Lei Geral de Proteção de Dados: Brasscom divulga FAQ sobre a LGPD – PLC 53/2018
26 de julho de 2018O processo para que aprovemos a lei está maduro, pois os debates em torno da construção do texto do projeto de lei vieram ocorrendo ao longo dos últimos SETE ANOS, pelo menos, envolvendo o Ministério da Justiça, diversos segmentos da sociedade civil, empresas e organismos de pesquisa, que culminou no PLC 53/2018, APROVADO POR UNANIMIDADE NA CÂMARA DOS DEPUTADOS E NO SENADO FEDERAL.
O texto do PLC 53/2018 TRADUZ UM AMPLO CONSENSO construído no processo democrático e materializado em um manifesto assinado por mais de 80 ENTIDADES representativas de diversos segmentos de interesses envolvidos pelo tema, defendendo que seja APROVADO O TEXTO INTEGRAL, inclusive no que diz respeito à previsão relativa a uma AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS – ANPD e o tratamento que o Poder Público deve dar aos dados pessoais dos brasileiros.
Abaixo, seguem algumas PERGUNTAS E RESPOSTAS SOBRE OS PRINCIPAIS PONTOS DA LEI GERAL DE DADOS PESSOAIS do Brasil. Fique por dentro!
PERGUNTAS FREQUENTES
LEI GERAL DE PROTEÇÃO DE DADOS
LGPD (PLC 53/2018)
1) A quem se aplica a nova Lei Geral de Proteção de Dados Pessoais – LGPD
Qualquer pessoa natural ou pessoa jurídica, de direito público ou privado, que realize operações de tratamento (coleta, produção, recepção, classificação, processamento, entre outras atividades) de dados pessoais está sujeita aos termos desta Lei.
2) Isso quer dizer que o Poder Público também está sujeito às disposições da LGPD?
Sim, os dados pessoais tratados pelo Poder Público também estarão sujeitos à LGPD. Porém, o Poder Público pode tratar dados pessoais sem pedir o consentimento do titular sempre que for necessário para a execução de políticas públicas. O Poder Público também poderá tratar dados pessoais, fora do escopo da lei, no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais, que serão tratados de acordo com legislação específica, que contenha medidas proporcionais e necessárias para que o tratamento de dados pessoais atenda ao interesse público. Para a criação das normas específicas para esses casos, a Autoridade Nacional de Proteção de Dados Pessoais – ANPD emitirá recomendações e opiniões técnicas.
3) É possível o uso compartilhado de dados entre diferentes órgãos da Administração Pública?
A Lei permite o uso compartilhado de dados pessoais entre entes do poder público, desde que atenda a finalidades específicas de execução de políticas públicas e a atribuição legal desses órgãos, respeitados os princípios do art. 6º. O inciso III do art. 7º assegura, como uma de suas dez bases legais para o tratamento de dados, o tratamento e uso compartilhado pela Administração Pública de dados necessários à execução de políticas públicas previstas em leis, regulamentos ou ainda respaldadas em contratos, convênios ou instrumentos congêneres, nos termos do Capítulo IV.
4) Como assegurar a manutenção do sigilo de dados recebidos como sigilosos por um órgão da Administração Pública?
A proteção e controle de informações sigilosas pelo poder público já se encontra disciplinada na Lei nº 12.527, de 18 de novembro de 2011, especialmente em seus art. 25 e 26 — esse diploma não será revogado e conviverá em harmonia sistemática com a lei de proteção de dados. Além disso, a lei assegura às empresas públicas e sociedades de economia mista que estiverem operacionalizando políticas públicas, no âmbito da execução destas políticas, o mesmo tratamento dispensado aos órgãos do poder público.
5) Quais são os casos de tratamento de dados pessoais em que a LGPD não será aplicada?
São os casos em que o tratamento de dados pessoais for feito (i) por uma pessoa física, para fins particulares, e não comerciais, p.ex., coleta de dados pessoais dos integrantes da família para a montagem de uma árvore genealógica; (ii) para fins exclusivamente jornalísticos, artísticos e acadêmicos; ou (iii) pelo Poder Público – no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.
6) Esta Lei aplica-se apenas ao tratamento de dados pessoais coletados na Internet?
A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.
7) Mas o que são dados pessoais coletados offline ou online?
Dados pessoais coletados offline são os obtidos sem a utilização de procedimentos automatizados, como, p.ex., aqueles coletados para criação de um cadastro físico com fichas de clientes de uma padaria ou de uma loja de conserto de roupas Também pode ser o caderno com as anotações dos dados pessoais dos fregueses de uma mercearia em um vilarejo do interior do Brasil contendo o valor das compras “penduradas” a serem pagas no início do mês seguinte.
Os dados pessoais coletados online são os que se valem de métodos automatizados para serem obtidos, tais como os cadastros que rotineiramente são preenchidos por uma pessoa na Internet para poder utilizar redes sociais, baixar e usar aplicativos no celular, comprar objetos (livros, roupas, sapatos, eletroeletrônicos, etc.) ou contratar serviços (pedir um táxi, entrega de encomenda, entrega de comida, solicitação de cartão de crédito, etc.).
