Perguntas Frequentes - LGPD
Para facilitar o entendimento da Lei 13.709/2018, a LGPD, elaboramos perguntas e respostas mais frequentes a respeito do tema.
1- O que é a Lei Geral de Proteção de Dados (LGPD)?
A Lei 13.709/2018 - Lei Geral de Proteção de Dados foi aprovada em 2018 e entrou em vigor no final de agosto de 2020, atingindo tanto órgãos públicos como empresas privadas. Esta legislação brasileira, baseada no Regulamento Geral sobre a Proteção de Dados (RGPD), válida em todos os países da União Europeia e do Espaço Econômico Europeu (EEE), representa um marco histórico na regulamentação sobre o tratamento de dados pessoais no Brasil, seja em meios físicos como em plataformas digitais.
2- Mas para que serve e qual a importância da LGPD para a população brasileira?
Ela vem justamente para proteger e garantir os direitos fundamentais dos brasileiros de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. Ela é a legislação mais específica sobre privacidade e impõe, inclusive, multas pelo descumprimento de sua normativa.
3- E o que muda com a LGPD?
Esta legislação vem empoderar os titulares de dados pessoais, fornecendo-lhes direitos a serem exercidos durante toda a existência do tratamento dos dados pessoais do titular pela instituição. E prevê um conjunto de ferramentas que, no âmbito público, traduzem-se em mecanismos que aprofundam obrigações de transparência ativa e passiva, promovendo mudanças significativas nos ambientes empresariais e públicos, fazendo com que comprovem que estão integralmente cumprindo o seu propósito, reforçando a segurança dos dados e promovendo políticas mais transparentes sobre o uso, a coleta e o armazenamento, por exemplo. Também garante que todos os agentes que tratam dos dados pessoais cumpram essa obrigação.
4- Como funciona a LGPD?
Nela, o cidadão passa a ser efetivamente o titular de seus dados, tanto nos meios online quanto nos offline, ou seja, em outros meios de produção material. Com isso, as regras são impostas aos setores públicos e privados, que são os responsáveis pelo ciclo de um dado pessoal dentro da organização a quem estão ligados: desde a coleta, passando pelo tratamento, pelo armazenamento, até a exclusão destes dados
5- Em resumo, qual a função dos princípios norteadores da LGPD?
Podemos dizer que a LGPD vem garantir que a pessoa física saiba quem tem seus dados, quais informações estão em posse desta pessoa física ou jurídica, o que está sendo feita com as informações que possuem. Como já salientado, existe a preocupação com a transparência, o acesso à informação e a garantia que a pessoa física terá controle sobre seus dados e sobre a forma com que estas informações estão sendo tratadas.
6- Quem tem os seus dados protegidos pela LGPD?
Toda pessoa que concede os seus dados pessoais a órgãos públicos ou entidades privadas. E a Lei Geral de Proteção de Dados protege dados que identifiquem as pessoas, ou seja, dados pessoais como o seu nome, RG, CPF, CNH, email entre outros dados.
7- Quais são os dados que a LGPD prevê a proteção?
A LGPD classifica em três dados que são coletados por órgãos públicos ou empresas privadas: dados pessoais, dados sensíveis e dados anonimizados.
8- Mas o que são dados pessoais previstos na LGPD?
Os dados pessoais são informações relativas a uma pessoa viva, identificada ou identificável. Exemplo: nome, RG, CPF, gênero, data e local de nascimento, telefone, endereço residencial, localização via GPS, retrato em fotografia, prontuário de saúde, cartão bancário, renda, histórico de pagamentos, hábitos de consumo, preferências de lazer, endereço de IP (Protocolo da Internet), cookies entre outros.
9- E o que são dados sensíveis previstos na LGPD?
São considerados dados sensíveis aqueles que estão sujeitos a condições de tratamento específicas, como dados pessoais que revelem a origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos tratados simplesmente para identificar um ser humano, dados relacionados com a saúde, dados relativos à vida sexual ou orientação sexual da pessoa.
10- O que são dados anonimizados?
São dados relativos a titular que recebem tratamento visando a que eles não possam ser identificados, mediante a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Em outras palavras, são informações coletadas e tratadas, porém, que fiquem disponíveis de forma que não permitam a identificação do titular destes dados.
11- O que é banco de dados?
O banco de dados, segundo a LGPD, é um conjunto estruturado de dados pessoais, estabelecidos em um ou em vários locais, em suporte eletrônico ou físico. Ele funciona como um repositório dos dados que tem poder de identificar uma determinada pessoa. Atualmente, há vários bancos de dados onde empresas ofertam o serviço para empresas armazenarem as informações de suas operações, que contém as informações pessoais e da privacidade.
