Tribunal Regional Federal da 2ª Região - TRF2

A LGPD foi criada com o objetivo de proporcionar ao cidadão brasileiro um controle maior sobre o tratamento de seus dados pessoais. Para isso, a LGPD estabelece princípios e cria regras que devem ser observados tanto por organizações privadas quanto públicas, além de criar entidade reguladora específica para o tema.

A fiscalização referente à LGPD será primariamente realizada pela Autoridade Nacional de Proteção de Dados (ANPD). Este órgão foi criado para fiscalizar o cumprimento da lei, zelar pela proteção de dados pessoais, elaborar diretrizes e também aplicar as sanções em casos de irregularidade.

É a pessoa natural a quem se referem os dados pessoais que são objetos de coleta e tratamento.

De acordo com a lei, um dado pessoal é informação relacionada à pessoa natural identificada ou identificável.

É qualquer dado pessoal, conforme estabelecido na lei, sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

O tratamento de dados é um conceito abrangente, que inclui qualquer operação realizada com informações pessoais. Como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A lei se aplica a qualquer operação que envolve a coleta e o tratamento de dados pessoais e que seja realizada em território brasileiro.

A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.

São três: o controlador, o operador e o encarregado.

O controlador é pessoa natural ou jurídica de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.

O operador é pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

O encarregado é a pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

O encarregado do TRF2 é o desembargador federal Aluísio Mendes.

No caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.

Dado anônimo ou anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível.

O tratamento de dados pessoais sensíveis somente poderá ocorrer com consentimento do titular ou seu responsável legal, de forma destacada e para finalidades específicas. Para que o tratamento ocorra sem fornecimento de consentimento do titular, é necessário que se enquadre nas seguintes hipóteses:

. Cumprimento de obrigação legal ou regulatória pelo controlador;
. Pela administração pública, de políticas públicas previstas em leis ou regulamentos;
. Estudos por órgão de pesquisa;
. Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
. Proteção da vida;
. Tutela da saúde;
. Garantia da prevenção à fraude e à segurança do titular.

A LGPD traz alguns princípios que devem ser respeitados no tratamento de dados pessoais: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

O tratamento de dados pessoais somente poderá ser realizado:

. Com consentimento do titular;
. Para cumprimento de obrigação legal ou regulatória;
. Pela Administração Pública;
. Para realização de estudos por órgãos de pesquisa;
. Para execução de contratos, a pedido do titular;
. Em processos judiciais, administrativos ou arbitrais;
. Para proteção da vida;
. Para tutela da saúde;
. Em legítimo interesse do Controlador;
. Para proteção do crédito.

É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. O consentimento e sua finalidade devem estar claros e destacados.

Se a instituição precisa de um dado pessoal já coletado com o consentimento do titular para outra finalidade de uso, é necessário informá-lo sobre este novo intuito. Importante ressaltar que, além de informar é preciso atualizar o consentimento do titular.

O termo de consentimento, como consta no Art. 8, pode ser adquirido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

Sim, a LGPD estabelece que o titular dos dados poderá, a qualquer momento, revogar seu consentimento.

Não. O consentimento para dados sensíveis deve sempre explicitar a finalidade de seu uso, de forma destacada. Se houver alteração na finalidade, é preciso renovar o consentimento de forma expressa.

A LGPD estabelece, no artigo 14, que o tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse. Para tratamento de dados destes titulares é necessário consentimento específico e em destaque, dado por, pelo menos, um dos pais ou pelo responsável legal.

Os dados de crianças e adolescentes poderão ser coletados sem o consentimento, quando for necessário para sua proteção ou para contatar os pais ou o responsável legal, sendo utilizados uma única vez e sem armazenamento. Sem consentimento, em nenhum caso, poderão ser repassados a terceiros.

Se o tratamento de dados não acontecer como previsto na lei, os controladores serão responsabilizados. Caso o operador não tenha cumprido ordens passadas pelo controlador ou falhe na segurança dos dados, este também pode ser penalizado.

