VOLTAR

LEI GERAL DE PROTEÇÃO DE DADOS – (LGPD) – LEI Nº 13.709/2018

Data: 23/01/2020

Lei Geral de Proteção de Dados, entrará em vigor no mês de agosto de 2020, tendo como objetivo regulamentar o tratamento de dados pessoais de clientes e usuários, por parte de empresas públicas e privadas.

A Lei dispõe sobre o tratamento de dados pessoais (privacidade, liberdade de expressão, inviolabilidade da honra e imagem, desenvolvimento tecnológico e inovação, livre concorrência, defesa do consumidor e direitos humanos), inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A Lei aplica-se em todo o Território Nacional, não se aplicando ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, jornalístico, acadêmico ou realizados na segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais.

Para fins desta Lei no artigo 5º define os conceitos dos dados:

I – Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II – Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III – Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV – Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V – Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI – Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII – Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII – Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD

IX – Agentes de tratamento: o controlador e o operador;

X – Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI – Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII – Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII – Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV – Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV – Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI – Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

XVII – Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XVIII – Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

XIX – Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios (finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas).

O tratamento dos dados pessoais somente poderá ser realizado, mediante o fornecimento de consentimento do titular.

Para o cumprimento de obrigação legal, estudos e pesquisas desde que garanta a anonimização, execução de contrato pela parte, exercício regular de direito, proteção a vida, para tutela da saúde, liberdade fundamental, proteção ao crédito, dispensa o consentimento desde que respeitados a previsão legal.

Dispensa o consentimento dados tornados públicos pelo titular.

O consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação do titular (autorização digital).

O consentimento pode ser revogado a qualquer momento mediante solicitação do titular.

O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso.

Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.

Em conformidade com o artigo 11, o tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

  1. a) cumprimento de obrigação legal ou regulatória pelo controlador;
  2. b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  3. c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  4. d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral.
  5. e) proteção da vida ou da incolumidade física do titular ou de terceiros;
  6. f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  7. g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
  • 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.
  • 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei.
  • 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional,
  • 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir

I – a portabilidade de dados quando solicitada pelo titular;

II – as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo

  • 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.

O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos da legislação pertinente.

 O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

Poderão ser coletados dados pessoais de crianças sem o consentimento a quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento.

O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses (verificação de que a finalidade foi alcançada, fim do período de tratamento, comunicação do titular, determinação da autoridade nacional)

Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades (cumprimento de obrigação legal, estudo por órgão de pesquisa, transferência a terceiro, uso exclusivo do controlador.

O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição (confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, eliminação dos dados pessoais tratados com o consentimento do titular, informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; revogação do consentimento).

O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.

Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.

Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.

Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.

A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.

A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informada à autoridade nacional e dependerá de consentimento do titular.

O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.

Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais.

Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional,  advertência,  multa simples, multa diária, publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais a que se refere a infração;  suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

CONCLUSÃO

A LGPD, institui a obrigatoriedade da implantação de um regime de proteção dos dados pessoais adequado às empresas públicas e privadas, tanto no que diz respeito ao ambiente online quanto aos ambientes off-line, que realizam tratamento de dados pessoais, o que engloba atividades como: (coleta, utilização, transmissão, reprodução, arquivamento).

De acordo com a nova Lei Geral de Proteção de Dados, toda empresa que realize ‘’tratamento’’ de dados pessoais, deverá instituir um regime de proteção de dados adequado para resguardar o sigilo e a privacidade dos seus clientes ou potenciais clientes, mesmo após o término da relação de consumo.

Vale destacar que tratamento de dados pessoais inclui o armazenamento (nome, gênero, data nascimento, endereço, e-mail, exames, prontuários e qualquer outra informação que permita identificar o indivíduo).

A sua estrutura se resume em:

  • Dados pessoais: é qualquer informação que possa identificar uma pessoa, ou seja, qualquer dado com os quais seja possível encontrá-la e entrar em contato com ela. Nome; RG; CPF; número de telefone, e-mail ou endereço são exemplos de dados pessoais;
  • Dados sensíveis: esses dados são aqueles que dizem respeito aos valores e convicções de cada um, como orientação sexual; etnia; opinião política; convicção religiosa, crenças filosóficas e informações de saúde. Todas essas informações podem originar discriminação e preconceito, e por isso são consideradas sensíveis;
  • Tratamento de dados: os dados podem ser usados de várias maneiras. É possível apenas armazená-los na coleta, mas podem ser compartilhados, classificados, acessados, reproduzidos, avaliados, processados e transformados em novos dados a partir dos antigos. Qualquer operação que envolva esses dados, portanto, é considerada um tratamento;
  • Titular dos dados: o titular dos dados nada mais é do que a pessoa física dona dos dados coletados;
  • Consentimento aos dados: o consentimento é a autorização que o usuário concede a terceiros em utilizarem os dados fornecidos. Essa informação precisa estar bem clara ao usuário, assim como a finalidade para qual seus dados estão sendo solicitados;
  • Anonimização e pseudoanonimização: quando um dado tem sua associação dificultada por algum processo técnico ele é chamado de dado pseudoanonimizado, pois ainda entra nas implicações da LGPD. Um dado anonimizado, no entanto, não pode ser identificado ou rastreado de forma alguma, e por isso não é considerado um dado pessoal, não se encaixando nas regras da LGPD;
  • Controlador e processador: o controlador é a pessoa ou empresa que se responsabiliza e decide o que será feito com as informações coletadas de um consumidor, enquanto o processador é quem faz o tratamento dos dados.

A LGPD permite ao usuário acessar seus dados a qualquer momento, conferindo se eles estão sendo tratados. O titular também pode descobrir com quais instituições seus dados foram compartilhados, corrigir dados errados, atualizar outros que já expiraram, transferir os mesmos dados para outra entidade pública ou privada; deletar os dados que estão sendo tratados e até revogar o consentimento.

LGPD é uma lei que impõe sanções variadas a quem infringir as regras. Inicialmente é dada uma advertência simples, que determina uma data para correção da irregularidade, multas, havendo a possibilidade também de aplicação de multa diária.

Outra forma de punição é a divulgação da irregularidade no tratamento de dados, tornando pública a infração caso seja confirmada após investigação. Da mesma maneira, os dados pessoais podem ser bloqueados e até retirados do sistema da organização.

Diante do acima exposto, concluímos que o Sindhosfil/SP, precisa se adequar a nova legislação, revisando seus contratos, orientando  seus funcionários sobre o uso adequado das informações em seu poder, ao qual não podem divulgar nenhuma informação sem o consentimento de seu titular, aditando os contratos em vigência, elaborando os novos contratos em conformidade com a legislação, armazenando e manuseando os dados de uma forma segura, evitando-se assim qualquer tipo de infração ou descumprimento da respectiva legislação acima explicitada.

São Paulo, 20 de janeiro de 2020.

Departamento Jurídico

Sindhosfil/SP.