LGPD

Conheça nossas
especialidades e onde
podemos colaborar com
o crescimento da sua empresa

OS DADOS SÃO DO CLIENTE.
A RESPONSABILIDADE DE ZELAR É
DA SUA EMPRESA!

Previous
Next

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709/2018, tem como objetivo regulamentar o tratamento de dados pessoais pelas empresas no Brasil, uma vez que os dados pessoais ganharam grande importância na economia moderna, pois permitem fazer predições, analisar perfis de consumo, opinião, entre outras atividades lícitas e ilícitas. 

Atualmente, mais de 126 países no mundo possuem leis para a proteção de dados pessoais visando à regulamentação do tratamento de dados das empresas, evitando-se o mau uso destes, bem como a responsabilização das empresas por isso, bem como por incidentes e acidentes com dados pessoais.

A tarefa da adequação requer detalhes, atenção, tempo e total confiança com o profissional que estará à frente deste projeto interno da empresa. Para isso, o DPO (Data Protection Officer), cargo obrigatório direcionado a uma pessoa com o mínimo de conhecimento de informática, área digital, cultura empresarial e se possível noções de direito, deve ser destacado para orientar a empresa diante da adequação à Lei, sem a necessidade da empresa fazer os trâmites da adequação por conta própria e correr o risco de sofrer falhas que poderiam ser evitadas. A outra opção é a terceirização do serviço para um DPO profissional, como se especializou e propõe a S4 Marketing, através de uma ferramenta dinâmica e interativa e a participação de líderes de cada departamento da empresa em questão. 

A proteção de dados para uma empresa é um assunto que vem muito antes da Lei ser sancionada em nosso país. Proteger dados pessoais é um tema trazido desde a década de 80, que firmou suas raízes em âmbito global e hoje traz urgência e necessidade dentro das empresas. Sabemos que desde setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) está em vigor e aplicabilidade das sanções administrativas caso alguma empresa não cumpra com os requisitos exigidos pela Lei segue em vigor desde agosto de 2021. Desde então, vemos empresas buscando soluções de segurança de dados, com o foco na proteção e adequação à Lei, mas ainda há um número de empresas no Brasil que ainda não buscaram informações sobre a Lei Geral de Proteção de Dados. Se este for o seu caso, fale com a S4 marketing, com o DPO Sidney Ferrér e tire suas dúvidas! A fiscalização já está autorizada e as multas podem chegar a 2% do faturamento da sua empresa. 

COLOCAR UM BOTÃO: FALE COM O DPO (PODE COLOCAR MEU TELEFONE)

Os dados são do Cliente. A responsabilidade de zelar por eles é da sua empresa!  

Antes de prosseguir, é preciso deixar claro que as duas extremidades, empresa e cliente, precisam estar em concomitância e informados sobre a LGPD, pois isso traz uma segurança para ambas, e, justamente, uma confiança maior com uma das pontas, nesse caso o cliente, que terá ciência da segurança que a empresa possui quando lida com seus dados. A governança e cultura interna das empresas precisam estar atualizadas e adequadas quanto a Lei, pois isso é um ganho que trará proteção, segurança e uma cultura baseada em cuidados com a política de privacidade da empresa alinhada com a LGPD. Confira alguns procedimentos que terão que ser revistos na sua empresa para que entrem em conformidade com a LGPD:

.COLOCAR O TEXTO E OS ÍCONES DO QUADRO AO LADO.

Em todas as etapas, desde o desenvolvimento do produto ou serviço, será necessário se preocupar com a privacidade do usuário/cliente/prospect. O modelo de LGPD europeu, já em prática há mais de 20 anos, serviu de base para a interpretação do que seriam esses requisitos de segurança que nossa legislação menciona. O ponto central a ser observado, seja pelas normas brasileiras ou europeias, se relaciona com a governança que as empresas precisam possuir. Instaurar a LGPD portanto é um processo que tem que vir de cima para baixo e não de baixo para cima, explica o DPO Sidney Ferrér da S4 marketing de resultados que conclui: ”Sem a conscientização do dono-fundador ou CEO a LGPD não se faz verdadeira nas empresas.” 

A governança com base no Privacy by Default e Privacy by Design se resume no envolvimento e engajamento de todos os setores da empresa para assegurar que os dados do usuário sejam protegidos e tratados de forma segura. A definição do que é segurança evoluirá com o tempo, assim como deve ocorrer com as práticas da empresa. 

