Baixe o app para aproveitar ainda mais
Prévia do material em texto
LEI GERAL de PROTEÇÃO de DADOS PESSOAIS Ficha catalográfica elaborada pela Biblioteca da Escola de Negócios e Seguros É proibida a duplicação ou reprodução deste volume, ou de partes dele, sob quaisquer formas ou meios, sem permissão expressa da Escola. REALIZAÇÃO ESCOLA DE NEGÓCIOS E SEGUROS SUPERVISÃO E COORDENAÇÃO METODOLÓGICA DIRETORIA DE ENSINO TÉCNICO ASSESSORIA TÉCNICA ANGÉLICA CARLINI - 2019/ 2021 ALUIZIO JOSÉ BASTOS BARBOSA JUNIOR - 2021 PROJETO GRÁFICO E DIAGRAMAÇÃO ESCOLA DE NEGÓCIOS E SEGUROS – GERÊNCIA DE PLANEJAMENTO E ESCOLA VIRTUAL PICTORAMA DESIGN RIO DE JANEIRO 2021 E73l Escola Nacional de Seguros. Diretoria de Ensino Técnico. LGPD – Leis Gerais de Proteção de Dados Pessoais para corretores / Supervisão e coordenação metodológica da Diretoria de Ensino Técnico; assessoria técnica de Angélica Carlini e Aluízio José Bastos Barbosa Junior. Rio de Janeiro : ENS, 2021. 60 p. ; 28 cm 1. LGPD – Leis Gerais de Proteção de Dados Pessoais. 2. Proteção de dados pessoais – Segurança. 3. Proteção de dados pessoais – Sigilo de Dados. I. Carlini, Angélica. II. Barbosa Junior, Aluízio José Bastos. III. Título. 0021-2556 CDU 347 A Escola de Negócios e Seguros promove, desde 1971, diver sas iniciativas no âmbito educacional, que contribuem para um mercado de seguros, previdência complementar, capitali zação e resseguro cada vez mais qualificado. Principal provedora de serviços voltados à educação continuada para profissionais que atuam nessa área, a Escola de Negócios e Seguros ofe rece a você a oportunidade de compartilhar conhecimento e experiências com uma equipe formada por especialistas que possuem sólida trajetória acadêmica. A qualidade do nosso ensino, aliada à sua dedicação, é o caminho para o sucesso nesse mercado, no qual as mudanças são constantes e a competitivi dade é cada vez maior. Seja bemvindo à Escola de Negócios e Seguros. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS APRESENTAÇÃO 7 1. LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) A QUEM SE APLICA, ONDE SE APLICA, QUAIS OS OBJETIVOS E PRINCÍPIOS 9 INTRODUÇÃO 10 A QUEM SE APLICA 12 ONDE DEVE SER APLICADA A LEI 12 OBJETIVOS DA LEI 13 PRINCÍPIOS DA LGPD 16 2. LGPD – TERMINOLOGIA UTILIZADA 19 3. DADOS PESSOAIS – REQUISITOS PARA TRATAMENTO E COMPARTILHAMENTO DE DADOS 25 REQUISITOS PARA TRATAMENTO DE DADOS PESSOAIS 26 COMPARTILHAMENTO DE DADOS PESSOAIS 30 SUMÁRIO INTERATIVO LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 4. DIREITOS DO TITULAR DE DADOS PESSOAIS E TÉRMINO DO TRATAMENTO DE DADOS PESSOAIS 31 DIREITOS DO TITULAR DE DADOS PESSOAIS 32 TÉRMINO DO TRATAMENTO DE DADOS PESSOAIS 35 5. AGENTES DE TRATAMENTO DE DADOS PESSOAIS E RESPONSABILIDADES 37 AGENTES DE TRATAMENTO 38 RESPONSABILIDADE DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS 39 SEGURANÇA NO TRATAMENTO DE DADOS 40 COMUNICAÇÃO IMEDIATA DE RISCOS OU DANOS 41 BOAS PRÁTICAS E GOVERNANÇA 42 6. SANÇÕES APLICÁVEIS AOS AGENTES DE TRATAMENTO DE PROTEÇÃO DE DADOS 43 7. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS 46 SUMÁRIO INTERATIVO LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 8. TRATAMENTO DE DADOS SENSÍVEIS E DE DADOS DE CRIANÇAS E ADOLESCENTES 49 DADOS PESSOAIS SENSÍVEIS 50 PROTEÇÃO DE DADOS DE CRIANÇAS E ADOLESCENTES 52 9. LGPD E O DIA A DIA DO CORRETOR DE SEGUROS 53 PROSPECÇÃO DE CLIENTES 54 OBTENÇÃO DE DADOS PESSOAIS PARA ELABORAÇÃO DO PERFIL DO PROPONENTE 55 RECEBIMENTO DO PAGAMENTO DAS COMISSÕES 56 ENVIO DE APÓLICES AO SEGURADO 56 ACOMPANHAMENTO DE SINISTRO E DO PAGAMENTO DA INDENIZAÇÃO 56 REQUERIMENTO DE DADOS PELA SUSEP OU POR ORDEM