LGPD: Lei Geral de Proteção de Dados do Brasil | Capítulo por Capítulo

LGPD: Lei Geral de Proteção de Dados do Brasil | Capítulo por Capítulo

LGPD | Lei Geral de Proteção de Dados

I – Introdução

A Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.853, de 2019 – dispõe sobre a proteção e tratamento de dados pessoais no Brasil, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.

Desde já, saliente-se que a multa por infração à LGPD pode chegar a R$ 50 milhões, de acordo com o art. 52, II, da LGDP. Eis um dos motivos de sua importância.

II – Definições

O artigo 5º define diversos termos da legislação. Conveniente transcrever alguns:

  • dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
  • agentes de tratamento: o controlador e o operador;
  • tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
  • relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

III – Consentimento

Além da necessidade de cumprir requisitos para o tratamento de dados pessoais, é necessário, também, haver o consentimento, com algumas exceções.

O consentimento é um dos temas mais importantes da LGPD, trazendo bastante complexidade. Em razão disso, conveniente transcrever todo o artigo 8º, que trata do assunto:

“Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.

§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.

§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.

§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.

§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração”.

IV – Tratamento de dados pessoais sensíveis

O tratamento de dados pessoais sensíveis somente poderá ocorrer em determinadas hipóteses. A uma, quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas. A duas, sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para determinadas situações.

V – Acesso facilitado ao titular

O titular dos dados tem o direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva.

VI – Direitos do titular dos dados pessoais

O titular dos dados pessoais tem direito a obter do controlador, em relação aos seus dados tratados, a qualquer momento e mediante requisição, os direitos abaixo mencionados:

  • confirmação da existência de tratamento;
  • acesso aos dados;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
  • portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
  • informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

VII – Registro de Operações e do Relatório de Impacto

A LGPD determina que o controlador e o operador mantenham registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

A autoridade nacional poderá determinar ao controlador que providencie relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, atinente a suas operações de tratamento de dados.

VIII – Encarregado pelo Tratamento de Dados Pessoais (EDP)

Como exposto anteriormente, encarregado, para os efeitos da LGPD, é a pessoa indicada pelo controlador e operador, para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

A referida legislação determina que o controlador indique um encarregado pelo tratamento de dados pessoais.

No entanto, também prevê que a autoridade nacional poderá estabelecer normas complementares acerca da definição e das atribuições do EDP, inclusive hipóteses de dispensa da necessidade de sua indicação, de acordo com a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

A identidade e as informações de contato do EDP deverão ser divulgadas publicamente, de forma clara e objetiva, de preferência, no site do controlador.

As atividades do encarregado estão previstas como sendo:

a) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

b) receber comunicações da autoridade nacional e adotar providências;

c) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

d) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

IX – Responsabilidade e do Ressarcimento de Danos

Conforme o disposto no artigo 42, da LGDP, o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano a outrem, de ordem patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Para que os agentes de tratamento não sejam responsabilizados, deverão provar:

I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

X – Tratamento de dados pessoais irregular

O tratamento de dados pessoais será considerado irregular quando não observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, como:

I – o modo pelo qual é realizado;

II – o resultado e os riscos que razoavelmente dele se esperam;

III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

O controlador ou operador respondem pelos danos decorrentes da violação de segurança dos dados ao deixar de adotar as medidas de seguranças previstas na LGPD e der causa ao dano.

XI – Sanções Administrativas

Em caso de infrações cometidas às normas previstas na LGPD, os agentes de tratamento de dados ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária, observado o limite total a que se refere o inciso II;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • dentre outras sanções.

XII – Autoridade Nacional de Proteção de Dados (ANPD)

A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão da administração pública federal, integrante da Presidência da República, sendo-lhe assegurada autonomia técnica e decisória, sendo composta de:

  • Conselho Diretor, órgão máximo de direção;
  • Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
  • Corregedoria;
  • Ouvidoria;
  • Órgão de assessoramento jurídico próprio;
  • Unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei.

XIII – Conselho Nacional de Proteção de Dados Pessoais e da Privacidade

Por sua vez, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é composto de 23 representantes, titulares e suplentes, de diferentes órgãos.

Adriano Martins Pinheiro é advogado, com escritório sediado em Portugal e filial em São Paulo/SP, certificado em cursos de formação pelo Instituto de Emprego e Formação Profissional de Portugal, professor EAD e escritor | pinheiro@advocaciapinheiro.com

LGPD | Lei Geral de Proteção de Dados

LGPD: Lei Geral de Proteção de Dados do Brasil | Capítulo por Capítulo

Home

tags