Show
A Lei Geral de Proteção de Dados Pessoais- LGPD (Lei nº 13.709, de 14 de agosto de 2018), entrou em vigor em 18 de setembro de 2020. Visa proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais. O principal objetivo da lei é garantir mais segurança, privacidade e transparência no uso dos dados pessoais, para isso, a lei prevê um conjunto de ferramentas, que, no âmbito público, traduzem-se em mecanismos que aprofundam obrigações de transparência ativa e passiva, bem como criam meios processuais para adequação da Administração Pública. Voltar ao topo Quando a LGPD entrou em vigor? A Lei nº 13.709, de 14 de agosto de 2018 entrou em vigor de
maneira escalonada: Voltar ao topo Qual o objetivo da LGPD e a quem ela se destina? A LGPD reúne aspectos discutidos há algum tempo aqui no Brasil e que estavam fragmentados em legislações diversas – como o Marco Civil da Internet – e foi criada com o objetivo de proporcionar ao cidadão brasileiro um controle maior sobre o tratamento de seus dados pessoais. Para isso, ela coloca regras que devem ser seguidas tanto por empresas privadas quanto públicas. Ou seja: vale para qualquer negócio. Voltar ao topo Quais são os seus direitos protegidos pela LGPD? A LGPD prevê a proteção integral de sua liberdade, privacidade, segurança, consentimento expresso, acesso as suas informações, correções e pronto atendimento caso você queira excluir seus dados pessoais, dentre outros. Voltar ao topo Quais dados são protegidos pela LGPD? A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei. Voltar ao topo O que são dados pessoais? A LGPD adota um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável. Assim, além das informações básicas relativas ao nome, Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros que estejam relacionados com uma pessoa, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade. Segundo a LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa e que possa a identificar. Voltar ao topo O que são dados sensíveis? Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. (Art. 5º, inciso II). Voltar ao topo O que é um dado anonimizado? Dado anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível. Voltar ao topo Qual a diferença de dados anônimos e dados pseudonimizados? Dados anônimos são os dados pessoais cujo titular não pode ser identificado. Dados pseudonimizados são aqueles dados que, submetidos a tratamento, não oferecem a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente seguro. Voltar ao topo O que é “tratamento” de dados pessoais? Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Art. 5, inciso X). Voltar ao topo Quais os principais atores no tratamento de dados pessoais, de acordo com a LGPD? Os principais atores são o titular, o controlador, o operador, o encarregado e a Autoridade Nacional
de Proteção de Dados (ANPD). Voltar ao topo Qual a diferença entre controlador e operador? A LGPD define como agentes de tratamento o controlador e o operador, os quais possuem diversas responsabilidades com relação às operações de tratamento
de dados pessoais: Voltar ao topo O tratamento de dado pessoal de criança e de adolescente possui regramento específico? Sim. O Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa de até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. O tratamento de dados pessoais de crianças só poderá ocorrer com o consentimento específico e em destaque por pelo menos um dos pais ou responsável legal (§1º do art. 14 da LGPD). O consentimento é excepcionado quando a coleta for necessária para contactar os pais ou responsável legal, na forma do § 3º do art. 14 da LGPD. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível, de forma a proporcionar a informação necessária aos pais ou ao responsável legal, e adequada ao entendimento da criança. Voltar ao topo Em quais casos de tratamento de dados pessoais a LGPD é aplicada? A lei se aplica a qualquer operação que envolve o tratamento de dados pessoais e que seja realizada em território brasileiro. Mas, e se a empresa for sediada no exterior? Caso ela ofereça bens ou serviços para pessoas localizadas no Brasil e, para isso, coletar dados de usuários, a LGPD também se aplica! Voltar ao topo Em quais casos de tratamento de dados pessoais a LGPD não será aplicada? Esta
Lei não se aplica ao tratamento de dados pessoais: Voltar ao topo Quais são as bases legais para o tratamento de dados pessoais? O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: Voltar ao topo Quais são as bases legais para o tratamento de dados pessoais sensíveis? A LGPD estabelece um rol taxativo das hipóteses que autorizam o tratamento de dados pessoais sensíveis, quais sejam: Voltar ao topo O que muda com a Lei LGPD? A LGPD permite que qualquer titular questione como as informações cadastradas pelo controlador ou operador de dados pessoais são usadas. Informações como nome completo, endereço, número de telefone, dados bancários, orientação sexual, preferência política, entre diversas outras. A Lei também define por qual razão e por quanto tempo eles mantêm essas informações salvas, ou até pedir a exclusão desses dados dos seus servidores. Voltar ao topo Quais são as principais diretrizes da LGPD? A LGPD traz alguns princípios que devem ser respeitados no tratamento de dados pessoais, como: finalidade, necessidade, não discriminação e segurança. Isto significa que a instituição precisa seguir algumas determinações. Em resumo, os dados pessoais só podem ser coletados com o consentimento do titular, que precisa ser informado da finalidade da