A Lei Geral de Proteção de Dados (13.709/2018) tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Também tem como foco a criação de um cenário de segurança jurídica, com a padronização de regulamentos e práticas para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil, de acordo com os parâmetros internacionais existentes. Show A lei define o que são dados pessoais e explica que alguns deles estão sujeitos a cuidados ainda mais específicos, como os dados pessoais sensíveis e dados pessoais sobre crianças e adolescentes. Esclarece ainda que todos os dados tratados, tanto no meio físico quanto no digital, estão sujeitos à regulação. Além disso, a LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de informações sobre pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser observada. A lei autoriza também o compartilhamento de dados pessoais com organismos internacionais e com outros países, desde que observados os requisitos nela estabelecidos. Consentimento
A lei traz várias garantias ao cidadão, como: poder solicitar que os seus dados pessoais sejam excluídos; revogar o consentimento; transferir dados para outro fornecedor de serviços, entre outras ações. O tratamento dos dados deve ser feito levando em conta alguns requisitos, como finalidade e necessidade, a serem previamente acertados e informados ao titular. Quem fiscaliza?
Com relação à administração de riscos e falhas, o responsável por gerir dados pessoais também deve redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado; elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade, com o aviso imediato sobre violações à ANPD e aos indivíduos afetados. As falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – limitado a R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha e enviará alertas e orientações antes de aplicar sanções às organizações. A Lei Geral de Proteção de Dados Pessoais- LGPD (Lei nº 13.709, de 14 de agosto de 2018), entrou em vigor em 18 de setembro de 2020. Visa proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais. O principal objetivo da lei é garantir mais segurança, privacidade e transparência no uso dos dados pessoais, para isso, a lei prevê um conjunto de ferramentas, que, no âmbito público, traduzem-se em mecanismos que aprofundam obrigações de transparência ativa e passiva, bem como criam meios processuais para adequação da Administração Pública. Quando a LGPD entrou em vigor? A Lei nº 13.709, de 14 de agosto de 2018 entrou em vigor de maneira escalonada: Qual o objetivo da LGPD e a quem ela se destina? A LGPD reúne aspectos discutidos há algum tempo aqui no Brasil e que estavam fragmentados em legislações diversas – como o Marco Civil da Internet – e foi criada com o objetivo de proporcionar ao cidadão brasileiro um controle maior sobre o tratamento de seus dados pessoais. Para isso, ela coloca regras que devem ser seguidas tanto por empresas privadas quanto públicas. Ou seja: vale para qualquer negócio. Quais são os seus direitos protegidos pela LGPD? A LGPD prevê a proteção integral de sua liberdade, privacidade, segurança, consentimento expresso, acesso as suas informações, correções e pronto atendimento caso você queira excluir seus dados pessoais, dentre outros. Quais dados são protegidos pela LGPD? A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei. O que são dados pessoais? A LGPD adota um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável. Assim, além das informações básicas relativas ao nome, Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros que estejam relacionados com uma pessoa, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade. Segundo a LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa e que possa a identificar. O que são dados sensíveis? Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. (Art. 5º, inciso II). O que é um dado anonimizado? Dado anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível. Qual a diferença de dados anônimos e dados pseudonimizados? Dados anônimos são os dados pessoais cujo titular não pode ser identificado. Dados pseudonimizados são aqueles dados que, submetidos a tratamento, não oferecem a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente seguro. O que é “tratamento” de dados pessoais? Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Art. 5, inciso X). Quais os principais atores no tratamento de dados pessoais, de acordo com a LGPD? Os principais atores são o titular, o controlador, o operador, o encarregado e a Autoridade Nacional de Proteção de Dados (ANPD). Qual a diferença entre controlador e operador? A LGPD define como agentes de tratamento o controlador e o operador, os quais possuem diversas responsabilidades com relação às operações de tratamento de dados pessoais: O tratamento de dado pessoal de criança e de adolescente possui regramento específico? Sim. O Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa de até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. O tratamento de dados pessoais de crianças só poderá ocorrer com o consentimento específico e em destaque por pelo menos um dos pais ou responsável legal (§1º do art. 14 da LGPD). O consentimento é excepcionado quando a coleta for necessária para contactar os pais ou responsável legal, na forma do § 3º do art. 14 da LGPD. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível, de forma a proporcionar a informação necessária aos pais ou ao responsável legal, e adequada ao entendimento da criança. Em quais casos de tratamento de dados pessoais a LGPD é aplicada? A lei se aplica a qualquer operação que envolve o tratamento de dados pessoais e que seja realizada em território brasileiro. Mas, e se a empresa for sediada no exterior? Caso ela ofereça bens ou serviços para pessoas localizadas no Brasil e, para isso, coletar dados de usuários, a LGPD também se aplica! Em quais casos de tratamento de dados pessoais a LGPD não será aplicada? Esta Lei não se aplica ao tratamento de dados pessoais: Quais são as bases legais para o tratamento de dados pessoais? O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: Quais são as bases legais para o tratamento de dados pessoais sensíveis? A LGPD estabelece um rol taxativo das hipóteses que autorizam o tratamento de dados pessoais sensíveis, quais sejam: O que muda com a Lei LGPD? A LGPD permite que qualquer titular questione como as informações cadastradas pelo controlador ou operador de dados pessoais são usadas. Informações como nome completo, endereço, número de telefone, dados bancários, orientação sexual, preferência política, entre diversas outras. A Lei também define por qual razão e por quanto tempo eles mantêm essas informações salvas, ou até pedir a exclusão desses dados dos seus servidores. Quais são as principais diretrizes da LGPD? A LGPD traz alguns princípios que devem ser respeitados no tratamento de dados pessoais, como: finalidade, necessidade, não discriminação e segurança. Isto significa que a instituição precisa seguir algumas determinações. Em resumo, os dados pessoais só podem ser coletados com o consentimento do titular, que precisa ser informado da finalidade da coleta. É do titular o direito de acesso aos dados coletados, assim como a solicitação de correção de informações, de exclusão, de portabilidade ou de revogação do consentimento. E o que a LGPD entende como ”consentimento”? O consentimento do titular é a permissão dada por meio de uma declaração para que a empresa possa coletar e utilizar dados específicos para uma finalidade previamente determinada e esclarecida. Ou seja, é preciso ser sempre claro quando se explica como os dados serão utilizados e também se ater à finalidade prevista. Quem fiscaliza o cumprimento da LGPD? O controle da LGPD será feito pela Autoridade Nacional de Proteção de Dados (ANPD). A ANPD foi criada pela Medida Provisória n. 869, de 27 de dezembro de 2018, posteriormente convertida na Lei n. 13.853, de 14 de agosto de 2019. Por sua vez, o Decreto 10.474, de 26 de agosto de 2020, aprovou a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da ANPD, com entrada em vigor na data de publicação da nomeação do Diretor-Presidente da ANPD no Diário Oficial da União. O que é a Autoridade Nacional de Proteção de Dados Pessoais (ANPD)? A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil. O Poder Público também está sujeito às disposições da LGPD? Sim. Segundo a LGPD, o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública e na busca do interesse público. Sou servidor e lido com dados pessoais. O que devo fazer? O mais importante nesse momento é deixar claro aos titulares o que está sendo feito com seus dados pessoais e não fazer nenhum tipo de tratamento que extrapole esse objetivo, sem autorização dos mesmos. Em um formulário de coleta na web, por exemplo, procure deixar clara a finalidade de cada informação, ou conjunto de informações, que estão sendo coletadas. Sou professor e publico dados de estudantes ou videoaulas em meu website. O que muda? É importante deixar o mínimo de dados expostos, seja em websites, seja em murais físicos. Se há uma lista da turma com as notas dos estudantes que esteja pública, coloque o número de matrícula, ao invés de nome ou CPF, por exemplo. Sou professor pesquisador e coleto dados pessoais e/ou sensíveis, como proceder? A LGPD não se aplica para fins acadêmicos (Art. 4º, inciso II, alínea b), com exceção dos artigos 7 e 11. Observe o que dizem os artigos: Como estudante, posso solicitar a exclusão de meus dados pessoais? O Capítulo III da LGPD trata dos direitos do titular. O Art. 18, inciso VI, diz que um desses direitos é a solicitação da eliminação de seus dados. Contudo, no inciso II do parágrafo 4º desse mesmo artigo, atente para o fato de que o controlador (no caso, a UFPR), pode indicar as razões de fato ou de direito que impeçam a execução dessa solicitação. Além disso, diz o Art. 16: Como estudante, posso solicitar o histórico de uso de meus dados pessoais? Art. 19. da LGPD: Sou servidor público e meus dados estão no Portal da Transparência. Com a LGPD isso muda? Não. A questão da divulgação de dados de servidores foi objeto de questionamento, inclusive judicial, mas os tribunais (como o Tribunal Regional Federal da 1ª Região, o Tribunal Superior do Trabalho e o Supremo Tribunal Federal) já se manifestaram no sentido de permitir a publicidade dos dados. Em decisão unânime proferida em abril de 2011, os ministros do Supremo Tribunal Federal concluíram que “a pessoa que decide ingressar no serviço público adere ao regime jurídico próprio da Administração Pública, que prevê a publicidade de todas as informações de interesse da coletividade”. A remuneração dos agentes públicos é informação de interesse coletivo e fortalece o controle social, por isso, a princípio, não há mudança com a entrada em vigência da LGPD. A LGPD se aplica apenas ao tratamento de dados pessoais coletados na internet? Não. A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenham como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente desses dados pessoais terem sido coletados em meios físicos ou digitais. É permitido pela LGPD o uso compartilhado de dados entre órgãos da administração pública? Sim. Entretanto, o uso compartilhado de dados