LEI GERAL DE PROTEÇÃO AOS DADOS PESSOAIS
1. O que é dado pessoal?
Dados Pessoais são os dados que se referem a uma pessoa natural. São aqueles que identificam esta pessoa. Nome, endereço, número de inscrição de Cadastro de Pessoas Físicas (CPF) entre outros são alguns exemplos de dados pessoais.
2. A LGPD é aplicada somente a dados no meio eletrônico?
As informações pessoais podem estar tanto no meio eletrônico como no meio físico.
3. Quais as classes de dados pessoais existentes na Lei 13.709//2018?
Há 3 (três) classes de dados pessoais:
a) Dados que identificam a pessoa. São dados que prontamente já demonstram quem é o titular do dado.
b) Dados que podem identificar a pessoa. Estes dados são aqueles que de imediato não identificam a pessoa, mas pelas suas informações se chega ao titular facilmente.
c) Dados sensíveis. São dados mais íntimos de uma pessoa e, portanto, possuem uma vulnerabilidade maior.
Há necessidade de dados pessoais para funcionamento de algumas tarefas ou aplicativos. Desta forma, não se pode compreender que a existência deles ou acesso são ilegais.
O que deve ser feito é uma política de transparência destes dados com o seu titular e uma instrumentalização para a aceitação consciente de que os dados estão sendo usados. Haja vista, a utilização do App Waze que é um localizador. O usuário sem informar a sua localização não há como utilizar o aplicativo.
Outra situação exemplificativa seria o uso da inteligência artificial na medicina. Sem os dados sensíveis de saúde não se pode chegar a um diagnóstico.
4. Quais são os dados sensíveis previstos pela LGPD?
A lei 13.709/2018 elenca um rol de dados considerados sensíveis. A violação de um dado sensível é muito mais grave do que um outro dado pessoal comum, pois há um violação maior da intimidade da pessoa.
São considerados dados mais vulnerabilidade a saúde, a religião, a política, a vida sexual, o dado genético ou biométrico, a filiação a sindicato.
Importante frisar que o rol elencado pela lei não é taxativo, ou seja, engloba outros não expressos. Portanto, trata-se de um um rol exemplificativo, sendo uma amostragem apenas.
5. Consentimento informado do uso do dado pessoal e legítimo interesse
Os dados pessoais podem ser utilizados por terceiros em duas situações:
a) quando há o consentimento informado pelo usuário e autorizado pelo titular do dado;
b) ou pela situação existente é imprescindível a utilização de um dado pessoal, o que se chama de legítimo interesse.
No primeiro caso, que se trata do consentimento informado, o titular do dado deve dar anuência do tratamento e que este dado seja explicito para qual fim se propõe. É preciso uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Desta forma deve preencher 3 (três) requisitos:
– consentimento livre (a manifestação deve ser sem pressão ou condicionada a outros fins);
– consentimento informado (o titular deve ser informado deste tipo de coleta e qual o fim proposto);
– inequívoca (não cabe dúvida sobre o procedimento de coleta).
Vale ressaltar que no caso de coleta de dados sensíveis há necessidade de elaboração de um consentimento específico.
Na segunda modalidade. que é o legítimo interesse, a coleta de dado decorre de uma obrigação legal ou contratual. O titular conserva o dado para fins específicos. Tem-se como exemplo fornecer o endereço no caso de delivery. Isso decorre de uma obrigação contratual. Em outros casos, pode-se armazenar os dados de um funcionário demitido pelo prazo de 2 (dois) anos da saída deste funcionário, visto que a lei trabalhista prevê este prazo para o ajuizamento de uma possível demanda judicial.
6. O que é considerado tratamento de dados?
Pelo art. 5º, X da Lei Geral de Proteção aos Dados seria toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Desta forma, qualquer situação que esteja prevista no rol do art. 5º da Lei 13.709/2018 será considerada como tratamento de dado.
7. Envolvidos no tratamento de dados:
. Titular do dado: pessoa natural
. Controlador: pessoa que direcionará como será feito o tratamento
. Operador: pessoa que irá fazer o tratamento dos dados
. Encarregado (DPO): intermedia o titular com a pessoa que fará o tratamento, assim como, com a autoridade nacional (complice formação jurídica ou técnica)
. Agente: operador e controlador do dado
8. Amplitude da LGPD
Sua ampliação será em qualquer situação que os dados ocorram no Brasil ou fora, desde que haja coleta ou atividade localizada no Brasil
9. O que é anonimização de dados?
Procedimento para evitar identificação do seu titular. Quando isso ocorre, a informação deixa de ser dado pessoal. Poderá ser usada para pesquisa, amostragem, etc.
10. Dados que não são envolvidos na Lei
– Fins particulares e não econômicos
– Jornalístico ou artísticos
– Acadêmicos
– Segurança pública, defesa nacional e investigação criminal
11. Autoridade Nacional
É um Órgão da Administração Pública que irá fiscalizar o tratamento de dados.
Sem a Autoridade Nacional de Proteção aos Dados Pessoais, que é o órgão fiscalizador a ser criado, não haverá muita eficácia da Lei.
12. Quais as sanções por estar em desacordo com a Lei?
– Advertência
– Multa de 2% do faturamento anual até 50 milhões de reais
– Multa diária
– Suspensão
– Destruição de dados
– Bloqueio de dados
Importante frisar que o Marco Civil da Internet (Lei 12.985/2014) prevê multas por violação de dados de valores de 10% (dez por cento), sendo inclusive maiores que a da LGPD.
13. Validade da LGPD
A LGDP já está em vigor e as questões que envolvem multa começarão a partir de 1º de agosto de 2021, conforme previsão da Lei 14.010/20 que adiou o prazo.
No entanto, situações que envolvem dados que estão previsto no Marco Civil da Internet (Lei 12.985/2014), ou seja, estão em vigor. Muitos juristas, advogados e consultores desconhecem os dispositivos legais previstos na lei mais antiga.
13. Como se adequar a LGPD?
A Política de Proteção aos Dados é regida por normas técnicas prevista na ISSO 27001, Marco Civil da Internet (Lei 12.985/2014) e Lei Geral de Proteção aos Dados Pessoais (Lei 13.079/2018), além de observância a outros dispositivos legais como a Constituição Federal, Código Civil, entre outras.
É importante contratar um serviço de consultoria jurídica especializa para adequar às normas, elaborar termos de uso, e de segurança de dados.
Cada setor e atividade desenvolvida no comércio, na indústria e na prestação de serviços necessita de um trabalho específico de adequação.