Escolar Documentos
Profissional Documentos
Cultura Documentos
A privacidade, portanto, é um direito de não fazer, de não deixar que adentrem no meu
círculo.
Free data flow: os dados não estão estritos a uma legislação entre países – por isso,
precisamos entender também a GDPR.
Legislação Brasileira:
Art. 11. Com exceção dos casos previstos em lei, os direitos da personalidade são
intransmissíveis, irrenunciáveis, não podendo seu exercício sofrer limitação
voluntária.
A parte final não é aplicável, pois hoje sofremos limitações constantemente –
sempre que damos dados em qualquer site, estamos abrindo mão da privacidade,
por isso precisamos da proteção dos dados – ESSA É A FINALIDADE.
Art. 12. Pode-se exigir que cesse a ameaça, ou a lesão, a direito da personalidade, e
reclamar perdas e danos, sem prejuízo de outras sanções previstas em lei.
Parágrafo único. Em se tratando de morto, terá legitimação para requerer a medida
prevista neste artigo o cônjuge sobrevivente, ou qualquer parente em linha reta, ou
colateral até o quarto grau.
Caso Snowden*
Cambridge Analytica*
A legislação é para DADOS que é qualquer informação que pode identificar ou ser
identificável de um titular.
Dado identificado: O nome completo, número da OAB/CPF, identificam a
pessoa.
Dado identificável: “homem, advogado, reside em são Paulo, carioca, 39 anos”
você não necessariamente chegará na pessoa, mas pode ser que chega – dados
que correlatos permite que identifique uma pessoa.
PRINCÍPIOS:
Princípios pilares:
a) Finalidade: eu informo que preciso dos dados para fazer “A”, com isso, fico
vinculada à finalidade. Se mudar a finalidade, eu preciso acionar o titular
novamente, para saber se posso fazer “B”, OU se eu tiver base legal que permita
ampliar a finalidade.
O desvio da finalidade é punido.
BASES LEGAIS: Para que os dados pessoais sejam tratados de forma adequada a
LGPD são trazidas 10 hipóteses de bases legais que autorizam o tratamento, nos incisos
do Art. 7º:
O consentimento é a única base de AÇÃO, em que falamos com o titular. As demais são
bases de dispensa de consentimento.
CONSENTIMENTO
Para o Professor Tarcisio Teixeira e Ruth Maria Guerreiro, em seu livro Lei Geral de
Proteção de Dados Pessoais Comentada artigo por artigo: “ O consentimento do titular,
mesmo diante de novas possibilidades legais de tratamento, continua a ter certa
preferência sobre os demais, pois geralmente facilita a obrigação do agente de
tratamento em demonstrar que o tratamento foi feito dentro de uma hipótese legal, ante
o princípio da accountability”.
Accountability – a LGPD está dentro do complience.
O consentimento só serve para o agente que o obteve, não sendo extensivo a outras
pessoas para que possam realizar qualquer tratamento de dados. OU SEJA, não se
estende ao grupo econômico, salvo se informou que transferiria para todas. E, ainda
assim, teria que ser dentro da mesma finalidade.
Deve estar em cláusula destacada, para chamar atenção da pessoa que estará
assinando.
Quando houver a granularidade, tem que ter ação afirmativa do titular (opt in ou opt
out) – você tem que partir da premissa que o titular não quer dividir nenhuma
informação (o padrão é o opt out) e precisa partir dele por AÇÃO afirmativa escolher o
opt in.
A LGPD não retroage, mas se por uma ação antiga o operador tem seus dados de
maneira ativa (dentro da base de dados do controlador/operador), a LGPD passa a valer
para este controlador, independente se adquiriu anterior a lei.
Ele deu consentimento? Provavelmente não, logo, ele precisaria de um novo
consentimento (ou renovação - nesse caso só se não mudou nada da finalidade).
A revogação deve ser facilitada.
Na seara trabalhista: Banco de currículo – você pode pedir consentimento para renovar
o período do currículo a empresa, para caso surjam novas vagas.
Pode ter uma cláusula geral para consentimento de todas finalidades? NÃO, pois a
finalidade provavelmente não é a mesma, logo, muda o consentimento e a coleta tem
que ser individual – uma é pro plano de saúde, outra pro sindicato, e etc.
INTERESSE LEGÍTIMO
É uma base extremamente aberta, para ser base coringa. Isto porque o legislador optou
por não conceituar o que seria interesse legítimo deixando um conceito aberto capaz de
se amoldar as mais diversas hipóteses.
Contudo, isto não significa que esta base pode ser utilizada livremente para qualquer
hipótese. É necessário observar-se os dois requisitos que SEMPRE deverão ser
respeitados: FINALIDADE LEGÍTIMA (que é a existência de situação concreta – ter
razão de existir naquele momento, não é algo futuro ou possível) e NÃO VIOLAÇÃO
DE DIREITOS E LIBERDADES DO TITULAR.
Exemplos:
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos
dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento – todo titular tem o direito de
saber se seus dados estão sendo tratados.
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos
ou tratados em desconformidade com o disposto nesta Lei – técnica de TI para
separar o dado da identificação do titular. Por estar anonimizado, ele deixa de
ser pessoal, e sai da esfera da LGPD.
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante
requisição expressa, de acordo com a regulamentação da autoridade nacional,
observados os segredos comercial e industrial;
VI - eliminação dos dados pessoais tratados com o consentimento do titular,
exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador
realizou uso compartilhado de dados – o titular pode perguntar com quem você
compartilhou os dados pessoais dele. Você é capaz de saber disso?
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as
consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Como controlador posso negar uma eliminação? Sim. Trabalharemos com isso depois.
SANÇÕES:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas
previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela
autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de
direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os
tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por
infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência
– é uma das piores sanções, pois perda de imagem e reputação pode nunca ser
recuperada.
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração
pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a
regularização da atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se
refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas a
tratamento de dados – a maior candidata a judicialização, pois envolve a continuação
da atividade empresarial e laboral, logo, envolve garantia a empregos.
Art. 5º. I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Art. 5º. II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político,
dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma
pessoa natural;
Professor entende que o art. 5º não deveria ser taxativo, pois a sensibilidade está
atrelada ao fato e caso concreto: a nacionalidade é um dado pessoal sensível? Por
padrão não, mas se tiver um local em que etnias estão sendo discriminadas é, pois gera
vulnerabilidade e exposição desnecessária.
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para
finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública,
de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo
e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de
Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde,
serviços de saúde ou autoridade sanitária;
g) garantia da prevenção à fraude e à segurança do titular, nos processos de
identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos
mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades
fundamentais do titular que exijam a proteção dos dados pessoais – A primeira parte
alcança prevenção do terceiro, enquanto que a segunda foca no titular. Exemplo: Coletar
impressão digital para o titular adentrar numa sala.
§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele
dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação
específica.
§ 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo
pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de
consentimento, nos termos do inciso I do caput do art. 23 desta Lei.
§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com
objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por
parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas
competências.
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais
sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses
relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde ,
desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em
benefício dos interesses dos titulares de dados, e para permitir:
I - a portabilidade de dados quando solicitada pelo titular; ou
II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de
que trata este parágrafo.
§ 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de
saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na
contratação e exclusão de beneficiários.
Temos que ter cuidado com e-mail: uma hora tem que ser descarregado – NÃO FAZER
NADA PELO WHATSAPP.