12- E qual o risco envolvido no tratamento indevido dos dados pessoais?
O risco reputacional é o maior deles. O tratamento indevido e não seguro de dados pessoais pode acarretar, por exemplo, uma exposição indevida de dados pessoais de cidadãos ou de colaboradores.
13- Qual a definição de Controlador na LGPD?
De acordo com a Lei 13.709/2018, o controlador é uma pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.
14- E qual é o papel do Controlador?
A sua principal atribuição legal é garantir que as normas e os princípios estabelecidos pela LGPD estejam sendo respeitados. Ele deve garantir a transparência e a comunicação com o titular dos dados, deixando claras as suas intenções ao coletar dados. Também criar canais de comunicação para que os titulares de dados tenham acesso facilitado às suas próprias informações e direito. Tem, ainda, a responsabilidade de elaborar o Relatório de Impacto à Proteção de Dados Pessoais, nas hipóteses aplicavéis. O relatório, por sua vez, é um documento que contém detalhes sobre os processos de tratamento dos dados pessoais dentro da empresa ou órgão público, incluindo medidas de segurança e de prevenção a vazamento de dados e incidentes.
15- Qual é a definição de Operador na LGPD?
Enquanto que, em poucas palavras, o controlador é a quem compete as decisões referentes ao tratamento de dados pessoais, o Operador é justamente aquele que realiza o tratamento dos dados pessoais em nome do Controlador. É uma pessoa natural ou jurídica, de direito público ou privado.
16- E qual é a definição de Encarregado na LGPD?
Trata-se da pessoa indicada pelo Controlador para atuar como canal de comunicação entre o ele, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Na legislação, o vocábulo Encarregado aparece sete (7) vezes.
17- O que é o tratamento de dados definidos pela LGPD?
É simplesmente a operação realizada com os dados pessoais.
O tratamento de dados consiste em todo o processo: desde a captação e a manipulação até o armazenamento de informações. No caso dos dados pessoais de clientes, conforme as bases legais da LGPD, é preciso que as empresas garantam a segurança dessas informações.
18- O que significa o princípio da necessidade do tratamento de dados?
É a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
19- Quais são os princípios que regem o tratamento de dados?
A Lei 13.709/2018 os traz no artigo 6º:
* Boa-fé: é a obrigação de se agir com lealdade, respeito e transparência, de acordo com a confiança depositada pelo titular dos dados ;
* Finalidade: o tratamento de dados deve atender a propósitos legítimos, específicos, explícitos e informados ao titular;
* Adequação: compatibilidade do tratamento com as finalidades informadas ao titular;
* Necessidade: limitação do tratamento ao mínimo necessário para realização de suas finalidades, por meio de dados pertinentes, proporcionais e não excessivos em relação a finalidades;
* Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
* Qualidade dos dados: garantia de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade do tratamento dos dados;
* Transparência: garantia aos titulares de acesso a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os agentes de tratamento, observando-se os segredos comercial e industrial;
* Segurança: utilização de medidas técnicas e administrativas suficientes para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
* Prevenção: adoção de medidas para prevenir a ocorrência de danos em decorrência do tratamento de dados pessoais;
* Não discriminação: impossibilidade de realização de tratamento para fins discriminatórios ilícitos ou abusivos;
* Responsabilização e prestação de contas: demonstração, pelos agentes, da adoração de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e inclusive da eficácia dessas medidas.
20- Quantas bases legais e hipóteses para o tratamento de dados pessoais estão previstas na LGPD?
De acordo com o artigo 7º da LGPD, são dez (10) as hipóteses taxativas para o tratamento de dados. Com isso, o tratamento de dados somente pode ocorrer dentro das seguintes previsões:
* Obtenção do consentimento do titular (inc. I).
* Cumprimento de obrigação legal ou regulatória pelo controlador (inc. II).
* Execução de políticas públicas (inc. III).
* Estudos e pesquisas (inc. IV).
* Execução de contratos (inc. V) e em processo judicial, administrativo ou arbitral (inc. VI).
* À proteção da vida ou da incolumidade física do titular (inc. VII).
* Alterada pela Lei nº 13.853/19 para incluir a expressão “exclusivamente”, é a da tutela da saúde (inc. VIII).
* Legítimo interesse do controlador (inc. IX).
* À proteção do crédito (inc. X).