A penalidade imposta irá depender da avaliação da ANPD, mas pode ser uma advertência, a determinação da publicação e divulgação da infração cometida, o bloqueio ou eliminação dos dados que sofreram violações e também multas simples e/ou diárias.

Sim, os dados pessoais tratados pelo Poder Público também estarão sujeitos à LGPD. Porém, o Poder Público pode tratar dados pessoais sem pedir o consentimento do titular sempre que for necessário para a execução de políticas públicas. O Poder Público também poderá tratar dados pessoais, fora do escopo da lei, no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais, que serão tratados de acordo com legislação específica, que contenha medidas proporcionais e necessárias para que o tratamento de dados pessoais atenda ao interesse público. Para a criação das normas específicas para esses casos, a Autoridade Nacional de Proteção de Dados Pessoais – ANPD emitirá recomendações e opiniões técnicas.

A Lei permite o uso compartilhado de dados pessoais entre entes do poder público, desde que atenda a finalidades específicas de execução de políticas públicas e a atribuição legal desses órgãos, respeitados os princípios do art. 6º. O inciso III do art. 7º assegura, como uma de suas dez bases legais para o tratamento de dados, o tratamento e uso compartilhado pela Administração Pública de dados necessários à execução de políticas públicas previstas em leis, regulamentos ou ainda respaldadas em contratos, convênios ou instrumentos congêneres, nos termos do Capítulo IV.

O art. 26 prevê que o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei.
Veta a transferência dos dados pessoais constantes de bases de dados a que tenha acesso, exceto:

. Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
. Em casos em que os dados forem acessíveis publicamente;
. Quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
. Para prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados.

A transferência internacional de dados pessoais pode ser feita:

. Para países ou organizações internacionais proporcionem grau adequado de proteção de dados pessoais;
. Quando o controlador oferecer e comprovar, por meio de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos, que está cumprindo com o disposto na LGPD;
. Quando necessário para cumprimento de acordos da cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e persecução, de acordo com os instrumentos de direito internacional;
. Para proteção da vida do titular ou de terceiros;
. Quando autorizada pela ANPD;
. Quando resultar em compromisso assumido em acordo de cooperação internacional;
. Para a execução de política pública;
. Quando o titular fornecer seu consentimento de forma específica e em destaque para a transferência;
. Para o cumprimento de obrigação legal ou regulatória pelo controlador;
. Quando necessário para a execução de contrato do qual seja parte o titular;
. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

A LGPD determina que o controlador deverá comunicar tanto ao titular quanto à ANPD sobre a ocorrência de qualquer incidente de segurança que possa causar risco ou dano ao titular.

O titular dos dados tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. Além disso, o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

A LGPD protege os dados pessoais de pessoas naturais. Dados de Pessoas Jurídicas são protegidos por outras leis.

De acordo com a lei é considerado compartilhamento de dados toda comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

De acordo com a LGPD, o compartilhamento de dados pessoais pode ocorrer em caso de consentimento expresso e específico do titular dos dados e pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.

A LGPD já determina que o compartilhamento de dados sensíveis com o objetivo de obter vantagem econômica poderá ser vedado ou regulamentado pelas autoridades, e no caso específico de dados de saúde determina a vedação, exceto nos em casos de consentimento expresso ou para a adequada prestação de serviços de saúde suplementar, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia.

ANPD é uma autarquia de natureza especial dotado de autonomia técnica e decisória. É responsável por fiscalizar e garantir o cumprimento da lei, bem como aplicar sanções administrativas em caso de descumprimento. A ANPD guiará a interpretação da Lei e regulamentará padrões e técnicas aplicáveis às questões de segurança da informação, interoperabilidade e processos de anonimização, além de poder requisitar informações sobre tratamentos de dados pessoais para agentes de tratamento, editar normas e orientações.

