Consultoria & Processos

A LGPD é aplicável a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país no qual estejam localizados os dados, desde que a operação de tratamento de dados seja realizada no Brasil; a atividade de tratamento tenha por objetivo a oferta de bens ou serviços ou o manejo de dados de indivíduos localizados no país; ou, ainda, que os dados pessoais objeto do tratamento tenham sido coletados em território nacional.

As normas introduzidas pela Lei Geral de Proteção de Dados Pessoais (LGPD) são reguladas expressamente pelos seguintes fundamentos:

PRINCÍPIOS

A LGPD estabeleceu uma estrutura legal que empodera os titulares de dados pessoais, fornecendo-lhes direitos a serem exercidos perante os controladores de dados. Esses direitos devem ser garantidos durante toda a existência do tratamento dos dados pessoais do titular realizado pelo órgão ou entidade.

Os direitos a serem garantidos aos titulares de dados estão segregadas em direitos decorrentes dos princípios estabelecidos pelo art. 6º da LGPD e em direitos específicos dos titulares constantes dos demais artigos da referida Lei.

DIREITOS DOS TITULARES DE DADOS QUE DECORREM DOS PRINCÍPIOS

1. - Direito de condicionar o tratamento de dados ao prévio consentimento expresso, inequívoco e informado do titular, salvo as exceções legais Arts. 7º, I, e 8º

2. Direito de exigir o cumprimento de todas as obrigações de tratamento previstas na lei, mesmo para os casos de dispensa de exigência de consentimento Art. 7º, § 6º

3. Direito à inversão do ônus da prova quanto ao consentimento Art. 8º, § 2º

4. Direito de requerer a nulidade de autorizações genéricas para o tratamento de dados pessoais Art. 8º, § 4º

5. Direito de requerer a nulidade do consentimento caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou, ainda, não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca Art. 9º, § 1º

6. Direito de requerer a revogação do consentimento a qualquer tempo, mediante manifestação expressa do titular, por procedimento gratuito e facilitado Art. 8º, § 5º

7. Direito à segurança dos dados, ao qual se contrapõe o dever, por parte dos agentes de tratamento, de utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão Princípio da segurança Art. 6º, VII

8. Direito à adequada prevenção de danos, ao qual se contrapõe o dever, por parte dos agentes de tratamento, de adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais Princípio da prevenção Art. 6º, VIII

9. Direito de não ser discriminado de forma ilícita ou abusiva Princípio da não discriminação Art. 6º, IX

10. Direito de exigir a adequada responsabilização e a prestação de contas por parte dos agentes de tratamento, ao qual se contrapõe o dever, por parte destes, de adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais Princípio da responsabilização e prestação de contas Art. 6º, X

11. Direito de revogar o consentimento caso o titular discorde das alterações quanto ao tratamento de dados, seja na finalidade, forma e duração do tratamento, alteração do controlador ou compartilhamento Arts. 8º, § 6º e 9º, § 2º

12. Direito de acesso facilitado ao tratamento de dados, cujas informações devem ser disponibilizadas de forma clara, adequada e ostensiva acerca de (entre outras): finalidade específica do tratamento; forma e duração do tratamento, observados os segredos comercial e industrial; identificação do controlador; informações de contato do controlador; informações acerca do uso compartilhado de dados pelo controlador; finalidade, responsabilidades dos agentes que realizarão o tratamento e direitos do titular, com menção explícita aos direitos contidos no art. 18 Art. 9º

13. Direito de ser informado sobre aspectos essenciais do tratamento de dados, com destaque específico sobre o teor das alterações supervenientes no tratamento Art. 8º, § 6º

14. Direito de ser informado, com destaque, sempre que o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço, ou, ainda, para o exercício de direito, o que se estende à informação sobre os meios pelos quais o titular poderá exercer seus direitos Art. 9º, § 3º

15. Direito de ser informado sobre a utilização dos dados pela administração pública para os fins autorizados pela lei e para a realização de estudos por órgão de pesquisa Art. 7º, III e IV c/c art. 7º, § 1º

16. Direito de que o tratamento de dados pessoais cujo acesso é público esteja associado à finalidade, à boa-fé e ao interesse público que justificaram sua disponibilização Art. 7º, § 3º

17. Direito de condicionar o compartilhamento de dados por determinado controlador que já obteve consentimento a novo e específico consentimento. No caso da Administração Pública Federal (APF), em que o tratamento é embasado nas hipóteses de dispensa de consentimento original, o compartilhamento demandará uma nova justificativa de tratamento Art. 7º, § 5º

18. Direito de ter o tratamento de dados limitado ao estritamente necessário para a finalidade pretendida quando o tratamento for baseado no legítimo interesse do controlador Art. 10, § 1º

19. Direito à transparência do tratamento de dados baseado no legítimo interesse do controlador Art. 10, § 2º

20. Direito à anonimização dos dados pessoais sensíveis, sempre que possível, na realização de estudos por órgão de pesquisa Art. 11, II, c

21. Direito de ter a devida publicidade em relação às hipóteses de dispensa de consentimento para: tratamento de dados sensíveis no cumprimento de obrigação legal ou regulatória pelo controlador; ou tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos Art. 11, § 2º

22. Direito de impedir a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde, com o objetivo de obter vantagem econômica (exceto nos casos de portabilidade de dados quando consentido pelo titular) Art. 11, § 4º

23. Direito de que os dados pessoais sensíveis utilizados em estudos de saúde pública sejam tratados exclusivamente dentro do órgão de pesquisa e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas Art. 13

24. Direito de não ter dados pessoais revelados na divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa sobre saúde pública Art. 13, § 1º

25. Direito de não ter dados pessoais utilizados em pesquisa sobre saúde pública transferidos a terceiros pelo órgão de pesquisa Art. 13, § 2º

26. Direito ao término do tratamento, quando verificado que: (i) a finalidade foi alcançada ou que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; (ii) houve o fim do período de tratamento; (iii) houve comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, conforme disposto no § 5º do art. 8º da Lei e resguardado o interesse público; ou (iv) por determinação da autoridade nacional, quando houver violação ao disposto na Lei Art. 15

27. Direito à eliminação ou ao apagamento dos dados, no âmbito e nos limites técnicos das atividades, sendo autorizada a conservação somente nas exceções legais Art. 16

Conceitos específicos na LGPD

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IX - agentes de tratamento: o controlador e o operador;

X - Tratamento: toda operação realizada com dados pessoais, como as que se referem:

  ACESSO - ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique;

 ARMAZENAMENTO - ação ou resultado de manter ou conservar em repositório um dado;

 ARQUIVAMENTO - ato ou efeito de manter registrado um dado em qualquer das fases do ciclo da informação, compreendendo os arquivos corrente, intermediário e permanente, ainda que tal informação já tenha perdido a validade ou esgotado a sua vigência;

 AVALIAÇÃO - analisar o dado com o objetivo de produzir informação;

 CLASSIFICAÇÃO - maneira de ordenar os dados conforme algum critério estabelecido;

 COLETA - recolhimento de dados com finalidade específica;

 COMUNICAÇÃO - transmitir informações pertinentes a políticas de ação sobre os dados;

 CONTROLE - ação ou poder de regular, determinar ou monitorar as ações sobre o dado;

 DIFUSÃO - ato ou efeito de divulgação, propagação, multiplicação dos dados;

 DISTRIBUIÇÃO - ato ou efeito de dispor de dados de acordo com algum critério estabelecido;

 ELIMINAÇÃO - ato ou efeito de excluir ou destruir dado do repositório;

 EXTRAÇÃO - ato de copiar ou retirar dados do repositório em que se encontrava;

 MODIFICAÇÃO - ato ou efeito de alteração do dado;

 PROCESSAMENTO - ato ou efeito de processar dados visando organizá-los para obtenção de um resultado determinado;

 PRODUÇÃO - criação de bens e de serviços a partir do tratamento de dados;

 RECEPÇÃO - ato de receber os dados ao final da transmissão;

 REPRODUÇÃO - cópia de dado preexistente obtido por meio de qualquer processo;

 TRANSFERÊNCIA - mudança de dados de uma área de armazenamento para outra, ou para terceiro;

 TRANSMISSÃO - movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos, etc.;

 UTILIZAÇÃO - ato ou efeito do aproveitamento dos dados.

XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Processo de Adequação à LGPD

1.Conscientização e comprometimento da empresa;

2.Mapeamento de dados e pontos de coleta de dados pessoais;

3.Produção dos mapas, fluxos e matrizes de responsabilidades;

4.Identificação de Bases Legais para tratamento de dados pessoais;

5.Alteração/Criação de Políticas, Contratos, Termos sobre proteção de dados pessoais; Documentos sobre o tratamento de dados pessoais

6.Nomeação dos agentes de tratamento e do DPO;

7.Plano de Gerenciamento de Crises;

8.Criação de sistemas de gestão dos pedidos dos titulares; das autoridades e do consentimento;

9.Treinamento das equipes / terceiros que fazem o tratamento dos dados pessoais;

10.Auditoria e revisão constante; e

11.Implementação de Termo de Acordo de Conciliação Direta.