21- O que é consentimento?
A Lei 13.709/2018, a LGPD, tem como base o consentimento do cidadão. Isso significa que é necessário solicitar a autorização dos dados antes do tratamento ser realizado. Esse consentimento deve ser recebido de forma explícita e inquívoca. Porém, há exceção para o não consentimento. Só é possível processar os dados pessoais sem autorização quando for indispensável para cumprir situações legais, previstas na LGPD ou em legislações anteriores, como a Lei 12.527/2011 - Lei de Acesso à Informação (LAI). É possível, por exemplo, tratar dados tornados anterior e manifestamente públicos pelo cidadão, sem a necessidade de pedir novo consentimento.
22- Como funciona a questão do consentimento?
O titular, ou seja, a pessoa a quem se referem os dados que deve, se quiser - ao ser questionada, de forma explícita e inequívoca -, autorizar que suas informações sejam usadas por empresas ou órgãos públicos, na hora da oferta de produtos e serviços, gratuitos ou não. O verdadeiro dono do dado não é aquele que o utiliza, nem aquele que o salvaguarda em bancos de dados. Ele é estritamente da pessoa a quem ele diz respeito.
23- E quais são os direitos dos cidadãos com relação aos seus dados?
A LGPD assegura diferentes direitos aos cidadãos e cidadãs, brasileiros ou não, desde que estejam no Brasil. Citamos, a seguir, o que diz a Lei 13.709/2018:
* Confirmação de que existe um ou mais tratamento de dados sendo realizado.
* Acesso aos dados pessoais conservados que lhe digam respeito.
* Correção de dados pessoais incompletos, inexatos ou desatualizados.
* Eliminação de dados pessoais desnecessários, excessivos ou caso o seu tratamento seja ilícito.
* Portabilidade de dados a outro fornecedor de serviço ou produto, observados os segredos comercial e industrial.
* Eliminação de dados (exceto quando o tratamento é legal, mesmo que sem o consentimento do titular).
* Informação sobre compartilhamento de seus dados com entes públicos e privados, caso isso exista.
* Informação sobre o não consentimento, ou seja, sobre a opção de não autorizar o tratamento e as consequências da negativa.
* Revogação do consentimento, nos termos da lei.
* Reclamação contra o controlador dos dados junto à autoridade nacional.
* Oposição, caso discorde de um tratamento feito sem seu consentimento e o considere irregular.
24- Qual o papel do servidor público na LGPD?
Cada servidor é uma peça fundamental neste processo de zelar a proteção de dados pessoais de seus cidadãos, garantindo a privacidade de dados pessoais e o respeito a direitos fundamentais. Seja na coleta dos dados, respeito a todas as etapas dos mesmos, até mesmo, ao atender os cidadãos e cidadãs que contactarem a administração pública para exercerem os direitos que são conferidos a eles pela LGPD como direito de acesso de dados, retificação e até mesmo a eliminação dos mesmos, entre outros.
25- Há algum tipo de dado pessoal que exige atenção especial ao ser tratado?
Sim. Todo dado pessoal só pode ser tratado seguindo um ou mais critérios definidos pela LGPD. No entanto, há os que exigem um pouco mais de atenção como os que tratam de crianças e adolescentes, e os "sensíveis", que são os que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a vida sexual de uma pessoa. No caso dos menores de idade, é imprescindível ter o consentimento inequívoco de um dos pais ou responsáveis e se ater a solicitar apenas o conteúdo estritamente necessário para a atividade econômica ou governamental em questão, não repassando nada a terceiros. Só se pode coletar dados, sem o consentimento expresso, se for para urgências relacionadas a entrar em contato com os pais ou responsáveis e/ou para a proteção da criança e do adolescente.Já sobre os dados sensíveis, autônomos, empresas e governo podem tratá-los se tiverem o consentimento explícito da pessoa e para um fim definido. Sem o consentimento do titular, a LGPD diz que só será possível quando for indispensável a situações como uma obrigação legal, a políticas públicas, a estudos via órgão de pesquisa, a um direito em contrato ou processo, à preservação da vida e da integridade física de uma pessoa, à tutela de procedimentos feitos por profissionais das áreas de saúde ou sanitárias, à prevenção de fraudes contra o titular
26- A quem o titular do dado pode recorrer em caso de uso indevido de dados?
Em caso de identificação de uso indevido dos dados pelas unidades da Administração Pública Municipal Diretas e Indiretas, o titular dos dados deverá utilizar os canais da Ouvidoria-Geral do Município.