Lei de proteção de dados advogado em salvador

INTRODUÇÃO

Este artigo visa esclarecer os principais conceitos, obrigações e deveres estabelecidos pela Lei Geral de Proteção de Dados – Lei no 13.709/2018 (“LGPD”).

Cumpre esclarecer que o início da vigência da LGPD ocorreu em 18 de setembro de 2020, após a sanção do projeto de lei de conversão da MP no 959/20 (“MP 959”) pelo Presidente da República, exceto com relação aos artigos que discorrem sobre as sanções administrativas previstas na lei, que entrarão em vigor em 1o de agosto de 2021, nos termos da Lei no 14.010/2020.

APLICAÇÃO

A LGPD será aplicável a qualquer operação de Tratamento de Dados Pessoais realizada no Brasil ou fora do território nacional, independentemente da localização da sede dos Agentes de Tratamento ou da localização geográfica dos dados, contanto que o Tratamento de Dados Pessoais: (i) vise oferecer bens ou serviços no Brasil; (ii) envolva dados de pessoas localizadas no Brasil; ou (iii) envolva Dados Pessoais coletados no Brasil.

A lei se aplicará a qualquer tipo de coleta e uso de Dados Pessoais, tanto online quanto off-line.

EXCLUDENTES

A LGPD não será aplicável em caso de Tratamento de Dados Pessoais para fins: particulares e não econômicos; jornalísticos, artísticos; acadêmicos; de segurança pública; defesa nacional; segurança do Estado ou de investigação e repressão de infrações penais – observados os termos da lei. Os Dados Pessoais, quando anonimizados, também não estão sujeitos à LGPD. lei de proteção de dados advogado em salvador

PRINCIPAIS CONCEITOS

DADOS PESSOAIS

O conceito de Dados Pessoais abrange quaisquer tipos de dados que identifiquem uma pessoa natural. Neste sentido, nome, CPF, título de eleitor, são exemplos de dados que podem ser enquadrados nesta definição. No entanto, o conceito de Dado Pessoal é mais amplo e também abrange aqueles dados que possam identificar uma pessoa natural caso determinados dados forem analisados em conjunto com outros dados dentro de um deter- minado contexto (por exemplo, dados comportamentais, profissão, sexo e padrões que se analisados conjuntamente com um Dado Pessoal resultam na identificação de uma pessoa). Devem ser considerados, para este propósito, os meios razoavelmente suscetíveis de serem utilizados para realizar essa análise e identificar um indivíduo.

TRATAMENTO DE DADOS PESSOAIS

Tratamento entende-se como toda e qualquer operação realizada com Dados Pessoais. O conceito inclui a coleta, recepção, armazenamento, arquivamento, eliminação, avaliação e transferência de dados, quer por meios automatizados ou não auto- matizados. Ou seja, se os Dados Pessoais trafegarem no sistema interno de uma organização, haverá Tratamento e a organização deverá estar em conformidade com os termos da lei. lei de proteção de dados advogado em salvador

DADOS PESSOAIS SENSÍVEIS

Dados Pessoais Sensíveis são quaisquer Dados Pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. O Tratamento de Dados Pessoais Sensíveis pode implicar riscos às pessoas naturais titulares dos dados, assim, foram diferencia- dos dos Dados Sensíveis.

AGENTES DE TRATAMENTO – CONTROLADORES E OPERADORES

Os Agentes de Tratamento são denominados Controladores e Operadores. lei de proteção de dados advogado em salvador

Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao Tratamento de Dados Pessoais. Já o Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador, ou seja, presta um serviço de Tratamento de Dados em nome do Controlador.

Responsabilidade Solidária: Em determinados casos de infração à LGPD (por exemplo, vazamento de dados motivado por culpa do Operador contratado pelo Controlador para realizar o Tratamento em nome do Controlador), o Controlador e o Operador respondem solidariamente por danos causados a terceiros.

ANONIMIZAÇÃO

Anonimização de dados significa a dissociação irreversível entre o dado e o indivíduo realizada mediante a utilização de meios técnicos.

