Etiqueta: lgpd

  • LGPD: Lei Geral de Proteção de Dados do Brasil | Capítulo por Capítulo

    LGPD: Lei Geral de Proteção de Dados do Brasil | Capítulo por Capítulo

    I – Introdução

    A Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.853, de 2019 – dispõe sobre a proteção e tratamento de dados pessoais no Brasil, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.

    Desde já, saliente-se que a multa por infração à LGPD pode chegar a R$ 50 milhões, de acordo com o art. 52, II, da LGDP. Eis um dos motivos de sua importância.

    II – Definições

    O artigo 5º define diversos termos da legislação. Conveniente transcrever alguns:

    • dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
    • dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
    • controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
    • operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
    • encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
    • agentes de tratamento: o controlador e o operador;
    • tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
    • consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
    • relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

    III – Consentimento

    Além da necessidade de cumprir requisitos para o tratamento de dados pessoais, é necessário, também, haver o consentimento, com algumas exceções.

    O consentimento é um dos temas mais importantes da LGPD, trazendo bastante complexidade. Em razão disso, conveniente transcrever todo o artigo 8º, que trata do assunto:

    “Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

    § 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.

    § 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.

    § 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.

    § 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

    § 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.

    § 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração”.

    IV – Tratamento de dados pessoais sensíveis

    O tratamento de dados pessoais sensíveis somente poderá ocorrer em determinadas hipóteses. A uma, quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas. A duas, sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para determinadas situações.

    V – Acesso facilitado ao titular

    O titular dos dados tem o direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva.

    VI – Direitos do titular dos dados pessoais

    O titular dos dados pessoais tem direito a obter do controlador, em relação aos seus dados tratados, a qualquer momento e mediante requisição, os direitos abaixo mencionados:

    • confirmação da existência de tratamento;
    • acesso aos dados;
    • correção de dados incompletos, inexatos ou desatualizados;
    • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
    • portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
    • eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
    • informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
    • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
    • revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

    VII – Registro de Operações e do Relatório de Impacto

    A LGPD determina que o controlador e o operador mantenham registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

    A autoridade nacional poderá determinar ao controlador que providencie relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, atinente a suas operações de tratamento de dados.

    VIII – Encarregado pelo Tratamento de Dados Pessoais (EDP)

    Como exposto anteriormente, encarregado, para os efeitos da LGPD, é a pessoa indicada pelo controlador e operador, para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

    A referida legislação determina que o controlador indique um encarregado pelo tratamento de dados pessoais.

    No entanto, também prevê que a autoridade nacional poderá estabelecer normas complementares acerca da definição e das atribuições do EDP, inclusive hipóteses de dispensa da necessidade de sua indicação, de acordo com a natureza e o porte da entidade ou o volume de operações de tratamento de dados.

    A identidade e as informações de contato do EDP deverão ser divulgadas publicamente, de forma clara e objetiva, de preferência, no site do controlador.

    As atividades do encarregado estão previstas como sendo:

    a) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

    b) receber comunicações da autoridade nacional e adotar providências;

    c) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

    d) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

    IX – Responsabilidade e do Ressarcimento de Danos

    Conforme o disposto no artigo 42, da LGDP, o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar dano a outrem, de ordem patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

    Para que os agentes de tratamento não sejam responsabilizados, deverão provar:

    I – que não realizaram o tratamento de dados pessoais que lhes é atribuído;

    II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

    III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

    X – Tratamento de dados pessoais irregular

    O tratamento de dados pessoais será considerado irregular quando não observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, como:

    I – o modo pelo qual é realizado;

    II – o resultado e os riscos que razoavelmente dele se esperam;

    III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

    O controlador ou operador respondem pelos danos decorrentes da violação de segurança dos dados ao deixar de adotar as medidas de seguranças previstas na LGPD e der causa ao dano.

    XI – Sanções Administrativas

    Em caso de infrações cometidas às normas previstas na LGPD, os agentes de tratamento de dados ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

    • advertência, com indicação de prazo para adoção de medidas corretivas;
    • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
    • multa diária, observado o limite total a que se refere o inciso II;
    • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
    • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
    • eliminação dos dados pessoais a que se refere a infração;
    • dentre outras sanções.

