Tratamento de Dados Pessoais

Publicado em 02/08/2021 18h01
    • O que é a Lei Geral de Proteção de Dados Pessoais (LGPD)?

      A Lei Geral de Proteção de Dados Pessoais é o nome dado à Lei n.o 13.709, de 14 de agosto de 2018. Ela surgiu para aprimorar e organizar a proteção dos dados pessoais no Brasil, integrando movimento de normatização global sobre o tema. A LGPD dispõe sobre o tratamento de dados pessoais, por meios físicos ou digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, e alcança qualquer setor da sociedade que, de alguma forma, trate dados pessoais. O objetivo é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

    • A LGPD já está em vigor?

      Sim. A lei está em vigor desde 18 de setembro de 2020, porém a possibilidade de aplicação das penalidades administrativas somente entrou em vigor em 1 de agosto de 2021, por força da alteração promovida na LGPD, pela Lei n.o 14.010, de 10 de junho de 2020. Esta adiou a vigência das sanções que a Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar aos órgãos, entidades e empresas que lidam com o tratamento de dados. 

    • A LGPD se aplica a todos os casos de tratamento de dados?

      Não, a lei prevê exceções, por exemplo, quando os objetivos de tratamento de dados são relacionados à segurança pública, à defesa nacional e/ou à segurança do Estado. Atividades investigativas ou com o objetivo de impedir a ocorrência de crimes também resultam em tratamentos de dados válidos. É importante ressaltar que o tratamento de dados no contexto de garantir a segurança e a defesa nacional deve ser realizado exclusivamente por órgão público, empresa pública ou empresa privada que esteja sob tutela do poder público ao realizar aquela atividade.

      A LGPD prevê legislação específica para assegurar que, nesses casos, o tratamento de dados será feito única e exclusivamente para fins de atender o interesse público.

      O inciso IV do art. 4o especifica outros casos em que a LGPD não se aplica. A lei não vale para o tratamento de dados que venham de fora do Brasil, desde que o país de origem proporcione nível de proteção de dados pessoais equivalente ao da LGPD.

      A LGPD não é aplicável ao tratamento de dados de pessoas jurídicas nem de dados anonimizados, que são aqueles que não permitem a identificação do indivíduo, pois nenhum desses é considerado dado pessoal, salvo se a anonimização puder ser revertida (art. 12 da LGPD).

      A lei também não se aplica ao tratamento de dados pessoais realizado por pessoa física para fins exclusivamente particulares e não econômicos e para fins exclusivamente jornalísticos, artísticos ou acadêmicos. 

    • Quais atividades são englobadas no conceito de tratamento de dados?

      Tratamento de dados abrange toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

    • Como deve se dar o tratamento de dados pessoais pelo poder público?

      O tratamento de dados pessoais por pessoas jurídicas de direito público deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

      Para isso, devem ser informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades. A divulgação deve acontecer em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.

    • A quem compete a cobrança quanto ao cumprimento da LGPD?

      A LGPD e o Decreto n.o 10.474, de 26 de agosto de 20, indicam que compete exclusivamente à ANPD aplicar as sanções previstas na LGPD, impedindo, portanto, que tal atividade seja terceirizada ou delegada. Suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.

      Entretanto, a LGPD e o Decreto n.o 10.474 indicam a necessidade de colaboração e cooperação entre a ANPD e os órgãos e entes públicos, em especial aqueles responsáveis pela regulação de setores da economia, incluindo coordenação de atividades e criação de fórum permanente de comunicação. A forma como essas atividades serão realizadas deverá ser estruturada pela ANPD.

    • Quais são os direitos dos cidadãos em relação aos dados pessoais?

      Os arts. 17 a 22 da LGPD apresentam os direitos do titular de dados pessoais. Entre eles, destacam-se:

      • o direito de obter do controlador, a qualquer momento e mediante requisição, acesso aos dados pessoais que lhe digam respeito;
      • a correção de dados pessoais incompletos, inexatos ou desatualizados;
      • a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou em desconformidade com a lei;
      • a portabilidade de dados a outro fornecedor mediante requisição expressa;
      • a eliminação de dados (exceto quando o tratamento é previsto em lei, por exemplo);
      • a informação sobre o compartilhamento com entes públicos e privados;
      • as informações sobre a opção do não consentimento e suas implicações;
      • a revogação do consentimento;
      • a reclamação à ANPD.
    • O que é considerado dado pessoal?

      A LGPD foi bem ampla ao determinar, de forma simples e aberta, que dado pessoal é a informação relacionada à pessoa natural identificada ou identificável. Então, qualquer dado que identifique ou possa identificar uma pessoa natural é um dado pessoal. A lei não traz nenhuma lista de quais são esses dados.

      Algumas categorias são exemplos de dados pessoais em geral, como: nome, RG, CPF, CNH, e-mail, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, endereço de IP (protocolo da internet), cookies, entre outras.

    • O que são dados sensíveis?

      Além dos dados pessoais em geral, a LGPD prevê proteção especial ao que chama de dados pessoais sensíveis, que são dados cuja natureza pode ensejar problemas mais graves para seus titulares, como discriminação indevida, manipulação, perseguição, preconceito etc. Nesse caso, a lei enumerou, em rol taxativo, quais são esses dados. São eles: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico, quando vinculado a uma pessoa natural.

    • Qual a diferença de tratamento para os dados sensíveis?

      As hipóteses de tratamento dos dados sensíveis pela LGPD, tendo em vista o maior prejuízo que podem causar aos seus titulares, são mais restritas. A lei prevê dois casos principais:

      1. Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas.

      2. Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

      a) cumprimento de obrigação legal ou regulatória pelo controlador;

      b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

      c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

      d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei n.º 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

      e) proteção da vida ou da incolumidade física do titular ou de terceiro;

      f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou

      g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º da lei, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

    • O que são dados tornados manifestamente públicos pelo titular?

      A LGPD dispensa o consentimento para o tratamento do que chama de “dados tornados manifestamente públicos pelo titular”, isto é, dados que o próprio titular, ciente de sua ação, resolveu tornar públicos. Mesmo nessa hipótese, o tratamento deve observar os direitos do titular e os princípios previstos na LGPD.

    • O que são dados anonimizados?

      É o dado relativo a titular que perdeu a possibilidade de associação, direta ou indireta, a um indivíduo em razão da utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Por esse motivo, os dados anonimizados não serão considerados dados pessoais para os fins da LGPD. Caso esse processo seja, eventualmente, revertido, esse dado passará a ser considerado dado pessoal para fins da LGPD.

    • O que são dados pseudonimizados?

      São aqueles dados que passam por tratamento por meio do qual perde, a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.