Em caso de incidentes o Controlador deverá comunicar o ocorrido à autoridade nacional e ao(s) titular(es) dos dados comprometidos, além de executar as medidas para reverter ou mitigar os efeitos do incidente, conforme plano previamente estabelecido de resposta a incidentes e remediação.

Ainda que haja em grande escala no Poder Judiciário o esforço para garantir a transparência e publicidade dos atos processuais, todo o disposto na LGPD também será observado. Há garantia fundamental estampada no inciso LX, do art. 5º, da Constituição Federal, que versa que “a lei só poderá restringir a publicidade dos atos processuais quando a defesa da intimidade ou o interesse social o exigirem”. Tal garantia encontra conformidade na LGPD, resguardando a possibilidade de proteção de dados. Ainda que não haja segredo de justiça, o Tribunal Regional Federal da 2º região deverá ter o cuidado de não expor informações desnecessárias e que possam comprometer/constranger a pessoa, seguindo as diretrizes da Lei Geral de Proteção de Dados. Haverá no tribunal constante esforço pela harmonização entre publicidade e proteção de dados.

A transferência internacional de dados pessoais pode ser feita:

. Para países ou organizações internacionais proporcionem grau adequado de proteção de dados pessoais;
. Quando o controlador oferecer e comprovar, por meio de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos, que está cumprindo com o disposto na LGPD;
. Quando necessário para cumprimento de acordos da cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e persecução, de acordo com os instrumentos de direito internacional;
. Para proteção da vida do titular ou de terceiros;
. Quando autorizada pela ANPD;
. Quando resultar em compromisso assumido em acordo de cooperação internacional;
. Para a execução de política pública;
. Quando o titular fornecer seu consentimento de forma específica e em destaque para a transferência;
. Para o cumprimento de obrigação legal ou regulatória pelo controlador;
. Quando necessário para a execução de contrato do qual seja parte o titular;
. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

O artigo 26 prevê que o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei.
Veta a transferência dos dados pessoais constantes de bases de dados a que tenha acesso, exceto:

. Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
. Em casos em que os dados forem acessíveis publicamente;
. Quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
. Para prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados.

A Lei permite o uso compartilhado de dados pessoais entre entes do poder público, desde que atenda a finalidades específicas de execução de políticas públicas e a atribuição legal desses órgãos, respeitados os princípios do art. 6º. O inciso III do art. 7º assegura, como uma de suas dez bases legais para o tratamento de dados, o tratamento e uso compartilhado pela Administração Pública de dados necessários à execução de políticas públicas previstas em leis, regulamentos ou ainda respaldadas em contratos, convênios ou instrumentos congêneres, nos termos do Capítulo IV.

Sim. De acordo com o inc. VI do art. 7º da LGPD, o tratamento de dados pessoais poderá ser realizado para exercício regular de direitos em processo judicial, administrativo ou arbitral.

O art. 3º, I, da LGPD, que traz o princípio da territorialidade, estabelecendo que a lei se aplica a qualquer tratamento de dados pessoais realizados no território nacional (por pessoa natural ou jurídica, de direito público ou privado);

O art. 4º da LGPD, que contém as hipóteses em que a lei não incide, trazendo em seu inciso III o tratamento de dados para os fins exclusivos de segurança pública, defesa nacional e segurança do Estado (não abrangendo litígios judiciais), além das atividades de investigação e repressão de infrações penais (desse modo, a LGPD afasta expressamente a sua observância nos inquéritos policiais e nos processos criminais, o que significa que incide nos processos judiciais cíveis, isto é, em todos os processos sobre matéria não penal);

O art. 7º da LGPD, que lista os fundamentos que justificam o tratamento de dados (com ou sem o consentimento do titular), e prevê, no inciso VI, o exercício regular de direitos em processo judicial, administrativo ou arbitral (logo, o tratamento de dados nos processos judiciais cíveis independe do consentimento do titular);

Além disso, o fato de os dados de processos judiciais terem publicidade, torna necessária a regulamentação específica do assunto pelo Judiciário, a fim de evitar a captura e o tratamento ilícito dos dados pessoais.