Saltar para o conteúdo

Lei Geral de Proteção de Dados Pessoais

Origem: Wikipédia, a enciclopédia livre.
Lei Geral de Proteção de Dados Pessoais
Congresso Nacional do Brasil
Citação Lei nº 13.709 de 14 de agosto de 2018
Jurisdição Todo o Brasil[nota 1]
Aprovado por Câmara dos Deputados
Aprovado em 29 de maio de 2018
Aprovado por Senado Federal
Aprovado em 10 de julho de 2018
Transformado em lei por Presidente Michel Temer
Transformado em lei em 14 de agosto de 2018
Vetado por Presidente Michel Temer
Vetado em 14 de agosto de 2018
Tipo do veto Parcial
Em vigor 16 de agosto de 2020
Histórico Legislativo
Casa iniciadora: Câmara dos Deputados
Nome do projeto de lei Projeto de lei 4060/2012
Citação do projeto de lei PL 4060/2012
Apresentado por Dep. Milton Monti (PL-SP)
Apresentado em 13 de junho de 2012
Primeira leitura 28 de junho de 2012
Segunda leitura 29 de maio de 2018
Terceira leitura 29 de maio de 2018
Aprovado 29 de maio de 2018
Casa revisora: Senado Federal
Nome do projeto de lei Projeto de Lei da Câmara n° 53, de 2018
Citação do projeto de lei PLC 53/2018
Recebido de Câmara dos Deputados em 1 de junho de 2018
Primeira leitura 1 de junho de 2018
Segunda leitura 10 de julho de 2018
Aprovado 10 de julho de 2018
Tramitação final
Reconsideração da Câmara dos Deputados depois do veto 5 de junho de 2019
Resumo da votação
  • 402 votaram para manter o veto
  • 43 votaram para rejeitar o veto
Resumo geral
Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014.
Palavras-chave
Privacidade, proteção de dados
Estado: Em vigor

A Lei Geral de Proteção de Dados Pessoais (com sigla LGPD ou LGPDP), ou Lei nº 13.709/2018,[1] é a lei brasileira aprovada em 2018 que controla a privacidade e o uso/tratamento de dados pessoais,[2] e que também altera os artigos 7º e 16º do Marco Civil da Internet.[3]

O Brasil passou a fazer parte dos países que contam com uma legislação específica para proteção de dados e da privacidade dos seus cidadãos.[4] Outros regulamentos similares à LGPD no Brasil são o Regulamento Geral sobre a Proteção de Dados (GDPR) na União Europeia (UE), que passou a ser obrigatório em 25 de maio de 2018 e aplicável a todos os países-membros,[5] e o California Consumer Privacy Act of 2018 (CCPA)[6] nos Estados Unidos da América, implementado através de uma iniciativa em âmbito estadual, na Califórnia, onde foi aprovado no dia 28 de junho de 2018 (AB 375).[7]

A legislação se fundamenta em diversos valores, como o respeito à privacidade; à autodeterminação informativa; à liberdade de expressão, opinião, informação e, comunicação; à inviolabilidade da intimidade, da honra e da imagem; ao desenvolvimento econômico e tecnológico e a inovação; à livre iniciativa, livre concorrência e defesa do consumidor e aos direitos humanos de liberdade e dignidade das pessoas.

A LGPD cria um conjunto de novos conceitos jurídicos (por exemplo "dados pessoais sensíveis"), estabelece as condições nas quais os dados pessoais podem ser tratados, define um conjunto de direitos para os titulares dos dados, gera obrigações específicas para os controladores dos dados e cria uma série de procedimentos e normas para que haja maior cuidado com o tratamento desses dados e compartilhamento com terceiros.[8] Toda informação relacionada a pessoa natural identificada (ou que possa ser identificável) que tratem do aspeto: racial/étnico, convicção religiosa, opinião política, filosófico, filiação a sindicato, referente à saúde, à vida sexual, genético/biométrico, sempre que os mesmos estiverem vinculados a uma pessoa natural.[9]

Contexto da aprovação

[editar | editar código-fonte]

