivos principais de
zelar pela proteção de dados, fiscalizar e aplicar as sanções cabíveis.

Finalizando
Adequar-se às novas exigências da LGPD será uma obrigação inexcusável
para todas as companhias, desde as micro às grandes empresas.
Resumo da LGPD para SEFAZ-ES – Lei Geral de Proteção de Dados
Antes de adentrarmos de fato na Lei, fiquemos com uma definição
interessante da banca IADES.

“A Lei Geral de Proteção de Dados incide quanto ao cadastro de usuários e

clientes, alterando a maneira como as organizações devem tratar dados
pessoais, com vistas a proteger os direitos fundamentais de liberdade e de
privacidade e a respeitar o livre desenvolvimento da personalidade, a dignidade
e o exercício da cidadania”.

Sem mais delongas, vamos ao Resumo da LGPD para SEFAZ-ES – Lei Geral
de Proteção de Dados.

Conceitos Gerais
Com a introdução feita, já podemos tirar informações importantes do artigo
primeiro da LGPD.

Conteúdo da LGPD: tratamento de dados pessoais, inclusive nos meios

digitais, por pessoa natural ou por pessoa jurídica de direito público ou
privado

 Objetivo: proteger os direitos fundamentais de

liberdade e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural.
 Abrangência: são de interesse nacional e devem ser
observadas pela União, Estados, Distrito Federal e
Municípios.
Assim, aplica-se a LGPD em qualquer operação de
tratamento realizada por pessoa natural ou por pessoa jurídica de
direito público ou privado, independentemente do meio, do país de sua
sede ou do país onde estejam localizados os dados, desde que (art. 3):

 I – a operação de tratamento seja realizada no território

nacional;
 II – a atividade de tratamento tenha por objetivo a oferta
ou o fornecimento de bens ou serviços ou o tratamento
de dados de indivíduos localizados no território nacional;
ou
 III – os dados pessoais objeto do tratamento tenham
sido coletados no território nacional.

Exceções à LGPD

Vimos a abrangência da Lei, entretanto é óbvio que existem dados pessoas

que não são regulados pela LGPD, conheçamos.

A LGPD não se aplica – tratamento de dados pessoais (Art. 4):

 I – realizado por pessoa natural para fins

exclusivamente particulares e não econômicos;

 II – realizado para fins exclusivamente jornalístico e

artísticos ou acadêmicos

 III – realizado para fins exclusivos de segurança pública,

defesa nacional, segurança do Estado; ou atividades de
investigação e repressão de infrações penais; ou

 IV – provenientes de fora do território nacional e que

não sejam objeto de comunicação, uso compartilhado de
dados com agentes de tratamento brasileiros ou objeto de
transferência internacional de dados com outro país que
não o de proveniência, desde que o país de proveniência
proporcione grau de proteção de dados pessoais
adequado ao previsto nesta Lei.

Definição

Pessoal, a maior parte das questões da LGPD são sobre as definições da

Lei, assim vejamos aquelas que podem causar alguma confusão.
Definições na LGPD (Art. 5):

 I – dado pessoal: informação relacionada a

pessoa natural identificada ou identificável;
 II – dado pessoal sensível: dado pessoal sobre origem
racial ou étnica, convicção religiosa, opinião
política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à saúde
ou à vida sexual, dado genético ou biométrico, quando
vinculado a uma pessoa natural;
 III – dado anonimizado: dado relativo a titular que não
possa ser identificado, considerando a utilização de
meios técnicos razoáveis e disponíveis na ocasião de seu
tratamento;
 V – titular: pessoa natural a quem se referem os dados
pessoais que são objeto de tratamento;
 VI – controlador: pessoa natural ou jurídica, de direito
público ou privado, a quem competem as decisões
referentes ao tratamento de dados pessoais;
 X – tratamento: toda operação realizada com dados
pessoais, como as que se referem a coleta, produção,
recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência,
difusão ou extração;
 XI – anonimização: utilização de meios técnicos
razoáveis e disponíveis no momento do tratamento, por
meio dos quais um dado perde a possibilidade de
associação, direta ou indireta, a um indivíduo;
 XIII – bloqueio: suspensão temporária de
qualquer operação de tratamento, mediante guarda do
dado pessoal ou do banco de dados;

As demais definições são mais “tranquilas”, mas ainda assim vale uma
leitura.

