Dúvidas frequentes
Dúvidas frequentes sobre a Lei Geral de Proteção de Dados – LGPD
- Qual é o objetivo da LGPD e a quem ela se destina?
- Quem fiscaliza o cumprimento da lei?
- Quem é o “titular”?
- O que são “dados pessoais”?
- O que são “dados pessoais sensíveis”?
- O que compreende o tratamento de dados pessoais?
- Em quais casos de tratamento de dados pessoais a lei é aplicada?
- Esta Lei se aplica apenas ao tratamento de dados pessoais coletados na Internet?
- Quais os principais atores no tratamento de dados pessoais de acordo com a LGPD?
- Quem assume o papel de encarregado no âmbito da Justiça Federal da Segunda Região?
- Quais são os casos de tratamento de dados pessoais em que a LGPD não será aplicada no Poder Público?
- O que é um dado anônimo ou anonimizado?
- O tratamento de dados pessoais sensíveis pode ser realizado em quais condições?
- Quais são os princípios da LGPD?
- Quais são as Bases Legais para tratamento de dados pessoais?
- O que é “consentimento”?
- E quando a finalidade muda? O que a instituição deve fazer?
- O termo de consentimento deve ser escrito ou digital?
- O titular dos dados pode revogar seu consentimento?
- Há diferença entre o consentimento para tratamento de dados pessoais e dados pessoais sensíveis?
- Como se dá o consentimento de Crianças e Adolescentes?
- Em casos de irregularidade no tratamento de dados, quem será responsabilizado?
- Quais são as penalidades que podem ser aplicadas nos casos de irregularidades?
- O Poder Público também está sujeito às disposições da LGPD?
- É possível o uso compartilhado de dados entre diferentes órgãos da Administração Pública?
- A LGPD dispõe sobre a transferência de dados entre o Poder Público e instituições do setor privado?
- Em que casos os dados pessoais podem ser transferidos para fora do Brasil?
- Em caso de incidente o titular deverá ser informado?
- Como a LGDP protege as pessoas de decisões automatizadas, baseadas exclusivamente em meios tecnológicos?
- É necessário adequar o tratamento dos dados de Pessoas Jurídicas na base de dados da instituição?
- O que é compartilhamento de dados pessoais?
- É permitido o compartilhamento de dados pessoais?
- É permitido o compartilhamento de dados pessoais sensíveis?
- O que é a ANPD?
- Como proceder em caso de incidente de dados pessoais?
A LGPD foi criada com o objetivo de proporcionar ao cidadão brasileiro um controle maior sobre o tratamento de seus dados pessoais. Para isso, a LGPD estabelece princípios e cria regras que devem ser observados tanto por organizações privadas quanto públicas, além de criar entidade reguladora específica para o tema.
A fiscalização referente à LGPD será primariamente realizada pela Autoridade Nacional de Proteção de Dados (ANPD). Este órgão foi criado para fiscalizar o cumprimento da lei, zelar pela proteção de dados pessoais, elaborar diretrizes e também aplicar as sanções em casos de irregularidade.
É a pessoa natural a quem se referem os dados pessoais que são objetos de coleta e tratamento.
De acordo com a lei, um dado pessoal é informação relacionada à pessoa natural identificada ou identificável.
É qualquer dado pessoal, conforme estabelecido na lei, sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
O tratamento de dados é um conceito abrangente, que inclui qualquer operação realizada com informações pessoais. Como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
A lei se aplica a qualquer operação que envolve a coleta e o tratamento de dados pessoais e que seja realizada em território brasileiro.
A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.
São três: o controlador, o operador e o encarregado.
O controlador é pessoa natural ou jurídica de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.
O operador é pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
O encarregado é a pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
O encarregado do TRF2 é o desembargador federal Aluísio Mendes.
No caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.
Dado anônimo ou anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível.