A conclusão é que a proteção dos dados ocorre durante o processamento destes de forma simultânea, paralela ou integrada ao processo tecnológico. Compete ao agente responsável pelo tratamento o emprego de medidas técnicas e organizacionais adequadas para proteção do titular dos dados, sem privá-lo, contudo, do acesso aos novos produtos e serviços, superiores em eficácia e eficiência, que serão disponibilizados ao término do desenvolvimento.

Para a S4, a primeira etapa rumo a superação desse novo desafio, para que as empresas não percam o foco em seus core business, consiste na contratação de um agente de tratamento de dados experiente (DPO) terceirizado para atuar com transparência durante o processo de adequação e proteção dos dados em todo seu ciclo de vida dos clientes, parceiros, fornecedores e clientes em uma empresa. 

Possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados. (LGPD)

São pessoas físicas ou jurídicas de direito público ou privado envolvidas no tratamento de dados pessoais. Além do controlador e do operador, a ANPD (Autoridade Nacional de Proteção de Dados) trouxe as figuras da controladoria conjunta (ou co-controladoria) e do suboperador, que não estão definidas formalmente na LGPD (Lei Geral de Proteção de Dados). (LGPD)

O controlador e operadores: representante, DPO (encarregado de dados), cocontroladores, Suboperador, Controladores Independentes, Controladores conjuntos e líderes. (LGPD)

Local na Internet identificado por um nome de domínio, constituído por uma ou mais páginas de hipertexto, que podem conter textos, gráficos e informações multimídia. (LGPD)

O titular tem o direito ao anonimato, mas não pode agir de maneira anônima, por exemplo, na Internet. (LGPD)

Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. (LGPD)

Autoridade Nacional de Proteção de Dados entidade governamental aos moldes da ANVISA e ANATEL, por exemplo.

ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência. (LGPD)

Informação contida no campo apropriado à escrita do título (campo “Assunto:/ Subject:”) do cabeçalho da mensagem. (LGPD)

Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento de uma Lei em todo o território de um país. (LGPD)

Ato ou efeito de calcular valor sobre um ou mais dados. (LGPD)

Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. (LGPD)

Lista de nomes e informações de pessoas físicas ou jurídicas com as quais determinada pessoa física ou jurídica que faz uso de E­mail Marketing mantém relacionamento. (LGPD)

São as justificativas que a LGPD permitem a utilização de dados.

Suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados. (LGPD)

(art 10 da LGPD) diz que em casos concretos, deve ser obrigatório elaborar um relatório de impacto à proteção dos dados pessoais.

(art 10 da LGPD) diz que em casos concretos, deve ser obrigatório elaborar um relatório de impacto à proteção dos dados pessoais.

Maneira de ordenar os dados conforme algum critério estabelecido. (LGPD)

Mais de um controlador possui poder de decisão sobre o tratamento de dados pessoais; Há interesse mútuo de dois ou mais controladores, com base em finalidades próprias, sobre um mesmo tratamento; e Dois ou mais controladores tomam decisões comuns ou convergentes sobre as finalidades e elementos essenciais do tratamento. (LGPD)

Termo genérico que se refere a todos os tipos de programa que executam ações maliciosas em um computador. Exemplos de códigos maliciosos são os vírus, worms, bots, cavalos de tróia, rootkits, etc.

Mais de um controlador possui poder de decisão sobre o tratamento de dados pessoais; Há interesse mútuo de dois ou mais controladores, com base em finalidades próprias, sobre um mesmo tratamento; e Dois ou mais controladores tomam decisões comuns ou convergentes sobre as finalidades e elementos essenciais do tratamento. (LGPD)

Recolhimento de dados com finalidade específica. (LGPD)

Transmitir informações pertinentes a políticas de ação sobre os dados. (LGPD)

Quando se obtém a autorização do titular para tratamento dos dados.  (LGPD)

Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. (LGPD)

Compete a ele as decisões referentes ao tratamento de dados pessoais (art. 5º , VI, da LGPD). Compreende-se, assim, uma ideia de raciocínio e de tomada de decisões no que tange ao tratamento, como se o agente fosse a cabeça da operação.

Os controladores conjuntos são aqueles que tomam decisões conjuntamente quanto ao meio e à finalidade do tratamento de dados. Conforme a ANPD, tal posicionamento poderá ser concedido a partir da análise factual.