Princípios
As atividades de tratamento de dados pessoais deverão observar a boa-fé e
alguns princípios expressos que veremos à frente.
Dificilmente a banca inventará muito aqui, mas provavelmente ela tenta
misturar os princípios, assim é importante vincular o princípio a uma
palavra/frase chave.

Princípios na LGPS

Princípio na LGPD (Art. 6º):

 I – finalidade: realização do tratamento

para propósitos legítimos, específicos, explícitos e
informados ao titular, sem possibilidade de tratamento
posterior de forma incompatível com essas finalidades;
 II – adequação: compatibilidade do
tratamento com as finalidades informadas ao titular, de
acordo com o contexto do tratamento;
 III – necessidade: limitação do tratamento ao
mínimo necessário para a realização de
suas finalidades, com abrangência dos dados pertinentes,
proporcionais e não excessivos em relação às finalidades
do tratamento de dados;
 IV – livre acesso: garantia, aos
titulares, de consulta facilitada e gratuita sobre a forma
e a duração do tratamento, bem como sobre a
integralidade de seus dados pessoais;
 V – qualidade dos dados: garantia, aos titulares, de
exatidão, clareza, relevância e atualização dos dados,
de acordo com a necessidade e para o cumprimento da
finalidade de seu tratamento;
 VI – transparência: garantia, aos titulares,
de informações claras, precisas e
facilmente acessíveis sobre a realização do tratamento e
os respectivos agentes de tratamento, observados os
segredos comercial e industrial;
 VII – segurança: utilização de medidas técnicas e
administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou
difusão;
 VIII – prevenção: adoção de medidas para prevenir a
ocorrência de danos em virtude do tratamento de dados
pessoais;
  IX – não discriminação: impossibilidade de realização do
tratamento para fins discriminatórios ilícitos ou
abusivos;
 X – responsabilização e prestação de
contas: demonstração, pelo agente, da adoção de
medidas eficazes e capazes de comprovar a observância
e o cumprimento das normas de proteção de dados
pessoais e, inclusive, da eficácia dessas medidas.

Bizus

Como dissemos, as bancas costumam tentar trocar hipóteses para

confundir os candidatos, assim fique atento com princípios “parecidos”.

Bizu dos Princípios – Resumo da LGPD para SEFAZ-ES:

Livre Acesso X Transparência

Livre Acesso -> Consulta facilidade
Transparência -> informações facilmente acessíveis

Transparência X Qualidade
Transparência -> informações facilmente acessíveis
Qualidade -> Relevância e atualização dos dados

Prevenção X Responsabilização e prestação de contas

Prevenção -> medidas para prevenir
Responsabilização e prestação de contas -> demonstração do
cumprimento

Tratamento de dados pessoais

Dando continuidade ao Resumo da LGPD para SEFAZ-ES, vejamos sobre o
tratamento de dados pessoais.

Vimos que a Lei tem por objetivo a proteção dos dados pessoais que serão
utilizados (tratamento), assim vamos separar esse tópico em três.

 Requisitos para o Tratamento de Dados Pessoais

 Tratamento de Dados Pessoais Sensíveis
 Término do Tratamento de Dados

Requisitos para o Tratamento de Dados Pessoais

Primeiro, conheçamos as hipóteses de tratamento dos dados pessoais.

Hipóteses de tratamento de dados pessoais (Art. 7)

 I – consentimento pelo titular;

 II – cumprimento de obrigação legal ou regulatória pelo
controlador;
 III – pela administração pública, para o tratamento e uso
compartilhado de dados necessários à execução de
políticas públicas
 IV – realização de estudos por órgão de
pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais;
 V – a execução de contrato, a pedido do titular dos dados;
 VI – processo judicial, administrativo ou arbitral
 VII – para a proteção da vida ou da incolumidade física do
titular ou de terceiro;
 VIII – tutela da saúde, exclusivamente, em procedimento
realizado por profissionais de saúde
 IX – interesses legítimos do controlador ou de
terceiro, exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a
proteção dos dados pessoais; ou
 X – proteção do crédito.