Esse conceito é muito importante porque o dado anonimizado não está sujeito às regras da LGPD. lei de proteção de dados advogado em salvador

PSEUDONIMIZAÇÃO

Pseudonimização é definida pela LGPD como o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

PRIVACY BY DESIGN AND PRIVACY BY DEFAULT

Os conceitos acima não foram definidos ou mencionados pela LGPD, mas são inerentes à aplicação dos princípios e cumpri- mento das obrigações previstas na lei. 

Entende-se por Privacy by Design a adoção de medidas ade- quadas às normas de privacidade em em todos os projetos da empresa, desde a concepção até a implementação; Privacy by Default, por sua vez, é entendido como a adoção, por padrão, de procedimentos e medidas técnicas e organizacionais que sejam adequadas à proteção de Dados e à privacidade do titular do Dado Pessoal – por exemplo, considerar que o consentimento depende de ação ativa do titular do dado, ao invés de incluir em configurações padrão um consentimento pré-selecionado para uso de dados pessoais. lei de proteção de dados advogado em salvador

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS

Em 9 de julho de 2019, foi publicada no Diário Oficial da União a Lei no 13.853/2019, que criou a Autoridade Nacional de Proteção de Dados (“ANPD” ou “Autoridade Nacional”), com diversas competências relevantes para a aplicação da LGPD.

A Lei no 13.853/2019 lista as competências da ANPD, dentre as quais estão as seguintes:

i. Editar normas e procedimentos sobre o tema;

ii. Interpretar a LGPD na esfera administrativa;

iii. Solicitar informações sobre o Tratamento de Dados Pessoais aos Controladores e Operadores;

iv. Registrar reclamações para averiguação de infrações à LGPD;

v. Fiscalizar e aplicar sanções mediante instauração de pro-cesso administrativo;

vi. Promover o conhecimento pela sociedade sobre as normas e políticas públicas sobre o tema;

vii. Elaborar estudos sobre as práticas nacionais e internacionais sobre o tema e firmar parcerias com autoridades de outros países para cooperação técnica;

viii. Realizar consultas públicas sobre o tema, inclusive a oitiva de entidades ou órgãos da administração pública; e

ix. Articular-se com autoridades públicas para exercer suas competências.

PRINCIPAIS OBRIGAÇÕES

PRINCÍPIOS

O Tratamento de Dados Pessoais deve se pautar pelos seguintes princípios: lei de proteção de dados advogado em salvador

Finalidade: Dados Pessoais podem ser tratados somente para propósitos legítimos, específicos, explícitos e informados previamente ao titular. Como regra geral, não é possível a utiliza- ção do Dado Pessoal coletado para finalidade distinta;

Adequação: compatibilidade entre as finalidades informadas ao titular e o contexto do Tratamento;

Necessidade: coletar Dados Pessoais pertinentes e não exces- sivos para realizar a finalidade informada ao titular;

Livre acesso: consulta facilitada e gratuita pelo titular, inclusive sobre a forma e duração do Tratamento;

Qualidade dos dados: exatidão, clareza, relevância e atualização dos dados, a fim de evitar imprecisão de informações que prejudiquem o titular; lei de proteção de dados advogado em salvador

Transparência: informações claras, precisas e facilmente acessíveis sobre o Tratamento dos Dados Pessoais, observados os segredos comercial e industrial e sobre os Agentes de Tratamento;

Segurança: medidas técnicas e administrativas aptas a proteger os dados de acidentes de segurança da informação e Tratamento irregular; dentre as possíveis medidas a serem adotadas, citamos, a Pseudonimização e Anonimização dos dados;

Prevenção: prevenir a ocorrência de danos decorrentes do Tratamento de dados;

Não discriminação: proibido tratar para fins discriminatórios ilícitos ou abusivos; lei de proteção de dados advogado em salvador

Responsabilização e Prestação de Contas: demonstração da adoção de medidas eficazes e capazes de comprovar a observância da LGPD.

Portanto, será sempre necessário garantir informações específicas ao titular do Dado Pessoal sobre os propósitos do Tratamento, assim como será necessário demonstrar a adoção de medidas eficazes para cumprimento das normas de proteção de dados e prevenção de danos em virtude do Tratamento.

Lei de Proteção de Dados Advogado em Salvador

BASES LEGAIS

O Tratamento dos Dados Pessoais estará em conformidade com a LGPD se fundamentado em uma das hipóteses legais sintetizadas no quadro abaixo. Neste sentido, considerando que existem diversas finalidades para o Tratamento dentro de uma organização, é necessário analisar qual base pode ser utilizada para cada finalidade, de forma a legitimar o uso dos Dados Pessoais.