Os controladores independentes são aqueles que realizam o tratamento de dados conjuntamente, visando finalidades diferentes e próprias. (LGPD)

Ação ou poder de regular, determinar ou monitorar as ações sobre o dado. (LGPD)

Ou third party cookies são aqueles criados por outros sites que não os donos do domínio. Um exemplo para ficar mais claro: quando você encontra uma publicidade de uma marca dentro de um site de notícias, os cookies dessa publicidade não pertencem ao site de notícias, portanto, são terciários.

Ou first party cookie emitidos pelo domínio shell.com e geralmente são utilizados para escolher o idioma de acordo com o local ou facilitar a funcionalidade básica do site.

Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. (LGPD

Que conseguem chegar a pessoa natural diretamente. (LGPD)

Que conseguem chegar a pessoa natural indiretamente. (LGPD)

Informação relacionada à pessoa natural identificada ou identificável. (LGPD)

O Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. 

dados indiretos que identificam a pessoa natural como por exemplo: filiações a agremiações e sindicatos, origem racial ou étnica, opinião política, dados referentes a saúde e vida sexual, dados genéticos, biométricos e etc. (LGPD)

São aqueles relacionados a pessoa natural identificada ou identificável. (LGPD)

Pessoa física ou jurídica a quem o E­mail é enviado (campo “Para:/To:” do cabeçalho da mensagem).

Ato ou efeito de divulgação, propagação, multiplicação dos dados. (LGPD)

Criação de mecanismos pró-ativos com a LGPD.

Lei anterior a GDPR criada na década de 90 na Europa.

Ato ou efeito de dispor de dados de acordo com algum critério estabelecido. (LGPD)

Data protection Office ou encarregado de dados, pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), também conhecido como encarregado. (LGPD)

Ou date subject accsess request  é uma forma do indivíduo requisitar um direito garantido através da GDPR e LGPD . É o direito de acesso aos dados, isso permite que os indivíduos tenham noção de quais dados pessoais o controlador de dados coletou dele.

Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. (LGPD)

Mensagem de correio eletrônico enviada e recebida pela internet que tenha por objeto divulgar ou ofertar produtos ou serviços, manter relacionamento com base de destinatários ou, ainda, propiciar atendimento ao cliente. (LGPD)

Pessoa jurídica fornecedora de plataforma para gestão de campanhas de E­mail Marketing, com estrutura de servidores e IPs próprios.

Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), também conhecido como DPO. (LGPD)

É o processo de codificação de mensagens ou arquivos. Este processo é responsável por gerar um código que permite que apenas aqueles que possuem as chaves corretas tenham acesso àquelas informações.

Categorias de titulares de dados na LGPD. Um titular pode ser visitante, cliente, prospect, colaborador, fornecedor e etc.

É concebida como uma estrutura básica para a estratégia de governo eletrônico, aplicada ao governo federal – Poder Executivo, não restringindo a participação, por adesão voluntária, de outros Poderes e esferas de governo.

Ato de copiar ou retirar dados do repositório em que se encontrava. (LGPD)

Ou cookies primários emitidos pelo domínio shell.com e geralmente são utilizados para escolher o idioma de acordo com o local ou facilitar a funcionalidade básica do site.

Capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da administração pública federal em seu âmbito de atuação.

Lei similar a LGPD que abrange a União Européia _ Islândia, Liechtensein e a Noruega.

Se refere ao gerenciamento dos dados de uma empresa, sua disponibilidade, seu uso e a segurança da informação compartilhada interna e externamente.

A análise da demanda dos dados dos titulares pela empresa. Eles podem ser fracos, fortes ou ainda ter cases e jurisprudências legais para serem analisados. (LGPD)

Capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING). (LGPD)

Quando se prova a necessidade de tratamento dos dados do titular. (LGPD)

Arquitetura dirigida ao desenvolvimento. 

Processo de precaução sobre determinado cenário. É uma política voltada para identificar e reduzir o impacto de qualquer falha, e no caso da LGPD, significa reduzir riscos para o negócio.

É a limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. (LGPD)

Ou PoLP se refere a um conceito de segurança da informação em que um usuário recebe os níveis mínimos de acesso – ou permissões – necessários para desempenhar suas funções de trabalho.

Ato ou efeito de alteração do dado. (LGPD)

É um nome que serve para localizar e identificar conjuntos de computadores na internet.