8) Quais são os principais atores no tratamento de dados pessoais de acordo com a LGPD?
São quatro: O titular, o controlador, o operador e o encarregado.
O titular é a pessoa física, a quem se referem os dados pessoais. O controlador é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. O operador é a empresa ou pessoa física que realiza o tratamento de dados pessoais sob as ordens do controlador. Já o encarregado, que será sempre uma pessoa física indicada pelo controlador e que tem como responsabilidade fazer a comunicação entre o controlador, os titulares e a ANPD; orientar os funcionários do controlador sobre práticas de tratamento de dados, entre outras.
9) O que é um dado pessoal?
É qualquer dado pessoal passível de maior potencial discriminatório em relação ao seu titular, estabelecidos na lei como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde, vida sexual, genética ou biométrica de uma pessoa física.A LGPD define dado pessoal como a informação que identifica ou que pode vir a identificar uma pessoa natural.
A informação que identifica é aquela que individualiza e indica com precisão quem alguém é, p.ex., o número do CPF dessa pessoa. A informação que pode vir a identificar (identificável) uma pessoa é qualquer informação pessoal que esteja relacionada indiretamente a essa pessoa, p.ex., idade, CEP residencial, atributos físicos e quaisquer outros que possam proporcionar ao controlador a identificação de uma pessoa determinada.
10) O que é um dado pessoal sensível?
É qualquer dado pessoal passível de maior potencial discriminatório em relação ao seu titular, estabelecidos na lei como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde, vida sexual, genética ou biométrica de uma pessoa física.
11) O que é um dado anônimo ou anonimizado?
Dado anônimo ou anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente – p.ex., indicação de que uma pessoa do gênero masculino mora no Prédio Vieira Souto.
12) A LGDP apresenta alguma definição de “consentimento”?
Sim, a LGPD entende que existe o consentimento quando o titular, ao ser informado sobre o tratamento de dados para uma finalidade determinada, por livre e espontânea vontade, dá o seu “de acordo” por meio de declaração ou conduta que clara e inequivocamente indique sua aceitação quanto ao tratamento dos seus dados pessoais.
13) Qual órgão será responsável pela aplicação e fiscalização do cumprimento da LGDP?
A LGPD prevê a criação da Autoridade Nacional de Proteção de Dados (ANPD), uma autarquia especial com prerrogativas de independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes, além de contar com autonomia financeira.
14) Quando o controlador e/ou o operador podem fazer o tratamento dos dados pessoais?
O tratamento dos dados pessoais pode ser feito pelo controlador e/ou pelo operador em uma das seguintes hipóteses de legitimação: (i) quando o titular dos dados pessoais der o seu consentimento ; (ii) quando o controlador tiver que cumprir com alguma obrigação legal ou regulatória; (iii) pela administração pública, quando necessário para a realização de políticas públicas; (iv) para realização de estudos por órgão de pesquisa; (v) para o exercício regular de direitos em processo judicial, administrativo ou arbitral; (vi) para a proteção da vida e da integridade física do titular ou terceiros; (vii) para a proteção da saúde, em procedimento realizado por profissionais da área da saúde; (viii) quando necessário para atender aos interesses legítimos do controlador ou de terceiro; (ix) para a proteção do crédito; e (x) quando necessário para execução de contrato do qual o titular faça parte.
15) O tratamento de dados pessoais sensíveis pode ser realizado em quais condições?
O tratamento de dados pessoais sensíveis pode ser realizado somente com o consentimento específico e destacado do titular, para finalidades específicas. Sem o fornecimento deste consentimento, pode ser realizado nos casos em que for indispensável para a garantia da prevenção a fraudes e à segurança do titular na identificação deste nos processos da identificação e autenticação de cadastros em sistemas eletrônicos, assim como nas hipóteses listadas nos itens (ii) ao (vii) da pergunta anterior.
16) Qualquer pessoa poderá simplesmente, sem qualquer motivação, se opor ao tratamento de seus dados pela Administração Pública?
O direito de oposição ao tratamento de dados, nos termos do art. 18, §2º, não é imotivado, já que só pode ser exercido “em caso de descumprimento ao disposto nesta Lei”. Quanto às hipóteses de término do tratamento, o art. 15, III, garante a continuação do tratamento quando necessária ao resguardo do “interesse público”, mesmo após a comunicação do titular.
17) E quando o tratamento de dados pessoais crianças pode ser realizado?