Dados Pessoais

Dados Pessoais Sensíveis

Consentimento do titular, o qual deve ser livre, informado, inequívoco e para finalidade determinada. Autorizações genéricas serão nulas.

Consentimento do titular, que deve ser específico e destacado, além de livre, informado, inequívoco e para finalidade determinada.

Cumprimento de obrigação legal ou regulatória pelo Controlador.

Cumprimento de obrigação legal ou regulatória pelo Controlador.

Realização de estudos por órgãos de pesquisa, devendo os dados serem anonimizados sempre que possível.

Realização de estudos por órgãos de pesquisa, devendo os dados serem anonimizados sempre que possível.

Quando necessário para execução de contrato ou etapas anteriores a assinatura do contrato do qual o titular seja parte, a pedido do titular.

Não há base legal de execução do contrato para Tratamento de Dados Pessoais Sensíveis.

Exercício regular de direitos em processo judicial, administrativo ou arbitral.

Exercício regular de direitos, inclu- sive em contrato e em processo judicial, administrativo e arbitral.

Para a proteção da vida ou da incolumidade física do titular ou de terceiro.

Para a proteção da vida ou da incolumidade física do titular ou de terceiro.

Para a tutela da saúde em procedi- mento realizado por profissionais da saúde ou por entidades sanitárias.

Para a tutela da saúde, em procedi- mento realizado por profissionais da saúde ou por entidades sanitárias.

Quando necessário para atender os legítimos interesses do Controlador ou de terceiro, exceto se prevalecerem os direitos e liberdades funda- mentais do titular.

Não há base legal do legítimo interesse para Tratamento de Dados Pessoais Sensíveis.

Para a proteção do crédito.

Para a garantia de prevenção à fraude e segurança do titular nos processo de identificação e autenticação de cadastro em sistemas eletrônicos.

Pela administração pública, em alguns casos específicos.

Pela administração pública, em alguns casos específicos.

DIREITOS DOS TITULARES

Os seguintes direitos dos titulares de Dados Pessoais estão pre- vistos na LGPD:

◆ Liberdade, intimidade, privacidade;

◆ Correção dos dados que estiverem incompletos, inexatos oudesatualizados;

◆ Confirmação da existência de Tratamento e acesso aos dados que estão sendo tratados;

◆ Anonimização ou eliminação dos dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;

◆ Portabilidade dos dados fornecidos a um Controlador para outro fornecedor de serviço ou produto;

◆ Eliminação dos dados tratados com o consentimento do titular após o término do seu Tratamento – favor notar que a informação poderá ser retida para fins de (i) cumprimento de obrigação legal ou regulatória, (ii) estudo por órgão de pesquisa, (iii) transferência a terceiro, desde que respeitados os requisitos da LGPD; e (iv) de forma anonimizada para uso exclusivo do Controlador (proibido o acesso por terceiro);

◆ Informações sobre a possibilidade de não fornecer o consen- timento para Tratamento de seus Dados Pessoais e sobre as consequências da negativa;

◆ Revogação do consentimento fornecido para o Tratamento dos seus dados;

◆ Revisão de decisões automatizadas e recebimento de informações claras sobre os critérios utilizados pelo Controlador para tomada de decisões com base em Tratamento automatizado.

Um dos passos essenciais para a conformidade com a LGPD é a criação de um canal de contato possibilitar aos titulares de dados o exercício de seus direitos.

A LGPD dispõe que a existência de Tratamento ou acesso aos Dados Pessoais pode ser confirmada (i) imediatamente, de forma simplificada; e (ii) em até 15 dias contados do pedido do titular do dado, por meio de declaração completa, indicando a origem dos dados, a finalidade do Tratamento e a inexistência de registro, se for o caso.

NOTIFICAÇÕES DE INCIDENTES

Qualquer incidente de segurança envolvendo Dados Pessoais que possa acarretar um risco ou dano relevante aos direitos dos titulares deverá ser comunicado à Autoridade Nacional e ao titular em prazo razoável.