coleta. É do titular o direito de acesso aos dados coletados, assim como a solicitação de correção de informações, de exclusão, de portabilidade ou de revogação do consentimento. Voltar ao topo E o que a LGPD entende como ”consentimento”? O consentimento do titular é a permissão dada por meio de uma declaração para que a empresa possa coletar e utilizar dados específicos para uma finalidade previamente determinada e esclarecida. Ou seja, é preciso ser sempre claro quando se explica como os dados serão utilizados e também se ater à finalidade prevista. Voltar ao topo Quem fiscaliza o cumprimento da LGPD? O controle da LGPD será feito pela Autoridade Nacional de Proteção de Dados (ANPD). A ANPD foi criada pela Medida Provisória n. 869, de 27 de dezembro de 2018, posteriormente convertida na Lei n. 13.853, de 14 de agosto de 2019. Por sua vez, o Decreto 10.474, de 26 de agosto de 2020, aprovou a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da ANPD, com entrada em vigor na data de publicação da nomeação do Diretor-Presidente da ANPD no Diário Oficial da União. Voltar ao topo O que é a Autoridade Nacional de Proteção de Dados Pessoais (ANPD)? A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil. Voltar ao topo O Poder Público também está sujeito às disposições da LGPD? Sim. Segundo a LGPD, o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública e na busca do interesse público. Voltar ao topo Sou servidor e lido com dados pessoais. O que devo fazer? O mais importante nesse momento é deixar claro aos titulares o que está sendo feito com seus dados pessoais e não fazer nenhum tipo de tratamento que extrapole esse objetivo, sem autorização dos mesmos. Em um formulário de coleta na web, por exemplo, procure deixar clara a finalidade de cada informação, ou conjunto de
informações, que estão sendo coletadas. Voltar ao topo Sou professor e publico dados de estudantes ou videoaulas em meu website. O que muda? É importante deixar o mínimo de dados expostos, seja em websites, seja em murais físicos. Se há uma lista da turma com as notas dos estudantes que esteja pública, coloque o número de matrícula, ao invés de nome ou
CPF, por exemplo. Voltar ao topo Sou professor pesquisador e coleto dados pessoais e/ou sensíveis, como proceder? A LGPD não se aplica para fins acadêmicos (Art. 4º, inciso II, alínea b), com exceção dos
artigos 7 e 11. Observe o que dizem os artigos: Voltar ao topo Como estudante, posso solicitar a exclusão de meus dados pessoais? O Capítulo III da LGPD trata dos direitos do titular. O Art. 18, inciso VI, diz que um desses direitos é a solicitação da eliminação de seus dados. Contudo, no inciso II do parágrafo 4º desse mesmo artigo, atente para o fato de que o controlador (no caso, a UFPR), pode indicar as razões de
fato ou de direito que impeçam a execução dessa solicitação. Além disso, diz o Art. 16: Voltar ao topo Como estudante, posso solicitar o histórico de uso de meus dados pessoais? Art. 19. da LGPD: Voltar ao topo Sou servidor público e meus dados estão no Portal da Transparência. Com a LGPD isso muda? Não. A questão da divulgação de dados de servidores foi objeto de questionamento, inclusive judicial, mas os tribunais (como o Tribunal Regional Federal da 1ª Região, o Tribunal Superior do Trabalho e o Supremo Tribunal Federal) já se manifestaram no sentido de permitir a publicidade dos dados. Em decisão unânime proferida em abril de 2011, os ministros do Supremo Tribunal Federal concluíram que “a pessoa que decide ingressar no serviço público adere ao regime jurídico próprio da Administração Pública, que prevê a publicidade de todas as informações de interesse da coletividade”. A remuneração dos agentes públicos é informação de interesse coletivo e fortalece o controle social, por isso, a princípio, não há mudança com a entrada em vigência da LGPD. Voltar ao topo A LGPD se aplica apenas ao tratamento de dados pessoais coletados na internet? Não. A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenham como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente desses dados pessoais terem sido coletados em meios físicos ou digitais. Voltar ao topo É permitido pela LGPD o uso compartilhado de dados entre órgãos da administração pública? Sim. Entretanto, o uso compartilhado de dados pessoais pelo Poder Público deve atender às finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, como informações ao INSS, condição social, fiscalizações etc. Voltar ao topo É permitida a transferência de dados entre o Poder Público e o setor privado? É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados
a que tenha acesso, exceto: Voltar ao topo O que é privacy by design e privacy by default? Privacy by design (privacidade desde a concepção) diz
respeito ao emprego de meios para se preservar a privacidade durante todo o ciclo de vida dos dados pessoais. No caso, a privacidade é base para a arquitetura dos sistemas e processos desenvolvidos, de modo a possibilitar, pelo formato disponibilizado e pelo serviço prestado, condições que permitam ao titular de dados pessoais preservar a sua privacidade e o formato em que ocorre o tratamento dos seus dados. Voltar ao topo Quais os princípios para que uma cultura de privacidade desde a concepção (privacy by design) seja instituída? O conceito
de privacidade desde a concepção indica que a privacidade e a proteção de dados devem ser consideradas desde o início e durante todo o ciclo de vida do projeto, sistema, serviço, produto ou processo. Conforme o Guia de Boas Práticas da LGPD, tal privacidade pode ser alcançada por meio da aplicação de sete princípios fundamentais: Voltar ao topo O que é a “autodeterminação informativa” mencionada na LGPD? Autodeterminação informativa é o direito que cada indivíduo tem de controlar e proteger