pessoais pelo Poder Público deve atender às finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, como informações ao INSS, condição social, fiscalizações etc. É permitida a transferência de dados entre o Poder Público e o setor privado? É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto: O que é privacy by design e privacy by default? Privacy by design (privacidade desde a concepção) diz respeito ao emprego de meios para se preservar a privacidade durante todo o ciclo de vida dos dados pessoais. No caso, a privacidade é base para a arquitetura dos sistemas e processos desenvolvidos, de modo a possibilitar, pelo formato disponibilizado e pelo serviço prestado, condições que permitam ao titular de dados pessoais preservar a sua privacidade e o formato em que ocorre o tratamento dos seus dados. Quais os princípios para que uma cultura de privacidade desde a concepção (privacy by design) seja instituída? O conceito de privacidade desde a concepção indica que a privacidade e a proteção de dados devem ser consideradas desde o início e durante todo o ciclo de vida do projeto, sistema, serviço, produto ou processo. Conforme o Guia de Boas Práticas da LGPD, tal privacidade pode ser alcançada por meio da aplicação de sete princípios fundamentais: O que é a “autodeterminação informativa” mencionada na LGPD? Autodeterminação informativa é o direito que cada indivíduo tem de controlar e proteger seus dados pessoais. É um dos fundamentos da disciplina de proteção de dados pessoais, de acordo com o art. 2º, inciso II, da LGPD, compreendido como forma de garantir o controle do cidadão sobre suas próprias informações. Ou seja, certifica que o titular tenha domínio sobre os seus dados pessoais, ainda que o tratamento dessas informações seja legítimo. O seu reconhecimento assegura que todos os dados pessoais sejam protegidos, indo além do conceito de intimidade, trazendo a privacidade para o âmbito procedimental. O que seria o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)? O RIPD é um instrumento importante de verificação e demonstração da conformidade do tratamento de dados pessoais realizado pela instituição e serve tanto para a análise quanto para a documentação do tratamento dos dados pessoais. O RIPD visa descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como as medidas, salvaguardas e mecanismos de mitigação de risco. O que seria o Termo de Uso conforme a LGPD? O Termo de Uso advém de a consciência do controlador e operador ser transparente com o titular de dados pessoais e comunicar como as atividades de tratamento desses dados observam os princípios dispostos no art. 6º da LGPD. Em cumprimento aos princípios da publicidade e da transparência e a fim de assegurar aos cidadãos amplo acesso às informações, os termos devem ser regularmente atualizados a fim de refletir, de modo claro e preciso, as finalidades de coleta, uso, armazenamento, tratamento e proteção dos dados pessoais dos titulares, que comumente serão utilizados pelo órgão e entidade no exercício de suas competências legais ou execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos semelhantes. O que seria a Política de Privacidade conforme a LGPD? Política de Privacidade é um documento informativo pelo qual o prestador de serviço transparece ao usuário a forma como o serviço realiza o tratamento dos dados pessoais e como fornece privacidade ao usuário. O que é Inventário de Dados Pessoais (IDP)? O IDP atende à determinação da Lei nº 13.709/2018 no que se refere à manutenção de registro do levantamento do tratamento de dados pessoais realizado pela instituição. Consiste no registro das operações de tratamento dos dados pessoais realizadas pela instituição (art. 37 da LGPD). Para a promoção da transparência ativa de dados, com a LGPD em vigor, o poder público deverá observar quais requisitos? • Observância da publicidade das bases de dados não pessoais como preceito geral e do sigilo como exceção; Qual a diferença entre transparência ativa e transparência passiva? A transparência ativa ocorre quando há disponibilização da informação de maneira espontânea (proativa). É o que ocorre, por exemplo, com a divulgação de informações na Internet, de modo que qualquer interessado possa acessá-las diretamente. Quais documentos devem ter o acesso restrito a agentes públicos legalmente autorizados e interessados, mediante identificação, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)? O que é o tratamento de dados pessoais?Considera-se “tratamento de dados” qualquer atividade que utilize um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da ...
Quem são considerados os agentes de tratamento de dados?Quem pode ser considerado agente de tratamento? São agentes de tratamento o controlador e o operador de dados pessoais, que podem ser pessoas naturais ou jurídicas, de direito público ou privado. Ressalte-se que os agentes de tratamento devem ser definidos a partir de seu caráter institucional.
Como deve ser realizado o tratamento de dados pessoais?O tratamento de dados pessoais somente poderá ser feito: - Com o fornecimento de consentimento do titular das informações pessoais. Ou seja, nos casos em que a pessoa física tiver conhecimento de como e por qual razão os seus dados serão utilizados, além de autorizar expressamente o tratamento.
O que diz a LGPD sobre dados pessoais?A LGPD não tem por objetivo impedir o tratamento e a utilização dos dados pessoais, mas sim de criar mecanismos de proteção para que se possa garantir, tanto quanto possível, que a utilização dos seus dados seja realizada para fins lícitos, com sua ciência e consentimento.
|