O comunicado deverá incluir (i) a indicação de quais Dados Pessoais foram afetados; (ii) quais medidas estão sendo utiliza- das para proteção dos Dados Pessoais; (iii) os riscos relacionados ao incidente; (iv) os motivos da demora na comunicação, caso não tenha sido feita de forma imediata; e (v) as medidas tomadas para reverter ou mitigar os efeitos do incidente.

HIPÓTESES DE TRANSFERÊNCIA INTERNACIONAL DE DADOS

Os Dados Pessoais somente poderão ser transferidos para outros países nos seguintes casos:

◆ Para países ou organismos internacionais que proporcionem grau de proteção de Dados Pessoais adequado ao previsto na LGPD;

◆ Se o Controlador assegurar comprometimento com os termos da LGPD, por meio de cláusulas-padrão contratuais; normas corporativas globais; e/ou selos, certificados e códigos de conduta regularmente emitidos; os quais garantam o cumpri- mento da LGPD;

◆ Quando a transferência for necessária para cooperação jurídica internacional entre órgãos públicos de inteligência e investigação ou for necessária para a implementação de políticas públicas;

◆ Quando necessário para a proteção da vida ou incolumidade física do titular ou de terceiro;

◆ Quando a Autoridade Nacional autorizar a transferência;

◆ Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;

◆ Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público;

◆ Se o titular tiver dado o seu consentimento específico e em destaque, de forma separada das outras finalidades, para a transferência, com informações sobre o caráter internacional da operação;

◆ Para cumprimento de obrigação legal ou regulatória pelo Controlador;

◆ Quando necessário para execução de contrato ou etapas anteriores à assinatura do contrato do qual o titular seja parte, a pedido do titular;

◆ Exercício regular de direitos em processo judicial, administrativo ou arbitral.

SANÇÕES

A Autoridade Nacional poderá aplicar as seguintes sanções como consequências do descumprimento da LGPD: lei de proteção de dados advogado em salvador

◆ Advertência e indicação de prazo para adoção de medidas corretivas;

◆ Multa simples ou diária de até 2% do faturamento no seu último exercício, limitada ao total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

◆ Publicização de infração após devidamente apurada e confirmada a sua ocorrência;

◆ Bloqueio dos Dados Pessoais a que se refere a infração até a sua regularização;

◆ Eliminação dos Dados Pessoais a que se refere a infração;

◆ Suspensão parcial e temporária do funcionamento do banco de dados e do exercício da atividade de tratamento dos dados pessoais a que se refere a infração; e

◆ Proibição parcial ou total do exercício de atividades relaciona- das a tratamento de dados.

Serão considerados diversos fatores na aplicação das multas, como: gravidade e natureza das infrações; boa-fé do infrator; reincidência; cooperação do infrator; adoção de política de boas práticas e governança; pronta adoção de medidas corretivas e procedimentos internos capazes de minimizar os dados; entre outros.

ALGUMAS MEDIDAS PARA CONFORMIDADE COM A LGPD

Toda a organização deve estar envolvida no processo de con- formidade com a LGPD, sendo que as seguintes medidas são recomendáveis:

◆ Treinamentos internos e criação de comitês para se aprofundar e disseminar a cultura de proteção de dados dentro das organizações;

◆ Implementação de Privacy by Design/ Privacy by Default nos modelos de negócios;

◆ Mapeamento do Fluxo de Dados Pessoais (dados enviados, recebidos e tratados internamente);

◆ Indicação de Encarregado;

◆ Elaboração de Relatório de Impacto à Proteção de Dados Pessoais (se as atividades representarem riscos à liberdades civil e a direitos fundamentais);

◆ Elaboração de planos para mitigação de riscos de incidentes e notificação à ANPD;

◆ Implementação de canal para atendimento dos titulares com relação aos seus direitos previstos na LGPD;

◆ Realização de due diligence na contratação de Operadores de Dados Pessoais;

◆ Implementação de medidas técnicas e organizacionais adequadas;

◆ Revisão de políticas e modelos de contratação de colaboradores e terceiros; e

◆ Implementação de Ongoing compliance, revisitando constantemente as atividades de tratamento de dados pessoais e mantendo a equipe de colaboradores e operadores informada sobre cuidados inerentes a esta atividade.

 Fonte: Cescon Barrieu