Neste tópico trataremos de aspectos da Lei Geral de Proteção de Dados (LGPD), e eventuais riscos de não-conformidade em sua aplicação no setor público.
LGPD:
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
https://www.linkedin.com/in/luisfernandopradochaves/
CIPP/E | Partner @ Daniel Law | Head de Direito Digital, Privacidade e Proteção de Dados | IT, Privacy & Data Protection
Desde que foi sancionada, a Lei Federal n. 13.709/2018 (agora oficialmente denominada Lei Geral de Proteção de Dados - LGPD) foi alvo de muitas especulações, quedas de braço e curiosidades. Entre idas e vindas de debates legislativos, inserções e remoções de dispositivos legais, em pouco menos de 1 ano, a versão final da LGPD já conta com mais de 20 pontos de alterações significativas em relação à versão original, o que, certamente, desprestigia a tão buscada segurança jurídica e pode gerar muitas dúvidas para aqueles que tentam ficar a par do andamento da nova legislação e seus impactos.
Para tentar amenizar o problema, destaco abaixo as principais alterações na versão atual do texto, que conta com as modificações provocadas pela Lei n. 13.853/2019 (publicada no Diário Oficial de hoje, 09/07/2019), em relação à redação originalmente publicada em 15/08/2018:
Diferentemente do que previa a versão inicial da LGPD, mas seguindo a lógica do Regulamento Europeu (GDPR), a definição do conceito de encarregado (também conhecido como data protection officer - DPO) dispõe que tal função deve existir não apenas para aquelas empresas que decidem “como” e “por que” tratar dados pessoais (controladoras), mas também para aquelas que agem a seu mando (operadoras). No entanto, a versão final da LGPD traz nítido conflito entre a definição do artigo 5o, VIII (que menciona a figura do operador) e regra do artigo 41, que, ao disciplinar a função do DPO, apenas faz referência aos controladores de dados.
Esse conflito é decorrente do veto presidencial à nova redação que seria implementada pela Lei sancionada hoje. De forma a tentar saná-lo, caso interpretemos a presente questão de acordo com a vontade do legislador, parece certo que empresas na posição de operadoras de dados também deveriam se preocupar com a nomeação de um encarregado, mesmo porque, atualmente, é raro encontrar situação em que determinada empresa seja tão-somente operadora de dados. Em outras palavras, é bastante comum, portanto, que durante a oferta de produtos ou serviços que envolvam tratamento de dados, a empresa acabe exercendo papel de controladora, o que atrai a necessidade do DPO, pelo menos até que a Autoridade Nacional de Proteção de Dados (ANPD) regulamente as situações de exceção.
Na versão final da LGPD, a hipótese legal que autoriza o uso de dados para “tutela da saúde” acabou ficando bem mais flexível se comparada à versão original da Lei. Agora, tanto os dados pessoais “comuns” quanto os sensíveis poderão ser tratados para a tutela da saúde durante procedimento realizado por profissionais de saúde, autoridade sanitária ou serviços de saúde , sendo esse último trecho destacado a grande novidade introduzida na LGPD. Apesar de tal alteração ter sido tratada como mero ajuste de redação durante os debates legislativos mais recentes, é fato que isso resultou em uma significativa expansão das possibilidades de uso de dados na área da saúde.
Embora um dado pessoal tornado público (pelo próprio titular ou terceiros, inclusive pelo Estado) siga sendo um dado pessoal protegido pela LGPD, a nova redação do artigo 7o, §7o, deixa claro que tal informação poderá ser utilizada para novas finalidades (diferentes daquelas pelas quais o dado se fez público), desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos na LGPD. Isso significa que, embora claramente seja possível utilizar um dado de acesso público para novas finalidades, será necessário que a empresa realize um teste de proporcionalidade e balanceamento de suas intenções, para que se avalie se estão de acordo com os requisitos trazidos por esse dispositivo legal, quais sejam: (i) propósito legítimo e específico, (ii) preservação dos direitos dos titulares e (ii) fundamentos e princípios da LGPD.
De acordo a versão atual da LGPD, fica vedado o compartilhamento de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, a menos que sejam respeitadas as seguintes condições:
(i) Se ocorrer no contexto da prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde;
(ii) Se não tiver como objetivo a prática, pelas operadoras de planos privados de assistência à saúde, de seleção de riscos na contratação, assim como na contratação e exclusão de beneficiários (atividades que, por sinal, com as recentes alterações, ficam vedadas pela LGPD, em qualquer circunstância);
(iii) Se for em benefício dos interesses dos titulares dos dados;
(iv) Se for relativo a pelo menos uma das atividades abaixo:
Vale lembrar que, enquanto a LGPD “original” apresentava vedação genérica em relação ao compartilhamento de dados de saúde para finalidades econômicas (com exceção apenas para hipóteses de portabilidade de dados solicitada pelo titular ou de consentimento - sendo que essa última, em nosso entendimento, ainda pode ser apoiada na própria base legal do consentimento específico e destacado para tratamento de dados sensíveis), a MP pretendia ampliar a autorização legal para compartilhamentos dessa natureza sempre e quando fossem necessários para “adequada prestação de serviços de saúde suplementar”, expressão genérica e ampla que acabou não vingando na versão final da Lei, como visto acima.