JUDICIAL 57 RENOVAÇÃO DA APÓLICE 57 CONCLUSÃO 58 REFERÊNCIAS BIBLIOGRAFICAS 60 SUMÁRIO INTERATIVO LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 7 APRESENTAÇÃO A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS, Lei 13.709, de 14 de agosto de 2018, entrou em vigor em todo território nacional no dia 20 de agosto de 2020 e trouxe substancial modificação na forma como as empresas que atuam com dados pessoais fazem seu trabalho no cotidiano. Essa lei, que tem sido chamada pelas iniciais LGPD, tem forte impacto para o setor de seguros que, por excelência, necessita de dados pessoais para reali zar a avaliação e subscrição de riscos, tanto quanto precisa deles para os trabalhos próprios de regulação de sinistros e pagamento de indenizações. A LGPD modifica a forma como todas as empresas precisam administrar a coleta, arquivamento, tratamento e utilização de dados em seu dia a dia e, por isso, é preciso que haja preparação cuidadosa de vários setores da administração empresarial, em especial das áreas que armazenam e com partilham dados pessoais. Tratamento de dados é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da infor mação, modificação, comunicação, transferência, difusão ou extração. Essa definição foi adotada pela LGPD e é de fundamental importância para a compreensão da aplicabilidade da lei. Notem que o corretor de seguros, em sua relação junto aos clientes, acaba sempre por coletar, receber, classificar e distribuir para as seguradoras os dados pessoais que recebe. Portanto, é inegável a aplicação da LGPD para a sua atividade. Assim, todas as vezes que uma pessoa natural¹ ou jurídica, pública ou privada, solicitar os dados pessoais de alguém – nome, endereço, número de documentos, estado civil, identificação de gênero (masculino, femi 1. Pessoa natural é o mesmo que pessoa física. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 8 nino ou outros) –, estará sujeita a aplicação da lei. E o objetivo da lei é proteger o titular dos dados pessoais, para que não haja utilização sem consentimento, excessiva, desnecessária ou, prejudicial ao titular. Na atividade de seguros, todos os ramos utilizam, em maior ou menor escala, dados pessoais do próprio segurado, do beneficiário indicado ou de representantes legais de empresas que contratam seguros. Nas diferentes etapas, da proposta ao póscontrato, os dados pessoais são importantes na relação entre segurados e seguradores e, exatamente por isso, a LGPD terá influência significativa nesse setor. Corretores de seguro, reguladores de sinistro, profissionais de vistoria prévia, sindicantes, funcionários de seguradoras, corretoras e administra doras de seguro, todos devem estar bem preparados para se adequar à nova legislação e agir em estrita consonância com ela. Bons estudos! LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 9 UNIDADE 1 ■ Conhecer a quem se aplica a LGPD. ■ Definir onde se aplica a LGPD. Após ler esta unidade, você deverá ser capaz de: ■ Identificar os objetivos e princípios da LGPD. TÓPICOS DESTA UNIDADE ⊲ INTRODUÇÃO ⊲ A QUEM SE APLICA ⊲ ONDE DEVE SER APLICADA A LEI ⊲ OBJETIVOS DA LEI ⊲ PRINCÍPIOS DA LGPD LEI GERAL de PROTEÇÃO de DADOS (LGPD) a QUEM se APLICA, ONDE se APLICA, QUAIS os OBJETIVOS e PRINCÍPIOS 01 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 10 UNIDADE 1 INTRODUÇÃO A Lei nº 13.709, de 14 de agosto de 2018, é chamada de Lei Geral de Proteção de Dados Pessoais e conhecida pela sigla LGPD. Está dividida em dez capítulos e contém princípios e definições que facilitam a compreensão dos principais objetivos que ela pretende atingir. A lei foi aprovada pelo poder legislativo