A Lei Geral de Proteção de Dados – LGPD (Lei n. 13.709, de 2018), dispõe sobre o tratamento de dados pessoais das pessoas naturais, definindo as hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e estabelecendo mecanismos para proteger os titulares dos dados contra usos inadequados. A lei é aplicável ao tratamento de dados realizado por pessoas naturais ou por pessoas jurídicas de direito público ou privado, e tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. 

A LGPD tem por objetivo proteger os direitos fundamentais relacionados à esfera informacional do cidadão. Assim, a Lei introduz uma série de novos direitos que asseguram maior transparência quanto ao tratamento dos dados e conferem protagonismo ao titular quanto ao seu uso. A aprovação da LGPD e a criação da Autoridade Nacional de Proteção de Dados – ANPD representam também importantes passos para colocar o Brasil no mesmo patamar de muitos outros países que já aprovaram leis e estruturas institucionais dessa natureza.

Os princípios e regras que devem ser observados tanto por organizações privadas quanto públicas, além de criar entidade reguladora específica para o tema.

Caso a empresa ofereça bens ou serviços para pessoas localizadas no Brasil e, portanto, coletar dados de usuários, a LGPD também se aplica e com isso a empresa deve se adequar.

A fiscalização referente à LGPD será primariamente realizada pela Autoridade Nacional de Proteção de Dados (ANPD). Este órgão foi criado para fiscalizar o cumprimento da lei, zelar pela proteção de dados pessoais, elaborar diretrizes e também aplicar as sanções em casos de irregularidade.

ANPD é um órgão da administração pública federal com autonomia técnica e decisória, vinculado à Presidência da República, responsável por fiscalizar e garantir o cumprimento da lei, bem como aplicar sanções administrativas em caso de descumprimento. A ANPD guiará a interpretação da Lei e regulamentará padrões e técnicas aplicáveis às questões de segurança da informação, interoperabilidade e processos de anonimização, além poder requisitar informações sobre tratamentos de dados pessoais para agentes de tratamento, editar normas e orientações.

• O controlador é pessoa natural ou jurídica de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.
• O operador é pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
• O encarregado de dados (em algumas empresas a denominação utilizada é DPO – Data Protection Oficcer) é a pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
•  

É a pessoa natural a quem se referem os dados pessoais que são objetos de coleta e tratamento.

De acordo com a lei, um dado pessoal é informação relacionada à pessoa natural identificada ou identificável.

O tratamento de dados é um conceito abrangente, que inclui qualquer tipo de manipulação realizada com informações pessoais. Processos comuns a diversos tipos de empresas incluem, geralmente, a coleta, a reprodução, o acesso, o armazenamento e a distribuição de dados pessoais. A simples criação de uma lista de e-mails é um exemplo comum

A lei se aplica a qualquer operação que envolve a coleta e o tratamento de dados pessoais e que seja realizada em território brasileiro.

São os casos em que o tratamento de dados pessoais for feito por uma pessoa física, para fins particulares, e não comerciais, por exemplo, coleta de dados pessoais dos integrantes da família para a montagem de uma árvore genealógica; para fins exclusivamente jornalísticos, artísticos e acadêmicos; ou pelo Poder Público – no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.

A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.

Dados pessoais coletados off-line são obtidos sem a utilização de ferramentas informatizadas, como por exemplo, a lista de presença em eventos. Os dados pessoais coletados online são os que utilizam ferramentas informatizadas e/ou automatizados para serem obtidos, tais como os cadastros de candidatos para vagas de emprego.

A LGPD traz alguns princípios que devem ser respeitados no tratamento de dados pessoais: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

• O tratamento de dados pessoais somente poderá ser realizado:
• Com consentimento do titular;
• Para cumprimento de obrigação legal ou regulatória;
• Pela Administração Pública;
• Para realização de estudos por órgãos de pesquisa;
• Para execução de contratos, a pedido do titular;
• Em processos judiciais, administrativos ou arbitrais;
• Para proteção da vida;
• Para tutela da saúde;
• Em legítimo interesse do Controlador;
• Para proteção do crédito.

É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. O consentimento e sua finalidade devem estar claros e destacados.

O termo de consentimento, como consta no Art. 8, pode ser adquirido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

Sim, a LGPD estabelece que o titular dos dados poderá, a qualquer momento, revogar seu consentimento.

Não. O consentimento para dados sensíveis deve sempre explicitar a finalidade de seu uso, de forma destacada. Se houver alteração na finalidade, é preciso renovar o consentimento de forma expressa.

A LGPD estabelece, no artigo 14, que o tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse. Para tratamento de dados de crianças até 12 anos de idade, é necessário consentimento específico e em destaque, dado por, pelo menos, um dos pais ou pelo responsável legal. Os dados de crianças e adolescentes poderão ser coletados sem o consentimento, quando for necessário para sua proteção ou para contatar os pais ou o responsável legal, sendo utilizados uma única vez e sem armazenamento. Sem consentimento, em nenhum caso, poderão ser repassados a terceiros.

O tratamento de dados pessoais sensíveis somente poderá ocorrer com consentimento do titular ou seu responsável legal, de forma destacada e para finalidades específicas.

• Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
• Cumprimento de obrigação legal ou regulatória pelo controlador;
• Pela administração pública, de políticas públicas previstas em leis ou regulamentos;
• Estudos por órgão de pesquisa;
• Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
• Proteção da vida;
• Tutela da saúde;
• Garantia da prevenção à fraude e à segurança do titular.

A transferência internacional de dados pessoais pode ser feita:

• Para países ou organizações internacionais proporcionem grau adequado de proteção de dados pessoais;
• Quando o controlador oferecer e comprovar, por meio de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos, que está cumprindo com o disposto na LGPD;
• Quando necessário para cumprimento de acordos da cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e persecução, de acordo com os instrumentos de direito internacional;
• Para proteção da vida do titular ou de terceiros;
• Quando autorizada pela ANPD;
• Quando resultar em compromisso assumido em acordo de cooperação internacional;
• Para a execução de política pública;
• Quando o titular fornecer seu consentimento de forma específica e em destaque para a transferência;
• Para o cumprimento de obrigação legal ou regulatória pelo controlador;
• Quando necessário para a execução de contrato do qual seja parte o titular;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

O titular dos dados tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. Além disso, o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

Desde que não haja dados de pessoas naturais vinculados ao cadastro da Pessoa Jurídica, pois a LGPD regulamenta apenas o tratamento de dados pessoais.

A análise e as ações para entrar em conformidade com a LGPD devem passar por pessoas, processos e tecnologia. Por conta de todas as variáveis envolvidas, o uso da tecnologia faz muita diferença e é importante, pois, dependendo do tamanho e nível de complexidade de uma organização, gerenciar todo o ambiente de acordo com os requisitos da lei sem uma ferramenta de gestão que consiga agregar, registrar e controlar todas as demandas pode se tornar extremamente difícil. Segundo o Art. 49 da Lei, os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei e às demais normas regulamentares.

De acordo com a lei é considerado compartilhamento de dados toda comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de

bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

De acordo com a LGPD, o compartilhamento de dados pessoais pode ocorrer em caso de consentimento expresso e específico do titular dos dados e pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.

A LGPD já determina que o compartilhamento de dados sensíveis com o objetivo de obter vantagem econômica poderá ser vedado ou regulamentado pelas autoridades, e no caso específico de dados de saúde determina a vedação, exceto nos em casos de consentimento expresso ou para a adequada prestação de serviços de saúde suplementar, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia.

O uso de algoritmos não é vedado pela LGPD. 

No entanto, o artigo 20, que aborda decisões tomadas exclusivamente por meio de automação, ou seja, sem participação de seres humanos, determina que o titular dos dados pode, sempre que desejar, requerer a revisão de decisão automatizada que afete seus interesses.

Dado anônimo ou anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível. 

Se a empresa precisa de um dado pessoal já coletado com o consentimento do titular para outra finalidade de uso, é necessário informá-lo sobre este novo intuito. 

Importante ressaltar que, além de informar é preciso atualizar o consentimento do titular.

Se o tratamento de dados não acontecer como previsto na lei, os controladores serão responsabilizados. 

Caso o operador não tenha cumprido ordens passadas pelo controlador ou falhe na segurança dos dados, este também pode ser penalizado.

A penalidade imposta irá depender da avaliação da ANPD, mas pode ser uma advertência, a determinação da publicação e divulgação da infração cometida, o bloqueio ou eliminação dos dados que sofreram violações e também multas simples e/ou diárias.

As multas são de até 2% do faturamento da empresa, limitados a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, além da possibilidade de suspenção das atividades de coleta e tratamento, sem prejuízo da indenização pelos danos que causarem aos titulares dos dados.

Sim, os dados pessoais tratados pelo Poder Público também estarão sujeitos à LGPD, porém, o Poder Público pode tratar dados pessoais sem pedir o consentimento do titular sempre que for necessário para a execução de políticas públicas. O Poder Público também poderá tratar dados pessoais, fora do escopo da lei, no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais, que serão tratados de acordo com legislação específica, que contenha medidas proporcionais e necessárias para que o tratamento de dados pessoais atenda ao interesse público. Para a criação das normas específicas para esses casos, a Autoridade Nacional de Proteção de Dados Pessoais – ANPD emitirá recomendações e opiniões técnicas.

Será necessária revisão dos contratos e procedimentos, com a inclusão de cláusulas específicas sobre proteção de dados com clientes e fornecedores em que possa ocorrer o compartilhamento de dados pessoais de terceiros. 

Será necessária também a adoção de procedimentos e ferramentas capazes de certificar a segurança dos dados compartilhados.

Em caso de incidentes o Controlador, através deverá comunicar à autoridade nacional e ao(s) titular(es) dos dados comprometidos, além de executar as medidas para reverter ou mitigar os efeitos do incidente, conforme plano previamente estabelecido de resposta a incidentes e remediação da empresa.

A LGPD determina que o controlador deverá comunicar tanto ao titular quanto à ANPD sobre a ocorrência de qualquer incidente de segurança que possa causar risco ou dano ao titular.