A LGPD inicialmente previa que qualquer titular de dados teria o direito de solicitar revisões das decisões tomadas exclusivamente de forma automatizada, sendo que tal revisão deveria ser feita, necessariamente, por um agente humano. A MP já havia retirado a necessidade de participação humana no processo de revisão, mas a Lei 13.853/2019 pretendia reintroduzir tal obrigação, não fosse o veto presidencial quanto a essa parte.
Portanto, não há mais a necessidade de que as revisões sejam feitas por humanos, tendo sido apresentado o seguinte argumento para o veto:
“A propositura legislativa, ao dispor que toda e qualquer decisão baseada unicamente no tratamento automatizado seja suscetível de revisão humana, contraria o interesse público, tendo em vista que tal exigência inviabilizará os modelos atuais de planos de negócios de muitas empresas, notadamente das startups, bem como impacta na análise de risco de crédito e de novos modelos de negócios de instituições financeiras, gerando efeito negativo na oferta de crédito aos consumidores, tanto no que diz respeito à qualidade das garantias, ao volume de crédito contratado e à composição de preços, com reflexos, ainda, nos índices de inflação e na condução da política monetária.”
Sobre esse ponto, vale lembrar que a LGPD originalmente também não previa tal necessidade. No entanto, esperava-se que essa fosse uma das alterações trazidas pela legislação aprovada hoje, não fosse outro veto do Presidente da República, sob o seguinte argumento:
“A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento jurídico regulatório, contraria o interesse público, na medida em que se constitui em uma exigência com rigor excessivo que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.”
Independentemente de tal veto, fato é que um bom DPO, entre outras habilidades necessárias para o adequado desempenho da função, deverá dominar não só a LGPD, mas também sua regulamentação-mãe, que é o GDPR europeu.
Apesar da tentativa do Legislativo de contornar os vetos do então presidente Michel Temer, ficam mantidas na LGPD as sanções administrativas da forma como já as conhecíamos, sendo elas:
A meu ver, as três últimas sanções, apesar de normalmente perderem audiência para as sanções financeiras, são ainda mais graves, pois podem causar abalo reputacional (às vezes não contornável) e, ainda, suspensão das atividades da empresa. Portanto, independentemente dos reiterados vetos presidenciais, pode-se dizer que as punições existentes na Lei já são rigorosas o suficientes para justificar todo o movimento de mercado em relação à adequação à LGPD que estamos presenciando.
Ainda com relação às sanções, a nova versão da LGPD traz algumas novidades que merecem destaque:
Vetada na ocasião da publicação da LGPD em agosto do ano passado, recriada pela MP 869/2018 e alterada pela Lei n. 13.709/2018, enfim temos o nosso órgão responsável por fiscalizar e orientar sobre o cumprimento da LGPD.
Segundo a versão atual da Lei, a ANPD será órgão da administração pública federal direta, integrante da Presidência da República, havendo possibilidade para que o próprio Poder Executivo reavalie tal condição em 2 anos a partir da entrada em vigor de sua estrutura regimental. Caso isso aconteça, o Poder Executivo, segundo a LGPD, poderá transformar a ANPD em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República, o que, em tese e ao menos legalmente, confere algo mais de autonomia e independência à autoridade.
Vale lembrar que o grau de independência da ANPD em relação ao Governo é um fato que fatalmente será chave quando da análise, pela União Europeia, do nosso nível de adequação com o fim de que nos tornemos “território seguro” para o recebimento de dados protegidos pelo GDPR (o que eliminaria riscos e desgastes burocráticos por parte de empresas sujeitas ao Regulamento Europeu e, consequentemente, poderia trazer maior dinamismo à nossa economia digital).
No mais, a ANPD será composta por:
Quanto à atuação da ANPD, abaixo estão alguns pontos interessantes:
Por fim, independentemente do número de profissionais que formarão o staff da ANPD (o que ainda será definido), fato é que teremos no Brasil cerca de 210 milhões potenciais fiscalizadores da LGPD, o que certamente gerará um grande contencioso administrativo no tema, além, é claro, do aumento exponencial de ações judicias que discutirão a matéria (atuações de porta de data center !).