O tratamento de dados pessoais de crianças deve ser realizado apenas em seu melhor interesse, de acordo com legislação pertinente, colocando-os a salvo de toda forma de exploração ou violação de direitos. A coleta de dados de crianças só pode ocorrer mediante consentimento específico e em destaque dado por, pelo menos, um dos pais ou responsável legal, a não ser que seja usado apenas uma vez, e sem armazenamento, para protegê-las ou para contatar os pais ou responsável legal, não podendo ser repassado para terceiros. Também está prevista a obrigatoriedade da observação do princípio da minimização da coleta de dados em jogos, aplicativos ou outras atividades voltadas a esse público e a obrigação de oferta de informações em formato adequado e acessível sobre coleta e tratamento de dados a crianças e adolescentes.
18) A LGPD dispõe sobre a transferência de dados entre o Governo Federal e instituições dados entre o Governo Federal e instituições do setor privado?
O tratamento de dados pessoais para fins de segurança pública, de defesa nacional, de segurança do Estado, e de atividades de investigação e repressão de infrações penais deve ser, necessariamente, feito pelo Poder Público, não podendo ser realizado por pessoa de direito privado.
19) Em que casos os dados pessoais podem ser transferidos para fora do Brasil?
O Poder Público somente poderá transferir a entidades privadas dados pessoais que tenha acesso nos casos em que haja previsão legal, nos casos em que os dados forem acessíveis publicamente, ou em casos de execução descentralizada de atividade pública que exija essa transferência.
A transferência internacional de dados pessoais pode ser feita (i) para países ou organizações internacionais que, conforme definido pela ANPD, proporcionem grau adequado (ou seja, equiparável ao brasileiro) de proteção de dados pessoais; (ii) quando o controlador comprovar, por meio de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos, que está cumprindo com o disposto na LGPD; (iii) quando necessário para cumprimento de acordos da cooperação jurídica internacional entre órgãos públicos de inteligência, de acordo com instrumento de direito internacional; (iv) para proteção da vida do titular ou de terceiro; (v) quando autorizada pela ANPD; (vi) quando resultar em compromisso assumido em acordo de cooperação internacional; (vii) para a execução de política pública; (viii) quando o titular fornecer seu consentimento de forma específica e em destaque para tal; (ix) para o cumprimento de obrigação legal ou regulatória pelo controlador; (x) quando necessário para a execução de contrato do qual seja parte o titular; e (xi) para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
Além da necessidade de estabelecer limites para que dados de cidadãos que estão no Brasil sejam coletados e depois tratados em países que não possuam uma legislação equiparável as regras a este respeito, também reconhecem que as várias formas de permitir essa transferência internacional de dados pessoais são fundamentais para garantir o pleno funcionamento de atividades do dia-a-dia das pessoas. Por exemplo, quando acessamos nossos dados bancários pela Internet, ou até mesmo quando fazemos pesquisas em sites de busca, as informações que inserimos e aquelas que aparecem na tela de nossos dispositivos trafegam por diversos países.
20) Caso o tratamento de dados pessoais não ocorra de acordo com o LGPD, quem será responsabilizado?
Todos os controladores que estiverem diretamente envolvidos com o tratamento dos dados pessoais que tenham dado causa ao dano sofrido pelo titular. O operador também pode ser responsabilizado solidariamente, caso não cumpra as ordens passadas pelo controlador relativas ao tratamento dos dados pessoais.
21) Como saber se meus dados pessoais sofreram algum incidente de segurança?
A LGPD determina que o controlador deverá comunicar tanto ao titular quanto à ANPD sobre a ocorrência de algum incidente de segurança que possa causar risco ou dano ao titular.
22) Quais são as personalidade que podem ser aplicadas áqueles que violam a LGDP?
A LGDP estabelece que a ANDP pode enviar uma advertência, aplicar multas, determinar a
divulgação da infração, o bloqueio ou eliminação dos dados pessoais que foram violados, assim como a suspensão ou proibição do tratamento de dados pessoais por parte dos responsáveis.
23) Como a LGDP protege as pessoas de decisões automatizadas, baseadas exclusivamente em meios tecnológicos?
O titular dos dados tem direito a solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. Além disso, o controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
24) Quando a LGPD entrará em vigor?
Neste momento a LGPD aguarda a sanção presidencial. Após a sanção da lei pelo Presidente da República, a LGPD entrará em vigor no prazo de 18 meses contados à partir da data de sua publicação no Diário Oficial da União (D.O.U.).
Sobre o Manifesto BRASSCOM
PLC 53/2018 – Pela Aprovação da Lei de Proteção de Dados Pessoais
A Brasscom junto as entidades representativas, instituições acadêmicas, organizações e pessoas (80 no total) que subscrevem o manifestam de apoio à célere apreciação e aprovação, por parte do Senado Federal, do Projeto de Lei da Câmara dos Deputados no 53/2018, que dispõe sobre proteção de dados pessoais no Brasil.
No Site da Brasscom você terá acesso ao manifesto, a cartilha, matérias e vídeos sobre o tema.
Entre em contato com a Brasscom
+55 61 3536-9392 – DF
Cadastre-se para receber conteúdos sobre Proteção de Dados Pessoais diretamente da Brasscom.