LGPD

Lei Geral de Proteção de Dados Pessoais – LGPD

Lei Geral de Proteção de Dados Pessoais – LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018, foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. A Lei dispõe sobre o tratamento de dados pessoais, coletados de forma física ou digital, por pessoa física ou jurídica de direito público ou privado, englobando um amplo conjunto de operações que podem ocorrer, tais como: coleta, utilização, acesso, distribuição, armazenagem e descarte.

Por isso, é de elevada importância o desenvolvimento contínuo da cultura da proteção de dados pessoais no dia a dia da Administração Pública, cuja principal finalidade do tratamento está relacionada à execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos semelhantes.

Partes envolvidas no tratamento de dados pela definição da LGPD

– Titular de Dados: Pessoa natural a quem pertencem os dados pessoais.
– Controlador: Pessoa natural ou jurídica, PÚBLICA ou privada, responsável pelas decisões em relação ao tratamento de dados.
– Operador: Pessoa natural ou jurídica, PÚBLICA ou privada, que realiza o tratamento de dados em nome do CONTROLADOR. Não tem poderes decisórios.
– Encarregado: Pessoa natural ou jurídica indicada pelo CONTROLADOR e OPERADOR para atuar como canal de comunicação entre estes, e os titulares dos dados e a autoridade nacional (ANPD).

Encarregado de Dados

O Encarregado pelo tratamento de dados pessoais possui a função de atuar como canal de comunicação entre instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Vale destacar que o Encarregado pode ser pessoa física ou jurídica, sendo uma obrigação legal a sua indicação pelo Controlador, devendo obrigatoriamente a sua identidade e informações de contato serem divulgadas, de forma clara e objetiva, preferencialmente, em sítio eletrônico do ente ou órgão, salvo disposição em contrário da ANPD, conforme art. 41 da LGPD.

Previsão legal: artigo 5º., VIII, da LGPD

Atribuições: artigo 41, §2º., da LGPD

I – Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – Receber comunicações da autoridade nacional e adotar providências;
III – Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Fale conosco sobre seus direitos e tire suas dúvidas pelo contato do encarregado de dados:

Fabiana Lima da Rocha

Sobre a LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n° 13.709/2018) foi promulgada para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais. Considera-se “tratamento de dados” qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, etc.

Estrutura da Lei Geral de proteção de Dados Pessoais (LGPD)
  1. Capítulo I – Disposições Preliminares;
  2. Capítulo II – Do tratamento de Dados Pessoais;
  3. Capítulo IIIDos direitos do Titular;
  4. Capítulo IVDo Tratamento de Dados Pessoais pelo Poder Público;
  5. Capítulo V – Da Transferência Internacional de Dados;
  6. Capítulo VI – Dos Agentes de Tratamento de Dados Pessoais;
  7. Capítulo VII – Da Segurança e das Boas Práticas;
  8. Capítulo VIII – Da Fiscalização;
  9. Capítulo IX – Da Autoridade Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados pessoais.

Requisitos para o Tratamento Legítimo de Dados

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – Mediante o fornecimento de consentimento pelo titular;

II – Para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV – Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

VII – Para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX – Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.

§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.

§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.

§ 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei

Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.

§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.

§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.

§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.

§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.

Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

I – Finalidade específica do tratamento;

II – Forma e duração do tratamento, observados os segredos comercial e industrial;

III – Identificação do controlador;

IV – Informações de contato do controlador;

V – Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

VI – Responsabilidades dos agentes que realizarão o tratamento; e

VII – Direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

§ 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.

§ 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.

§ 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei.

Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

I – Apoio e promoção de atividades do controlador; e

II – Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.

§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.

§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Legislação Relacionada

Lei Geral de Proteção de Dados Pessoais
  1. Lei n. 13.709, de 14 de agosto de 2018(LGPD)
  2. Lei n. 13.853, de 8 de julho de 2019(altera a Lei n. 13.709)
Lei Europeia
  1. General Data Protection Regulation(GDPR)
Leis e Regulamentos

No Brasil temos diversas leis e regulamentos que, de alguma forma, tratam dos direitos do cidadão em relação à proteção de dados e ao seu direito à privacidade, nos mais diversos segmentos de atividades:

  1. Decreto n. 8.777, de 11 de maio de 2016(Política de Dados Abertos do Governo Federal)
  2. Lei n. 12.965, de 23 de abril de 2014(Marco Civil da Internet)
  3. Resolução BACEN n. 4.658(Política de segurança digital para instituições financeiras)
  4. Lei n. 12.527, de 18 de novembro de 2011(Lei de Acesso à Informação)
  5. Resolução n. 1.821/2007 do CFM(Digitalização e guarda de prontuários médicos)
  6. Lei 10.406, de 10 de janeiro de 2002(Código Civil)
  7. Lei 9.507, de 12 de novembro de 1997(Habeas Data)
  8. Lei Complementar n. 105, de 10 de janeiro de 2001(Sigilo das operações das instituições financeiras)
  9. Lei n. 8.069, de 13 de julho de 1990(Estatuto da Criança e do Adolescente)
  10. Constituição da República Federativa do Brasil de 1988
  11. Lei nº 14.129  de 29 de março de 2021 (Governo Digital).
Resoluções Internas
  1. Ato 354 da presidência (Institui encarregado e constitui grupo de trabalho)
  2. Ato 70 da presidência (Institui Comitê Gestor de Proteção de Dados)

Obrigações dos Controladores

Gerenciar o consentimento do Titular para tratar seus dados pessoais

É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos na Lei. O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas na Lei. (Art. 7, § 4º e 5º) Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na Lei. (Art. 8º, §2º) Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações. (Art. 9, §2º)

Observar as recomendações caso tenha o legítimo interesse como base para tratar dados pessoais

O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: […] Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. (Art.10, caput, §1 e 2)

Caso realize tratamento de dados pessoais de crianças e adolescentes, deverá
[…] manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 da lei. (Art.14 §2º)

Fazer uso adequado dos dados pessoais sob sua responsabilidade

Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades […] Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados (Art. 16, caput, IV)

Prover informações sobre tratamento de dados pessoais do Titular pelo controlador

A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular (Art. 19)

Fornecer informações sobre decisões automatizadas quando utilizadas

O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. (Art. 20 §1º)

Oferecer garantias para o tratamento internacional dos dados, quando este ocorrer

(Art. 23)

Manter registro das operações de tratamento de dados pessoais, inclusive dados sensíveis

O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial. (Art. 37 e 38)

Fornecer ao operador orientações sobre o tratamento de dados pessoais

O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. (Art. 39)

Nomear o encarregado de dados pessoais e cuidar para que esta informação tenha ampla divulgação pública

O controlador deverá indicar encarregado pelo tratamento de dados pessoais. (Art. 41)

Reparar dano causado pelo controlador ou operador trabalhando em nome deste

O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. (Art. 41)

Implementar medidas de segurança, técnicas e administrativas afim de proteger os dados pessoais sob sua responsabilidade

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. (Art. 46)

Comunicar à ANPD ocorrência de incidentes de segurança

O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. (Art. 48)

Implementar regras de governança e boas práticas

Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. (Art. 50)