LGPD e Setor Público: Conceitos, Dúvidas e Desafios

Neste tópico trataremos de aspectos da Lei Geral de Proteção de Dados (LGPD), e eventuais riscos de não-conformidade em sua aplicação no setor público.

LGPD:

http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm

ENVIE SUAS DÚVIDAS!

Entenda de uma vez por todas como fica a versão final da LGPD

  • Publicado em 9 de julho de 2019

Luis Fernando Prado Chaves


https://www.linkedin.com/in/luisfernandopradochaves/

Luis Fernando Prado Chaves

CIPP/E | Partner @ Daniel Law | Head de Direito Digital, Privacidade e Proteção de Dados | IT, Privacy & Data Protection

  • Luis Fernando Prado Chaves

Desde que foi sancionada, a Lei Federal n. 13.709/2018 (agora oficialmente denominada Lei Geral de Proteção de Dados - LGPD) foi alvo de muitas especulações, quedas de braço e curiosidades. Entre idas e vindas de debates legislativos, inserções e remoções de dispositivos legais, em pouco menos de 1 ano, a versão final da LGPD já conta com mais de 20 pontos de alterações significativas em relação à versão original, o que, certamente, desprestigia a tão buscada segurança jurídica e pode gerar muitas dúvidas para aqueles que tentam ficar a par do andamento da nova legislação e seus impactos.

Para tentar amenizar o problema, destaco abaixo as principais alterações na versão atual do texto, que conta com as modificações provocadas pela Lei n. 13.853/2019 (publicada no Diário Oficial de hoje, 09/07/2019), em relação à redação originalmente publicada em 15/08/2018:

1. Encarregado (DPO) deve também ser indicado por empresas que atuem como operadora de dados pessoais? Versão final da Lei traz conflito.

Diferentemente do que previa a versão inicial da LGPD, mas seguindo a lógica do Regulamento Europeu (GDPR), a definição do conceito de encarregado (também conhecido como data protection officer - DPO) dispõe que tal função deve existir não apenas para aquelas empresas que decidem “como” e “por que” tratar dados pessoais (controladoras), mas também para aquelas que agem a seu mando (operadoras). No entanto, a versão final da LGPD traz nítido conflito entre a definição do artigo 5o, VIII (que menciona a figura do operador) e regra do artigo 41, que, ao disciplinar a função do DPO, apenas faz referência aos controladores de dados.

Esse conflito é decorrente do veto presidencial à nova redação que seria implementada pela Lei sancionada hoje. De forma a tentar saná-lo, caso interpretemos a presente questão de acordo com a vontade do legislador, parece certo que empresas na posição de operadoras de dados também deveriam se preocupar com a nomeação de um encarregado, mesmo porque, atualmente, é raro encontrar situação em que determinada empresa seja tão-somente operadora de dados. Em outras palavras, é bastante comum, portanto, que durante a oferta de produtos ou serviços que envolvam tratamento de dados, a empresa acabe exercendo papel de controladora, o que atrai a necessidade do DPO, pelo menos até que a Autoridade Nacional de Proteção de Dados (ANPD) regulamente as situações de exceção.

2. A autorização legal para tratamento de dados relativos à saúde está mais ampla e flexível.

Na versão final da LGPD, a hipótese legal que autoriza o uso de dados para “tutela da saúde” acabou ficando bem mais flexível se comparada à versão original da Lei. Agora, tanto os dados pessoais “comuns” quanto os sensíveis poderão ser tratados para a tutela da saúde durante procedimento realizado por profissionais de saúde, autoridade sanitária ou serviços de saúde , sendo esse último trecho destacado a grande novidade introduzida na LGPD. Apesar de tal alteração ter sido tratada como mero ajuste de redação durante os debates legislativos mais recentes, é fato que isso resultou em uma significativa expansão das possibilidades de uso de dados na área da saúde.

3. Estende-se a possibilidade de utilização de dados que estejam publicamente acessíveis.

Embora um dado pessoal tornado público (pelo próprio titular ou terceiros, inclusive pelo Estado) siga sendo um dado pessoal protegido pela LGPD, a nova redação do artigo 7o, §7o, deixa claro que tal informação poderá ser utilizada para novas finalidades (diferentes daquelas pelas quais o dado se fez público), desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos na LGPD. Isso significa que, embora claramente seja possível utilizar um dado de acesso público para novas finalidades, será necessário que a empresa realize um teste de proporcionalidade e balanceamento de suas intenções, para que se avalie se estão de acordo com os requisitos trazidos por esse dispositivo legal, quais sejam: (i) propósito legítimo e específico, (ii) preservação dos direitos dos titulares e (ii) fundamentos e princípios da LGPD.

4. A possibilidade de compartilhamento de dados de saúde com finalidade econômica está mais flexível em relação à redação inicial da LGPD, mas mais rígida em comparação ao que se pretendia pela Media Provisória 869/2018 (MP).

De acordo a versão atual da LGPD, fica vedado o compartilhamento de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, a menos que sejam respeitadas as seguintes condições:

(i) Se ocorrer no contexto da prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde;

(ii) Se não tiver como objetivo a prática, pelas operadoras de planos privados de assistência à saúde, de seleção de riscos na contratação, assim como na contratação e exclusão de beneficiários (atividades que, por sinal, com as recentes alterações, ficam vedadas pela LGPD, em qualquer circunstância);

(iii) Se for em benefício dos interesses dos titulares dos dados;

(iv) Se for relativo a pelo menos uma das atividades abaixo:

  • a portabilidade de dados quando solicitada pelo titular; ou
  • as transações financeiras e administrativas resultantes do uso e da prestação dos respectivos serviços.