O tratamento de dados pessoais sensíveis somente poderá ocorrer com consentimento do titular ou seu responsável legal, de forma destacada e para finalidades específicas. Para que o tratamento ocorra sem fornecimento de consentimento do titular, é necessário que se enquadre nas seguintes hipóteses:
. Cumprimento de obrigação legal ou regulatória pelo controlador;
. Pela administração pública, de políticas públicas previstas em leis ou regulamentos;
. Estudos por órgão de pesquisa;
. Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
. Proteção da vida;
. Tutela da saúde;
. Garantia da prevenção à fraude e à segurança do titular.
A LGPD traz alguns princípios que devem ser respeitados no tratamento de dados pessoais: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.
O tratamento de dados pessoais somente poderá ser realizado:
. Com consentimento do titular;
. Para cumprimento de obrigação legal ou regulatória;
. Pela Administração Pública;
. Para realização de estudos por órgãos de pesquisa;
. Para execução de contratos, a pedido do titular;
. Em processos judiciais, administrativos ou arbitrais;
. Para proteção da vida;
. Para tutela da saúde;
. Em legítimo interesse do Controlador;
. Para proteção do crédito.
É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. O consentimento e sua finalidade devem estar claros e destacados.
Se a instituição precisa de um dado pessoal já coletado com o consentimento do titular para outra finalidade de uso, é necessário informá-lo sobre este novo intuito. Importante ressaltar que, além de informar é preciso atualizar o consentimento do titular.
O termo de consentimento, como consta no Art. 8, pode ser adquirido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
Sim, a LGPD estabelece que o titular dos dados poderá, a qualquer momento, revogar seu consentimento.
Não. O consentimento para dados sensíveis deve sempre explicitar a finalidade de seu uso, de forma destacada. Se houver alteração na finalidade, é preciso renovar o consentimento de forma expressa.
A LGPD estabelece, no artigo 14, que o tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse. Para tratamento de dados destes titulares é necessário consentimento específico e em destaque, dado por, pelo menos, um dos pais ou pelo responsável legal.
Os dados de crianças e adolescentes poderão ser coletados sem o consentimento, quando for necessário para sua proteção ou para contatar os pais ou o responsável legal, sendo utilizados uma única vez e sem armazenamento. Sem consentimento, em nenhum caso, poderão ser repassados a terceiros.
Se o tratamento de dados não acontecer como previsto na lei, os controladores serão responsabilizados. Caso o operador não tenha cumprido ordens passadas pelo controlador ou falhe na segurança dos dados, este também pode ser penalizado.
A penalidade imposta irá depender da avaliação da ANPD, mas pode ser uma advertência, a determinação da publicação e divulgação da infração cometida, o bloqueio ou eliminação dos dados que sofreram violações e também multas simples e/ou diárias.
Sim, os dados pessoais tratados pelo Poder Público também estarão sujeitos à LGPD. Porém, o Poder Público pode tratar dados pessoais sem pedir o consentimento do titular sempre que for necessário para a execução de políticas públicas. O Poder Público também poderá tratar dados pessoais, fora do escopo da lei, no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais, que serão tratados de acordo com legislação específica, que contenha medidas proporcionais e necessárias para que o tratamento de dados pessoais atenda ao interesse público. Para a criação das normas específicas para esses casos, a Autoridade Nacional de Proteção de Dados Pessoais – ANPD emitirá recomendações e opiniões técnicas.
A Lei permite o uso compartilhado de dados pessoais entre entes do poder público, desde que atenda a finalidades específicas de execução de políticas públicas e a atribuição legal desses órgãos, respeitados os princípios do art. 6º. O inciso III do art. 7º assegura, como uma de suas dez bases legais para o tratamento de dados, o tratamento e uso compartilhado pela Administração Pública de dados necessários à execução de políticas públicas previstas em leis, regulamentos ou ainda respaldadas em contratos, convênios ou instrumentos congêneres, nos termos do Capítulo IV.
O art. 26 prevê que o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei.