Além do fato de o projeto de lei ter sido fruto da aglutinação de outras propostas que há muito tempo vinham tramitando paralelamente sobre o tema, os escândalos de privacidade do Facebook – em que a empresa Cambridge Analytica utilizou de dados dos usuários para que pudessem fazer uma campanha política mais assertiva e customizada na eleição de Donald Trump em 2016 – também trouxeram visibilidade para o assunto.[10]

A segurança de dados e a privacidade passaram a ser pautas recorrentes, recaindo uma cobrança sobre os políticos brasileiros no sentido de tratar dessas questões, já que não havia no país legislação com objetivo específico de defender os dados dos usuários e definir responsabilidades relativas ao tratamento destes.[11] Tal abordagem se justifica mediante as regulamentações estabelecidas pelo Estado brasileiro para a manipulação, tratamento e armazenamento de dados pessoais por organizações.[12]

Há também investigações acontecendo no Brasil. Várias instituições tem se dividido na defesa dos dados pessoais. Muitas vezes são as instituições de São Paulo que atuam nos casos já que é o estado onde geralmente as multinacionais tem sua sede. No final de julho de 2019, o PROCON-SP cobrou explicações sobre coletas de dados ao FaceApp (aplicativo), Google e Apple. Em 2018 o Ministério Público Federal de São Paulo (MPF-SP) processou a Microsoft por coletas de dados dos usuários sem autorização explícita, também em julho o Ministério Público do Distrito Federal e dos Territórios (MPDFT) sinalizou um possível comércio entre órgãos públicos, onde o produto são os dados das pessoas, obtidos através de informações pessoais como as informações da Carteira Nacional de Habilitação, sem que houvesse consentimento dos donos e que isso estaria violando o Marco Civil da Internet e a própria LGPD. O Serpro negou as acusações, alegando que disponibiliza por meio de um serviço e citando uma portaria do Ministério da Fazenda.[13]

Tramitação no Congresso Nacional

[editar | editar código-fonte]

Em novembro de 2010 teve início no Brasil o debate sobre a proteção de dados pessoais, com o propósito de se elaborar uma lei específica sobre o tema.[14] Até abril de 2011 foram colhidas manifestações por meio de um blog mantido pelo Ministério da Justiça na plataforma Cultura Digital, do Ministério da Cultura. O resultado desse primeiro debate nunca chegou a ser enviado pelo Poder Executivo ao Congresso Nacional.

Em junho de 2012, o Deputado Milton Monti (PR-SP) apresentou na Câmara dos Deputados o Projeto de Lei nº 4060,[15] como produto das discussões do V Congresso Brasileiro da Indústria da Comunicação.[16] E em 2014, o Senador Vital do Rêgo apresentou o PLS 181/2014.

Em janeiro de 2015 o governo federal reiniciou, sob a gestão da Secretaria Nacional do Consumidor do Ministério da Justiça, o debate público para a elaboração de um anteprojeto de lei.[17] As duas consultas públicas somaram 2.500 contribuições nacionais e internacionais, de todos os setores, além de incontáveis eventos presenciais de debate. O texto resultante foi apresentado publicamente em outubro do mesmo ano.[18][19]

Em maio de 2016, na véspera de seu afastamento do governo, a então presidente Dilma Rousseff encaminhou ao Congresso, em regime de urgência, o anteprojeto de lei, recebido como Projeto de Lei nº 5276/2016.[20] Em julho de 2016, o presidente interino Michel Temer retirou o regime de urgência e o PL 5276/16 tramitou formalmente na Câmara dos Deputados apensado ao 4060/12.[21][22]

Em julho de 2018 o Projeto Lei da Câmara 53/2018[23] foi aprovado no plenário do Senado. A Lei Geral de Proteção de Dados foi sancionada em 14 de agosto de 2018, publicada no Diário Oficial da União em 15 de agosto de 2018, e republicada parcialmente no mesmo dia, em edição extra. O início da vigência seria em 18 meses[24] desde a publicação.

