Qual é o objetivo da Lei Geral de Proteção de Dados “LGPD” (Lei Federal nº 13.709/2018) e a quem se destina?
A LGPD foi criada com o objetivo de tutelar os direitos e garantias dos cidadãos brasileiros, no tocante ao tratamento de seus dados pessoais. Para isso, a LGPD estabelece uma série de princípios e regras que devem ser observados tanto por empresas privadas, como pela própria administração pública.
Desde quando a lei está em vigor?
A LGPD já está em vigor desde 18.09.2020 e as sanções administrativas passaram a ser aplicadas a partir de 01.08.2021.
O que são “dados pessoais” e “dados pessoais sensíveis”?
Dado pessoal é qualquer informação relacionada à pessoa natural (física) identificada ou identificável. Como exemplos: nome, RG, CPF, data de nascimento, e-mail, IP de computador, IMEI de dispositivos móveis, geolocalização, outros.
Dados pessoais sensíveis, também conforme a LGPD, é qualquer dado relacionado a: (i) origem racial ou étnica, (ii) convicção religiosa, (iii) opinião política, (iv) filiação a sindicato ou a organização de caráter religioso, filosófico ou político, (v) dado referente à saúde ou à vida sexual, (vi) dado genético ou biométrico, quando vinculado a uma pessoa natural.
Quem são os Titulares de dados pessoais?
Titular é qualquer pessoa natural (física) cujos dados pessoais são objetos de coleta e tratamento.
Quem são os Controladores e Operadores?
O controlador é pessoa natural ou jurídica de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;
O operador é pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Conjuntamente, Controlador e Operador podem ser referidos como Agentes de Tratamento.
Quem é o Encarregado ou Data Protection Officer – DPO?
O Encarregado, ou DPO, é a pessoa indicada pelo Controlador para atuar, entre outras funções, como interface entre os titulares dos dados e a ANPD, bem como demais stakeholders envolvidos com as atividades de coleta e tratamento de dados pessoais.
A LGPD se aplica em quais casos?
Sempre que a operação e/ou atividade exercida pelos Agentes de Tratamento envolva coleta e/ou tratamento de dados pessoais com fins comerciais no território brasileiro.
A LGPD se aplica apenas ao tratamento de dados pessoais coletados na Internet ou de forma eletrônica?
Não. A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados no Brasil ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no território brasileiro, independentemente de os dados pessoais terem sido coletados por meios físicos ou digitais.
Quando que a LGPD NÃO se aplica?
Quando o tratamento de dados pessoais for realizado por: (i) pessoa física, com fins particulares, e não comerciais, por exemplo, coleta de dados pessoais dos integrantes da família para a montagem de uma árvore genealógica; (ii) para fins exclusivamente jornalísticos, artísticos e/ou acadêmicos; e (iii) pelo Poder Público, no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.
Quais são os direitos dos Titulares de dados?
Direitos fundamentais de: (i) liberdade, (ii) intimidade e (iii) privacidade.
Mediante requisição endereçada ao Controlador: (i) confirmação da existência de tratamento, (ii) acesso aos dados, (iii) correção de dados incompletos, inexatos ou desatualizados, (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei, (v) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial, (vi) eliminação dos dados pessoais tratados com o consentimento do titular, salvo algumas hipóteses legais (vii) compartilhamento dos dados, (viii) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, e (ix) revogação do consentimento.
Ademais, o titular tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Quais são as Bases Legais para tratamento de dados pessoais?
O tratamento de dados pessoais poderá ser realizado: (i) mediante consentimento do titular; (ii) para cumprimento de obrigação legal ou regulatória; (iii) pela Administração Pública; (iv) para realização de estudos por órgãos de pesquisa; (v) para execução de contratos ou procedimentos preliminares relacionados ao contrato cujo titular seja parte; (vi) para exercício regular de direitos em processos judiciais, administrativos ou arbitrais; (vii) para proteção da vida ou incolumidade física do titular ou de terceiro; (viii) para tutela da saúde; (ix) legítimo interesse do Controlador; e (x) para proteção do crédito.
O que é o Consentimento?
Trata-se de uma das Bases Legais para tratamento de dados pessoais. É a manifestação livre, informada e inequívoca, pelo titular dos dados, concordando com o tratamento de seus dados pessoais para finalidades determinadas e específicas. O consentimento e suas finalidades devem estar claros e destacados, quando for aplicável.
O Consentimento é a única ou mais importante Base Legal da LGPD?
Não. Conforme mencionado acima, o Consentimento é APENAS uma das hipóteses previstas em lei que justifica a coleta e o tratamento de dados pessoais. Existem outras Bases Legais nas quais podem ser enquadradas as atividades de coleta e tratamento de dados pelos Agentes de Tratamento. NÃO EXISTE HIERARQUIA DE APLICAÇÃO EM RELAÇÃO ÀS BASES LEGAIS.
O titular dos dados pode revogar seu consentimento?
Sim. O pedido de revogação do consentimento pode ser solicitado a qualquer tempo, mediante requisição formal ao Controlador.
Quem é o responsável pela fiscalização e cumprimento da lei?
A responsabilidade de fiscalização e aplicação da LGPD é da Autoridade Nacional de Proteção de Dados (ANPD). A ANPD foi criada para fiscalizar o tratamento dos dados pessoais, nos termos da lei, visando, assim, proteger os dados pessoais, elaborar diretrizes e aplicar as sanções em casos de irregularidades.
Outros órgãos podem fiscalizar e ou aplicar sanções?
O Ministério Público, além da ANPD, ainda é o órgão competente para lidar com a questão no que tange os direitos difusos dos cidadãos. Sendo assim, também poderá atuar de forma ativa na proteção dos cidadãos, ingressando com ações coletivas e questionando as empresas que coletam e tratam dados pessoais.
Outros órgãos relacionados à defesa de direitos do consumidor e defesa da concorrência também poderão avocar tal responsabilidade, caso a coleta e o tratamento de dados tenha natureza de relação de consumo.