GUIA PRÁTICO LGPD CONHEÇA A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS
Lei nº 13.709/2018
1. OBJETIVO Compartilhar os principais conceitos sobre o tratamento de dados pessoais e os princípios básicos da Lei Geral de Proteção de Dados LGPD, Lei nº 13.709, de 14 de agosto de 2018 de acordo com a legislação correlata e em conformidade com as melhores práticas de governança, integridade e compliance 2. GLOSSÁRIO Para acompanhar este guia, é importante compreender algumas definições estabelecidas na Lei Geral de Proteção de Dados: AGENTES DE TRATAMENTO: O controlador e o operador de dados pessoais. ANONIMIZAÇÃO: utilização de meios técnicos no tratamento de dados pessoais onde o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo identificável CONSENTIMENTO: Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada ou a destruição de dados pessoais. CONTROLADOR: Pessoa Jurídica ou Física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. DADOS PESSOAIS: toda informação relacionada à pessoa natural identificada ou identificável, tal como nome, RG, CPF, e-mail etc.
DADOS PESSOAIS SENSÍVEIS: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a pessoa natural. LEI GERAL DE PROTEÇÃO DE DADOS – LGPD: Lei que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. TITULAR: pessoa natural a quem se referem os dados pessoais, que são objeto de tratamento. TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. ENCARREGADO: Pessoa física ou jurídica indicada pelo Agente de Tratamento para atuar como elo de comunicação entre o Controlador, os Titulares de dados e a Autoridade Nacional de Proteção da Dados. É responsável pela implementação do Programa de Conformidade às leis de proteção de dados pessoais e pela condução das atividades relacionadas à proteção de dados pessoais junto ao Grupo Foxconn no Brasil;
3. APLICAÇÃO DA LEI Esta Lei se aplica a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que os dados pessoais sejam coletados ou o tratamento seja realizado no território nacional ou, ainda, que tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional. Observação: Esta Lei não se aplica ao tratamento de dados pessoais realizado para fins particulares e não econômicos, jornalísticos, artísticos, acadêmicos ou para fins de segurança pública, defesa nacional e investigações penais, pois este não é abrangido pela LGPD. Atenção: Não são considerados dados pessoais dados relativos a pessoa jurídica (tais como razão social, CNPJ, endereço comercial etc.). 4. PRINCÍPIOS GERAIS PARA TRATAMENTO DE DADOS PESSOAIS A Lei define que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: ADEQUAÇÃO: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento. FINALIDADE: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem tratamento posterior. LIVRE ACESSO: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento.
NÃO DISCRIMINAÇÃO: impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos. NECESSIDADE: limitação do tratamento ao necessário para a realização de suas finalidades. PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. QUALIDADE DOS DADOS: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: demonstração pelo agente da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e da eficácia dessas medidas SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. TRANSPARÊNCIA: garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os agentes de tratamento, observados os segredos comercial e industrial.
5. BASES DE TRATAMENTO DE DADOS PESSOAIS A Lei Geral de Proteção de Dados prevê que tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I) II) III) IV) V) VI)
Consentimento do titular; Cumprimento de obrigação legal ou regulatória pelo regulador; Pela administração pública para execução de política pública; Realização de estudo por órgão de pesquisa; Quando necessário para execução do contrato; Exercício regular do direito em processo judicial, administrativo ou arbitral; VII) Proteção da vida ou incolumidade física do titular ou terceiro; VIII) Tutela da saúde em procedimento realizado por profissionais de saúde/serviços de saúde/agência sanitária; IX) Interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; X) Proteção do crédito. 6. CONSENTIMENTO O consentimento deverá referir-se a finalidades determinadas e ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado. 7. DIREITO DOS TITULARES DOS DADOS Confirmação Confirmar se existem dados.
Acesso Acesso aos dados que são tratados. Correção Corrigir os dados. Anonimização, Bloqueio, Eliminação Solicitar anonimização, bloqueio, ou eliminação dos dados. Portabilidade Portabilidade de dados para congênere ou outro produto. Revogação de Consentimento Revogar o consentimento concedido anteriormente. Informação sobre compartilhamento Qual entidade pública ou privada os dados poderão ser compartilhados. 8. TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS O tratamento de dados pessoais sensíveis deverá ter o consentimento do titular ou responsável legal de forma específica ou destacada para finalidades específicas. Entretanto, poderá ser tratado sem o consentimento quando for indispensável para:
a)
Cumprimento de obrigação legal ou regulatória
b)
Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c)
Realização de estudos por órgão de pesquisa, garantida;
d)
Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
e)
Proteção da vida ou da incolumidade física do titular ou de terceiro;
f)
Tutela da saúde;
g)
Garantia da prevenção à fraude e à segurança do titular.