Esses são, portanto, os pontos essenciais para entender como ficou a versão atual da LGPD, que, definitivamente, entra em vigor em 16 de agosto de 2020 (extensão de 6 meses em relação ao prazo inicialmente previsto). Mas os estudos e o acompanhamento do tema da proteção de dados no Brasil d@ car@ leitor@ não podem parar por aqui.
Vêm aí: debate sobre a composição da ANPD (em relação ao corpo diretivo, a expectativa é que tenhamos definição já até o final do mês que vem), primeiras guidelines da ANPD sobre interpretações da LGPD e, ainda, edição da regulamentação da LGPD, que deverá incluir questões relacionadas ao tratamento de dados pelo Poder Público, à operacionalização e aos prazos para atendimento de direitos dos titulares, às medidas de segurança da informação, às especificações sobre o DPO, entre outros tópicos relevantes.
Como costumo dizer, a semente do direito à proteção de dados no Brasil foi definitivamente plantada pelo legislador. Agora, todos nós, profissionais da privacidade, seremos responsáveis por acompanhar e participar do processo de cultivo dessa área no país, desbravando todas as complexas questões que surgem no dia a dia. É um baita desafio, que, definitivamente, não dá lugar a aventureiros, mas traz infinitas oportunidades a todos aqueles que, de maneira responsável, se aprofundam na matéria.
Fonte: https://www.linkedin.com/pulse/entenda-de-uma-vez-por-todas-como-fica-versão-final-da-prado-chaves/
De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia: pode ter certeza, a Lei Geral de Proteção de Dados Pessoais (LGPD) afeta diferentes setores e serviços, e a todos nós brasileiras e brasileiros, seja no papel de indivíduo, empresa ou governo. Aqui, a gente te ajuda a entender os seus direitos como cidadão, ou suas obrigações, caso você seja responsável por bases de dados de pessoas.
E damos, é claro, as boas-vindas a você que quer entender mais a LGPD, contribuir com ela, e buscar suporte. Vamos nessa?
Já que você topou, então vamos dar um “giro” pela LGPD e conhecer os principais pontos da lei
Para continuar
Agora que você deu um giro, leia a seguir mais detalhes sobre os principais pontos apresentados na imagem acima
A LGPD é a lei nº 13.709, aprovada em agosto de 2018 e com vigência a partir de agosto de 2020. Para entender a importância do assunto, é necessário saber que a nova lei quer criar um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária e dentro do país e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil. E, para que não haja confusão, a lei traz logo de cara o que são dados pessoais, define que há alguns desses dados sujeitos a cuidados ainda mais específicos, como os sensíveis e os sobre crianças e adolescentes, e que dados tratados tanto nos meios físicos como nos digitais estão sujeitos à regulação.
A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.
Consentimento
Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.
Automatização com autorização
Por falar em direitos, é essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.
ANPD e agentes de tratamento
E tem mais. Para a lei a “pegar”, o país contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações poderão colaborar com a autoridade.
Mas não basta a ANPD - que está em formação - e é por isso que a Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).
Gestão em foco
Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha. E enviará, é claro, alertas e orientações antes de aplicar sanções às organizações.
Fonte:
https://www.serpro.gov.br/lgpd/menu/a-lgpd/o-que-muda-com-a-lgpd
Acesso em 4 mar. 2020
A Lei Geral de Proteção de Dados Pessoais (LGPD) já foi sancionada e entrará em vigor em 2020, e a Autoridade Nacional de Proteção de Dados foi aprovada em maio de 2019 e está em formação. Isso significa que nosso país está no caminho certo! Mas o mapa a seguir mostra a nós, brasileiros e brasileiras, que ainda há outros passos a dar. E precisamos avançar não porque foi criada “mais uma lei chata ou burocrática”, mas sim porque a proteção de dados privativos é algo que, mundialmente, as pessoas, governos e empresas têm se preocupado - um exemplo é o da sociedade da União Europeia, que possui o Regulamento Geral sobre a Proteção de Dados (RGPD), sigla do termo em português, ou GDPR, sigla do termo em inglês), em vigor desde maio de 2018. Ou seja, no Brasil, a LGPD é, de fato, útil e sua aplicação é urgente se queremos melhorar o dia a dia de cada um de nós. Portanto, fique por dentro do assunto, ajude a aplicar a Lei Geral de Proteção de Dados Pessoais, cobre isso dos setores público e privado. Colabore!
COOPERAÇÃO
A LGPD permite a transferência de dados além-fronteira, desde que seja: com o consentimento específico do titular dos dados; a pedido do titular para que esse possa executar pré-contrato ou contrato; para proteger a vida e a integridade física do titular ou de terceiro; para ajudar na execução de política pública; para país ou organismo internacional que projeta dados pessoais de forma compatível com o Brasil; para cooperar juridicamente com órgãos públicos de inteligência, investigação, ou por conta de compromisso assumido via acordo internacional; para cumprir obrigação legal; com a autorização da ANPD; comprovado que o controlador segue a LGPD na forma de normas globais, selos, certificados e códigos de conduta.