O projeto sofreu vetos. Sob a alegação, bastante questionada,[25][26] de vício de iniciativa, Temer vetou a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão de fiscalização.[27]

Em dezembro de 2018, Temer editou a Medida Provisória nº 869, de 27 de dezembro de 2018, prevendo a criação da ANPD e alterando o início da vigência da lei para agosto de 2020.[28][29]

Relação das definições estabelecidas pela LGPD:[1]

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
  • Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
  • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
  • Agentes de tratamento: o controlador e o operador;
  • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
  • Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
  • Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
  • Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
  • Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
  • Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
  • Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
  • Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Tanto as empresas como os profissionais autônomos que utilizam dados pessoais em seu negócio devem iniciar um projeto de adequação à LGPD. Porém, a LGPD não é aplicada as pessoas físicas que usam dados pessoais com finalidades domésticas, por exemplo: a utilização de rede social, troca de correspondências, lista de contatos, blogs etc.[carece de fontes?]

E, de acordo com o recente Guia Orientativo da ANPD, os funcionários  – do setor público ou privado – que trabalham mediante subordinação das decisões de empresas (poder diretivo, art. 2 e 3 da CLT) também não são considerados agentes de tratamento.[carece de fontes?]

Os dados pessoais

[editar | editar código-fonte]

São informações de pessoas naturais vivas que, direta ou indiretamente, identificam um indivíduo.

A informação direta é aquela que permite a imediata individualização da pessoa. A informação indireta é a que permite por meio da reunião de informações, chegar à identificação do sujeito.

Para facilitar o entendimento observe os exemplos:

  • identificação direta: um cliente, ao fazer uma compra on-line, informa seu nome completo e CPF, ou seja, a loja virtual com essas informações  consegue identificar o indivíduo que realizou a compra.
  • identificação indireta: uma empresa não cadastrou o nome completo ou o CPF de um cliente, a princípio, a companhia não teria como identificá-lo. Porém, utilizando outras informações que possui, é possível descobrir sua identidade. Tais como: profissão, endereço, gênero, ou qualquer outro dado que ajude a identificá-lo.

Em outras palavras, a identificação indireta ocorre quando associamos informações, que isoladamente não conseguem identificar um indivíduo, para descobrimos a identidade de uma pessoa.

Princípios da LGPD

[editar | editar código-fonte]

Princípios que guiam o tratamento de dados pessoais previstos na Lei Geral de Proteção de Dados Pessoais (LGPD – Lei  nº 13.709/2018):

  • Princípio da boa-fé
  • Princípio da finalidade 
  • Princípio da adequação
  • Princípio da necessidade
  • Princípio do livre acesso
  • Princípio da qualidade dos dados
  • Princípio da transparência
  • Princípio da segurança
  • Princípio da prevenção
  • Princípio da não discriminação
  • Princípio da responsabilização e prestação de contas

Direito dos titulares dos dados pessoais

[editar | editar código-fonte]

Em seu artigo 18, a LGPD traz os direitos dos titulares de dados pessoais. Os titulares poderão solicitar, a qualquer momento:

  • Confirmação da existência de tratamento.
  • Acesso aos seus dados.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados tratados em desconformidade com a LGPD.
  • Portabilidade dos dados a outro fornecedor de serviço ou produto.
  • Eliminação dos dados pessoais tratados com o consentimento do titular
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  • Revogação do consentimento.
  • Oposição ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na lei.
  • Revisão de decisões automatizadas.

Bases legais para o tratamento de dados pessoais

[editar | editar código-fonte]

É importante destacar que a LGPD limitou – taxativamente – as possibilidades de tratamento de dados, ou seja, somente poderá o controlador utilizar dados pessoais com fundamento em, pelo menos, uma das 10 bases legais que veremos adiante:

Em outras palavras, o controlador é obrigado a informar qual base legal ele utiliza para cada tratamento de dados.

Vejamos agora quais são elas:

  • Consentimento do titular dos dados
  • Cumprimento de obrigação legal
  • Administração Pública
  • Estudos por órgão de pesquisa
  • Execução de contrato
  • Processo judicial, administrativo ou arbitral
  • Proteção da vida
  • Tutela da saúde
  • Interesse legítimo
  • Proteção de crédito

Do encarregado pelo tratamento de dados pessoais

[editar | editar código-fonte]

Quem é a figura do encarregado pelo tratamento de Dados Pessoais ?

[editar | editar código-fonte]

Um dos pontos fundamentais em um projeto de adequação é a escolha do Encarregado de dados pessoas.