    XII – Autoridade Nacional de Proteção de Dados (ANPD)

    A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão da administração pública federal, integrante da Presidência da República, sendo-lhe assegurada autonomia técnica e decisória, sendo composta de:

    • Conselho Diretor, órgão máximo de direção;
    • Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
    • Corregedoria;
    • Ouvidoria;
    • Órgão de assessoramento jurídico próprio;
    • Unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei.

    XIII – Conselho Nacional de Proteção de Dados Pessoais e da Privacidade

    Por sua vez, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é composto de 23 representantes, titulares e suplentes, de diferentes órgãos.

    Adriano Martins Pinheiro é advogado, com escritório sediado em Portugal e filial em São Paulo/SP, certificado em cursos de formação pelo Instituto de Emprego e Formação Profissional de Portugal, professor EAD e escritor | pinheiro@advocaciapinheiro.com

    LGPD | Lei Geral de Proteção de Dados

    LGPD: Lei Geral de Proteção de Dados do Brasil | Capítulo por Capítulo

    https://advocaciapinheiro.com/

    tags

  • RGPD: A proteção de dados na União Europeia e a aplicação em Portugal

    RGPD: A proteção de dados na União Europeia e a aplicação em Portugal

    Encarregado de Proteção de Dados (EPD) ou Data Protection Officer (DPO)

    I – Introdução

    Todos já sabem que a proteção de dados na União Europeia é regulada pela RGPD (Regulamento 2016/679) e que as infrações podem gerar multa de, até, 20 milhões de euros.

    Além disso, a norma é aplicável a qualquer país, independente de pertencer, ou não, a União Europeia, bastando que o tratamento de dados de dados pessoais refira-se à pessoa singular que esteja no território da UE.

    Portanto, mesmo em se tratando de um detentor de dados do Brasil, por exemplo, mas que trata de dados pessoais de pessoa singular que esteja na União Europeia, não se aplicaria a Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº. 13.709/2018.

    Portanto, eis a importância do estudo da RGPD para restante do mundo.

    Considerando que, a evolução tecnológica e a globalização crescem rápida e continuamente, é natural que as pessoas singulares forneçam seus dados pessoais cada vez mais, de forma voluntária ou involuntária.

    Em razão disso, a RGPD estabelece as regras relativas à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, defendendo direitos e as liberdades fundamentais dessas pessoas, nomeadamente o seu direito à proteção dos dados pessoais.

    II – Definição de dados pessoais na RGPD

    Para efeitos da RGPD, entende-se por “dados pessoais”:

    (…) “a informação relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular” (art. 4º, 1).

    III – Violação de dados pessoais

    Violação de dados pessoais é aquela violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

    Vale destacar que a violação é punível, mesmo que se alegue que o ato foi acidental. Assim, fica evidenciada a responsabilidade daquele que detém e trata os dados pessoais.

    IV – Consentimento

    Outra definição importante é a relativa ao consentimento. Segundo a RGPD, consentimento é uma manifestação de vontade do titular dos dados, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

    Vale lembrar que, quando o tratamento for realizado com base no consentimento, o responsável pelo tratamento deve poder demonstrar que o titular dos dados deu o seu consentimento para o tratamento dos seus dados pessoais.

    Além disso, se o consentimento do titular dos dados for dado no contexto de uma declaração escrita que diga também respeito a outros assuntos, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente desses outros assuntos de modo inteligível e de fácil acesso e numa linguagem clara e simples. Não é vinculativa qualquer parte dessa declaração que constitua violação do presente regulamento.

    Frise-se que, o titular dos dados tem o direito de retirar o seu consentimento a qualquer momento.

    O tema consentimento é complexo, gerando diversas interpretações. Abordaremos esse assunto em outra oportunidade, de maneira mais aprofundada.

    V – Tratamento de categorias especiais de dados pessoais

    A RGPD faz menção ao tratamento de categorias especiais de dados pessoais. De acordo com o artigo 9º, 1, do Regulamento:

    “É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa”.

    Contudo, há casos em que a proibição não se aplica – o que é detalhado no próprio artigo.

    VI – Direito da portabilidade dos dados

    De acordo com o artigo 20º, da RGPD, o titular dos dados tem o direito de receber os dados pessoais que lhe digam respeito e que tenha fornecido a um responsável pelo tratamento, num formato estruturado, de uso corrente e de leitura automática, e o direito de transmitir esses dados a outro responsável pelo tratamento sem que o responsável a quem os dados pessoais foram fornecidos o possa impedir, dentre algumas hipóteses.

