A Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados (LGPD), regulamenta o uso de dados pessoais no Brasil e estabelece regras sobre o tratamento desses dados, em meios físicos e digitais, por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Importante destacar que a LGPD versa sobre o tratamento de dados pessoais da pessoa física, não atingindo diretamente os dados de pessoas jurídicas
A LGPD aplica-se a todas as atividades que envolvem tratamento em meio físico ou digital de dados pessoais, sendo aplicada a pessoas físicas e jurídicas de direito público ou privado, para operações realizadas em território nacional.
A lei não se aplica quando o tratamento é feito por pessoa física para fins particulares e não econômicos (ex.: agendas telefônicas, e-mails, etc.), para fins exclusivamente jornalísticos, artísticos ou acadêmicos, e quando visem à segurança pública, defesa nacional e segurança do Estado ou atividades de prevenção e repressão criminal.
A LGPD entrou em vigor em 18 de setembro de 2020, com exceção das sanções, cuja vigência ficou prorrogada para 1º de agosto de 2021.
A LAI continua em vigência, a LGPD não revogou nenhuma legislação. Quanto a relação entre a LGPD e a LAI (Lei nº 12.527/2011), em resumo, podem ser consideradas como complementares, visto que a LAI garante transparência ao que deve ser público, e a LGPD, proteção para o que é da esfera privada dos cidadãos.
Titular: pessoa natural a quem se referem os dados;
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Agentes de tratamento: o controlador e o operador;
Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
Dado pessoal sensível: dado pessoal que traz origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado à uma pessoa natural. São dados que podem trazer algum tipo de discriminação quando do seu tratamento;
Tratamento: é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Finalidade: para o tratamento dos dados do titular, é necessário que o titular saiba exatamente para quais finalidades seus dados serão tratados. Caso o controlador ou os agentes que usam os dados do titular alterarem o escopo de utilização, é necessário que o titular seja comunicado. O princípio da finalidade pressupõe a realização do tratamento de dados com propósitos legítimos, específicos, explícitos e informados ao titular;
Adequação: o uso dos dados tem que ser compatível com a finalidade informada de acordo com o contexto do tratamento;
Necessidade: só é permitida a coleta dos dados que sejam necessários para aquele tratamento;
Livre acesso: garante para os titulares a consulta facilitada e gratuita sobre a forma e duração do tratamento de dados, bem como a integralidade dos seus dados pessoais que estão sendo tratados;
Qualidade dos dados: garante ao titular a exatidão, clareza, relevância e a atualização dos dados que estão sendo tratados de acordo com a necessidade de cumprir aquela finalidade de tratamento que foi informada;
Segurança: é necessário assegurar ao titular dos dados que, tanto na forma física como lógica, será mantida a segurança e proteção dos seus dados;
Transparência: garante ao titular que as informações serão claras, precisas, facilmente acessíveis, e, sobre a realização do tratamento, quais são os agentes, observado o segredo industrial e comercial;
Prevenção: é necessário possuir e comprovar que existem meios que mitigam riscos para o titular dos dados, com atuação preventiva;
Não-discriminação: não é permitido o tratamento de dados para fins de discriminação ilícita ou abusiva;
Responsabilização e prestação de contas: os agentes de tratamento têm que demonstrar que adotaram medidas eficazes e capazes de comprovar que foram observadas e cumpridas as normas de proteção de dados pessoais
O tratamento de dados é definido de forma bem abrangente pela LGPD, compreendendo todas as operações realizadas desde a coleta até a eliminação. Sendo assim, os atos de receber, acessar, arquivar ou armazenar dados pessoais estão contidos no conceito de tratamento.
Consentimento é o ato do titular dos dados que demonstre a sua manifestação de vontade em aceitar que a entidade/órgão realize o tratamento do(s) dado(s) pessoal(is) fornecidos para uma determinada finalidade.
Dados Pessoais são informações que permitem identificar, direta ou indiretamente, um indivíduo, como: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer; endereço de IP (Protocolo da Internet) e cookies, entre outros.
Será permitido o tratamento de dados pessoais, sem o consentimento do titular:
O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
É dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
Em relação aos dados pessoais sensíveis, além das hipóteses mencionadas anteriormente, será possível o tratamento de dados sem consentimento para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados na Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
O art. 42 da LGPD estabelece que em caso de violação à lei, o controlador e o operador serão responsabilizados.
O operador responde solidariamente pelos danos causados quando descumprir as obrigações da LGPD ou quando não tiver seguido as instruções lícitas do controlador.
Os controladores que estiverem diretamente envolvidos no tratamento do qual decorrem danos ao titular de dados respondem solidariamente.
Não serão responsabilizados os agentes de tratamento que comprovarem a não realização do tratamento de dados pessoais que lhes é atribuído; que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação; que o dano é causado por culpa exclusiva do titular dos dados ou terceiros.
Encarregado de dados é a pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares de dados e a ANPD.
Caberá ao controlador indicar quem será o encarregado de dados.
Sim, desde que observados os seguintes requisitos, cumulativamente:
A ANPD foi criada em 2020 e a sua estrutura organizacional está descrita no Decreto nº 10.474, de 26 de agosto de 2020, é um órgão vinculado à Presidência da República, dotada de autonomia técnica e decisória, com jurisdição no território nacional e com sede e foro no Distrito Federal, que tem o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural, orientada pelo disposto na Lei nº 13.709, de 14 de agosto de 2018, a LGPD.
Dentre suas atribuições estão: zelar pela Proteção de Dados Pessoais; elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; Orientar os agentes na aplicação das normas e regulamentos afetos ao tema; cooperar com órgãos nacionais e internacionais no tema de Proteção de Dados Pessoais; dar tratamento a eventuais suspeitas de infração à legislação relativa à Proteção de Dados Pessoais, por meio de sua estrutura de análise e sanção administrativa; e outras atribuições previstas em Lei.