Inclusive, o controlador – de direito público ou privado -, é obrigado a indicar alguém para exercer esse cargo.

Segundo as orientação da ANPD e da LGPD, o Encarregado pode ser pessoa natural (física) ou jurídica.

Suas as atividades são:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Portanto, o encarregado é quem irá auxiliar o controlador (dentro de um processo de adequação) e também fará a intermediação entre os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Além disso, o Encarregado deve ter liberdade e independência para exercer suas atividades.

Quem pode ser nomeado como encarregado de dados?

[editar | editar código-fonte]

Segundo as recentes diretrizes da ANPD, o encarregado pode ser:

  • um funcionário da empresa
  • um agente externo
  • pessoa física ou jurídica

Além disso, é recomendável que o encarregado seja indicado por um ato formal, como um contrato de prestação de serviços ou um ato administrativo.

Fiscalização

[editar | editar código-fonte]

A lei entrou em vigor 24 meses após a sua publicação no Diário Oficial da União, ou seja, a partir de agosto de 2020. As infrações devem ser aplicadas pela ANPD.[23] A criação da ANPD havia sido vetada pelo presidente Michel Temer,[27] criando o questionamento sobre a efetividade da lei caso a autoridade nacional não fosse criada.[30][31]

Autoridade Nacional de Proteção de Dados

[editar | editar código-fonte]

Após o veto às disposições relacionadas à Autoridade Nacional de Proteção de Dados (ANPD) originalmente previstas na Lei Geral de Proteção de Dados, o então presidente Michel Temer editou a medida provisória nº 869, de 27 de dezembro de 2018[32], que criou a ANPD e tratou do tema separadamente.

Antes da aprovação pelo Congresso Nacional, a medida provisória sofreu várias alterações, nos termos do Projeto de Lei de Conversão nº 7 de 2019[33].

Em julho de 2019 foi sancionada pelo presidente Jair Bolsonaro como Lei nº 13.853[34], com veto a nove dispositivos.[35]

A Lei nº 13.853, de 8 de julho de 2019 [34]

[editar | editar código-fonte]

Na Lei nº 13.853, de 8 de julho de 2019, foi atribuída à Autoridade Nacional de Proteção de Dados natureza transitória de órgão da administração pública federal, vinculado à Presidência da República, podendo ser transformada em autarquia após dois anos, a critério do Poder Executivo.

Apesar da vinculação administrativa da ANPD à Presidência, a lei assegura sua autonomia técnica e decisória.

Quanto à organização interna da ANPD, esta deverá seguir a seguinte estrutura:

  • Um Conselho diretor (órgão máximo de direção).
  • Um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.
  • Uma Corregedoria.
  • Uma Ouvidoria.
  • Um Órgão de assessoramento jurídico próprio.
  • Unidades administrativas e especializadas necessárias à aplicação do disposto na lei.

Os diretores, que integrarão o Conselho Diretor da ANPD, terão mandatos fixos e serão escolhidos pelo Presidente da república, embora sujeitos à aprovação pelo Senado Federal.

Dentre as competências da ANPD estabelecidas na legislação, estão a de zelar pela proteção dos dados pessoais, elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, fiscalizar e aplicar sanções nos casos de descumprimento da legislação, promover o conhecimento das normas e políticas públicas sobre proteção de dados pessoais e das medidas de segurança; editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade; realizar auditorias e celebrar compromissos para eliminação de irregularidades. A lei entrou em vigor na data de sua publicação (9 de julho de 2019).

A atuação do MPDFT

[editar | editar código-fonte]

A Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec)[36] do Ministério Público do Distrito Federal e Territórios (MPDFT) foi a primeira iniciativa nacional dedicada exclusivamente à proteção dos dados pessoais e da privacidade dos brasileiros. O MPDFT já instaurou ações contra Uber[37] e Netshoes[38] em casos de vazamento de dados pessoais de usuários.