Sobre o consentimento devemos entender que:

 Pode ser revogado a qualquer momento mediante

manifestação expressa, de forma gratuita (Art. 8, §5º)
 Deve ser considerado nulo quando as informações
fornecidas ao titular tenham conteúdo enganoso ou
abusivo ou não tenham sido apresentadas previamente
com transparência (Art. 9, §1º)
 Mudança de finalidade não compatíveis com o
consentimento original deve ser informada
previamente ao titular (Art. 9, §2º) -> Atente-se que esse
caso não é nulo, mas pode ser revogado.

Tratamento de Dados Pessoais Sensíveis

Vimos que nas definições que os Dados Pessoais Sensíveis são

relacionados a religião, política, saúde entre outras. Nesse sentido seu
tratamento somente poderá ocorrer nas seguintes hipóteses (Art. 11):

Regra: Com consentimento do titular ou seu responsável legal

Exceção: sem fornecimento em que for indispensável para:

 cumprimento de obrigação legal ou regulatória pelo

controlador;
 tratamento compartilhado de dados necessários à
execução, pela administração pública, de políticas
públicas previstas em leis ou regulamentos;
 realização de estudos por órgão de
pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais sensíveis;
 exercício regular de direitos, inclusive em contrato e em
processo judicial, administrativo e arbitral
 proteção da vida ou da incolumidade física do titular ou
de terceiro;
 tutela da saúde, exclusivamente, em procedimento
realizado por profissionais de saúde
 garantia da prevenção à fraude e à segurança do
titular, nos processos de identificação e autenticação de
cadastro em sistemas eletrônicos.

Término do Tratamento de Dados

A utilização dos dados, ou seja, o tratamento dos dados não é

Hipóteses de Término do Tratamento de Dados (Art. 15)

 I – finalidade foi alcançada ou de que os dados

deixaram de ser necessários ou pertinentes ao alcance
da finalidade específica almejada;
 II – fim do período de tratamento;
 III – revogação do consentimento; ou
 IV – determinação da autoridade nacional, quando
houver violação ao disposto nesta Lei.

Nesse sentido, os dados serão eliminados após o tratamento (regra),

sendo autorizada a conservação (Art. 16):

 I – cumprimento de obrigação legal ou regulatória pelo

controlador;
 II – estudo por órgão de pesquisa, garantida, sempre
que possível, a anonimização dos dados pessoais;
 III – transferência a terceiro, desde que respeitados os
requisitos de tratamento de dados dispostos nesta Lei; ou
  IV – uso exclusivo do controlador, vedado seu acesso por
terceiro, e desde que anonimizados os dados.

Direitos do Titular
Para finalizar o LGPD para SEFAZ-ES, vejamos as disposições sobre os
Direitos do Titular.

O titular, pessoa natural a quem se referem os dados pessoais que são

objeto de tratamento, por óbvio, tem diversos direitos resguardados
quanto as suas informações,

Direitos do Titular (Art. 18) – Direito de obter do controlador a qualquer

momento e mediante requisição:

 I – confirmação da existência de tratamento;

 II – acesso aos dados;
 III – correção de dados incompletos, inexatos ou
desatualizados;
 IV – anonimização, bloqueio ou eliminação de dados
desnecessários, excessivos ou tratados em
desconformidade com o disposto nesta Lei;
 V – portabilidade dos dados a outro fornecedor de
serviço ou produto, mediante requisição expressa, de
acordo com a regulamentação da autoridade nacional,
observados os segredos comercial e industrial;
 VI – eliminação dos dados pessoais tratados com o
consentimento do titular, exceto nas hipóteses previstas
no art. 16 desta Lei;
 VII – informação das entidades públicas e privadas com
as quais o controlador realizou uso compartilhado de
dados;
 VIII – informação sobre a possibilidade de não fornecer
consentimento e sobre as consequências da negativa;
 IX – revogação do consentimento

Considerações Finais
Pessoal, chegamos ao final do Resumo da LGPD para SEFAZ-ES, espero que
tenha sido efetivo para seu estudo.
É sempre válido praticar o conteúdo por questões, pensando nisso o
Estratégia criou o Sistema de Questões com mais questões comentadas do
mercado. Como sugestão fique uma lista sobre LGPD.