Fonte: https://www.serpro.gov.br/lgpd/menu/a-lgpd/mapa-da-protecao-de-dados-pessoais
Acesso em 4 mar. 2020
Publicada em agosto de 2018, a LGPD vem aprimorar a proteção de dados pessoais aos cidadãos do Brasil. Entender melhor, e desde já, a nova legislação, que entra em vigor em 2020, é importante para ajudar o país na missão coletiva de assegurar a privacidade: a qual é um direito fundamental do indivíduo e, portanto, deve ser salvaguardada com o máximo de cuidado, eficiência e qualidade. Sendo assim, que tal conhecer palavras e termos-chave relacionadas à Lei Geral de Proteção de Dados Pessoais e o significado de cada um deles? Confira o glossário da LGPD abaixo.
A gentes de tratamento: o controlador e o operador
A nonimização : utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo
Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico
Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento
Dado pessoal: informação relacionada à pessoa natural identificada ou identificável
Dado pessoal de criança e de adolescente: o Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
Garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da administração pública federal em seu âmbito de atuação
Garantia da segurança de dados: ver garantia da segurança da informação
Interoperabilidade: capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING)
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador
Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico
Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro
Tratamento: toda operação realizada com dados pessoais; como as que se referem a:
Fonte: https://www.serpro.gov.br/lgpd/menu/a-lgpd/glossario-lgpd
Acesso em 4 mar. 2020
A informação continua sendo um bem muito precioso. Mas você sabia que a forma de lidar com a informação, principalmente a que diz respeito ao indivíduo, tem exigido bastante transformações, mundo afora e aqui no Brasil? Pois é, as pessoas estão, cada vez mais, buscando maior controle sobre seus dados. Preservar conteúdos privados não é mais uma opção, tornou-se um compromisso inadiável: tanto do cidadão consigo mesmo; como do governo e de empresas que se relacionam com esses dados e que precisam escutar o clamor das pessoas, se não quiserem ficar para trás.
Provavelmente você concorda com isso, que é indispensável cuidar dos seus dados e dos dados das demais pessoas, certo? Então é hora de conhecer ainda mais sobre a LGPD: a Lei Geral de Proteção de Dados Pessoais é a mudança mais importante no que se refere à privacidade de dados, no Brasil. Aprovada pela Presidência da República em agosto de 2018, a lei já circula por aí e, como pode perceber, o conteúdo dela não será “pra inglês ver”, mas para auxiliar o Brasil a evoluir, de fato, no tema, gerando assim impactos positivos na vida de milhões de brasileiros.
Mas, enfim, o que é, de fato, um dado pessoal?
É simples. Se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.
Fonte: https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-pessoais-lgpd
Há tipos de dado pessoal que exigem atenção extra ao serem tratados?
Sim. Claro, todo dado pessoal só pode ser tratado se seguir um ou mais critérios definidos pela LGPD, mas, dentro do conjunto de dados pessoais, há ainda aqueles que exigem um pouco mais de atenção: são os sobre crianças e adolescentes; e os “sensíveis”, que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.
Quando o foco for menores de idade, é imprescindível obter o consentimento inequívoco de um dos pais ou responsáveis e se ater a pedir apenas o conteúdo estritamente necessário para a atividade econômica ou governamental em questão, e não repassar nada a terceiros. Sem o consentimento, só pode coletar dados se for para urgências relacionadas a entrar em contato com pais ou responsáveis e/ou para proteção da criança e do adolescente.
Sobre os dados sensíveis, autônomos, empresas e governo também podem tratá-los se tiverem o consentimento explícito da pessoa e para um fim definido. E, sem consentimento do titular, a Lei Geral de Proteção de Dados Pessoais define que isso é possível quando for indispensável em situações ligadas: a uma obrigação legal; a políticas públicas; a estudos via órgão de pesquisa; a um direito, em contrato ou processo; à preservação da vida e da integridade física de uma pessoa; à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção de fraudes contra o titular.
Fonte: https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-sensiveis-lgpd
A lei cita “dados pessoais cujo acesso é público”. Como essa categoria de dados deve ser tratada?
Deve ser tratada considerando a finalidade, a boa-fé e o interesse público que justificaram a sua disponibilização. A LGPD define, por exemplo, que uma organização pode, sem precisar pedir novo consentimento, tratar dados tornados anterior e manifestamente públicos pelo titular. Porém, se uma organização quiser compartilhar esses dados com outras, aí ela deverá obter outro consentimento para esse fim - resguardadas as hipóteses de dispensa previstas na lei. A LGPD também se relaciona com a Lei de Acesso à Informação (LAI) e com princípios constitucionais, como o de que “todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado”.