Vale lembrar que, enquanto a LGPD “original” apresentava vedação genérica em relação ao compartilhamento de dados de saúde para finalidades econômicas (com exceção apenas para hipóteses de portabilidade de dados solicitada pelo titular ou de consentimento - sendo que essa última, em nosso entendimento, ainda pode ser apoiada na própria base legal do consentimento específico e destacado para tratamento de dados sensíveis), a MP pretendia ampliar a autorização legal para compartilhamentos dessa natureza sempre e quando fossem necessários para “adequada prestação de serviços de saúde suplementar”, expressão genérica e ampla que acabou não vingando na versão final da Lei, como visto acima.

5. Revisão das decisões automatizadas não precisa mais ser por pessoa natural.

A LGPD inicialmente previa que qualquer titular de dados teria o direito de solicitar revisões das decisões tomadas exclusivamente de forma automatizada, sendo que tal revisão deveria ser feita, necessariamente, por um agente humano. A MP já havia retirado a necessidade de participação humana no processo de revisão, mas a Lei 13.853/2019 pretendia reintroduzir tal obrigação, não fosse o veto presidencial quanto a essa parte.

Portanto, não há mais a necessidade de que as revisões sejam feitas por humanos, tendo sido apresentado o seguinte argumento para o veto:

“A propositura legislativa, ao dispor que toda e qualquer decisão baseada unicamente no tratamento automatizado seja suscetível de revisão humana, contraria o interesse público, tendo em vista que tal exigência inviabilizará os modelos atuais de planos de negócios de muitas empresas, notadamente das startups, bem como impacta na análise de risco de crédito e de novos modelos de negócios de instituições financeiras, gerando efeito negativo na oferta de crédito aos consumidores, tanto no que diz respeito à qualidade das garantias, ao volume de crédito contratado e à composição de preços, com reflexos, ainda, nos índices de inflação e na condução da política monetária.”

6. Apesar de ser um dos requisitos a serem exigidos pelo mercado para exercício do cargo, a LGPD não traz a necessidade expressa de que o DPO (encarregado) detenha conhecimento jurídico-regulatório em proteção de dados.

Sobre esse ponto, vale lembrar que a LGPD originalmente também não previa tal necessidade. No entanto, esperava-se que essa fosse uma das alterações trazidas pela legislação aprovada hoje, não fosse outro veto do Presidente da República, sob o seguinte argumento:

“A propositura legislativa, ao dispor que o encarregado seja detentor de conhecimento jurídico regulatório, contraria o interesse público, na medida em que se constitui em uma exigência com rigor excessivo que se reflete na interferência desnecessária por parte do Estado na discricionariedade para a seleção dos quadros do setor produtivo, bem como ofende direito fundamental, previsto no art. 5º, XIII da Constituição da República, por restringir o livre exercício profissional a ponto de atingir seu núcleo essencial.”

Independentemente de tal veto, fato é que um bom DPO, entre outras habilidades necessárias para o adequado desempenho da função, deverá dominar não só a LGPD, mas também sua regulamentação-mãe, que é o GDPR europeu.

7. Mantidas as sanções que já existiam na versão da LGPD publicada em agosto do ano passado.

Apesar da tentativa do Legislativo de contornar os vetos do então presidente Michel Temer, ficam mantidas na LGPD as sanções administrativas da forma como já as conhecíamos, sendo elas:

  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária, observado o limite total acima;
  • publicação da infração
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e
  • eliminação dos dados pessoais a que se refere a infração;

A meu ver, as três últimas sanções, apesar de normalmente perderem audiência para as sanções financeiras, são ainda mais graves, pois podem causar abalo reputacional (às vezes não contornável) e, ainda, suspensão das atividades da empresa. Portanto, independentemente dos reiterados vetos presidenciais, pode-se dizer que as punições existentes na Lei já são rigorosas o suficientes para justificar todo o movimento de mercado em relação à adequação à LGPD que estamos presenciando.

Ainda com relação às sanções, a nova versão da LGPD traz algumas novidades que merecem destaque:

  • O produto da arrecadação das multas aplicadas pela ANPD será destinado ao Fundo de Defesa de Direitos Difusos; e
  • Os vazamentos individuais ou os acessos não autorizados a dados pessoais poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades da LGPD.

8. Enfim criada a Autoridade Nacional de Proteção de Dados Pessoais (ANPD).

Vetada na ocasião da publicação da LGPD em agosto do ano passado, recriada pela MP 869/2018 e alterada pela Lei n. 13.709/2018, enfim temos o nosso órgão responsável por fiscalizar e orientar sobre o cumprimento da LGPD.

Segundo a versão atual da Lei, a ANPD será órgão da administração pública federal direta, integrante da Presidência da República, havendo possibilidade para que o próprio Poder Executivo reavalie tal condição em 2 anos a partir da entrada em vigor de sua estrutura regimental. Caso isso aconteça, o Poder Executivo, segundo a LGPD, poderá transformar a ANPD em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República, o que, em tese e ao menos legalmente, confere algo mais de autonomia e independência à autoridade.

Vale lembrar que o grau de independência da ANPD em relação ao Governo é um fato que fatalmente será chave quando da análise, pela União Europeia, do nosso nível de adequação com o fim de que nos tornemos “território seguro” para o recebimento de dados protegidos pelo GDPR (o que eliminaria riscos e desgastes burocráticos por parte de empresas sujeitas ao Regulamento Europeu e, consequentemente, poderia trazer maior dinamismo à nossa economia digital).

No mais, a ANPD será composta por:

  • Conselho diretor (5 membros que tomarão as decisões);
  • Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (com formação multissetorial, composto por 23 membros de diversos segmentos da sociedade sem poderes de voto nas tomadas das decisões);
  • Corregedoria;
  • Ouvidoria;
  • Órgão de assessoramento jurídico próprio; e
  • Unidades administrativas e unidades especializadas necessárias à aplicação do disposto na LGPD.

Quanto à atuação da ANPD, abaixo estão alguns pontos interessantes:

  • A ANPD poderá celebrar compromissos com as empresas;
  • Terá a capacidade de editar normas (e afins) específicas (e mais flexíveis) para startups;
  • Será o grau máximo, na esfera administrativa (não judicial), para interpretar a LGPD, o que não exclui o poder de fiscalização que outros órgãos terão, de forma limitada às suas competências;
  • Poderá realizar auditorias;
  • Deverá receber e processar as reclamações das pessoas físicas titulares de dados (em meios facilitados, especialmente eletrônicos), desde que tais titulares tenham procurado antes a própria empresa denunciada, e que esta não tenha resolvido a questão; e
  • Comunicará às autoridades competentes as infrações penais das quais tiver conhecimento.

Por fim, independentemente do número de profissionais que formarão o staff da ANPD (o que ainda será definido), fato é que teremos no Brasil cerca de 210 milhões potenciais fiscalizadores da LGPD, o que certamente gerará um grande contencioso administrativo no tema, além, é claro, do aumento exponencial de ações judicias que discutirão a matéria (atuações de porta de data center !).

Para fechar…

Esses são, portanto, os pontos essenciais para entender como ficou a versão atual da LGPD, que, definitivamente, entra em vigor em 16 de agosto de 2020 (extensão de 6 meses em relação ao prazo inicialmente previsto). Mas os estudos e o acompanhamento do tema da proteção de dados no Brasil d@ car@ leitor@ não podem parar por aqui.

Vêm aí: debate sobre a composição da ANPD (em relação ao corpo diretivo, a expectativa é que tenhamos definição já até o final do mês que vem), primeiras guidelines da ANPD sobre interpretações da LGPD e, ainda, edição da regulamentação da LGPD, que deverá incluir questões relacionadas ao tratamento de dados pelo Poder Público, à operacionalização e aos prazos para atendimento de direitos dos titulares, às medidas de segurança da informação, às especificações sobre o DPO, entre outros tópicos relevantes.

Como costumo dizer, a semente do direito à proteção de dados no Brasil foi definitivamente plantada pelo legislador. Agora, todos nós, profissionais da privacidade, seremos responsáveis por acompanhar e participar do processo de cultivo dessa área no país, desbravando todas as complexas questões que surgem no dia a dia. É um baita desafio, que, definitivamente, não dá lugar a aventureiros, mas traz infinitas oportunidades a todos aqueles que, de maneira responsável, se aprofundam na matéria.

Fonte: https://www.linkedin.com/pulse/entenda-de-uma-vez-por-todas-como-fica-versão-final-da-prado-chaves/

O QUE MUDA COM A LGPD

O que é a Lei Geral de Proteção de Dados Pessoais? Dê um “giro” pela lei e conheça desde já as principais transformações que ela traz para o país

De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia: pode ter certeza, a Lei Geral de Proteção de Dados Pessoais (LGPD) afeta diferentes setores e serviços, e a todos nós brasileiras e brasileiros, seja no papel de indivíduo, empresa ou governo. Aqui, a gente te ajuda a entender os seus direitos como cidadão, ou suas obrigações, caso você seja responsável por bases de dados de pessoas.

E damos, é claro, as boas-vindas a você que quer entender mais a LGPD, contribuir com ela, e buscar suporte. Vamos nessa?

Para começar

Já que você topou, então vamos dar um “giro” pela LGPD e conhecer os principais pontos da lei

LGPD Finalidades e necessidades Uma regra para todos Mais para o cidadão

Para continuar
Agora que você deu um giro, leia a seguir mais detalhes sobre os principais pontos apresentados na imagem acima

A LGPD é a lei nº 13.709, aprovada em agosto de 2018 e com vigência a partir de agosto de 2020. Para entender a importância do assunto, é necessário saber que a nova lei quer criar um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária e dentro do país e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil. E, para que não haja confusão, a lei traz logo de cara o que são dados pessoais, define que há alguns desses dados sujeitos a cuidados ainda mais específicos, como os sensíveis e os sobre crianças e adolescentes, e que dados tratados tanto nos meios físicos como nos digitais estão sujeitos à regulação.

A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.

Consentimento
Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

Automatização com autorização
Por falar em direitos, é essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.

ANPD e agentes de tratamento
E tem mais. Para a lei a “pegar”, o país contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações poderão colaborar com a autoridade.

Mas não basta a ANPD - que está em formação - e é por isso que a Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).

Gestão em foco
Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha. E enviará, é claro, alertas e orientações antes de aplicar sanções às organizações.


Fonte:
https://www.serpro.gov.br/lgpd/menu/a-lgpd/o-que-muda-com-a-lgpd
Acesso em 4 mar. 2020

MAPA DA PROTEÇÃO DE DADOS

Em que “estágio” estamos? Confira o mapa da proteção de dados pessoais no mundo

A Lei Geral de Proteção de Dados Pessoais (LGPD) já foi sancionada e entrará em vigor em 2020, e a Autoridade Nacional de Proteção de Dados foi aprovada em maio de 2019 e está em formação. Isso significa que nosso país está no caminho certo! Mas o mapa a seguir mostra a nós, brasileiros e brasileiras, que ainda há outros passos a dar. E precisamos avançar não porque foi criada “mais uma lei chata ou burocrática”, mas sim porque a proteção de dados privativos é algo que, mundialmente, as pessoas, governos e empresas têm se preocupado - um exemplo é o da sociedade da União Europeia, que possui o Regulamento Geral sobre a Proteção de Dados (RGPD), sigla do termo em português, ou GDPR, sigla do termo em inglês), em vigor desde maio de 2018. Ou seja, no Brasil, a LGPD é, de fato, útil e sua aplicação é urgente se queremos melhorar o dia a dia de cada um de nós. Portanto, fique por dentro do assunto, ajude a aplicar a Lei Geral de Proteção de Dados Pessoais, cobre isso dos setores público e privado. Colabore!

Mapa sobre proteção de dados pessoais no mundo

COOPERAÇÃO

A LGPD permite a transferência de dados além-fronteira, desde que seja: com o consentimento específico do titular dos dados; a pedido do titular para que esse possa executar pré-contrato ou contrato; para proteger a vida e a integridade física do titular ou de terceiro; para ajudar na execução de política pública; para país ou organismo internacional que projeta dados pessoais de forma compatível com o Brasil; para cooperar juridicamente com órgãos públicos de inteligência, investigação, ou por conta de compromisso assumido via acordo internacional; para cumprir obrigação legal; com a autorização da ANPD; comprovado que o controlador segue a LGPD na forma de normas globais, selos, certificados e códigos de conduta.


Fonte: https://www.serpro.gov.br/lgpd/menu/a-lgpd/mapa-da-protecao-de-dados-pessoais
Acesso em 4 mar. 2020

Dúvidas sobre a LGPD?


GLOSSÁRIO LGPD

Fique por dentro das palavras e termos-chave que dão suporte à Lei Geral de Proteção de Dados Pessoais

Lupa
Publicada em agosto de 2018, a LGPD vem aprimorar a proteção de dados pessoais aos cidadãos do Brasil. Entender melhor, e desde já, a nova legislação, que entra em vigor em 2020, é importante para ajudar o país na missão coletiva de assegurar a privacidade: a qual é um direito fundamental do indivíduo e, portanto, deve ser salvaguardada com o máximo de cuidado, eficiência e qualidade. Sendo assim, que tal conhecer palavras e termos-chave relacionadas à Lei Geral de Proteção de Dados Pessoais e o significado de cada um deles? Confira o glossário da LGPD abaixo.

Ilustração com um livro com as letras A e Z, para relacionar com o glossário da Lei Geral de Proteção de Dados Pessoais\ 60x61GLOSSÁRIO LGPD

Check1\ 17x17 A gentes de tratamento: o controlador e o operador
Check cor 3\ 17x17 A nonimização : utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo
Check cor 2\ 17x17 Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional
Check1\ 17x17 Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico
Check cor 3\ 17x17 Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados
Check cor 2\ 17x17 Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada
Check1\ 17x17 Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais
Check cor 3\ 17x17 Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento
Check cor 2\ 17x17 Dado pessoal: informação relacionada à pessoa natural identificada ou identificável
Check cor 3\ 17x17 Dado pessoal de criança e de adolescente: o Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança
Check1\ 17x17 Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural
Check cor 3\ 17x17 Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado
Check cor 2\ 17x17 Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
Check1\ 17x17 Garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da administração pública federal em seu âmbito de atuação
Check cor 3\ 17x17 Garantia da segurança de dados: ver garantia da segurança da informação
Check cor 2\ 17x17 Interoperabilidade: capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING)
Check1\ 17x17 Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador
Check cor 3\ 17x17 Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico
Check cor 2\ 17x17 Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco
Check1\ 17x17 Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
Check cor 3\ 17x17 Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro
Check cor 2\ 17x17 Tratamento: toda operação realizada com dados pessoais; como as que se referem a:

  • acesso - possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados
  • armazenamento - ação ou resultado de manter ou conservar em repositório um dado
  • arquivamento - ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência
  • avaliação - ato ou efeito de calcular valor sobre um ou mais dados
  • classificação - maneira de ordenar os dados conforme algum critério estabelecido
  • coleta - recolhimento de dados com finalidade específica
  • comunicação - transmitir informações pertinentes a políticas de ação sobre os dados
  • controle - ação ou poder de regular, determinar ou monitorar as ações sobre o dado
  • difusão - ato ou efeito de divulgação, propagação, multiplicação dos dados
  • distribuição - ato ou efeito de dispor de dados de acordo com algum critério estabelecido
  • eliminação - ato ou efeito de excluir ou destruir dado do repositório
  • extração - ato de copiar ou retirar dados do repositório em que se encontrava
  • modificação - ato ou efeito de alteração do dado
  • processamento - ato ou efeito de processar dados
  • produção - criação de bens e de serviços a partir do tratamento de dados
  • recepção - ato de receber os dados ao final da transmissão
  • reprodução - cópia de dado preexistente obtido por meio de qualquer processo
  • transferência - mudança de dados de uma área de armazenamento para outra, ou para terceiro
  • transmissão - movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.
  • utilização - ato ou efeito do aproveitamento dos dados
    Check1\ 17x17 Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados

Fonte: https://www.serpro.gov.br/lgpd/menu/a-lgpd/glossario-lgpd
Acesso em 4 mar. 2020

ADOS PESSOAIS

O que são dados pessoais, segundo a LGPD

A informação continua sendo um bem muito precioso. Mas você sabia que a forma de lidar com a informação, principalmente a que diz respeito ao indivíduo, tem exigido bastante transformações, mundo afora e aqui no Brasil? Pois é, as pessoas estão, cada vez mais, buscando maior controle sobre seus dados. Preservar conteúdos privados não é mais uma opção, tornou-se um compromisso inadiável: tanto do cidadão consigo mesmo; como do governo e de empresas que se relacionam com esses dados e que precisam escutar o clamor das pessoas, se não quiserem ficar para trás.

Provavelmente você concorda com isso, que é indispensável cuidar dos seus dados e dos dados das demais pessoas, certo? Então é hora de conhecer ainda mais sobre a LGPD: a Lei Geral de Proteção de Dados Pessoais é a mudança mais importante no que se refere à privacidade de dados, no Brasil. Aprovada pela Presidência da República em agosto de 2018, a lei já circula por aí e, como pode perceber, o conteúdo dela não será “pra inglês ver”, mas para auxiliar o Brasil a evoluir, de fato, no tema, gerando assim impactos positivos na vida de milhões de brasileiros.

Tipos de dados pessoais, segundo a Lei Geral de Proteção de Dados Pessoais

Mas, enfim, o que é, de fato, um dado pessoal?

É simples. Se uma informação permite identificar, direta ou indiretamente, um indivíduo que esteja vivo, então ela é considerada um dado pessoal: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.


Fonte: https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-pessoais-lgpd



DADOS SENSÍVEIS

O que são dados sensíveis, de acordo com a LGPD

Há tipos de dado pessoal que exigem atenção extra ao serem tratados?
Sim. Claro, todo dado pessoal só pode ser tratado se seguir um ou mais critérios definidos pela LGPD, mas, dentro do conjunto de dados pessoais, há ainda aqueles que exigem um pouco mais de atenção: são os sobre crianças e adolescentes; e os “sensíveis”, que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa.

Quando o foco for menores de idade, é imprescindível obter o consentimento inequívoco de um dos pais ou responsáveis e se ater a pedir apenas o conteúdo estritamente necessário para a atividade econômica ou governamental em questão, e não repassar nada a terceiros. Sem o consentimento, só pode coletar dados se for para urgências relacionadas a entrar em contato com pais ou responsáveis e/ou para proteção da criança e do adolescente.

Sobre os dados sensíveis, autônomos, empresas e governo também podem tratá-los se tiverem o consentimento explícito da pessoa e para um fim definido. E, sem consentimento do titular, a Lei Geral de Proteção de Dados Pessoais define que isso é possível quando for indispensável em situações ligadas: a uma obrigação legal; a políticas públicas; a estudos via órgão de pesquisa; a um direito, em contrato ou processo; à preservação da vida e da integridade física de uma pessoa; à tutela de procedimentos feitos por profissionais das áreas da saúde ou sanitária; à prevenção de fraudes contra o titular.


Fonte: https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-sensiveis-lgpd



DADOS PÚBLICOS

O que são dados públicos, segundo a LGPD

Dados públicos, segundo a Lei Geral de Proteção de Dados Pessoais

A lei cita “dados pessoais cujo acesso é público”. Como essa categoria de dados deve ser tratada?
Deve ser tratada considerando a finalidade, a boa-fé e o interesse público que justificaram a sua disponibilização. A LGPD define, por exemplo, que uma organização pode, sem precisar pedir novo consentimento, tratar dados tornados anterior e manifestamente públicos pelo titular. Porém, se uma organização quiser compartilhar esses dados com outras, aí ela deverá obter outro consentimento para esse fim - resguardadas as hipóteses de dispensa previstas na lei. A LGPD também se relaciona com a Lei de Acesso à Informação (LAI) e com princípios constitucionais, como o de que “todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado”.

Especialistas acreditam que a Lei Geral de Proteção de Dados Pessoais traz parâmetros, mas que ainda há um debate sobre que tipos de dados pessoais devem, de fato, ser considerados públicos e, assim, ficar disponíveis para a sociedade em geral. A previsão é que a Autoridade Nacional de Proteção de Dados (ANPD), em conjunto com a sociedade, regule, esclareça dúvidas e detalhe a questão.


Fonte: https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-publicos-lgpd



DADOS ANONIMIZADOS

O que são dados anonimizados, segundo a LGPD

Dados anonimizados, segundo a Lei Geral de Proteção de Dados Pessoais

E o que anonimização tem a ver com tratamento de dados?
A Lei Geral de Proteção de Dados Pessoais cita ainda o dado anonimizado, que é aquele que, originariamente, era relativo a uma pessoa, mas que passou por etapas que garantiram a desvinculação dele a essa pessoa. Se um dado for anonimizado, então a LGPD não se aplicará a ele. Vale frisar que um dado só é considerado efetivamente anonimizado se não permitir que, via meios técnicos e outros, se reconstrua o caminho para “descobrir” quem era a pessoa titular do dado - se de alguma forma a identificação ocorrer, então ele não é, de fato, um dado anonimizado e sim, apenas, um dado pseudonimizado e estará, então, sujeito à LGPD.

Segundo especialistas, dados anonimizados são essenciais para o crescimento da inteligência artificial, da internet das coisas, do aprendizado das máquinas, das cidades Inteligentes, da análise de comportamentos, entre outros. Eles indicam ainda que, sempre que possível, uma organização, pública ou privada, realize a anonimização de dados pessoais, pois isso aperfeiçoa a segurança da informação na organização e gera, assim, mais confiança em seus serviços e para seus públicos.


Fonte: https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-anonimizados-lgpd



Acesso em 4 mar. 2020

PRINCÍPIOS DA LGPD

Conheça os princípios e as bases legais que dão suporte à Lei Geral de Proteção de Dados Pessoais

A boa-fé no tratamento de dados pessoais é premissa básica. Além disso, é preciso refletir sobre questões como “Qual o objetivo deste tratamento?”, “É preciso mesmo utilizar essa quantidade de dados?”, “O cidadão com quem me relaciono deu o consentimento?”, “O uso dos dados pode gerar alguma discriminação?”. Essas são algumas das perguntas que devem ser feitas. Quer saber o que mais deve ser levado em conta na hora de tratar os dados? Confira então os princípios e as bases legais da Lei Geral de Proteção de Dados Pessoais.

Decálogo para um efetivo tratamento

Os seguintes princípios devem ser observados na hora de tratar dados pessoais:

Consentimento

A base da LGPD é o consentimento: ou seja, é necessário solicitar a autorização do titular dos dados, antes do tratamento ser realizado. E esse consentimento deve ser recebido de forma explícita e inequívoca. O não consentimento é a exceção: só é possível processar dados, sem autorização do cidadão, quando isso for indispensável para cumprir situações legais, previstas na LGPD e/ou em legislações anteriores, como a Lei de Acesso à Informação (LAI). Por exemplo, uma organização - pública ou privada - pode, sem precisar pedir novo consentimento, tratar dados tornados anterior e manifestamente públicos pelo cidadão.


Fonte: https://www.serpro.gov.br/lgpd/menu/tratamento-dos-dados/principios-da-lgpd



OBJETIVO E ABRANGÊNCIA DA LGPD

Detalhes sobre a lei que afeta seu dia a dia: mais sobre objetivo, abrangência e fundamentos da LGPD

Quando um empresário ou um gestor público administra folhas de pagamentos, isso é tratamento de dados pessoais. A ação de um comerciante que envia promoções por e-mail também é. O mesmo vale para o ato de publicar uma foto ou de deletar documentos em uma rede social. E o mesmo vale para quando se faz gravações em vídeo do movimento nos corredores de um shopping. Ou quando uma loja virtual armazena os endereços IP de seus clientes.

A gente poderia citar vários e vários exemplos. Porém, a partir dessas poucas situações do dia a dia, já dá para perceber que o tratamento de dados acontece a todo momento e local, certo? E ocorre na forma de coleta, registro, produção, recepção, organização, classificação, utilização, disponibilização, adaptação, alteração, reprodução, transmissão, distribuição, processamento, armazenamento, conservação, recuperação, comparação, interconexão, transferência, difusão, extração, eliminação de dados. Ufa! É muita coisa, né? Mas o mais relevante a saber é que todas as etapas de tratamento devem ser concebidas e concretizadas com um único fim em mente: para servir as pessoas.

Círculo Objetivos

A Lei Geral de Proteção de Dados Pessoais (LGPD) vem para proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. A lei dispõe sobre o tratamento de dados feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais.

Círculo Aplicação

Vale para: dados relacionados à pessoa (brasileira ou não) que esteja no Brasil, no momento da coleta; dados tratados dentro do território nacional, independentemente do meio aplicado, do país-sede do operador ou do país onde se localizam os dados; dados usados para fornecimento de bens ou serviços.

Círculo Exceção

Não se aplica para fins exclusivamente: jornalísticos e artísticos; de segurança pública; de defesa nacional; de segurança do Estado; de investigação e repressão de infrações penais; particulares (ou seja, a lei só se aplica para pessoa física ou jurídica que gerencie bases com fins ditos econômicos). E não se aplica a dados de fora do Brasil e que não sejam objeto de transferência internacional.

Fundamentos da LGPD

O tema proteção de dados pessoais, na LGPD, tem como fundamentos:

  • o respeito à privacidade, ao assegurar os direitos fundamentais de inviolabilidade da intimidade, da honra, da imagem e da vida privada

  • a autodeterminação informativa, ao expressar o direito do cidadão ao controle, e assim, à proteção de seus dados pessoais e íntimos

  • a liberdade de expressão, de informação, de comunicação e de opinião, que são direitos previstos na Constituição brasileira

  • o desenvolvimento econômico e tecnológico e a inovação, a partir da criação de um cenário de segurança jurídica em todo o país

  • a livre iniciativa, a livre concorrência e a defesa do consumidor, por meio de regras claras e válidas para todo o setor privado

  • os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas


Fonte: https://www.serpro.gov.br/lgpd/menu/tratamento-dos-dados/objetivo-e-abrangencia-da-lgpd

QUAL O PAPEL DO AGENTE PÚBLICO EM RELAÇÃO À LGPD?

Entidades públicas de todos os poderes e esferas devem se comprometer com a Lei Geral de Proteção de Dados Pessoais

O Brasil tem dimensão continental. É um país onde “cabe” a cidade de Altamira/PA, com seus cerca de 159 mil Km², “cabe” Santa Cruz de Minas/MG, com seus poucos 3,5 mil km², e “cabe” mais 5.568 municípios e o Distrito Federal. Isso significa muita riqueza e diversidade cultural, social, econômica, ambiental. Significa, também, muitas diferenças, desafios. É aí que entram as novas legislações, como a Lei Geral de Proteção de Dados Pessoais (LGPD), que busca assegurar que um tema como este, de interesse público, seja tratado de forma igualitária nas cidades do país, não importando seu tamanho e população, já que em todas elas vivem pessoas que possuem os mesmos direitos e liberdades fundamentais.

Por falar em interesse público, a razão de existir de qualquer órgão de governo é servir, única e exclusivamente, a esse interesse. Quem trabalha em um ente governamental tem, portanto, que se alinhar às novas regulamentações que são criadas para atender às necessidades da sociedade. E se você está aqui, nesta página web, é porque tem vontade de entender mais sobre isso, certo?

Preparar a casa

Não importa se é de uma área meio ou fim, se da esfera federal, estadual ou municipal, se de uma capital ou do interior, se de uma pequena prefeitura ou de um grande ministério: cada agente público é peça fundamental neste processo de transformar o Brasil num país que zela pela proteção dos dados pessoais de seus cidadãos. É peça essencial para que, no futuro – quiçá! - nosso país, que hoje ainda ocupa um “cantinho acanhado” no que se refere à privacidade de dados pessoais, se torne uma grande referência no tema, ocupando “o centro da sala” e auxiliando, assim, o mundo a evoluir no que diz respeito a direitos fundamentais.

Claro, para um dia ser referência internacional, a médio e a longo prazo, primeiro é preciso que cada instituição da administração pública brasileira “prepare a casa”, tanto para quem nela mora como para quem a visita, digamos assim. Ou seja, a aplicação da Lei Geral de Proteção de Dados Pessoais envolve tanto dados corporativos, dos próprios empregados e demais contratados, como, é claro, do público externo com o qual o órgão se relaciona. Vale reforçar que, com a nova lei em vigor, em 2020, mais do que nunca os indivíduos poderão contactar a administração pública para exercerem os direitos que são conferidos a eles pela LGPD (direitos de acesso a dados, retificação e eliminação deles, entre outros).

Brasil avança em proteção de dados pessoais

Confira a linha do tempo da LGPD no país. Há sim conquistas a comemorar. Porém, ainda há muitos desafios a resolver.


Fonte: https://www.serpro.gov.br/lgpd/governo/qual-o-papel-do-agente-publico-lgpd



COMO SE ADEQUAR À LGPD?

Ao tratar os dados, cada órgão deve sempre considerar o interesse do cidadão e as atribuições do serviço público

Prepare a casa para a LGPD, que entra em vigor em agosto de 2020. Confira as recomendações abaixo e tenha em mente, sempre, que toda instituição governamental deve, ao tratar dados pessoais, levar em conta o interesse do cidadão e as atribuições legais do serviço público.

É preciso:

Check1 ANALISAR as bases jurídicas que devem ser consideradas para se tratar dados pessoais

Check cor 3 IDENTIFICAR e ORGANIZAR os dados pessoais, com atenção àqueles que exigem cuidados ainda mais específicos no tratamento (como os pessoais sensíveis e os sobre crianças e adolescentes)

Check cor 2 INFORMAR ao titular, antes de efetuar o tratamento, as finalidades da ação (compatíveis com a função pública do órgão), os dados recolhidos, os destinatários dos dados e os direitos dele em matéria de proteção de dados

Check1 DIVULGAR de forma clara e atualizada, em site ou outro veículo de fácil acesso, as hipóteses em que, no exercício de suas competências, trata dados pessoais, e a previsão legal, os procedimentos e as práticas utilizadas

Check cor 3 ELABORAR medidas técnicas, normas e políticas que contemplem os requisitos da Lei Geral de Proteção de Dados Pessoais para alcançar a conformidade e poder demonstrar isso, caso seja pedido pelo cidadão e pela ANPD

Check cor 2 IMPLANTAR um plano de formação e conscientização dos empregados, terceirizados e demais colaboradores sobre a importância da privacidade de dados pessoais

Check1 DESIGNAR um encarregado - caso seja necessário (padrões serão definidos pela ANPD, segundo volume de dados tratados, porte da empresa) - que interagirá com o público e com a ANPD

Check cor 3 ADAPTAR e revisar procedimentos e formulários, habilitando meios digitais, para atender ao cidadão, em demandas de solicitação e revogação do consentimento e outras mais sobre como seus dados estão sendo tratados

Check cor 2 RESPONDER às demandas do cidadão com agilidade. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular: em formato simplificado, imediatamente; ou por declaração clara e completa, fornecida no prazo de até 15 dias, e que indique origem dos dados, critérios utilizados, finalidade do tratamento (observados os segredos comercial e industrial). E, caso faça um determinado pedido e isso seja negado, o cidadão tem direito de saber os motivos da rejeição e, ainda, de fazer uma reclamação à ANPD e/ou uma ação judicial

Check1 SABER que o cidadão tem direito a se opor ao tratamento mesmo que este tenha como fim o interesse público. Porém, neste caso, o titular deve apresentar à instituição os motivos, e essa poderá continuar o tratamento dos dados e recusar, assim, o pedido: se demonstrar razões legítimas e imperiosas que prevaleçam sobre os interesses e os direitos do indivíduo; ou caso os dados sejam necessários para declaração, exercício ou defesa de um direito num processo judicial

Check cor 3 NÃO ESQUECER que o cidadão titular dos dados também tem direitos, perante um órgão público, regidos por outras legislações, em especial a Lei do Habeas Data, a Lei Geral do Processo Administrativo, e a Lei de Acesso à Informação

Check cor 2 EFETUAR análises de riscos e adotar medidas para fazer frente a falhas que possam ferir os direitos e liberdades do cidadão

Check1 ESTABELECER protocolos para gerir e, se for o caso, notificar brechas de segurança e vazamentos de dados. Dados pessoais vazados acidental ou ilicitamente a destinatários não autorizados, ou que fiquem temporariamente indisponíveis ou sejam alterados: qualquer violação deve ser notificada ao titular dos dados e à ANPD, sem demora injustificada

Check cor 3 NÃO TRANSFERIR a entidades privadas, sem consentimento do titular, dados pessoais constantes de bases a que tenha acesso. Exceto: em casos de execução descentralizada de atividade pública que exija a transferência, observado o disposto na LAI; se for indicado um encarregado para o tratamento de dados pessoais; com respaldo em contratos, convênios ou afins comunicados à ANPD; quando for para prevenir fraudes e irregularidades; para resguardar a segurança e a integridade do titular; quando houver outra previsão legal para tal; ou nos casos em que os dados já forem acessíveis publicamente

Check cor 2 LEMBRAR que o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica de direito privado depende de consentimento do titular, exceto nas hipóteses de dispensa de consentimento previstas na LGPD e nos casos citados no item acima

Check1 PROVIDENCIAR os dados em formato interoperável para compartilhamento com outros órgãos públicos, quando isso for necessário para políticas e serviços públicos, descentralização da atividade pública, e para a disseminação e o acesso das informações pela sociedade

Check cor 3 ATENTAR que a LGPD permite a transferência de dados além-fronteira, desde que seja: com o consentimento específico do titular; a pedido do titular para que esse possa executar pré-contrato ou contrato; para proteção da vida e da integridade física do titular ou de terceiro; para ajudar na execução de política pública; para país ou organismo internacional que projeta dados pessoais de forma compatível com o Brasil; para cooperar juridicamente com órgãos públicos de inteligência, investigação, ou por conta de compromisso assumido via acordo internacional; para cumprir obrigação legal; com a autorização da ANPD; comprovado que o controlador segue a LGPD na forma de normas globais, selos, certificados e códigos de conduta


Fonte: https://www.serpro.gov.br/lgpd/governo/como-se-adequar-lgpd



QUEM VAI REGULAR A LGPD?

A Autoridade Nacional de Proteção de Dados. É claro que, antes de fiscalizar e penalizar um ente, a ANPD orientará sobre como aplicar a lei

Mapa BrasilA fiscalização e a regulação da LGPD ficarão a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Essas são tarefas essenciais para que a autoridade nacional atue como um órgão a serviço do cidadão. A autoridade será ainda um elo entre sociedade e governo, permitindo que as pessoas enviem dúvidas, sugestões, denúncias ligadas à LGPD para apuração.

Terá também um importante papel de orientadora e de apoiadora dos órgãos de governo e empresas em relação às situações em que elas podem ou não tratar dados pessoais do cidadão. A proposta da ANDP é orientar, orientar e orientar, preventivamente. Após isso, fiscalizar, advertir e, somente após tudo isso, penalizar, se a LGPD continuar sendo descumprida.

Vale frisar que o “sucesso” da LGPD e da ANDP no país depende da adoção da lei por cada órgão de governo, cada empresa. E, para diminuir disparidades, é essencial que todos atuem juntos. Só assim para a lei “pegar” e atender, então, ao clamor social por mais proteção aos dados pessoais.

Autonomia

A ANPD, que está em processo de formação, será vinculada à Presidência da República, e com autonomia técnica garantida pela lei. A autoridade contará com o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. O colegiado será composto por 23 titulares, não remunerados, com mandato de dois anos, e de diferentes setores: seis do Executivo Federal; um do Senado Federal; um da Câmara dos Deputados; um do Conselho Nacional de Justiça; um do Conselho Nacional do Ministério Público; um do Comitê Gestor da Internet no Brasil; quatro da sociedade civil com atuação comprovada em proteção de dados pessoais; quatro de instituição científica, tecnológica e de inovação; e quatro de entidade do setor empresarial ligado à área de tratamento de dados pessoais.

Vale lembrar que a criação da autoridade nacional estava prevista na Lei Geral de Proteção de Dados Pessoais, sancionada em agosto de 2018 pelo presidente Michel Temer. No entanto, o dispositivo da lei que criava a ANPD foi vetado por Temer que, posteriormente, em dezembro de 2018, recriou a autoridade, por meio de uma medida provisória, aprovada em maio de 2019 pela Câmara e pelo Senado, e sancionada em julho de 2019 pelo presidente da República.


Fonte: https://www.serpro.gov.br/lgpd/governo/quem-vai-regular-e-fiscalizar-lgpd


Boa tarde, tenho uma questão que vem gerando entendimentos diversos entre colegas que seria sobre a definição dos papeis de operador e controlador.

Uma parte entende que o órgão público (CNPJ) seria ao mesmo tempo o controlador e o operador.

Uma parte entende que o órgão (CNPJ) seria o controlador e os servidores (CPFs) de forma geral os operadores.

Outra parte entende que só há operador se houver uma pessoa (PF ou PJ) externa ao órgão tratando os dados da CVM sob seu controle.

Qual a sua visão?

Boa noite, @BBronstein

Pela LGPD, temos que:

  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; e
  • Agentes de tratamento: o controlador e o operador.

Então em tese o Controlador (PF ou PJ) instrui, e os Operadores (PF ou PJ diferentes) seguem as instruções.

No caso do setor público, entendo que o Operador é necessariamente externo ao órgão ou entidade.

Por exemplo, o Serpro é operador dos dados controlados por diversos ministérios, órgãos e entidades.

Pela leitura do art. 37: “O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.”

Então não faria lógica cobrar manutenção de registros pelos servidores (CPF) e por seu órgão ou entidade (CNPJ) ao mesmo tempo. Seria duplicidade.

Isso não impede que o Controlador tenha diversos sistemas ou CPFs em sua estrutura como agentes de tratamento.

1 Like

Boa tarde

Thiago, aprofundando o assunto, no caso de um ente federado (município), então:

  1. o controlador seria o próprio ente público?

  2. o operador poderia ser um agente externo (pessoa jurídica contratada), um ente da administração indireta criado para tal finalidade ou um órgão da administração direta (secretaria de tecnologia da informação, por exemplo)?

  3. o encarregado poderia ser um servidor público municipal (efetivo ou comissionado) ou teria que ser alguém externo?

Obrigado.

@svofilho, boa tarde!

Entendo que:

  1. Sim, o controlador é o CNPJ público;
  2. Sim, há múltiplos operadores, que podem ser tanto outros entes públicos, como privados com acesso a dados pessoais controlados pelo ente público; e
  3. No setor privado, o encarregado pode ser contratado externamente. No setor público, por prudência indica-se a indicação de encarregado “de casa”, e que pode ser apoiado por empresas externas, comitês, departamentos.

Claro, tudo isso depende de clareza da ANPD, mas seria um caminho mais prudente e convergente de entendimento.

At,

Thiago M. R.

1 Like