brasileiro apenas quatro meses após a entrada em vigor do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia, que ocorreu em maio de 2018. O regulamento europeu criou a necessidade de adaptação para muitas empresasque trabalham glo balmente, inclusive seguradoras, resseguradoras e corretoras de seguro. O RGPD europeu é aplicável a situações em que o tratamento de dados acontece nas atividades de uma empresa que está estabelecida em um dos países que compõem a União Europeia² e, em consequência, se aplica às empresas que não estão instaladas na União Europeia, mas que ofereçam produtos e serviços para qualquer um dos países que pertençam a ela. A necessidade de algumas empresas adequarem suas atividades ao Regu lamento de Proteção de Dados Pessoais da União Europeia contribuiu para que o legislativo brasileiro agilizasse o debate sobre a lei geral de proteção de dados brasileira, que já tinha projetos de lei em andamento há alguns anos. A proteção de dados pessoais é uma necessidade indiscutível em nossos tempos. Todas as pessoas são portadoras de dados e os fornecem dia riamente em inúmeras situações diferentes. Nossos dados pessoais são fornecidos no supermercado, na escola, na clínica de atendimento médico, no posto de gasolina, nos serviços de transporte privado (táxi e aplicati vos), nas redes sociais, nas transações bancárias, nas compras pela rede mundial de computadores, nas viagens por transporte aéreo, marítimo e terrestre (ônibus e fretamento), entre outras tantas situações que vivemos todos os dias. 2. Alemanha, Áustria, Bélgica, Bulgária, Chipre, Croácia, Dinamarca, Eslováquia, Eslovênia, Espanha, Estônia, Finlândia, França, Grécia, Hungria, Irlanda, Itália, Letônia, Lituânia, Luxemburgo, Malta, Países Baixos, Polônia, Portugal, República Checa, Romena e Suécia. 11 UNIDADE 1 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS Nossos dados pessoais são indispensáveis para a formalização de transa ções de alto valor, como a obtenção de empréstimo para compra da casa própria, mas também para transações de pequeno valor, como quando for necemos o número do CPF na farmácia para obter desconto na compra de um medicamento de baixo custo ou de um produto de higiene pessoal. Da mesma forma quando, ao desejarmos a cotação de um seguro fornece mos ao Corretor de Seguros nossos dados pessoais tais como: endereço residencial, modelo do veículo, renda mensal, eventuais doenças pré exis tentes entre tantos outros dados pessoais. Dados pessoais se tornaram bens e tudo parece indicar que no futuro poderão ser transacionados com empresas de diversos segmentos eco nômicos em troca de vantagens financeiras para seus portadores. No momento presente, o que causa maior preocupação são os transtornos que a má utilização de dados pessoais pode causar para seus portadores. Basta que imaginemos o que pode acontecer com nossa vida pessoal ou profissional se uma loja ou farmácia deixar vazar o número de nosso CPF e o do cartão de débito ou de crédito utilizado na última compra. Ou, ain da, que a escola de nosso filho deixe vazar nossos dados bancários ou o endereço de nossa residência. Todas essas possiblidades, infelizmente, são concretas e têm ocorrido inúmeras vezes nos últimos tempos. A lista de entidades e pessoas que já tiveram seus dados apropria dos indevidamente é extensa. Uma rápida busca na rede mundial de computadores vai nos mostrar que do Departamento dos Veteranos de Guerra NorteAmericanos, entidade que cuida do pagamento de pensões e aposenta dorias dessa categoria até o Facebook, site de rede social muito utilizado no Brasil, passando pela Card System Solution, empresa que processa pagamento de cartões de crédito, e pela PlayStation Online, rede de videogames online da Sony, todos já sofreram ataques que permi tiram o vazamento de dados pessoais de seus usuários.