Poderá ser objeto de vedação ou regulamentação pela ANPD, a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis com objetivo de obter vantagem econômica, exceto nos casos de portabilidade de dados, quando consentido pelo titular. 10. TÉRMINO DO TRATAMENTO DE DADOS PESSOAIS O tratamento de dados pessoais de crianças e adolescentes deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal do menor. O término deverá ocorrer nas seguintes hipóteses:
•
Quando a finalidade foi alcançada ou os dados deixem de ser necessários ou pertinentes ao alcance da finalidade específica;
•
No fim do período de tratamento;
•
Quando o consentimento for revogado pelo titular do dado;
•
Por determinação da autoridade nacional, quando houver violação ao disposto na Lei;
ELIMINAÇÃO DOS DADOS Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: • Cumprimento de obrigação legal ou regulatória; • Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. • Estudo por órgão de pesquisa; • Transferência a terceiro.
11. PRINCIPAIS PAPÉIS E RESPONSABILIDADES Além das Boas Práticas e Governança, os papéis e responsabilidades são: CONTROLADOR (I)
Tratar e proteger os dados pessoais dos titulares de dados de acordo com a LGPD; (II) Elaborar relatório de impacto à proteção de dados; (III) Comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança da informação que possa acarretar risco ou dano relevante aos titulares. ATENÇÃO: A lei não prevê prazo específico, apenas menciona que a comunicação deverá ocorrer em prazo razoável, a ser definido pela Autoridade Nacional de Proteção de Dados - ANPD. OPERADOR O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS A Autoridade Nacional de Proteção de Dados - ANPD é um órgão da administração pública direta federal do Brasil que faz parte da Presidência da República e possui atribuições relacionadas à proteção de dados pessoais, determinando as diretrizes da aplicação e fiscalização do cumprimento da LGPD.
ENCARREGADO PELO TRATAMENTO DE DADOS - DPO - DATA PROTECTION OFFICER (I)Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (II) Receber comunicações da autoridade nacional e adotar providências; (III) Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; (IV) Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares 12. SEGURANÇA E SIGILO DE DADOS As empresas que tratam dados pessoais devem adotar medidas de segurança aptas à proteção dos dados desde a coleta até a sua exclusão, inclusive em caso de incidente de segurança. 13. RESPONSABILIZAÇÃO O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação ou quando não tiver seguido as instruções lícitas do responsável, hipótese em que o operador equipara-se a responsável; Os responsáveis que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente;
EXCEÇÕES, QUE IMPEDEM A RESPONSABILIZAÇÃO: I.
Não realizaram o tratamento de dados pessoais que lhes é atribuído; II. Não houve violação à legislação; III. O dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. 13. SANÇÕES Aplicáveis pelo órgão competente, independentemente de outras sanções administrativas, civis ou penais definidas em legislação específica. São elas: I.
Advertência, com indicação de prazo para adoção de medidas corretivas;
II.
Multa simples ou diária, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração.
14. PERGUNTAS FREQUENTES 1. Quando a nova Lei Geral de Proteção de Dados Pessoais entra em vigor? A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709/2018) entrou em vigor em 14 de agosto de 2020. 2. O que são dados anônimos, dados anonimizados e dados pseudonimizados? Dados anônimos: São os dados pessoais cujo Titular não pode ser identificado. Dados pseudonimizados: São aqueles dados que, submetidos a tratamento, não oferecem a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. Dados anonimizados: São aqueles identificados que, a partir da utilização de meios técnicos pelos. 3. Em quais casos de tratamento de dados pessoais, a LGPD não será aplicada? São os casos em que o tratamento de dados pessoais for feito: (i)
por uma pessoa física, para fins particulares, e não comerciais, p.ex., coleta de dados pessoais dos integrantes da família para a montagem de uma árvore genealógica;
(ii) para fins exclusivamente jornalísticos, artísticos e acadêmicos; (iii) pelo Poder Público - no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.
Podem não estar sujeitos a aplicação da LGPD os dados provenientes e destinados a outros países, que apenas transitem pelo território nacional, sem que aqui seja realizada qualquer operação de tratamento e desde que o país de origem tenha nível de proteção similar ao previsto na LGPD. Agentes de tratamento de dados, passam a ser anônimos, ou seja, não passíveis de associação a um indivíduo, direta ou indiretamente. Por não permitirem a identificação do seu respectivo Titular, os dados anonimizados não ficam sujeitos à aplicação da LGPD, exceto quando houver reversão do processo de anonimização ao qual tais dados foram submetidos. 4. A LGDP apresenta alguma definição para “consentimento”? Sim. A lei define consentimento como a “manifestação livre, informada e inequívoca pela qual o Titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. 5.
O Titular tem direito de solicitar anonimização?