Das sanções administrativas

[editar | editar código-fonte]

As sanções administrativas para o descumprimento da LGPD estão previstas no art. 52. São elas:

  • Advertência, com indicação de prazo para adoção de medidas corretivas.
  • Multa simples, de até 2% do faturamento líquido da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração.
  • Multa diária.
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência.
  • Bloqueio dos dados pessoais envolvidos na infração até a sua regularização.
  • Eliminação dos dados pessoais envolvidos na infração.
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Proteção de dados como direito fundamental

[editar | editar código-fonte]

No início de julho de 2019, em meio as notícias de vazamentos de dados pessoais do então ministro da justiça Sergio Moro, o Senado aprovou o encaminhamento de uma proposta de emenda à Constituição, Proposta de Emenda à Constituição (PEC) 17/2019[39]. Essa PEC pretendeu classificar a proteção de dados como direito fundamental, alterando o inciso XII do art. 5º, que define como “inviolável” o sigilo de correspondência e de comunicações telegráficas, de dados e comunicações telefônicas.

No ano 2022, o Congresso Nacional promulgou a Emenda Constitucional (EC 115), que inclui a proteção de dados pessoais entre os direitos e garantias fundamentais. O texto também fixa a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. A EC 115 atribui à União as competências de organizar e fiscalizar a proteção e o tratamento de dados pessoais, de acordo com a Lei Geral de Proteção de Dados (LGPD — 13.709, de 2018), aprovada em 2018 e em vigor desde setembro de 2020.

De acordo com seu texto, o art. 5º da Constituição Federal passa a conter o inciso LXXIX nos seguintes termos: é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais.

As mudanças geradas pela Lei Geral de Proteção de Dados (LGPD) [1][40]

[editar | editar código-fonte]

A Lei Geral de Proteção de Dados (LGPD) representa um avanço na segurança de dados pessoais ao definir uma padronização elevada para a proteção das informações relacionadas à pessoa física. A aprovação dessa lei resulta em transformações no âmbito organizacional e na maneira com que as empresas tratam os dados pessoais ao apresentar as diretrizes sobre a conduta correta para tal tratamento, resultando na necessidade de revisão dos processos de administração e segurança das informações.

Primeiramente, para que os dados pessoais possam ser coletados e tratados, é necessário que o titular, a pessoa com direitos sobre eles e sobre a qual os dados se referem, consinta explicitamente a sua utilização. Este consentimento deve ser fornecido apenas após o titular ter sido devidamente informado sobre os termos de uso, as extensões da autorização e a necessidade da aquisição de tais dados. Para essa regra, aplica-se exceções nas situações em que o uso das informações for indispensável para cumprir alguma obrigação legal ou executar políticas públicas previstas em lei.

A lei também fornece ao cidadão o controle sobre os seus dados e uma série de garantias, entre as quais, o direito de requerer a exclusão dos seus dados e de cancelar o consentimento. Assim, a LGPD fornece ao indivíduo o controle sobre suas informações e a capacidade de punir os responsáveis por danos devido ao uso indevido e nocivo dos dados.

Para assegurar o cumprimento da LGPD foi criada a instituição denominada Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar a segurança dos dados pessoais por parte das pessoas jurídicas, podendo solicitar relatórios de privacidade às empresas para verificar se a conduta condiz com o estabelecido pela lei. Além disso, terá como tarefa a regulamentação e orientação preventiva sobre como realizar a aplicação da Lei Geral de Proteção de Dados. A autoridade nacional disponibilizará alertas e orientações às organizações antes de aplicar as penalidades, que serão definidas conforme a gravidade da falha.

Além da ANPD, a lei também conta com os agentes de tratamento de dados, sendo eles: agente controlador, responsável pelas decisões sobre o tratamento; agente operador, que executa o tratamento conforme definido pelo controlador; e agente encarregado, cuja função é a interação com os cidadãos e a autoridade nacional, o qual poderá não existir dependendo do porte organizacional.

Por último, há a administração de riscos e falhas, que representa a necessidade de definir medidas preventivas de segurança, adotar boas certificações do mercado, realizar auditorias, elaborar planos de contingência, e apresentar resoluções ágeis perante incidentes. Dessa forma, no caso de vazamento de dados, a empresa deverá imediatamente informar a ANPD e os titulares afetados.