seus dados pessoais. É um dos fundamentos da disciplina de proteção de dados pessoais, de acordo com o art. 2º, inciso II, da LGPD, compreendido como forma de garantir o controle do cidadão sobre suas próprias informações. Ou seja, certifica que o titular tenha domínio sobre os seus dados pessoais, ainda que o tratamento dessas informações seja legítimo. O seu reconhecimento assegura que todos os dados pessoais sejam protegidos, indo além do conceito de intimidade, trazendo a privacidade para o
âmbito procedimental. Voltar ao topo O que seria o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)? O RIPD é um instrumento importante de verificação e demonstração da conformidade do tratamento de dados pessoais realizado pela instituição e serve tanto para a análise quanto para a documentação do tratamento dos dados pessoais. O RIPD visa descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como as medidas, salvaguardas e mecanismos de mitigação de risco. Voltar ao topo O que seria o Termo de Uso conforme a LGPD? O Termo de Uso advém de a consciência do controlador e operador ser transparente com o titular de dados pessoais e comunicar como as atividades de tratamento desses dados observam os princípios dispostos no art. 6º da LGPD. Em cumprimento aos princípios da publicidade e da transparência e a fim de assegurar aos cidadãos amplo acesso às informações, os termos devem ser regularmente atualizados a fim de refletir, de modo claro e preciso, as finalidades de coleta, uso, armazenamento, tratamento e proteção dos dados pessoais dos titulares, que comumente serão utilizados pelo órgão e entidade no exercício de suas competências legais ou execução de políticas públicas, devidamente previstas em lei, regulamentos ou respaldadas em contratos, convênios ou instrumentos semelhantes. Voltar ao topo O que seria a Política de Privacidade conforme a LGPD? Política de Privacidade é um documento informativo pelo qual o prestador de serviço transparece ao usuário a forma como o serviço realiza o tratamento dos dados pessoais e como fornece privacidade ao usuário. Voltar ao topo O que é Inventário de Dados Pessoais (IDP)? O IDP atende à determinação da Lei nº 13.709/2018
no que se refere à manutenção de registro do levantamento do tratamento de dados pessoais realizado pela instituição. Consiste no registro das operações de tratamento dos dados pessoais realizadas pela instituição (art. 37 da LGPD). Voltar ao topo Para a promoção da transparência ativa de dados, com a LGPD em vigor, o poder público deverá observar quais requisitos? • Observância da publicidade das bases de dados não pessoais como preceito geral e do
sigilo como exceção; Voltar ao topo Qual a diferença entre transparência ativa e transparência passiva? A transparência ativa ocorre quando há disponibilização da informação de maneira espontânea (proativa). É o que ocorre, por exemplo, com a divulgação de informações na Internet, de modo que qualquer interessado possa acessá-las diretamente. Voltar ao topo Quais documentos devem ter o acesso público para todas as pessoas, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)? As informações de interesse público, geral ou coletivo. Exemplos: Voltar ao topo Quais documentos devem ter acesso restrito a agentes públicos legalmente autorizados e à própria pessoa a quem a informação se referir, mediante identificação, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)? Documentos que contenham informações pessoais de pessoa identificada ou identificável, como: Voltar ao topo Quais documentos devem ter o acesso restrito a agentes públicos legalmente autorizados e interessados, mediante identificação, considerando os preceitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) como da Lei de Acesso à Informação (LAI)? Documento preparatório utilizado como fundamento de tomada de decisão ou de ato administrativo. Exemplos: Voltar ao topo Quais as consequências da falta de adequação à LGPD? Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na LGPD, ficam sujeitos a sanções administrativas, aplicáveis pela Autoridade Nacional. Voltar ao topo Como é feito o tratamento dos dados pessoais Segundo a LGPD?No âmbito da LGPD, o tratamento dos dados pessoais pode ser realizado por dois agentes de tratamento, o controlador e o operador. O controlador é definido pela Lei como a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
O que a LGPD dispõe sobre tratamento de dados?Tema fundamental trabalhado pela Lei, o tratamento de dados diz respeito a qualquer atividade que utiliza um dado pessoal na execução da sua operação, como, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, ...
Quanto ao tratamento dos dados?Resumidamente, o tratamento de dados é toda operação realizada com dados pessoais, desde o início, que é o processo de coleta, seguido do armazenamento, uso e o descarte efetivo da informação. Fica expressamente mencionado na LGPD uma série de ações que são classificadas como tratamento de dados.
Quando pode ser realizado o tratamento de dados pessoais?Com a entrada em vigor da LGPD, o tratamento de dados pessoais pode ser realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas na lei, como aquelas constantes em seu artigo 7o ou, no caso de dados pessoais sensíveis, as hipóteses previstas no artigo 11.
|