A Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados (LGPD), regulamenta o uso de dados pessoais no Brasil e estabelece regras sobre o tratamento desses dados, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A LGPD abrange todas as atividades que envolvem tratamento em meio analógico ou digital de dados pessoais, sendo aplicada a pessoas físicas e jurídicas de direito público ou privado, para operações realizadas em território nacional.

Sim, as demais legislações continuam em vigência, a LGPD não revogou nenhuma legislação. Dessa forma, as legislações terão que conviver em harmonia e serão trabalhadas em conjunto, conforme art. 64 da Lei.

Não, a LGPD se aplica a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.

Titular: pessoa natural a quem se referem os dados;

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Agentes de tratamento: o controlador e o operador;

Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

Dado pessoal sensível: dado pessoal que traz origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado à uma pessoa natural. São dados que podem trazer algum tipo de discriminação quando do seu tratamento;

Tratamento: é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Finalidade: para o tratamento dos dados do titular, é necessário que o titular saiba exatamente para quais finalidades seus dados serão tratados. Caso o controlador ou os agentes que usam os dados do titular alterarem o escopo de utilização, é necessário que o titular seja comunicado. O princípio da finalidade pressupõe a realização do tratamento de dados com propósitos legítimos, específicos, explícitos e informados ao titular;

Adequação: o uso dos dados tem que ser compatível com a finalidade informada de acordo com o contexto do tratamento;

Necessidade: só é permitida a coleta dos dados que sejam necessários para aquele tratamento;

Livre acesso: garante para os titulares a consulta facilitada e gratuita sobre a forma e duração do tratamento de dados, bem como a integralidade dos seus dados pessoais que estão sendo tratados;

Qualidade dos dados: garante ao titular a exatidão, clareza, relevância e a atualização dos dados que estão sendo tratados de acordo com a necessidade de cumprir aquela finalidade de tratamento que foi informada;

Segurança: é necessário assegurar ao titular dos dados que, tanto na forma física como lógica, será mantida a segurança e proteção dos seus dados;

Transparência: garante ao titular que as informações serão claras, precisas, facilmente acessíveis, e, sobre a realização do tratamento, quais são os agentes, observado o segredo industrial e comercial;

Prevenção: é necessário possuir e comprovar que existem meios que mitigam riscos para o titular dos dados, com atuação preventiva;

Não-discriminação: não é permitido o tratamento de dados para fins de discriminação ilícita ou abusiva;

Responsabilização e prestação de contas: os agentes de tratamento têm que demonstrar que adotaram medidas eficazes e capazes de comprovar que foram observadas e cumpridas as normas de proteção de dados pessoais

O tratamento de dados é definido de forma bem abrangente pela LGPD, compreendendo todas as operações realizadas desde a coleta até a eliminação. Sendo assim, os atos de receber, acessar, arquivar ou armazenar dados pessoais estão contidos no conceito de tratamento.

Consentimento são atos do titular de dados que demonstrem a sua manifestação de vontade em aceitar o tratamento do(s) dado(s) pessoal(is) fornecidos para uma determinada finalidade.

Será permitido o tratamento de dados pessoais, sem o consentimento do titular:

• Para o cumprimento de obrigação legal ou regulatória pelo controlador;
• Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
• Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da lei nº 9.307, de 23 de setembro de 1996 (lei de arbitragem) ;
• Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;     
• Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
• Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

É dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.

A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas na Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.

O tratamento posterior dos dados pessoais para dados tornados públicos ou dispensados de consentimento poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.      

Em relação aos dados pessoais sensíveis, além das hipóteses mencionadas anteriormente, será possível o tratamento de dados sem consentimento para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados na Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

• Confirmação da existência do tratamento dos dados (transparência das informações);
• Acesso aos dados;
• Possibilidade de correção dos dados (incompletos, inexatos, desatualizados);
• Possibilidade de anonimização, bloqueio ou eliminação dos dados que sejam desnecessários, excessivos ou tratados em desacordo com a LGPD;
• Portabilidade dos dados, observados os segredos comercial e industrial;
• Eliminação de dados, observado o art. 16 da LGPD;
• Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• Possibilidade de revogação do consentimento; e
• Informação sobre a possibilidade de não fornecer consentimento.

A Lei nº 14.010/2020 prorrogou o início da vigência dos artigos relacionados às sanções administrativas da LGPD para 1º de agosto de 2021.

Neste primeiro momento a ANPD estará orientando e divulgando boas práticas em relação a LGPD.

As sanções administrativas aplicáveis a partir de 1º agosto de 2021 são:

• Advertência;
• Multa simples (até 2% do faturamento até o limite de R$ 50 milhões);
• Multa diária;
• Possibilidade de publicização da infração;
• Bloqueio dos dados pessoais envolvidos;
• Eliminação dos dados pessoais envolvidos;
• Suspensão parcial, por até 06 (seis) meses do banco de dados envolvido; e
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

As metodologias e para o cálculo do valor-base das multas serão definidas pela ANPD, através de regulamento próprio.

Quando houver infração a LGPD em decorrência do tratamento de dados pessoais por órgãos públicos, a ANPD poderá enviar informe com medidas cabíveis para fazer cessar a violação.

A autoridade nacional poderá ainda solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelos órgãos públicos.

O art. 42 da LGPD estabelece que em caso de violação à lei, o controlador e o operador serão responsabilizados.

O operador responde solidariamente pelos danos causados quando descumprir as obrigações da LGPD ou quando não tiver seguido as instruções lícitas do controlador.

Os controladores que estiverem diretamente envolvidos no tratamento do qual decorrem danos ao titular de dados respondem solidariamente.

Não serão responsabilizados os agentes de tratamento que comprovarem a não realização do tratamento de dados pessoais que lhes é atribuído; que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação; que o dano é causado por culpa exclusiva do titular dos dados ou terceiros.

Encarregado de dados (DPO) é a pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares de dados e a ANPD.

Caberá ao controlador indicar quem será o encarregado de dados.

Não há impedimento legal para que o DPO possua outras atribuições dentro do órgão, entidade ou empresa.

A Resolução CD/ANPD nº 2/2022, flexibilizou as regras para os Agentes de tratamento de pequeno porte em relação ao DPO. Confira o que mudou.

A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão vinculado à Presidência da República, dotada de autonomia técnica e decisória, com jurisdição no território nacional e com sede e foro no Distrito Federal, que tem o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural, orientada pelo disposto na Lei nº 13.709, de 14 de agosto de 2018, a LGPD.

A ANPD foi criada em 2020 e a sua estrutura organizacional está descrita no Decreto nº 10.474, de 26 de agosto de 2020. Suas principais atribuições estão detalhadas no art. 2º do referido decreto, e consistem, de maneira sintética, em: zelar pela Proteção de Dados Pessoais; elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;

Orientar os agentes na aplicação das normas e regulamentos afetos ao tema; cooperar com órgãos nacionais e internacionais no tema de Proteção de Dados Pessoais; dar tratamento a eventuais suspeitas de infração à legislação relativa à Proteção de Dados Pessoais, por meio de sua estrutura de análise e sanção administrativa; e outras atribuições previstas em Lei.