Sim. Constitui direito do Titular exigir a anonimização de seus dados, quando coletados de forma desnecessária, excessiva ou em desconformidade com a LGPD. 6. É possível utilizar os dados pessoais armazenados antes da vigência da LGPD? O recomendável é que seja implantado um programa para proteção de dados e coletadas autorizações/consentimentos específicos para o uso destes dados anteriormente armazenados, em conformidade com a LGPD. Nos casos em que seja requerido o consentimento, podem ocorrer as seguintes situações:
a) os dados poderão ser utilizados, desde que previamente consentido o seu uso, e se utilizados para a mesma finalidade para a qual foram coletados; b) no caso de alteração da finalidade, o tratamento somente poderá ser efetuado se houver novo consentimento ou se a finalidade for compatível com o consentimento original; c) havendo mudança de finalidade e esta não seja compatível com o consentimento original, o Controlador deverá informar previamente o Titular sobre as mudanças de finalidade, podendo o Titular revogar o consentimento, caso discorde das alterações . Nos casos em que o tratamento de dados pessoais for baseado no interesse legítimo, o Controlador deve adotar medidas para garantir a transparência de tal tratamento. 7. Em quais casos os dados pessoais poderão ser transferidos para fora do Brasil? A transferência internacional de dados pessoais somente será permitida para os casos em que o país ou organismo internacional proporcionarem um grau de proteção de dados adequado ao previsto na LGPD, ou quando forem oferecidas pelo Controlador garantias de cumprimento dos princípios, dos direitos e do regime da proteção da LGPD. A transferência de dados também poderá ocorrer em outras hipóteses: (a) para fins de cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução; (b) para os casos em que for necessária para proteger a vida ou a integridade física do Titular dos dados pessoais ou de terceiros; (c) quando a autoridade nacional autorizar a transferência; (d) quando a transferência decorrer de acordo de cooperação internacional; (e) quando for necessária para a execução de política pública ou atribuição legal do serviço público;
(f) quando o Titular tiver fornecido seu consentimento específico e em destaque para a transferência internacional; (g) quando servir para o cumprimento de obrigação legal ou regulatória pelo Controlador; (h) quando necessário para a execução de contrato; (i) quando servir para o exercício regular de direitos em processo judicial, administrativo ou arbitral 8. Como a LGDP protege as pessoas de decisões automatizadas, baseadas exclusivamente em meios tecnológicos? O Titular tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. Além disso, o Controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial. Se, ainda assim, não forem fornecidas as informações por motivo de segredo industrial ou comercial, a ANPD poderá realizar auditoria para verificação de aspectos discriminatórios 9.
É permitido pela LGPD, o uso compartilhado?
Sim. Entretanto, o uso compartilhado de dados pessoais pelo Poder Público deve atender as finalidades especificas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, como por exemplo informações ao INSS, e-social, fiscalizações, etc. A LGPD veda a transferência de dados entre o Poder Público e as empresas e instituições privadas, exceto nos seguintes casos:
(i) em que os dados forem acessíveis publicamente; (ii) na execução descentralizada de atividade pública que exija essa transferência, exclusivamente para esse fim específico; (iii) Quando houver previsão legal e a transferência for respaldada em contratos, convênios ou acordos; e (iv) se o objetivo for a prevenção de fraudes e de proteção dos titulares dos dados. 9. Em caso de vazamento de dados, qual o procedimento previsto na LGPD? A LGPD determina que o Controlador deverá comunicar tanto ao Titular quanto a ANPD sobre a ocorrência de algum incidente de segurança, que venha a resultar em um risco ao Titular. Assim, caberá ao Controlador implementar procedimentos ou práticas para gerir incidentes materializados e notificar brechas de segurança e vazamentos de dados. Essa comunicação será devida nos casos em que dados pessoais tenham vazado acidentalmente ou ilicitamente a destinatários não autorizados, que fiquem temporária ou permanentemente indisponíveis, ou ainda sejam alterados. A notificação ao titular dos dados deve ocorrer sem demora injustificada, tendo a norma estipulado o prazo de 72 horas para a comunicação do ocorrido à Autoridade Nacional de Proteção de Dados. Vazamentos e acessos não autorizados a dados pessoais podem ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o Controlador estará sujeito à aplicação das penalidades da LGPD. 10. Como o Titular deve proceder ao identificar o vazamento de seus dados? Essa questão ainda depende da regulamentação. O Titular poderá entrar em contato com o Controlador do dado vazado, solicitando formalmente as devidas correções e controles.
11. Como é classificado o tratamento de dados? É toda operação realizada com dados pessoais; como as que se referem a: Acesso: Possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados. Armazenamento: Ação ou resultado de manter ou conservar em repositório um dado. Arquivamento: Ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência Avaliação: Ato ou efeito de calcular valor sobre um ou mais dados Classificação: Maneira de ordenar os dados conforme algum critério estabelecido Coleta: Recolhimento de dados com finalidade específica Comunicação: Transmitir informações pertinentes a políticas de ação sobre os dados Controle: Ação ou poder de regular, determinar ou monitorar as ações sobre o dado Difusão: Ato ou efeito de divulgação, propagação, multiplicação dos dados Distribuição: Ato ou efeito de dispor de dados de acordo com algum critério estabelecido Eliminação: Ato ou efeito de excluir ou destruir dado do repositório Extração: Ato de copiar ou retirar dados do repositório em que se encontrava. Modificação - ato ou efeito de alteração do dado. Processamento - Ato ou efeito de processar dados Produção - Criação de bens e de serviços a partir do tratamento de dados Recepção - ato de receber os dados ao final da transmissão Reprodução - cópia de dado preexistente obtido por meio de qualquer processo Transferência- mudança de dados de uma área de armazenamento para outra, ou para terceiro
Transmissão - movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc. Utilização - ato ou efeito do aproveitamento dos dados.
COMITÊ DE PROTEÇÃO DE DADOS