Especialistas acreditam que a Lei Geral de Proteção de Dados Pessoais traz parâmetros, mas que ainda há um debate sobre que tipos de dados pessoais devem, de fato, ser considerados públicos e, assim, ficar disponíveis para a sociedade em geral. A previsão é que a Autoridade Nacional de Proteção de Dados (ANPD), em conjunto com a sociedade, regule, esclareça dúvidas e detalhe a questão.
Fonte: https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-publicos-lgpd
E o que anonimização tem a ver com tratamento de dados?
A Lei Geral de Proteção de Dados Pessoais cita ainda o dado anonimizado, que é aquele que, originariamente, era relativo a uma pessoa, mas que passou por etapas que garantiram a desvinculação dele a essa pessoa. Se um dado for anonimizado, então a LGPD não se aplicará a ele. Vale frisar que um dado só é considerado efetivamente anonimizado se não permitir que, via meios técnicos e outros, se reconstrua o caminho para “descobrir” quem era a pessoa titular do dado - se de alguma forma a identificação ocorrer, então ele não é, de fato, um dado anonimizado e sim, apenas, um dado pseudonimizado e estará, então, sujeito à LGPD.
Segundo especialistas, dados anonimizados são essenciais para o crescimento da inteligência artificial, da internet das coisas, do aprendizado das máquinas, das cidades Inteligentes, da análise de comportamentos, entre outros. Eles indicam ainda que, sempre que possível, uma organização, pública ou privada, realize a anonimização de dados pessoais, pois isso aperfeiçoa a segurança da informação na organização e gera, assim, mais confiança em seus serviços e para seus públicos.
Fonte: https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-anonimizados-lgpd
Acesso em 4 mar. 2020
A boa-fé no tratamento de dados pessoais é premissa básica. Além disso, é preciso refletir sobre questões como “Qual o objetivo deste tratamento?”, “É preciso mesmo utilizar essa quantidade de dados?”, “O cidadão com quem me relaciono deu o consentimento?”, “O uso dos dados pode gerar alguma discriminação?”. Essas são algumas das perguntas que devem ser feitas. Quer saber o que mais deve ser levado em conta na hora de tratar os dados? Confira então os princípios e as bases legais da Lei Geral de Proteção de Dados Pessoais.
Os seguintes princípios devem ser observados na hora de tratar dados pessoais:
A base da LGPD é o consentimento: ou seja, é necessário solicitar a autorização do titular dos dados, antes do tratamento ser realizado. E esse consentimento deve ser recebido de forma explícita e inequívoca. O não consentimento é a exceção: só é possível processar dados, sem autorização do cidadão, quando isso for indispensável para cumprir situações legais, previstas na LGPD e/ou em legislações anteriores, como a Lei de Acesso à Informação (LAI). Por exemplo, uma organização - pública ou privada - pode, sem precisar pedir novo consentimento, tratar dados tornados anterior e manifestamente públicos pelo cidadão.
Fonte: https://www.serpro.gov.br/lgpd/menu/tratamento-dos-dados/principios-da-lgpd
Quando um empresário ou um gestor público administra folhas de pagamentos, isso é tratamento de dados pessoais. A ação de um comerciante que envia promoções por e-mail também é. O mesmo vale para o ato de publicar uma foto ou de deletar documentos em uma rede social. E o mesmo vale para quando se faz gravações em vídeo do movimento nos corredores de um shopping. Ou quando uma loja virtual armazena os endereços IP de seus clientes.
A gente poderia citar vários e vários exemplos. Porém, a partir dessas poucas situações do dia a dia, já dá para perceber que o tratamento de dados acontece a todo momento e local, certo? E ocorre na forma de coleta, registro, produção, recepção, organização, classificação, utilização, disponibilização, adaptação, alteração, reprodução, transmissão, distribuição, processamento, armazenamento, conservação, recuperação, comparação, interconexão, transferência, difusão, extração, eliminação de dados. Ufa! É muita coisa, né? Mas o mais relevante a saber é que todas as etapas de tratamento devem ser concebidas e concretizadas com um único fim em mente: para servir as pessoas.
A Lei Geral de Proteção de Dados Pessoais (LGPD) vem para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. A lei dispõe sobre o tratamento de dados feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais.
Vale para: dados relacionados à pessoa (brasileira ou não) que esteja no Brasil, no momento da coleta; dados tratados dentro do território nacional, independentemente do meio aplicado, do país-sede do operador ou do país onde se localizam os dados; dados usados para fornecimento de bens ou serviços.
Não se aplica para fins exclusivamente: jornalísticos e artísticos; de segurança pública; de defesa nacional; de segurança do Estado; de investigação e repressão de infrações penais; particulares (ou seja, a lei só se aplica para pessoa física ou jurídica que gerencie bases com fins ditos econômicos). E não se aplica a dados de fora do Brasil e que não sejam objeto de transferência internacional.
