Diretrizes da Lei de Proteção de Dados Pessoais – LGPD

Diretrizes da Lei de Proteção de Dados Pessoais – LGPD. Sancionada pelo então presidente Michel Temer em 14 de agosto de 2018 a lei que definiu regras para a proteção de dados pessoais. O texto tinha a previsão de entrar em vigor em um ano e meio, mas devido ao atraso da definição da agência regulador ANPD – Agência Nacional de Proteção de Dados, foi adiada por 6 mneses, ficando o prazo de entrada em vigor para agosto de 2020.

A LGPD regulamenta o uso, a proteção e a transferência de dados pessoais como nome, endereço, e-mail, idade, estado civil e situação patrimonial.

A lei foi sancionada em uma cerimônia no Palácio do Planalto. O projeto que deu origem à lei foi aprovado pelo Congresso em julho de 2018 e foi chamado pelos parlamentares de “marco legal de proteção, uso e tratamento de informações“.

A lei determina que o uso dos dados exige consentimento do titular, que deve ter acesso às informações mantidas por uma empresa. O tratamento das informações também será permitido se estiver dentro das hipóteses previstas na proposta, como obrigações legais, contratuais e proteção do crédito.

O texto da lei de proteção de dados pessoais tem como fundamentos:

  • I – o respeito à privacidade;
  • II – a autodeterminação informativa;
  • III – a liberdade de expressão, de informação, de comunicação e de opinião;
  • IV – a inviolabilidade da intimidade, da honra e da imagem;
  • V – o desenvolvimento econômico e tecnológico e a inovação;
  • VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
  • VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

  • I – a operação de tratamento seja realizada no território nacional;
  • II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
  • III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Para efeitos da lei no Art. 5º  considera-se:

  • I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
  • IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
  • V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • VIII – encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional;
  • IX – agentes de tratamento: o controlador e o operador;
  • X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
  • XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
  • XIII – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
  • XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
  • XV – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
  • XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
  • XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
  • XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
  • XIX – autoridade nacional: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.

No Capítulo II Sessão I  é definido os Requisitos para o Tratamento de Dados Pessoais

  • Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
  • I – mediante o fornecimento de consentimento pelo titular;
  • II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
  • IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  • VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
  • IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

O capítulo II Sessão II é definido o Tratamento de Dados Pessoais Sensíveis

  • Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
  • I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
  • II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
  • a) cumprimento de obrigação legal ou regulatória pelo controlador;
  • b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  • c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  • d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  • e) proteção da vida ou da incolumidade física do titular ou de terceiro;
  • f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
  • g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

 

Baixe aqui o texto completo da lei e o texto do Diário da União.

 

Multas

Ao sancionar a lei, Temer manteve no texto a previsão de multas para empresas que descumprirem a lei. Os valores podem ir de até 2% do faturamento da empresa, limitados a R$ 50 milhões por infração. Temer, contudo, vetou outras punições para as empresas, entre as quais:

  • suspensão parcial ou total do funcionamento do banco de dados e a suspensão do exercício da atividade de “tratamento de dados” por até 12 meses;
  • proibição parcial ou total do exercício das atividades das empresas relacionadas ao tratamento de dados.

Outros pontos

Entre outros pontos, a lei sancionada estabelece que:

  • Dados de crianças devem ser tratados com o consentimento dos pais;
  • Informações sobre a saúde das pessoas podem ser utilizadas para pesquisa;
  • Dados pessoas deverão ser excluídos após o encerramento da relação entre o cliente e a empresa;
  • Os titulares das informações poderão corrigir dados que estejam de posse de uma empresa;
  • A transferência de dados pessoais só poderá ser feita a países com nível “adequado” de proteção de dados.

Além disso:

  • as empresas deverão coletar somente os dados necessários aos serviços prestados;
  • a lei não se aplica no caso de dados usados para fins jornalísticos ou artísticos, de segurança pública, defesa nacional, segurança do Estado ou investigações e repressão de crimes;
  • as empresas deverão adotar medidas de segurança para proteger os dados pessoais de acessos não autorizados e de “situações acidentais ou ilícitas” de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
  • o responsável pela gestão dos dados deverá comunicar casos de”incidente de segurança”, como vazamentos, que possam trazer risco ou dano ao titular das informações.

‘Garantia dos direitos’

Em discurso durante a cerimônia, Temer afirmou que a sanção da lei garante o direito à intimidade, privacidade e honra, mas também assegura valores como liberdade de imprensa e liberdade de iniciativa.

O presidente disse que a lei preservar direitos individuais, porém não impõe restrição para investigações de “atos criminosos”

Ao assinarmos este projeto, incorporando ao mundo jurídico, estamos garantindo os direitos individuais. Claro que se tomou a cautela de não estender isso à questão da defesa nacional, da segurança pública, dos atos criminosos, porque se você obstaculizar a apuração desses fatos você dá um desserviço à sociedade”, disse Temer.

Fonte: Imprensa Nacional & Diario da União

Veja também:

 

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

15 Trackbacks / Pingbacks

  1. Diretrizes da Lei de Proteção de Dados Pessoais – LGPD – Bots Consultoria
  2. NSA descobre vulnerabilidade 'grave' do Microsoft Windows
  3. Governo antecipa criação de agência de proteção de dados – Information Security
  4. Governo antecipa criação de agência de proteção de dados – Neotel Segurança Digital
  5. Estratégia de prospecção do Nubank fere a LGPD
  6. Lista de email de pacientes usuários de Canabidiol é exposto pela Anvisa
  7. PDCA aplicado à LGPD - Lei Geral de Proteção de Dados
  8. Lista de email de pacientes usuários de Canabidiol é exposto pela Anvisa – Neotel Segurança Digital
  9. Loja usa currículos para embalar produtos de clientes – Information Security
  10. Loja usa currículos para embalar produtos de clientes – Neotel Segurança Digital
  11. Efeito Coronavírus - Senado adia lei de proteção de dados para jan/2021
  12. MP 959/2020 Prorroga a LGPD para 03 de maio de 2021
  13. A LGPD e o novo prazo para aplicação das multas pela ANPD – Neotel Segurança Digital
  14. Ministério da Justiça multa Facebook em R$ 6,6 milhões
  15. LGPD: Saiba como adequar sua empresa à nova Lei Geral de Proteção de Dados

Deixe sua opinião!