    O tema portabilidade também merece especial atenção, pelo que também faremos uma bordagem específica.

    VII – Direito de oposição

    O titular dos dados tem o direito de se opor a qualquer momento, por motivos relacionados com a sua situação particular, ao tratamento dos dados pessoais que lhe digam respeito, com base no artigo 6º, nº 1, alínea e) ou f), ou no artigo 6.º, nº 4, da RGPD, incluindo a definição de perfis com base nessas disposições.

    Nesse caso, o responsável pelo tratamento deve cessar o tratamento dos dados pessoais, a não ser que apresente razões imperiosas e legítimas para esse tratamento que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para efeitos de declaração, exercício ou defesa de um direito num processo judicial.

    VIII – Responsabilidade do responsável pelo tratamento

    Tendo em vista a natureza, o âmbito, o contexto e as finalidades do tratamento dos dados, além dos riscos para os direitos e liberdades das pessoas singulares, cuja probabilidade e gravidade podem ser variáveis, o responsável pelo tratamento deve aplicar as medidas técnicas e organizativas que forem adequadas para assegurar e poder comprovar que o tratamento é realizado em conformidade com o presente regulamento.

    Ao tratar de responsabilidade, deve-se fazer menção ao subcontratante, que é a pessoa singular ou coletiva, autoridade pública, agência ou outro organismo que trate os dados pessoais por conta do responsável pelo tratamento destes.

    IX – Comunicação de uma violação de dados pessoais ao titular dos dados

    Quando a violação dos dados pessoais for suscetível de implicar um elevado risco para os direitos e liberdades das pessoas singulares, o responsável pelo tratamento comunica a violação de dados pessoais ao titular dos dados sem demora injustificada.

    X – Encarregado da proteção de dados

    A designação do Encarregado de Proteção de Dados (EPD) ou Data Protection Officer (DPO) é tratada no artigo 37, da RGPD. Apesar de não ser obrigatório, a designação de um EPD é recomendada a todas as grandes organizações, principalmente aquelas que tratam de dados sensíveis.

    Para melhor fundamentar, conveniente transcrever o que diz o mencionado artigo 37, da RGPD:

    1. O responsável pelo tratamento e o subcontratante designam um encarregado da proteção de dados sempre que:

    a) O tratamento for efetuado por uma autoridade ou um organismo público, excetuando os tribunais no exercício da sua função jurisdicional;

    b) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento que, devido à sua natureza, âmbito e/ou finalidade, exijam um controlo regular e sistemático dos titulares dos dados em grande escala; ou

    c) As atividades principais do responsável pelo tratamento ou do subcontratante consistam em operações de tratamento em grande escala de categorias especiais de dados nos termos do artigo 9º e de dados pessoais relacionados com condenações penais e infrações a que se refere o artigo 10º.

    Ainda em relação ao encarregado de proteção de dados, vale dizer que, um grupo empresarial pode também designar um único encarregado da proteção de dados desde que haja um encarregado da proteção de dados que seja facilmente acessível a partir de cada estabelecimento.

    Em razão da complexidade do tema “Encarregado da proteção de dados”, teremos um texto exclusivo para tratá-lo.

    XI – Legislação em Portugal

    Em razão da relação de investidores e organizações entre Portugal e Brasil, vale mencionar que, em Portugal há duas legislações pertinentes à proteção de dados pessoais e a RGPD:

    A Lei n.º 58/2019, de 8 de agosto: Que assegura a execução, na ordem jurídica nacional, da RGPD, relativo à proteção das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

    Lei n.º 59/2019, de 8 de agosto: Que aprova as regras relativas ao tratamento de dados pessoais para efeitos de prevenção, deteção, investigação ou repressão de infrações penais ou de execução de sanções penais, transpondo a Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho, de 27 de abril de 2016.

    Adriano Martins Pinheiro é advogado, sediado em Portugal e com filial em São Paulo/BR, pós-graduado em direito empresarial e contratos pela FGV, direito imobiliário pela EPD, palestrante, formador e escritor (pinheiro@advocaciapinheiro.com)

    RGPD | Proteção de Dados

    Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº. 13.709/2018

    https://europa.eu/