´`E o nome de domínio registrado pelo próprio remetente do Email Marketing, conforme os procedimentos vigentes para registro de nome de domínio na internet. Ex: exemplo.com.br / example.com / example.net, dentre outras extensões.

Quem realiza o tratamento de dados pessoais em nome do Controlador –  (art. 5º , VII, da LGPD). Compreende-se, assim, o agente que irá executar o que foi previamente planejado por outra entidade.

É a permissão prévia concedida pelo Destinatário e comprovável pelo Remetente, autorizando o envio de E­mail Marketing por um determinado Remetente

Forma disponibilizada e informada na mensagem de E­mail Marketing para que o destinatário exerça o descadastramento da respectiva Base de Destinatários.

Entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.

É uma ferramenta da Qualidade utilizada no controle de processos, que tem como foco a solução de problemas.

Pessoa viva. Quando a pessoa vem a falecer a LGPD não alcança os direitos, existem outras Leis para isso. (LGPD)

Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação aos órgãos e às entidades da administração pública federal em seu âmbito de atuação.

Ou PNSI, dispõe sobre a governança da segurança da informação aos órgãos e às entidades da administração pública federal em seu âmbito de atuação.

Princípio do menor privilégio.

São as propósitos legítimos que norteiam a origem dos dados pessoais, como finalidade, adequação, necessidade mínima, transparência,  e etc. (LGPD)

Ou Privacy by design ,consiste em um conceito desenvolvido na década de 1990 pela Dra. Ann Cavoukian, para contemplar sua inquietação com os efeitos que poderiam emergir a partir da combinação entre avanço da tecnologia e utilização massiva de dados pessoais pelas empresas. (LGPD)

Ou privacy by  default consiste na ideia de que empresas garantam   o processamento de dados pessoais apenas na medida do estritamente necessário para atingir uma finalidade específica; a proteção da privacidade de forma automática no momento da coleta de dados pessoais por algum sistema de tecnologia ou prática de negócio, sem que seja necessária qualquer manifestação da vontade ou intervenção do indivíduo. (LGPD)

Ato ou efeito de processar dados.

São os princípios de origem que norteiam os dados pessoais, como finalidade, adequação, necessidade mínima, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilidade e prestação de contas.  (LGPD)

Empresa prestadora de Serviço de Conexão à Internet, e­mail, hospedagem de sites ou conteúdo digital, atividades estas que, nos termos do art. 61 da Lei Federal n.º 9.472, de 16 de julho de 1997, caracterizam Serviços de Valor Adicionado.

Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Os dados anonimizados se encontram fora do escopo da LGPD, uma vez que não se associam a uma pessoa natural, não recaindo sobre eles portanto toda a carga regulatória presente na lei.

ato de receber os dados ao final da transmissão. (LGPD)

Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. (LGPD)

Pessoa física ou jurídica cujo nome seja apresentado no campo de dados do E­mail relativo ao emissor da mensagem (campo “De:/From:” do cabeçalho da mensagem);

Cópia de dado preexistente obtido por meio de qualquer processo. (LGPD)

quando o titular solicita que seus dados sejam retirados do banco de dados da empresa. (LGPD)

Relatório de Impacto a Proteção de dados pessoais. (LGPD)

O termo é usado para se referir à defesa de dados e à prática que assegura que informações sigilosas possam ser acessadas somente por aqueles a quem estas se referem (em outras palavras, seus responsáveis de direito).

Envio de mensagens sem Opt­in, porém sempre a partir da prévia e comprovável relação comercial ou social entre o Remetente e o Destinatário.

Contratado pelo operador para auxiliar na tarefa de tratamento de dados em nome do controlador; tem relação direta com o operador, e não com o controlador. Pode ser equiparado ao operador no que tange às responsabilidades da atividade de tratamento de dados. (LGPD)

Tempo que os dados serão tratados e ficarão sob responsabilidade da empresa. (LGPD)

ou cookies de terceiros são aqueles criados por outros sites que não os donos do domínio. Um exemplo para ficar mais claro: quando você encontra uma publicidade de uma marca dentro de um site de notícias, os cookies dessa publicidade não pertencem ao site de notícias, portanto, são terciários.