³ Todas as empresas estão suscetíveis a vazamento de dados pessoais de seus consumidores e usuários e, por essa razão, é preciso que a legisla ção estabeleça regras para a coleta e tratamento de dados, bem como sanções para os casos em que a lei não seja cumprida rigorosamente. Novos tempos, novas exigências! Se os dados pessoais são hoje uma fonte valiosa para as empresas que a partir deles podem propor muitos negócios diferentes – inclusive com uso de inteligência artificial para coletar somente os dados que tenham mais relevância para a modalidade de negócio que elas realizam – a contrapartida é a necessidade de proteger esses dados para que não sejam utilizados de forma indevida. 3. Disponível em https://exame. com/tecnologia/os-15-maiores- vazamentos-de-dados-da-ultima- decada/. Acesso em 13 de janeiro de 2021. https://exame.com/tecnologia/os-15-maiores-vazamentos-de-dados-da-ultima-decada/ https://exame.com/tecnologia/os-15-maiores-vazamentos-de-dados-da-ultima-decada/ https://exame.com/tecnologia/os-15-maiores-vazamentos-de-dados-da-ultima-decada/ https://exame.com/tecnologia/os-15-maiores-vazamentos-de-dados-da-ultima-decada/ 12 UNIDADE 1 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS Na atualidade, já existe sequestro de banco de dados com pedido de resgate em criptomoedas como os bitcoins, por exemplo, e, às vezes, até mesmo o travamento de sistemas de dados até que haja o pagamento de resgate. Essas práticas comprovam que é preciso cada vez maior cuidado no trabalho de coleta e tratamento de dados pessoais para que as empre sas atuem em pleno potencial de desenvolvimento econômico, mas com toda segurança possível para a sociedade. A Lei Geral de Proteção de Dados Pessoais brasileira é um avanço para as relações econômicas e sua entrada em vigor em agosto de 2020 marca um novo e promissor momento para o país. A QUEM SE APLICA A Lei Geral de Proteção de Dados se aplica às pessoas naturais (físicas) ou jurídicas, da área pública ou privada, que atuem com dados pessoais em qualquer meio, inclusive digital. Assim, se alguma pessoa natural ou jurídica de direito privado ainda atuar com dados pessoais arquivados em papel, meio físico, também terá de cumprir a lei da mesma maneira, porque ela também será aplicada a essas situações. Aqueles que atuam com uso de meio digital, mais comum em nossos dias, estão igualmente obrigados a cumprir a lei. Portanto, trazendo esse conceito para a realidade do corretor de seguros, temos que a LGPD se aplica igualmente a todo o tipo de corretor ou corretora de seguros. Seja o corretor pessoa física, que atua de forma autô noma, seja a grande corretora pessoa jurídica, afinal, todos os corretores de seguro, independentemente de tamanho, estrutura, porte, lidam com dados pessoais de seus clientes e, portanto, estão sujeitos à LGPD. ONDE DEVE SER APLICADA A LEI A LGPD será aplicada a todas as operações de tratamento de dados reali zadas em território nacional; ou, quando os dados tenham sido coletados para a oferta ou o fornecimento de bens ou serviços ou, o tratamento de dados de indivíduos localizados no território nacional; e, nas situações em que os dados pessoais objeto do tratamento tenham sido coletados no território nacional. 