Veta a transferência dos dados pessoais constantes de bases de dados a que tenha acesso, exceto:
. Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
. Em casos em que os dados forem acessíveis publicamente;
. Quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
. Para prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados.
A transferência internacional de dados pessoais pode ser feita:
. Para países ou organizações internacionais proporcionem grau adequado de proteção de dados pessoais;
. Quando o controlador oferecer e comprovar, por meio de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos, que está cumprindo com o disposto na LGPD;
. Quando necessário para cumprimento de acordos da cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e persecução, de acordo com os instrumentos de direito internacional;
. Para proteção da vida do titular ou de terceiros;
. Quando autorizada pela ANPD;
. Quando resultar em compromisso assumido em acordo de cooperação internacional;
. Para a execução de política pública;
. Quando o titular fornecer seu consentimento de forma específica e em destaque para a transferência;
. Para o cumprimento de obrigação legal ou regulatória pelo controlador;
. Quando necessário para a execução de contrato do qual seja parte o titular;
. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
A LGPD determina que o controlador deverá comunicar tanto ao titular quanto à ANPD sobre a ocorrência de qualquer incidente de segurança que possa causar risco ou dano ao titular.
O titular dos dados tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. Além disso, o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
A LGPD protege os dados pessoais de pessoas naturais. Dados de Pessoas Jurídicas são protegidos por outras leis.
De acordo com a lei é considerado compartilhamento de dados toda comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
De acordo com a LGPD, o compartilhamento de dados pessoais pode ocorrer em caso de consentimento expresso e específico do titular dos dados e pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
A LGPD já determina que o compartilhamento de dados sensíveis com o objetivo de obter vantagem econômica poderá ser vedado ou regulamentado pelas autoridades, e no caso específico de dados de saúde determina a vedação, exceto nos em casos de consentimento expresso ou para a adequada prestação de serviços de saúde suplementar, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia.
ANPD é uma autarquia de natureza especial dotado de autonomia técnica e decisória. É responsável por fiscalizar e garantir o cumprimento da lei, bem como aplicar sanções administrativas em caso de descumprimento. A ANPD guiará a interpretação da Lei e regulamentará padrões e técnicas aplicáveis às questões de segurança da informação, interoperabilidade e processos de anonimização, além de poder requisitar informações sobre tratamentos de dados pessoais para agentes de tratamento, editar normas e orientações.
Em caso de incidentes o Controlador deverá comunicar o ocorrido à autoridade nacional e ao(s) titular(es) dos dados comprometidos, além de executar as medidas para reverter ou mitigar os efeitos do incidente, conforme plano previamente estabelecido de resposta a incidentes e remediação.
- Como a LGPD se adequa a publicidade processual?
- Os dados pessoais de processos judiciais podem ser transferidos para fora do Brasil?
- Os dados pessoais de processos judiciais podem ser transferidos para instituições do setor privado?
- É possível o uso compartilhado de dados de processos judiciais entre diferentes órgãos da Administração Pública?
- Os processos judiciais constituem base legal para o tratamento de dados pessoais?
- Em que se fundamenta a incidência da LGPD nos processos judiciais?
- 7 – Qual o papel do Judiciário no que diz respeito às penas previstas pela LGPD?
Em relação à aplicação das penas previstas, o art. 55-K da LGPD dispõe que a ANPD é a agência que detém competência exclusiva para a aplicação das sanções previstas na legislação — prevendo, inclusive, que suas competências prevalecerão, quanto à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Por outro lado, o Judiciário também julgará diversos casos envolvendo infrações aos princípios e regras contidas na LGPD. O procedimento administrativo na ANPD não impede a discussão judicial do assunto, principalmente pelo princípio fundamental previsto na Constituição de acesso à Justiça.
O Poder Judiciário poderá rever as decisões e sanções administrativas aplicadas pela ANPD, atuando para verificar se elas foram corretas e se a legislação está sendo aplicada sem beneficiar ou prejudicar qualquer envolvido.