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. (LGPD)

Pessoas físicas que podem ter seus dados tratados. (LGPD)

Mudança de dados de uma área de armazenamento para outra, ou para terceiro. (LGPD)

Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro. (LGPD)

Movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc. (LGPD)

toda operação realizada com dados pessoais; como as que se referem a acesso (possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados); armazenamento (ação ou resultado de manter ou conservar em repositório um dado). (LGPD)

número significativo de titulares, considerando-se, ainda, volume de dados envolvidos; e a duração, frequência e extensão geográfica do tratamento realizado. (LGPD)

comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados. (LGPD)

Ato ou efeito do aproveitamento dos dados. (LGPD)

Quando se usa solicitação de autorização sem transparência, quando o titular é impedido em avançar em seus interesses mediante clicar em call actions, quando não permite ou não deixa claro que o titular possa avançar em seus interesses ou que deixe o mesmo sem possibilidades de utilizar os serviços. A finalidade tem que estar clara. (LGPD)

Proteção à privacidade

Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras, garantindo direitos fundamentais.

Transparência

Estabelecer regras claras sobre tratamento de dados pessoais.

Desenvolvimento

Fomentar o desenvolvimento econômico e tecnológico.

Padronização de normas

Estabelecer regras únicas e harmônicas sobre tratamento de dados pessoais, por todos os agentes e controladores que fazem tratamento e coleta de dados.

Segurança jurídica

Fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais, garantindo a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo.

Favorecimento à concorrência

Promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados.

Abrangência da aplicação da LGPD

A LGPD regulamentará qualquer atividade que envolva utilização de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, no território nacional ou em países onde estejam localizados os dados.

A lei se aplica extraterritorialmente?

Sim, nos seguintes casos:

  1. A operação de tratamento dos dados seja realizada no território nacional;
  2. A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
  3. Os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.

São considerados dados pessoais coletados no território nacional, aqueles cuja coleta dos dados do titular ocorreu em território nacional.

O que são Dados Pessoais

Dado pessoal é todo aquele relacionado à pessoa natural identificada ou identificável (artigo 5º, I, da Lei 13.709/2018). Isso quer dizer: dados pessoais são todos aqueles que podem identificar uma pessoa – números, características pessoais, qualificação pessoal, dados genéticos etc.

Dados sensíveis

A lei também definiu alguns tipos de dados pessoais, como os dados sensíveis (artigo 5º, II, da Lei 13.709/2018). Trata-se de informações que podem ser utilizadas de forma discriminatória e, portanto, carecem de proteção especial. A lei define como dados sensíveis aqueles que implicam sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Dados pessoais de crianças e adolescentes

O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico por pelo menos um dos pais ou pelo responsável legal (art. 14, §1º). O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis (art. 14, §5º).

Dado pessoal anonimizado

É o dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. (art. 5, III).Desta forma, estariam fora do escopo de aplicação da lei, à exceção se o processo de anonimização puder ser revertido ou se estes forem utilizados na formação de perfis comportamentais. Dados efetivamente anonimizados são essenciais para o funcionamento de tecnologias no campo da Internet das Coisas, inteligência artificial, machine learning, smart cities e análise de grandes contextos comportamentais.

Os titulares dos dados pessoais tiveram seus direitos ampliados e devem ser garantidos de forma acessível e eficaz. (art.18)

Principais direitos
  1. Confirmar a existência de tratamento de seus dados pessoais.
  2. Acessar seus dados pessoais.
  3. Corrigir dados pessoais incompletos, inexatos ou desatualizados.
  4. Anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  5. Portabilidade de dados pessoais a outro fornecedor de produto ou serviço.
  6. Eliminação de dados tratados com o seu consentimento.
  7. Obtenção de informações sobre as entidades públicas e privadas com as quais o controlador realizou o compartilhamento de dados pessoais.
  8. Obtenção de informações sobre a possibilidade de não consentir com o tratamento de dados pessoais e sobre as consequências da negativa.
  9. Revogação do consentimento dado para o tratamento de dados pessoais.
  10. Portabilidade dos dados (artigo 18, V), que, similar ao o que pode ser feito entre diferentes empresas de telefonia e bancos, permite ao titular não só requisitar uma cópia da integralidade dos seus dados, mas também que estes sejam fornecidos em um formato interoperável, que facilite a transferência destes para outros serviços, mesmo para concorrentes. Devido a sua natureza, este novo direito tem sido encarado como um forte elemento de competição entre diferentes empresas que oferecem serviços similares baseados no uso de dados pessoais.

Controlador e operador são os agentes de tratamento de dados pessoais, devendo manter registro das operações de tratamento que realizarem, especialmente quando baseadas em legítimo interesse (art. 37).

