LGPD – O QUE PRECISO SABER - PARTE II

-

 


No artigo anterior (Linhas Gerais da LGPD - Parte I) foi tratada a base legal da Lei Geral de Proteção de Dados, correspondente a Lei nº. 13.708/2018, bem como, seu objeto, princípios que a norteiam (como a boa-fé), a vigência parcial de seus artigos, o que seriam dados pessoais, dados pessoais sensíveis, anonimizados e o que corresponde exatamente o tratamento destes dados.

Adiante, é indispensável saber que esta lei deve ser aplicada a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados.

Todavia é essencial que a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens/serviços ou o tratamento de dados de indivíduos localizados no Brasil. Se a operação de tratamento foi realizada no Brasil ou os dados pessoais, objeto do tratamento, tenham sido coletados aqui, deve-se respeitar esta lei, independente da nacionalidade do titular dos dados, qual o país sede da pessoa jurídica, ou mesmo onde estão hospedados tais dados.

Cabe reforçar que a LGPD não especifica qual é o meio da operação de tratamento de dados pessoais, o que significa dizer que sua abrangência corresponde não só a recursos digitais, como a físicos também.

Tal conceito de aplicação e territorialidade no mundo virtual já vinha sendo tratado pelo Marco Civil da Internet, Lei nº. 12.965/2014[i], vigente desde 24/06/2014, na qual, estabeleceu princípios, garantias, direitos e deveres para o uso da Internet no Brasil. De forma complementar, é colacionado a seguir o artigo 11º desta normativa:

“Art. 11. Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.

§ 1º O disposto no caput aplica-se aos dados coletados em território nacional e ao conteúdo das comunicações, desde que pelo menos um dos terminais esteja localizado no Brasil.

§ 2º O disposto no caput aplica-se mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, desde que oferte serviço ao público brasileiro ou pelo menos uma integrante do mesmo grupo econômico possua estabelecimento no Brasil.

§ 3º Os provedores de conexão e de aplicações de internet deverão prestar, na forma da regulamentação, informações que permitam a verificação quanto ao cumprimento da legislação brasileira referente à coleta, à guarda, ao armazenamento ou ao tratamento de dados, bem como quanto ao respeito à privacidade e ao sigilo de comunicações.

§ 4º Decreto regulamentará o procedimento para apuração de infrações ao disposto neste artigo.

Destarte, a LGPD não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, assim como, para fins exclusivamente jornalísticos, artísticos, acadêmicos (vide artigo 7º e 11º da lei), bem como no que tange a segurança pública, defesa nacional, segurança do Estado ou em atividades de investigação/repressão de infrações penais.

Em regra, de acordo com o artigo 4º, também não se aplica para fins provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na lei.

A seguir serão identificadas determinadas terminologias fundamentais para compreensão e aplicação da LGPD, algumas já foram tratadas no artigo anterior, outras serão aprofundadas em tópicos futuros.

 RELATIVAS AOS ENTES ENVOLVIDOS

- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

- Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

- Agentes de tratamento: o controlador e o operador;

- Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

- Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

RELATIVAS AOS TIPOS DE DADOS

- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

- Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

- Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

 RELATIVAS A ELEMENTOS TÉCNICOS

- Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

- Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

- Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

- Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

- Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

- Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

 RELATIVA À AUTORIZAÇÃO DO USO DE DADOS

- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

 RELATIVA A TERRITORIEDADE

- Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

 RELATIVA A PROCEDIMENTOS

- Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.


Autora desde artigo: Nadya Prinet Godoy

Disponibilizado em: Mar/2021

Photo by Markus Spiske on Unsplash



[i] Presidência da República. Marco Civil da Internet. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 03 de mar. de 2021.

Location: São Paulo, Brasil

Comentários

Postar um comentário

Postagens mais visitadas deste blog

PRIMEIRA MULTA APLICADA PELA ANPD - EMPRESA DE PEQUENO PORTE

-
Imagem
  Na última semana, mais precisamente na sexta-feira, a ANPD divulgou a ocorrência da primeira multa aplicada pelo descumprimento da LGPD [1] no Brasil e desde então o assunto ganhou bastante repercussão no mundo jurídico e empresarial. Trata-se de um marco legal significativo, haja vista que inaugura uma fase de fiscalizações e sanções por atos contrários a preservação da privacidade de dados pessoais no país em detrimento dos ditames estabelecidos pela LGPD. A penalidade ocorreu após a conclusão de um processo administrativo sancionador de nº 00261.000489/2022-62 conduzido pela Coordenação-Geral de Fiscalização (CGF/ANPD) e publicado no Diário Oficial da União no dia último dia 06 de julho [2] . Para a surpresa de muitas empresas de pequeno e médio porte, que em sua maioria, não dão tanta credibilidade a LGPD, seja pela possibilidade de serem fiscalizadas ou até mesmo sancionadas, a empresa autuada foi uma microempresa de telemarketing localizada no estado do Espírito Sant...
Leia na íntegra

ANPD - 1ª Semana de Proteção de Dados Pessoais - DIA 02

-
Imagem
  ANPD Como sabido, nesta semana (30/05 a 03/06/2022) a Autoridade Nacional de Proteção de Dados - ANPD promove a 1ª Semana de Proteção de Dados Pessoais , com a iniciativa do Programa de Privacidade e Segurança da Informação (PPSI), da Secretaria de Governo Digital e do Ministério da Economia [1] . Em continuidade ao artigo anterior, trataremos do conteúdo disponibilizado no segundo dia do curso: DIA 02 – 31/05/2022 – TEMA: PRIVACIDADE NO PODER PÚBLICO HORÁRIO: 09:00 - 10:30 TEMA: LAI versus LGPD  PALESTRANTE: Marcos Lindenmayer - Chefe de Gabinete da Ouvidoria-Geral da União (OGU/CGU) Perguntas realizadas pelo público (respostas em 1:01:20 h do vídeo): 1. Em relação a dados pessoais de servidores públicos requeridos pelos cidadãos, quais os limites que a LGPD traz para fornecer ou não estes dados? 2. Quando se fala de dados pessoais, se aplica também a PJ? E a respeito dos dados de servidores públicos indicados em documentos públicos é considerado também divulga...
Leia na íntegra

LGPD - COMO COMUNICAR UM INCIDENTE DE PRIVACIDADE PARA ANPD

-
Imagem
  Em artigos anteriores tratamos com mais detalhes sobre o que corresponde ao temido vazamento de dados pessoais, bem como da relevância de uma governança eficiente e de uma gestão de riscos que busque evitar a ocorrência de incidentes de segurança. Lembrando que um incidente de segurança diz respeito a situações que coloquem em risco a preservação de dados pessoais tratados por um agente, seja através do acesso e conhecimento de pessoas não autorizadas, até situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Veja que os agentes de tratamento de dados pessoais ou qualquer outra pessoa que intervenha em uma das fases do tratamento é obrigada a garantir a segurança da informação determinada pela Lei Geral de Proteção Dados, mesmo após finda a necessidade de utilização de tais dados. Sendo primordial neste contexto, que agentes de tratamento de dados adotem medidas de segurança, técnicas e administr...
Leia na íntegra