Ainda que haja em grande escala no Poder Judiciário o esforço para garantir a transparência e publicidade dos atos processuais, todo o disposto na LGPD também será observado. Há garantia fundamental estampada no inciso LX, do art. 5º, da Constituição Federal, que versa que “a lei só poderá restringir a publicidade dos atos processuais quando a defesa da intimidade ou o interesse social o exigirem”. Tal garantia encontra conformidade na LGPD, resguardando a possibilidade de proteção de dados. Ainda que não haja segredo de justiça, o Tribunal Regional Federal da 2º região deverá ter o cuidado de não expor informações desnecessárias e que possam comprometer/constranger a pessoa, seguindo as diretrizes da Lei Geral de Proteção de Dados. Haverá no tribunal constante esforço pela harmonização entre publicidade e proteção de dados.
A transferência internacional de dados pessoais pode ser feita:
. Para países ou organizações internacionais proporcionem grau adequado de proteção de dados pessoais;
. Quando o controlador oferecer e comprovar, por meio de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos, que está cumprindo com o disposto na LGPD;
. Quando necessário para cumprimento de acordos da cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e persecução, de acordo com os instrumentos de direito internacional;
. Para proteção da vida do titular ou de terceiros;
. Quando autorizada pela ANPD;
. Quando resultar em compromisso assumido em acordo de cooperação internacional;
. Para a execução de política pública;
. Quando o titular fornecer seu consentimento de forma específica e em destaque para a transferência;
. Para o cumprimento de obrigação legal ou regulatória pelo controlador;
. Quando necessário para a execução de contrato do qual seja parte o titular;
. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
O artigo 26 prevê que o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º da Lei.
Veta a transferência dos dados pessoais constantes de bases de dados a que tenha acesso, exceto:
. Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação);
. Em casos em que os dados forem acessíveis publicamente;
. Quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
. Para prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados.
A Lei permite o uso compartilhado de dados pessoais entre entes do poder público, desde que atenda a finalidades específicas de execução de políticas públicas e a atribuição legal desses órgãos, respeitados os princípios do art. 6º. O inciso III do art. 7º assegura, como uma de suas dez bases legais para o tratamento de dados, o tratamento e uso compartilhado pela Administração Pública de dados necessários à execução de políticas públicas previstas em leis, regulamentos ou ainda respaldadas em contratos, convênios ou instrumentos congêneres, nos termos do Capítulo IV.
Sim. De acordo com o inc. VI do art. 7º da LGPD, o tratamento de dados pessoais poderá ser realizado para exercício regular de direitos em processo judicial, administrativo ou arbitral.
O art. 3º, I, da LGPD, que traz o princípio da territorialidade, estabelecendo que a lei se aplica a qualquer tratamento de dados pessoais realizados no território nacional (por pessoa natural ou jurídica, de direito público ou privado);
O art. 4º da LGPD, que contém as hipóteses em que a lei não incide, trazendo em seu inciso III o tratamento de dados para os fins exclusivos de segurança pública, defesa nacional e segurança do Estado (não abrangendo litígios judiciais), além das atividades de investigação e repressão de infrações penais (desse modo, a LGPD afasta expressamente a sua observância nos inquéritos policiais e nos processos criminais, o que significa que incide nos processos judiciais cíveis, isto é, em todos os processos sobre matéria não penal);
O art. 7º da LGPD, que lista os fundamentos que justificam o tratamento de dados (com ou sem o consentimento do titular), e prevê, no inciso VI, o exercício regular de direitos em processo judicial, administrativo ou arbitral (logo, o tratamento de dados nos processos judiciais cíveis independe do consentimento do titular);
Além disso, o fato de os dados de processos judiciais terem publicidade, torna necessária a regulamentação específica do assunto pelo Judiciário, a fim de evitar a captura e o tratamento ilícito dos dados pessoais.