O operador deve realizar o tratamento de dados de acordo com as instruções fornecidas pelo controlador (art. 39). O controlador deve indicar o encarregado (DPO – Data Protection Officer) pelo tratamento de dados pessoais (art. 41). Conforme inovação trazida pela redação da Medida Provisória n.º 869/2018, o DPO pode ser pessoa física ou jurídica (nacional ou internacional), que atue como canal de comunicação entre o controlador e a ANPD e os titulares.

A identidade e as informações de contato do encarregado devem ser públicas, claras e objetivas, de preferência no site do controlador (art. 41, §1º); e o encarregado deverá aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares (art. 41, §2º).

Consentimento do titular

Atualmente, parte relevante da economia gira em torno da coleta, tratamento e comercialização de dados pessoais. Com a LGPD (art. 7º), no 1º inciso deste artigo, prevê-se que: [o tratamento de dados pessoais poderá ser realizado] mediante o fornecimento de consentimento pelo titular por escrito ou por outro meio que demonstre a manifestação de vontade do titular (art. 8°).

Isso significa que a pessoa autoriza o tratamento de determinados dados após ter recebido informações suficientes para formar sua opinião – quais as condições de tratamento? Há comercialização ou informação de dados para terceiros?

Alteração da informação

Em caso de alteração de informação, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração (art. 8°, §6º).

Revogação

O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação (art. 8°, §5º).

O tratamento de dados também poderá ser realizado para o cumprimento de obrigação legal ou regulatória noa seguintes casos:

  1. Pelo controlador (art. 7º, II);
  2. Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres (art. 7º, III);
  3. Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais (art. 7º, IV);
  4. Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados (art. 7º, V);
  5. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da lei de arbitragem (art. 7º, VI);
  6. Para a proteção da vida ou da incolumidade física do titular ou de terceiro (art. 7º, VII);
  7. Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias (art. 7º, VIII).
Exceções

A LGPD incluiu duas hipóteses adicionais que autorizam o tratamento de dados pessoais, no artigo 7, IX e X. O tratamento de dados pessoais poderá ser realizado quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Interesse legítimo

O conceito de “interesse legítimo” foi incluído no texto para autorizar determinadas situações nas quais o consentimento não precisaria ser emitido. São situações nas quais não é necessário perguntar ao cidadão ou cidadã se aquele tratamento pode ou não ser realizado, pois, segundo a lei, ele deve contemplar as suas “legítimas expectativas”.

Coibir fraude

Um exemplo é o uso de dados bancários dos clientes pelas próprias instituições bancárias, para coibir fraudes (como o seu perfil de gastos) sem que haja consentimento expresso do titular dos dados. É ônus do responsável demonstrar que está fazendo uso da hipótese de legítimo interesse de modo adequado e por meio do devido sopesamento entre seus interesses e os direitos dos titulares. Potenciais abusos poderão ser coibidos pelas autoridades responsáveis por zelar pela proteção de dados.

Proteção ao crédito

Com relação a última hipótese, a inclusão da coleta para proteção de crédito entre as exceções permite a coleta automática de informações para fins de proteção de crédito, para o chamado “cadastro positivo”, ou seja, manutenção de cadastros por empresas privadas que disponibilizam informações dos consumidores aos fornecedores de crédito.

Dados pessoais com acesso público

O Estado detém enormes bancos de dados pessoais, muitos deles formados a partir de informações fornecidas obrigatoriamente pelos cidadãos e cidadãs. A LGPD não faz menção À expressão “dados públicos”, mas sim a “dados pessoais cujo acesso é público” (§3º do art. 7º) – ou seja, dados cuja divulgação pública é obrigatória por lei, como por exemplo, o fato de alguém ser proprietário de um imóvel, sócio de uma empresa, ou os dados acerca das atividades de órgãos públicos.

Segundo a LGPD [o] tratamento de dados pessoais cujo acesso é público devem levar em consideração a finalidade, a boa-fé e o interesse público que justificam a sua disponibilização, sendo dispensada a exigência do consentimento de seu titular para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios pela LGPD.

Proteção à privacidade

Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras, garantindo direitos fundamentais.

Transparência

Estabelecer regras claras sobre tratamento de dados pessoais.

Desenvolvimento

Fomentar o desenvolvimento econômico e tecnológico.

Padronização de normas

Estabelecer regras únicas e harmônicas sobre tratamento de dados pessoais, por todos os agentes e controladores que fazem tratamento e coleta de dados.