O tema proteção de dados pessoais, na LGPD, tem como fundamentos:
o respeito à privacidade, ao assegurar os direitos fundamentais de inviolabilidade da intimidade, da honra, da imagem e da vida privada
a autodeterminação informativa, ao expressar o direito do cidadão ao controle, e assim, à proteção de seus dados pessoais e íntimos
a liberdade de expressão, de informação, de comunicação e de opinião, que são direitos previstos na Constituição brasileira
o desenvolvimento econômico e tecnológico e a inovação, a partir da criação de um cenário de segurança jurídica em todo o país
a livre iniciativa, a livre concorrência e a defesa do consumidor, por meio de regras claras e válidas para todo o setor privado
os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas
Fonte: https://www.serpro.gov.br/lgpd/menu/tratamento-dos-dados/objetivo-e-abrangencia-da-lgpd
O Brasil tem dimensão continental. É um país onde “cabe” a cidade de Altamira/PA, com seus cerca de 159 mil Km², “cabe” Santa Cruz de Minas/MG, com seus poucos 3,5 mil km², e “cabe” mais 5.568 municípios e o Distrito Federal. Isso significa muita riqueza e diversidade cultural, social, econômica, ambiental. Significa, também, muitas diferenças, desafios. É aí que entram as novas legislações, como a Lei Geral de Proteção de Dados Pessoais (LGPD), que busca assegurar que um tema como este, de interesse público, seja tratado de forma igualitária nas cidades do país, não importando seu tamanho e população, já que em todas elas vivem pessoas que possuem os mesmos direitos e liberdades fundamentais.
Por falar em interesse público, a razão de existir de qualquer órgão de governo é servir, única e exclusivamente, a esse interesse. Quem trabalha em um ente governamental tem, portanto, que se alinhar às novas regulamentações que são criadas para atender às necessidades da sociedade. E se você está aqui, nesta página web, é porque tem vontade de entender mais sobre isso, certo?
Não importa se é de uma área meio ou fim, se da esfera federal, estadual ou municipal, se de uma capital ou do interior, se de uma pequena prefeitura ou de um grande ministério: cada agente público é peça fundamental neste processo de transformar o Brasil num país que zela pela proteção dos dados pessoais de seus cidadãos. É peça essencial para que, no futuro – quiçá! - nosso país, que hoje ainda ocupa um “cantinho acanhado” no que se refere à privacidade de dados pessoais, se torne uma grande referência no tema, ocupando “o centro da sala” e auxiliando, assim, o mundo a evoluir no que diz respeito a direitos fundamentais.
Claro, para um dia ser referência internacional, a médio e a longo prazo, primeiro é preciso que cada instituição da administração pública brasileira “prepare a casa”, tanto para quem nela mora como para quem a visita, digamos assim. Ou seja, a aplicação da Lei Geral de Proteção de Dados Pessoais envolve tanto dados corporativos, dos próprios empregados e demais contratados, como, é claro, do público externo com o qual o órgão se relaciona. Vale reforçar que, com a nova lei em vigor, em 2020, mais do que nunca os indivíduos poderão contactar a administração pública para exercerem os direitos que são conferidos a eles pela LGPD (direitos de acesso a dados, retificação e eliminação deles, entre outros).
Confira a linha do tempo da LGPD no país. Há sim conquistas a comemorar. Porém, ainda há muitos desafios a resolver.
Fonte: https://www.serpro.gov.br/lgpd/governo/qual-o-papel-do-agente-publico-lgpd
Prepare a casa para a LGPD, que entra em vigor em agosto de 2020. Confira as recomendações abaixo e tenha em mente, sempre, que toda instituição governamental deve, ao tratar dados pessoais, levar em conta o interesse do cidadão e as atribuições legais do serviço público.
