Advocacia Portugal | Imigração

Send your message

LGPD: Lei Geral de Proteção de Dados do Brasil | Capítulo por Capítulo

Keywords

I – Introdução

A Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.853, de 2019 – dispõe sobre a proteção e tratamento de dados pessoais no Brasil, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.

Desde já, saliente-se que a multa por infração à LGPD pode chegar a R$ 50 milhões, de acordo com o art. 52, II, da LGDP. Eis um dos motivos de sua importância.

II – Definições

O artigo 5º define diversos termos da legislação. Conveniente transcrever alguns:

  • dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
  • agentes de tratamento: o controlador e o operador;
  • tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
  • relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

III – Consentimento

Além da necessidade de cumprir requisitos para o tratamento de dados pessoais, é necessário, também, haver o consentimento, com algumas exceções.

O consentimento é um dos temas mais importantes da LGPD, trazendo bastante complexidade. Em razão disso, conveniente transcrever todo o artigo 8º, que trata do assunto:

“Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.

§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.

§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.

§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.

§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração”.

IV – Tratamento de dados pessoais sensíveis

O tratamento de dados pessoais sensíveis somente poderá ocorrer em determinadas hipóteses. A uma, quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas. A duas, sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para determinadas situações.

V – Acesso facilitado ao titular

O titular dos dados tem o direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva.

VI – Direitos do titular dos dados pessoais

O titular dos dados pessoais tem direito a obter do controlador, em relação aos seus dados tratados, a qualquer momento e mediante requisição, os direitos abaixo mencionados:

  • confirmação da existência de tratamento;
  • acesso aos dados;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
  • portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
  • informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

VII – Registro de Operações e do Relatório de Impacto

A LGPD determina que o controlador e o operador mantenham registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

A autoridade nacional poderá determinar ao controlador que providencie relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, atinente a suas operações de tratamento de dados.

VIII – Encarregado pelo Tratamento de Dados Pessoais (EDP)

Como exposto anteriormente, encarregado, para os efeitos da LGPD, é a pessoa indicada pelo controlador e operador, para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

A referida legislação determina que o controlador indique um encarregado pelo tratamento de dados pessoais.

No entanto, também prevê que a autoridade nacional poderá estabelecer normas complementares acerca da definição e das atribuições do EDP, inclusive hipóteses de dispensa da necessidade de sua indicação, de acordo com a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

A identidade e as informações de contato do EDP deverão ser divulgadas publicamente, de forma clara e objetiva, de preferência, no site do controlador.

As atividades do encarregado estão previstas como sendo:

a) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

b) receber comunicações da autoridade nacional e adotar providências;

c) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

d) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

IX – Responsabilidade e do Ressarcimento de Danos

Conforme o disposto no artigo 42, da LGDP, o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano a outrem, de ordem patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Para que os agentes de tratamento não sejam responsabilizados, deverão provar:

I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

X – Tratamento de dados pessoais irregular

O tratamento de dados pessoais será considerado irregular quando não observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, como:

I – o modo pelo qual é realizado;

II – o resultado e os riscos que razoavelmente dele se esperam;

III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

O controlador ou operador respondem pelos danos decorrentes da violação de segurança dos dados ao deixar de adotar as medidas de seguranças previstas na LGPD e der causa ao dano.

XI – Sanções Administrativas

Em caso de infrações cometidas às normas previstas na LGPD, os agentes de tratamento de dados ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária, observado o limite total a que se refere o inciso II;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • dentre outras sanções.

XII – Autoridade Nacional de Proteção de Dados (ANPD)

A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão da administração pública federal, integrante da Presidência da República, sendo-lhe assegurada autonomia técnica e decisória, sendo composta de:

  • Conselho Diretor, órgão máximo de direção;
  • Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
  • Corregedoria;
  • Ouvidoria;
  • Órgão de assessoramento jurídico próprio;
  • Unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei.

XIII – Conselho Nacional de Proteção de Dados Pessoais e da Privacidade

Por sua vez, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é composto de 23 representantes, titulares e suplentes, de diferentes órgãos.

Adriano Martins Pinheiro é advogado, com escritório sediado em Portugal e filial em São Paulo/SP, certificado em cursos de formação pelo Instituto de Emprego e Formação Profissional de Portugal, professor EAD e escritor | pinheiro@advocaciapinheiro.com

LGPD | Lei Geral de Proteção de Dados

LGPD: Lei Geral de Proteção de Dados do Brasil | Capítulo por Capítulo

Home

tags

Share this post

Advogado em Portugal Adriano Martins Pinheiro. Direito de Imigração

Adriano Martins Pinheiro

Immigration Lawyer

Need legal advice?

Lawyer registered with the Portuguese Bar Association

I want to speak to the lawyer