Conceituação através de exemplos

[editar | editar código-fonte]

Entre os conceitos fundamentais da LGPD, dado pessoal e dado pessoal sensível são particularmente importantes para a gestão de bancos de dados. A seguir algumas situações ilustrativas onde os conceitos podem ou não ser atribuídos:

  1. uma lista isolada de endereços residenciais não representa dados pessoais segundo a LGPD.
  2. o par (ou lista de pares) RG-endereço sim, é dado pessoal.
  3. uma lista de RGs, por exemplo das pessoas que entraram num teatro, não seria caracterizada como dados pessoais sensíveis (apenas pessoais).
  4. uma tabela indicando a estatística do perfil das pessoas que entraram no teatro, por ex. pares quantidade-sexo, não é um dado pessoal, portanto não é sensível… Mas, e de onde veio essa contagem? Imaginemos duas situações:
    • se a tabela teve como origem da contagem uma enquete respondida em sigilo e anonimamente, não haveria problema;
    • se a origem fosse um formulário com outros dados pessoais (ex. nome), a simples contagem caracterizaria operação de tratamento e portanto demandaria consentimento de cada titular. PS: se a entrada do teatro for composta de catracas, uma para cada orientação sexual, perde-se o anonimato, de modo que essa coleta de dados (implícita pelas catracas) estaria sujeita à LGPD.
  5. a listagem de pares RG-sexo é um banco de dados pessoais sensíveis.
  6. uma lista de endereços apresentada ao lado da lista de RGs, ambas “das pessoas que entraram no teatro”, apesar de não ser uma lista de pares RG-endereço, permite o entendimento dos endereços como dados pessoais, conforme a quantidade de itens (quanto menor o número maior o risco).