Segurança jurídica

Fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais, garantindo a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo.

Favorecimento à concorrência

Promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados.

Abrangência da aplicação da LGPD

A LGPD regulamentará qualquer atividade que envolva utilização de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, no território nacional ou em países onde estejam localizados os dados.

A lei se aplica extraterritorialmente?

Sim, nos seguintes casos:

  1. A operação de tratamento dos dados seja realizada no território nacional;
  2. A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
  3. Os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.

São considerados dados pessoais coletados no território nacional, aqueles cuja coleta dos dados do titular ocorreu em território nacional.

O que são Dados Pessoais

Dado pessoal é todo aquele relacionado à pessoa natural identificada ou identificável (artigo 5º, I, da Lei 13.709/2018). Isso quer dizer: dados pessoais são todos aqueles que podem identificar uma pessoa – números, características pessoais, qualificação pessoal, dados genéticos etc.

Dados sensíveis

A lei também definiu alguns tipos de dados pessoais, como os dados sensíveis (artigo 5º, II, da Lei 13.709/2018). Trata-se de informações que podem ser utilizadas de forma discriminatória e, portanto, carecem de proteção especial. A lei define como dados sensíveis aqueles que implicam sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Dados pessoais de crianças e adolescentes

O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico por pelo menos um dos pais ou pelo responsável legal (art. 14, §1º). O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis (art. 14, §5º).

Dado pessoal anonimizado

É o dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. (art. 5, III).Desta forma, estariam fora do escopo de aplicação da lei, à exceção se o processo de anonimização puder ser revertido ou se estes forem utilizados na formação de perfis comportamentais. Dados efetivamente anonimizados são essenciais para o funcionamento de tecnologias no campo da Internet das Coisas, inteligência artificial, machine learning, smart cities e análise de grandes contextos comportamentais.

Os direitos assegurados ao titular são bastante amplos, refletindo boa parte do modelo europeu de proteção de dados (Regulamento Geral de Proteção de Dados – GPDR). A tutela efetiva desses direitos essencialmente depende de uma autoridade de proteção de dados independente e com corpo técnico qualificado capaz de aplicar e interpretar a lei de modo equilibrado.

Do ponto de vista das empresas, é preciso considerar que pessoas têm diferentes preocupações sobre privacidade. Assim, as empresas devem seguir boas práticas de transparência e clareza quanto aos dados que coletam, de modo que o titular possa fazer suas próprias escolhas sobre como eles são utilizados, bem como, no caso de serviços online, oferecer ferramentas e configurações que permitam a implementação prática dessas escolhas feitas pelo titular.

Fiscalização de lei

A LGPD estabelece, em seu art. 53, atribuições de eventual órgão competente para zelar pela implementação e fiscalização da lei. Esse órgão deverá ser o responsável por elaborar, entre outras coisas, diretriz para uma Política Nacional de Proteção de Dados Pessoais e Privacidade e promover estudos sobre proteção de dados e privacidade.

No entanto, a criação da Autoridade Nacional de Proteção foi vetada pelo presidente da república, sob alegação de que a criação da autoridade pela LGPD teria um vício de iniciativa, já que ela veio de projeto de lei do Congresso Nacional e a casa legislativa não pode criar cargos no Poder Executivo.

Segurança e Sigilo

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (art. 46).

Padrões técnicos mínimos poderão ser definidos pela ANPD. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares (art. 49).

Responsabilidades

Os diferentes agentes envolvidos no tratamento de dados – o controlador e o operador – podem ser solidariamente responsabilizados por incidentes de segurança da informação e/ou o uso indevido e não autorizado dos dados, ou pela não conformidade com a lei (artigo 42, §1º, I).

Todavia, a responsabilidade do operador, àquele que pratica o tratamento de dados em nome e a mando do controlador, pode ser limitada às suas obrigações contratuais e de segurança da informação, caso não viole as regras lhe impostas pela LGPD (artigo 43). Importante, portanto, definir se uma empresa deve ser encarada como um controlador ou um operador, ou ambos, para definir os limites da sua responsabilidade.

Notificação obrigatória

A ocorrência de incidentes de segurança da informação, devem ser notificados à Autoridade de Proteção de Dados e ao usuário titular do dado, em prazo razoável. Embora a Autoridade de Proteção de dados ainda não exista, enquanto ela não for criada, o usuário deve ser obrigatoriamente comunicado.