É preciso:
ANALISAR as bases jurídicas que devem ser consideradas para se tratar dados pessoais
IDENTIFICAR e ORGANIZAR os dados pessoais, com atenção àqueles que exigem cuidados ainda mais específicos no tratamento (como os pessoais sensíveis e os sobre crianças e adolescentes)
INFORMAR ao titular, antes de efetuar o tratamento, as finalidades da ação (compatíveis com a função pública do órgão), os dados recolhidos, os destinatários dos dados e os direitos dele em matéria de proteção de dados
DIVULGAR de forma clara e atualizada, em site ou outro veículo de fácil acesso, as hipóteses em que, no exercício de suas competências, trata dados pessoais, e a previsão legal, os procedimentos e as práticas utilizadas
ELABORAR medidas técnicas, normas e políticas que contemplem os requisitos da Lei Geral de Proteção de Dados Pessoais para alcançar a conformidade e poder demonstrar isso, caso seja pedido pelo cidadão e pela ANPD
IMPLANTAR um plano de formação e conscientização dos empregados, terceirizados e demais colaboradores sobre a importância da privacidade de dados pessoais
DESIGNAR um encarregado - caso seja necessário (padrões serão definidos pela ANPD, segundo volume de dados tratados, porte da empresa) - que interagirá com o público e com a ANPD
ADAPTAR e revisar procedimentos e formulários, habilitando meios digitais, para atender ao cidadão, em demandas de solicitação e revogação do consentimento e outras mais sobre como seus dados estão sendo tratados
RESPONDER às demandas do cidadão com agilidade. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular: em formato simplificado, imediatamente; ou por declaração clara e completa, fornecida no prazo de até 15 dias, e que indique origem dos dados, critérios utilizados, finalidade do tratamento (observados os segredos comercial e industrial). E, caso faça um determinado pedido e isso seja negado, o cidadão tem direito de saber os motivos da rejeição e, ainda, de fazer uma reclamação à ANPD e/ou uma ação judicial
SABER que o cidadão tem direito a se opor ao tratamento mesmo que este tenha como fim o interesse público. Porém, neste caso, o titular deve apresentar à instituição os motivos, e essa poderá continuar o tratamento dos dados e recusar, assim, o pedido: se demonstrar razões legítimas e imperiosas que prevaleçam sobre os interesses e os direitos do indivíduo; ou caso os dados sejam necessários para declaração, exercício ou defesa de um direito num processo judicial
NÃO ESQUECER que o cidadão titular dos dados também tem direitos, perante um órgão público, regidos por outras legislações, em especial a Lei do Habeas Data, a Lei Geral do Processo Administrativo, e a Lei de Acesso à Informação
EFETUAR análises de riscos e adotar medidas para fazer frente a falhas que possam ferir os direitos e liberdades do cidadão
ESTABELECER protocolos para gerir e, se for o caso, notificar brechas de segurança e vazamentos de dados. Dados pessoais vazados acidental ou ilicitamente a destinatários não autorizados, ou que fiquem temporariamente indisponíveis ou sejam alterados: qualquer violação deve ser notificada ao titular dos dados e à ANPD, sem demora injustificada
NÃO TRANSFERIR a entidades privadas, sem consentimento do titular, dados pessoais constantes de bases a que tenha acesso. Exceto: em casos de execução descentralizada de atividade pública que exija a transferência, observado o disposto na LAI; se for indicado um encarregado para o tratamento de dados pessoais; com respaldo em contratos, convênios ou afins comunicados à ANPD; quando for para prevenir fraudes e irregularidades; para resguardar a segurança e a integridade do titular; quando houver outra previsão legal para tal; ou nos casos em que os dados já forem acessíveis publicamente
LEMBRAR que o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica de direito privado depende de consentimento do titular, exceto nas hipóteses de dispensa de consentimento previstas na LGPD e nos casos citados no item acima
PROVIDENCIAR os dados em formato interoperável para compartilhamento com outros órgãos públicos, quando isso for necessário para políticas e serviços públicos, descentralização da atividade pública, e para a disseminação e o acesso das informações pela sociedade
ATENTAR que a LGPD permite a transferência de dados além-fronteira, desde que seja: com o consentimento específico do titular; a pedido do titular para que esse possa executar pré-contrato ou contrato; para proteção da vida e da integridade física do titular ou de terceiro; para ajudar na execução de política pública; para país ou organismo internacional que projeta dados pessoais de forma compatível com o Brasil; para cooperar juridicamente com órgãos públicos de inteligência, investigação, ou por conta de compromisso assumido via acordo internacional; para cumprir obrigação legal; com a autorização da ANPD; comprovado que o controlador segue a LGPD na forma de normas globais, selos, certificados e códigos de conduta
Fonte: https://www.serpro.gov.br/lgpd/governo/como-se-adequar-lgpd
A fiscalização e a regulação da LGPD ficarão a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Essas são tarefas essenciais para que a autoridade nacional atue como um órgão a serviço do cidadão. A autoridade será ainda um elo entre sociedade e governo, permitindo que as pessoas enviem dúvidas, sugestões, denúncias ligadas à LGPD para apuração.
Terá também um importante papel de orientadora e de apoiadora dos órgãos de governo e empresas em relação às situações em que elas podem ou não tratar dados pessoais do cidadão. A proposta da ANDP é orientar, orientar e orientar, preventivamente. Após isso, fiscalizar, advertir e, somente após tudo isso, penalizar, se a LGPD continuar sendo descumprida.
Vale frisar que o “sucesso” da LGPD e da ANDP no país depende da adoção da lei por cada órgão de governo, cada empresa. E, para diminuir disparidades, é essencial que todos atuem juntos. Só assim para a lei “pegar” e atender, então, ao clamor social por mais proteção aos dados pessoais.