Notas

  1. Também se aplica para empresas estrangeiras que usam dados pessoais de brasileiros.

Referências

  1. a b c «LEI Nº 13.709, DE 14 DE AGOSTO DE 2018». www.planalto.gov.br. Consultado em 30 de agosto de 2020 
  2. Curso sobre Lei Geral de Proteção de Dados (LGPD). [S.l.]: Fundação Bradesco. Resumo divulgativo 
  3. ALECRIM, EMERSON. Technoblog, ed. «O que você deve saber sobre a lei de proteção de dados pessoais do Brasil». Consultado em 22 de julho de 2018 
  4. ALECRIM, EMERSON. Technoblog, ed. «O que você deve saber sobre a lei de proteção de dados pessoais do Brasil». Consultado em 22 de julho de 2018 
  5. Comissão Europeia (ed.). «Proteção de dados». Comissão Europeia. Consultado em 22 de julho de 2018 
  6. Californians for Consumer Privacy (ed.). «Página Principal». Californians for Consumer Privacy. Consultado em 22 de julho de 2018 
  7. California Legislative Information! (ed.). «AB-375 Privacy: personal information: businesses.». California Legislative Information!. Consultado em 22 de julho de 2018 
  8. Bioni, Bruno Ricardo,. Proteção de dados pessoais : a função e os limites do consentimento. Rio de Janeiro, RJ: [s.n.] ISBN 978-85-309-8168-6. OCLC 1098231692 
  9. Schwaitzer, Lenora Silva (28 de dezembro de 2020). «LGPD E ACERVOS HISTÓRICOS: impactos e perspectivas». Archeion Online (2): 36–51. ISSN 2318-6186. doi:10.22478/ufpb.2318-6186.2020v8n2.57020. Consultado em 8 de outubro de 2021 
  10. «Cambridge Analytica se declara culpada por uso de dados do Facebook». EXAME. Consultado em 22 de novembro de 2019 
  11. «Relembre os principais vazamentos de dados de brasileiros em 2018». Folha de S.Paulo. 4 de janeiro de 2019. Consultado em 22 de novembro de 2019 
  12. «A lei geral de proteção de dados pessoais em empresas brasileiras: uma análise de múltiplos casos». Konrad Lorenz Editores. doi:10.14349/sumneg/2019.v10.n23.a2. Consultado em 13 de outubro de 2021 
  13. «O que diz o projeto de lei de proteção de dados que tramita no Senado» 
  14. Jinkings, Publicado por Daniella (1 de dezembro de 2010). «Governo vai debater criação de marco legal para proteção de dados pessoais no Brasil». Rede Brasil Atual. Consultado em 2 de setembro de 2019 
  15. «PL 4060/2012 — Portal da Câmara dos Deputados». Câmara dos Deputados. 13 de junho de 2012. Consultado em 2 de setembro de 2019 
  16. Jotacom.com. «Deputado Milton Monti apresenta projeto de proteção de dados». Abemd. Consultado em 2 de setembro de 2019 
  17. «Por que debater a Lei de Proteção de Dados Pessoais? - Link». Estadão. Consultado em 2 de setembro de 2019 
  18. «MJ apresenta nova versão do Anteprojeto de Lei de Proteção de Dados Pessoais». Ministério da Justiça e Segurança Pública. Consultado em 2 de setembro de 2019 
  19. disse, Cristiano de Noronha Lopes. «Conheça a nova versão do Anteprojeto de Lei de Proteção de Dados Pessoais». Proteção de Dados Pessoais. Consultado em 2 de setembro de 2019 
  20. «PL 5276/2016». Câmara dos Deputados. Consultado em 2 de setembro de 2019 
  21. «Histórico de Despachos - PL 5276/2016». Câmara dos Deputados. Consultado em 2 de setembro de 2019 
  22. «Semana especial Proteção de Dados Pessoais». InternetLab. Consultado em 2 de setembro de 2019 
  23. a b Senado Federal do Brasil (ed.). «PLC 53/2018». Senado Federal. Consultado em 22 de julho de 2018 
  24. MONTEIRO, RENATO LEITE. JOTA.Info, ed. «Lei Geral de Proteção de Dados do Brasil: análise contextual detalhada». Consultado em 22 de julho de 2018 
  25. «Há vício de iniciativa na criação da Autoridade Nacional de Proteção de Dados?». JOTA Info. Consultado em 2 de setembro de 2019 
  26. «Qual a polêmica da lei de proteção de dados pessoais no Brasil». Tecnoblog. 17 de julho de 2018. Consultado em 2 de setembro de 2019 
  27. a b Mazui, Guilherme; Castilhos, Roniara (14 de agosto de 2018). «Temer sanciona com vetos lei de proteção de dados pessoais». G1. Consultado em 11 de novembro de 2018 
  28. Braziliense, Correio; Braziliense, Correio (28 de dezembro de 2018). «Temer edita medida provisória que cria autoridade de proteção de dados». Correio Braziliense. Consultado em 2 de setembro de 2019 
  29. «Medida Provisória cria Autoridade Nacional de Proteção de Dados». Migalhas. 28 de dezembro de 2018. Consultado em 2 de setembro de 2019 
  30. Lemos, Ronaldo (20 de agosto de 2018). «Lei de dados nasceu desgovernada». Folha de S. Paulo. Consultado em 11 de novembro de 2018 
  31. Monte-Serrat, Daniela (20 de agosto de 2018). «Brasil precisa de autoridade de dados para se manter próximo do mercado europeu». Jota.info. Consultado em 11 de novembro de 2018 
  32. MEDIDA PROVISÓRIA Nº 869, DE 27 DE DEZEMBRO DE 2018
  33. «PLV 7/2019». Consultado em 2 de setembro de 2019 
  34. a b «Lei nº 13.853, de 8 de julho de 2019». Consultado em 31 de julho de 2019 
  35. «Lei que cria Autoridade Nacional de Proteção de Dados é sancionada com vetos». Senado Federal. Consultado em 2 de setembro de 2019 
  36. «MPDFT - Unidade Especial de Proteção de Dados e Inteligência Artificial». www.mpdft.mp.br. Consultado em 30 de março de 2019 
  37. «MPDFT - Uber termina de notificar usuários brasileiros afetados por vazamento de dados». www.mpdft.mp.br. Consultado em 30 de março de 2019 
  38. «MPDFT - MPDFT e Netshoes firmam acordo para pagamento de danos morais após vazamento de dados». www.mpdft.mp.br. Consultado em 30 de março de 2019 
  39. «PEC 17/2019». Consultado em 1 de agosto de 2019 
  40. «O que muda com a LGPD — LGPD - Lei Geral de Proteção de Dados Pessoais | Serpro». www.serpro.gov.br. Consultado em 20 de outubro de 2020 

Ligações externas

[editar | editar código-fonte]