>> Tira Dúvidas (FAQ) sobre a Lei Geral de Proteção de Dados - LGPD

1. O que é a Lei Geral de Proteção de Dados (LGPD)?

A Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados (LGPD), regulamenta o uso de dados pessoais no Brasil e estabelece regras sobre o tratamento desses dados, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Cabe ressaltar que a LGPD versa sobre o tratamento de dados pessoais da pessoa física, não atingindo diretamente os dados de pessoas jurídicas.

2. Quem está sujeito à LGPD?

A LGPD abrange todas as atividades que envolvem tratamento em meio analógico ou digital de dados pessoais, sendo aplicada a pessoas físicas e jurídicas de direito público ou privado, para operações realizadas em território nacional. A referida lei não se aplica quando o tratamento é feito por pessoa física para fins particulares e não econômicos (ex.: agendas telefônicas, e-mails, etc.), para fins exclusivamente jornalísticos, artísticos ou acadêmicos, e quando visem à segurança pública, defesa nacional e segurança do Estado ou atividades de prevenção e repressão criminal.

3. A Lei se aplica somente aos dados digitais?

Não, a LGPD se aplica a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.

4. Mas o que se entende por “dados pessoais”?

De acordo com a lei, um dado pessoal é todo aquele que pode vir a identificar uma pessoa física, como número do CPF, data de nascimento, endereço residencial ou e-mail. Mas a LGPD também traz o conceito de dado pessoal sensível, e aprofunda as restrições em relação a seu uso, por se tratarem de dados com maior potencial discriminatório. São eles: origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; saúde; vida sexual; genético ou biométrico.

5. O que compreende o Tratamento de Dados Pessoais?

O tratamento de dados é definido de forma bem abrangente pela LGPD, compreendendo todas as operações realizadas desde a coleta até a eliminação. Sendo assim, os atos de receber, acessar, arquivar ou armazenar dados pessoais estão contidos no conceito de tratamento.

6. E o que a lei entende por “consentimento”?

O consentimento do titular é a permissão dada por meio de uma declaração para que se possa coletar e utilizar dados específicos para uma finalidade previamente determinada e esclarecida. Ou seja, é preciso ser sempre claro quando se explica como os dados serão utilizados e também se ater à finalidade prevista.

7. Quando deve ser realizado o tratamento de dados pelo Poder Público?

O tratamento de dados pessoais pelas pessoas jurídicas de direito público, deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. Caberá ao Poder Público fornecer informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.

8. Qual a Autoridade Nacional de Proteção de Dados?

A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão vinculado à Presidência da República, dotada de autonomia técnica e decisória, com jurisdição no território nacional e com sede e foro no Distrito Federal, que tem o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural, orientada pelo disposto na Lei nº 13.709/2018, a LGPD. Orienta os agentes na aplicação das normas e regulamentos afetos ao tema; cooperar com órgãos nacionais e internacionais no tema de Proteção de Dados Pessoais; dar tratamento a eventuais suspeitas de infração à legislação relativa à Proteção de Dados Pessoais, por meio de sua estrutura de análise e sanção administrativa; e outras atribuições previstas em Lei.

9. Quais conceitos da lei são importantes saber?

Titular: pessoa natural a quem se referem os dados;

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Agentes de tratamento: o controlador e o operador;

Dado pessoal: informação relacionada à pessoa natural identificada ou identificável; Dado pessoal sensível: dado pessoal que traz origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado à uma pessoa natural. São dados que podem trazer algum tipo de discriminação quando do seu tratamento;

Tratamento: é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

10. Quais são os princípios relacionados à LGPD?

Finalidade: para o tratamento dos dados do titular, é necessário que o titular saiba exatamente para quais finalidades seus dados serão tratados. Caso o controlador ou os agentes que usam os dados do titular alterarem o escopo de utilização, é necessário que o titular seja comunicado. O princípio da finalidade pressupõe a realização do tratamento de dados com propósitos legítimos, específicos, explícitos e informados ao titular;

Adequação: o uso dos dados tem que ser compatível com a finalidade informada de acordo com o contexto do tratamento;

Necessidade: só é permitida a coleta dos dados que sejam necessários para aquele tratamento;

Livre acesso: garante para os titulares a consulta facilitada e gratuita sobre a forma e duração do tratamento de dados, bem como a integralidade dos seus dados pessoais que estão sendo tratados;

Qualidade dos dados: garante ao titular a exatidão, clareza, relevância e a atualização dos dados que estão sendo tratados de acordo com a necessidade de cumprir aquela finalidade de tratamento que foi informada;

Segurança: é necessário assegurar ao titular dos dados que, tanto na forma física como lógica, será mantida a segurança e proteção dos seus dados;

Transparência: garante ao titular que as informações serão claras, precisas, facilmente acessíveis, e, sobre a realização do tratamento, quais são os agentes, observado o segredo industrial e comercial;

Prevenção: é necessário possuir e comprovar que existem meios que mitigam riscos para o titular dos dados, com atuação preventiva;

Não-discriminação: não é permitido o tratamento de dados para fins de discriminação ilícita ou abusiva; Responsabilização e prestação de contas: os agentes de tratamento têm que demonstrar que adotaram medidas eficazes e capazes de comprovar que foram observadas e cumpridas as normas de proteção de dados pessoais.