A ANPD, que está em processo de formação, será vinculada à Presidência da República, e com autonomia técnica garantida pela lei. A autoridade contará com o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. O colegiado será composto por 23 titulares, não remunerados, com mandato de dois anos, e de diferentes setores: seis do Executivo Federal; um do Senado Federal; um da Câmara dos Deputados; um do Conselho Nacional de Justiça; um do Conselho Nacional do Ministério Público; um do Comitê Gestor da Internet no Brasil; quatro da sociedade civil com atuação comprovada em proteção de dados pessoais; quatro de instituição científica, tecnológica e de inovação; e quatro de entidade do setor empresarial ligado à área de tratamento de dados pessoais.
Vale lembrar que a criação da autoridade nacional estava prevista na Lei Geral de Proteção de Dados Pessoais, sancionada em agosto de 2018 pelo presidente Michel Temer. No entanto, o dispositivo da lei que criava a ANPD foi vetado por Temer que, posteriormente, em dezembro de 2018, recriou a autoridade, por meio de uma medida provisória, aprovada em maio de 2019 pela Câmara e pelo Senado, e sancionada em julho de 2019 pelo presidente da República.
Fonte: https://www.serpro.gov.br/lgpd/governo/quem-vai-regular-e-fiscalizar-lgpd
Boa tarde, tenho uma questão que vem gerando entendimentos diversos entre colegas que seria sobre a definição dos papeis de operador e controlador.
Uma parte entende que o órgão público (CNPJ) seria ao mesmo tempo o controlador e o operador.
Uma parte entende que o órgão (CNPJ) seria o controlador e os servidores (CPFs) de forma geral os operadores.
Outra parte entende que só há operador se houver uma pessoa (PF ou PJ) externa ao órgão tratando os dados da CVM sob seu controle.
Qual a sua visão?
Boa noite, @BBronstein
Pela LGPD, temos que:
Então em tese o Controlador (PF ou PJ) instrui, e os Operadores (PF ou PJ diferentes) seguem as instruções.
No caso do setor público, entendo que o Operador é necessariamente externo ao órgão ou entidade.
Por exemplo, o Serpro é operador dos dados controlados por diversos ministérios, órgãos e entidades.
Pela leitura do art. 37: “O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.”
Então não faria lógica cobrar manutenção de registros pelos servidores (CPF) e por seu órgão ou entidade (CNPJ) ao mesmo tempo. Seria duplicidade.
Isso não impede que o Controlador tenha diversos sistemas ou CPFs em sua estrutura como agentes de tratamento.
Boa tarde
Thiago, aprofundando o assunto, no caso de um ente federado (município), então:
o controlador seria o próprio ente público?
o operador poderia ser um agente externo (pessoa jurídica contratada), um ente da administração indireta criado para tal finalidade ou um órgão da administração direta (secretaria de tecnologia da informação, por exemplo)?
o encarregado poderia ser um servidor público municipal (efetivo ou comissionado) ou teria que ser alguém externo?
Obrigado.
@svofilho, boa tarde!
Entendo que:
Claro, tudo isso depende de clareza da ANPD, mas seria um caminho mais prudente e convergente de entendimento.
At,
Thiago M. R.
Boa tarde.
Thiago, verifiquei pelos posts anteriores uma questão relacionada a correta interpretação de quem seria o Controlador e Operador em um ente público.
Entendi sua explicação quanto ao operador ser apenas um agente externo a entidade pública, desta forma não enquadrando o funcionário como operador.
Minha questão é a seguinte: O tratamento do dado pessoal envolve todo um ciclo de vida do dado, incluindo a COLETA. Nesse caso, um agente externo como uma empresa contratada para fornecer algum software para a entidade pública, ações como armazenamento e processamento, fica bem evidente que são realizadas por ela, mas e a coleta?
No caso de um cidadão/titular do dado ir até a entidade pública e repassar seus dados ao funcionário que os informa no sistema em questão, a coleta não seria realizada pelo FUNCIONÁRIO?
Obrigado.
Amigos, tenho uma dúvida sobre a nomeação do DPO numa Instituição Pública (em meu caso, uma Autarquia Estadual). Temos as opções mais fáceis (nem sempre viáveis) de nomear um servidor de carreira ou um “extra-quadro”, que preencha os requisitos técnicos. Nem sempre, contudo, isto será viável, considerando o patamar de remuneração de um DPO certificado no mercado.
Uma alternativa seria a contratação de um DPO (através de uma Consultoria - PJ, portanto) que no nosso caso trabalharia em horário integral.
A pergunta: Existe, pela ótica jurídica, algum óbice à contratação de DPO neste formato?
Antecipadamente grato,
Leonardo Palermo
De uma lida nesse post: