Perguntas Frequentes

1 –  O que é a Lei Geral de Proteção de Dados (LGPD)?

A Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados (LGPD), regulamenta o uso de dados pessoais no Brasil e estabelece regras sobre o tratamento desses dados, em meios físicos e digitais, por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Importante destacar que a LGPD versa sobre o tratamento de dados pessoais da pessoa física, não atingindo diretamente os dados de pessoas jurídicas

2- Quem está sujeito à LGPD?

A LGPD aplica-se a todas as atividades que envolvem tratamento em meio físico ou digital de dados pessoais, sendo aplicada a pessoas físicas e jurídicas de direito público ou privado, para operações realizadas em território nacional.

A lei não se aplica quando o tratamento é feito por pessoa física para fins particulares e não econômicos (ex.: agendas telefônicas, e-mails, etc.), para fins exclusivamente jornalísticos, artísticos ou acadêmicos, e quando visem à segurança pública, defesa nacional e segurança do Estado ou atividades de prevenção e repressão criminal.

3- Quando a LGPD entrou em vigor?

A LGPD entrou em vigor em 18 de setembro de 2020, com exceção das sanções, cuja vigência ficou prorrogada para 1º de agosto de 2021.

4- Como fica a LAI com a entrada da LGPD?

A LAI continua em vigência, a LGPD não revogou nenhuma legislação. Quanto a relação entre a LGPD e a LAI (Lei nº 12.527/2011), em resumo, podem ser consideradas como complementares, visto que a LAI garante transparência ao que deve ser público, e a LGPD, proteção para o que é da esfera privada dos cidadãos.

5- Quais conceitos da lei são importantes saber?

 Titular: pessoa natural a quem se referem os dados;

 Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Agentes de tratamento: o controlador e o operador;

Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

Dado pessoal sensível: dado pessoal que traz origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado à uma pessoa natural. São dados que podem trazer algum tipo de discriminação quando do seu tratamento;

Tratamento: é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

6- Quais são os princípios trazidos pela LGPD?

 Finalidade: para o tratamento dos dados do titular, é necessário que o titular saiba exatamente para quais finalidades seus dados serão tratados. Caso o controlador ou os agentes que usam os dados do titular alterarem o escopo de utilização, é necessário que o titular seja comunicado. O princípio da finalidade pressupõe a realização do tratamento de dados com propósitos legítimos, específicos, explícitos e informados ao titular;

Adequação: o uso dos dados tem que ser compatível com a finalidade informada de acordo com o contexto do tratamento;

Necessidade: só é permitida a coleta dos dados que sejam necessários para aquele tratamento;

Livre acesso: garante para os titulares a consulta facilitada e gratuita sobre a forma e duração do tratamento de dados, bem como a integralidade dos seus dados pessoais que estão sendo tratados;

Qualidade dos dados: garante ao titular a exatidão, clareza, relevância e a atualização dos dados que estão sendo tratados de acordo com a necessidade de cumprir aquela finalidade de tratamento que foi informada;

Segurança: é necessário assegurar ao titular dos dados que, tanto na forma física como lógica, será mantida a segurança e proteção dos seus dados;

Transparência: garante ao titular que as informações serão claras, precisas, facilmente acessíveis, e, sobre a realização do tratamento, quais são os agentes, observado o segredo industrial e comercial;

Prevenção: é necessário possuir e comprovar que existem meios que mitigam riscos para o titular dos dados, com atuação preventiva;

Não-discriminação: não é permitido o tratamento de dados para fins de discriminação ilícita ou abusiva;

Responsabilização e prestação de contas: os agentes de tratamento têm que demonstrar que adotaram medidas eficazes e capazes de comprovar que foram observadas e cumpridas as normas de proteção de dados pessoais

7- O que é Tratamento de Dados Pessoais?

O tratamento de dados é definido de forma bem abrangente pela LGPD, compreendendo todas as operações realizadas desde a coleta até a eliminação. Sendo assim, os atos de receber, acessar, arquivar ou armazenar dados pessoais estão contidos no conceito de tratamento.

8- O que é o consentimento para tratamento de dados pessoais?

Consentimento é o ato do titular dos dados que demonstre a sua manifestação de vontade em aceitar que a entidade/órgão realize o tratamento do(s) dado(s) pessoal(is) fornecidos para uma determinada finalidade.

9- O que são considerados Dados Pessoais?

Dados Pessoais são informações que permitem identificar, direta ou indiretamente, um indivíduo, como: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.

10- Em quais hipóteses não será exigido o consentimento do titular para o tratamento de dados?

Será permitido o tratamento de dados pessoais, sem o consentimento do titular:

• Para o cumprimento de obrigação legal ou regulatória pelo controlador;
• Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
• Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da lei nº 9.307, de 23 de setembro de 1996 (lei de arbitragem) ;
• Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
• Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

É dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.

Em relação aos dados pessoais sensíveis, além das hipóteses mencionadas anteriormente, será possível o tratamento de dados sem consentimento para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados na Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

11- Quais são os direitos do titular de dados?

• Confirmação da existência do tratamento dos dados (transparência das informações);
• Acesso aos dados;
• Possibilidade de correção dos dados (incompletos, inexatos, desatualizados);
• Possibilidade de anonimização, bloqueio ou eliminação dos dados que sejam desnecessários, excessivos ou tratados em desacordo com a LGPD;
• Portabilidade dos dados, observados os segredos comercial e industrial;
• Eliminação de dados, observado o art. 16 da LGPD;
• Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• Possibilidade de revogação do consentimento; e
• Informação sobre a possibilidade de não fornecer consentimento.

12- Em casos de irregularidade no tratamento de dados, quem será responsabilizado?

O art. 42 da LGPD estabelece que em caso de violação à lei, o controlador e o operador serão responsabilizados.

O operador responde solidariamente pelos danos causados quando descumprir as obrigações da LGPD ou quando não tiver seguido as instruções lícitas do controlador.

Os controladores que estiverem diretamente envolvidos no tratamento do qual decorrem danos ao titular de dados respondem solidariamente.

Não serão responsabilizados os agentes de tratamento que comprovarem a não realização do tratamento de dados pessoais que lhes é atribuído; que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação; que o dano é causado por culpa exclusiva do titular dos dados ou terceiros.

13- Qual o conceito de Encarregado de Dados?

Encarregado de dados é a pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares de dados e a ANPD.

Caberá ao controlador indicar quem será o encarregado de dados.

15- É permitido o compartilhamento de dados entre os órgãos públicos?

Sim, desde que observados os seguintes requisitos, cumulativamente:

1. Sim, desde que observados os seguintes requisitos, cumulativamente:
   1. a) existência de finalidade específica no compartilhamento;
   2. b) existência de base legal para os entes envolvidos (artigo 7º, inciso III e artigo 23 da LGPD)
   3. c) validação do compartilhamento decorrente do atendimento aos princípios de proteção de dados pessoais previstos no art. 6º da LGPD.

16 –  O que é Autoridade Nacional de Proteção de Dados- ANPD

A ANPD foi criada em 2020 e a sua estrutura organizacional está descrita no Decreto nº 10.474, de 26 de agosto de 2020, é um órgão vinculado à Presidência da República, dotada de autonomia técnica e decisória, com jurisdição no território nacional e com sede e foro no Distrito Federal, que tem o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural, orientada pelo disposto na Lei nº 13.709, de 14 de agosto de 2018, a LGPD.

Dentre suas atribuições estão: zelar pela Proteção de Dados Pessoais; elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; Orientar os agentes na aplicação das normas e regulamentos afetos ao tema; cooperar com órgãos nacionais e internacionais no tema de Proteção de Dados Pessoais; dar tratamento a eventuais suspeitas de infração à legislação relativa à Proteção de Dados Pessoais, por meio de sua estrutura de análise e sanção administrativa; e outras atribuições previstas em Lei.