Lei Geral de Proteção de

LGPD Dados Pessoais (LGPD)

Gustavo Pinto Vilar
 Fundamento
LGPD s
I - o respeito à privacidade;

II - a autodeterminação informativa;

III - a liberdade de expressão, de informação, de comunicação e de

opinião;

IV - a inviolabilidade da intimidade, da honra e da imagem;

V - o desenvolvimento econômico e tecnológico e a inovação;

VI - a livre iniciativa, a livre concorrência e a defesa do consumidor;

VII - os direitos humanos, o livre desenvolvimento da

personalidade, a dignidade e o exercício da cidadania pelas pessoas
naturais.

3
LGPD O que é
Dispõe sobre o tratamento de dados pessoais,
inclusive nos meios digitais, por pessoa natural
ou jurídica de direito público ou privado, para
proteger os direitos fundamentais de liberdade
e de privacidade e o livre desenvolvimento da
personalidade da pessoa natural

5
LGPD Objetivo
Garantir a privacidade dos dados pessoais e
permitir um maior controle sobre eles. Além
disso, a lei cria regras claras sobre os processos
de coleta, armazenamento e compartilhamento
dessas informações

7
LGPD Personagens
Controlador: a quem competem as decisões do
tratamento de dados pessoais, deverá ser capaz
de demonstrar que o processamento é realizado
de acordo com a lei, de forma eficaz (prestação
de contas)
Operador: pessoa física ou jurídica que realiza o
tratamento de dados pessoais em nome do
controlador

9
LGPD O que são
dados pessoais
São os que podem ser rastreados até um
indivíduo e que, se divulgados, podem resultar
em danos. Origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou
a organização religiosa; dados filosóficos ou
políticos; referentes à saúde ou à vida sexual,
além de dados genéticos ou biométricos

11
LGPD A quem se
aplica
Organizações públicas ou privadas em território
nacional, bem como as com sede no exterior
que ofereçam serviços ou operem no Brasil
envolvendo tratamento de dados pessoais

13
LGPD
Prazo
Aprovação – agosto/2018

Adequação – agosto/2020 (MP 869/18)

15
 Princípios no
LGPD tratamento de
dados pessoais
-Finalidade: propósitos legítimos, específicos, sem possibilidade de tratamento
posterior de forma incompatível com essas finalidades
- Adequação: compatível com as finalidades informadas ao titular
- Necessidade: limitado ao mínimo necessário para a realização das finalidades
- Livre acesso: garantia aos titulares à consulta facilitada e gratuita sobre a
forma e a duração do tratamento, bem como o acesso à integralidade dos seus
dados
- Qualidade dos dados: garantia da exatidão, clareza, relevância e atualização
dos dados
- Transparência: garantia da prestação de informações claras e facilmente
acessíveis pelos titulares
- Segurança: medidas técnicas e administrativas aptas a proteger os dados de
acessos não autorizados
- Prevenção: medidas para prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais
- Não discriminação: impossibilidade de tratamento para fins discriminatórios
- Responsabilização e prestação de contas: demonstração de medidas eficazes
para observar e comprovar o cumprimento das normas de proteção de dados
pessoais
17
 Fundamentos
legais para o
LGPD tratamento de
dados
-Mediante consentimento;
-Para cumprimento de obrigação legal ou regulatória;
-Pela administração pública, para tratamento de dados necessários
a políticas públicas;
-Para realização de estudos por órgão de pesquisa, sendo garantida
a anonimização dos dados;
-Quando necessário para a execução de contrato;
-Exercício regular de direitos em processo judicial, administrativo
ou arbitral;
-Para a proteção da vida ou incolumidade física do titular ou
terceiros;
-Para a tutela da saúde, com procedimento realizado por
profissionais da área da saúde ou por entidades sanitárias;
-Interesses legítimos do controlador ou de terceiro;
-Proteção do crédito.
19
LGPD Pontos de
Atenção
EXCEÇÕES

A lei não se aplicará ao tratamento de dados pessoais quando:

-Realizado por pessoa natural para fins particulares;
-Realizado para fins jornalísticos ou artísticos ou acadêmicos;
-Realizado para fins de segurança pública, defesa nacional,
segurança do Estado ou atividades de investigação e repressão de
infrações penais (que será objeto de lei específica); ou provenientes
de fora do território nacional e que não seja objeto de
comunicação, uso compartilhado com agentes de tratamento
brasileiros ou objeto de transferência de dados com outro país que
não o de proveniência, desde que este país de proveniência
proporcione grau de proteção adequado aos da lei brasileira.
21
Notificação Obrigatória de Incidentes

A notificação sobre a ocorrência de incidentes de segurança para a

ANPD passa a ser mandatória, e deve ser feita em prazo razoável,
que pode, com base na gravidade do caso, determinar a notificação
dos titulares envolvidos e também a ampla publicização do
incidente, o que pode ter um enorme impacto na imagem da
instituição com sua desvalorização e perda de confiança de seus
consumidores
22
Registro de Atividades de Tratamento

Toda e qualquer atividade de tratamento de dados pessoais deve

ser registrada, desde a sua coleta até a sua exclusão, indicando
quais tipos de dados pessoais serão coletados, a base legal que
autoriza os seus usos, as suas finalidades, o tempo de retenção, as
práticas de segurança de informação implementadas no
armazenamento e com quem os dados podem ser eventualmente
compartilhados
23
Fiscalização

A medida provisória nº 870 (1/1/ 2019) prevê a

Autoridade Nacional de Proteção de Dados
Pessoais (ANPD) como órgão integrante da
Presidência da República, conforme dispõe seu
art. 2º, inciso VI
24
Tratamento de dados

Considera-se “tratamento” toda a operação

realizada com dados pessoais, como coleta,
produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da
informação, modificação, comunicação,
transferência, difusão ou
extração
25
ANPD

Tem entre as atribuições a de zelar pela

proteção de dados pessoais; editar normas e
procedimentos sobre o tema e aplicar sanções
em caso de descumprimento de regras.
26
Anonimização

São dados anonimizados aqueles cujo titular não possa ser

identificado, considerando a utilização de meios técnicos razoáveis
e disponíveis na ocasião de seu tratamento. O objetivo da
anonimização é proteger dados privados ou confidenciais,
excluindo ou criptografando informações de identificação pessoal
de um banco de dados sem perder a integridade dos dados
coletados e compartilhados, fornecendo oportunidades para que os
controladores utilizem os dados de maneiras mais inovadoras. Esse
tipo de dado não será considerado pessoal, salvo quando o
processo de anonimização puder ser revertido, utilizando
exclusivamente meios próprios ou mediante esforços razoáveis
27
LGPD
Penalidades
Multas

As multas previstas para o descumprimento variam de 2% do

faturamento bruto até R$ 50 milhões (por infração)

Responsabilidades e Penalidades

Os diferentes agentes envolvidos – controlador e operador –

podem ser solidários por incidentes de segurança e/ou o uso
indevido e não autorizado dos dados, ou pela não obediência com
a lei. A responsabilidade do operador pode ser limitada às suas
obrigações contratuais e de segurança da informação

Podem ser aplicadas advertências, multas, ou até a proibição total ou

parcial de atividades relacionadas ao tratamento de dados.
29
30
31