13 UNIDADE 1 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS Não importa que a pessoa natural ou jurídica, de direito público ou privado, tenha sua sede em outro país. Basta que a operação de tratamento de dados se realize no Brasil para que a legislação nacional seja aplicada. Também não importa que os dados sejam coletados de pessoas físicas estrangeiras. Se elas estiverem no Brasil no momento da coleta dos dados, a lei brasileira será aplicada para sua proteção. A pessoa natural cujos dados foram coletados em território nacional pode nem estar mais residindo no Brasil e, mesmo assim, será aplicada a lei se os dados tiverem sido tratados aqui. Por exemplo: um brasileiro fornece dados pessoais ao corretor e à seguradora com o qual contratou um segu ro viagem e, em seguida, viaja para a Itália, local em que vai passar 2 anos a trabalho. Se ocorrer algum problema com os dados fornecidos, como o vazamento ou a má utilização por parte do banco, a lei que será aplicada seráa legislação brasileira, ainda que ele esteja em outro território. OBJETIVOS DA LEI Os objetivos da lei são seus fundamentos, ou seja, a razão de sua existên cia, o que ela pretende prevenir e proteger. Os objetivos da LGPD são: Respeito à Privacidade Todo titular de dados pessoais tem direito de ser respeitado em sua privacidade, ou seja, partilhar dados apenas para pessoas autorizadas por ele e com objetivos específicos. Exemplo: fornecer o endereço para uma empresa de comércio eletrônico entregar um computador na minha casa não significa que desejo que qual quer pessoa tenha acesso a esse endereço. Autodeterminação Informativa Autodeterminação é a capacidade que cada pessoa tem de decidir por si só, ou seja, decidir de forma livre e autônoma o que consi dera melhor para ela. Autodeterminação informativa é o poder de cada um de nós para decidir sobre quais informações e para quem deseja fornecêlas. Não será admitido o compartilhamento de infor mações sem consentimento do titular dos dados, exatamente em razão da autodeterminação informativa. O consentimento do titular de dados pessoais, inclusive para que seja possível o compartilha mento de dados entre empresas que realizam o tratamento de dados, é essencial para que a operação seja regular, legalizada e não crie responsabilidades ou sanções. 14 UNIDADE 1 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS Consentimento do titular de dados pessoais é essencial em qualquer atividade pública ou privada de tratamento de dados. Liberdade de Expressão, Informação, de Comunicação e de Opinião Esses fundamentos estão previstos na Constituição Federal, que é a lei hierarquicamente mais importante do país. Assim, para resguardar esses direitos que todas as pessoas possuem de se expressar livremente, de se informar, de se comunicar e receber comunicações e de manifestar suas opiniões, é que a lei de prote ção de dados, tanto quanto a Constituição Federal, protege esses direitos no tocante a coleta e compartilhamento de dados. Inviolabilidade da Intimidade, da Honra e da Imagem Todas as pessoas nascidas no Brasil ou estrangeiros aqui residen tes têm direito constitucional a proteção de sua intimidade, honra e imagem, por isso a lei de proteção de dados pessoais igualmente garante esses direitos que, aliás, são de grande importância para todos nós. Ninguém pode ser invadido ou incomodado em sua intimidade, honra ou imagem pela divulgação de dados que não tenham sido expressamente autorizados. A nenhuma empresa será possível disseminar dados pessoais de alguém sem que isso tenha sido claramente autorizado. O Desenvolvimento Econômico e Tecnológico e a Inovação A necessidade de proteção de dados pessoais não pode colidir com a necessidade de que o país tenha desenvolvimento econô mico, tecnológico e de inovação. Esses elementos são essenciais para a construção de produtividade e economia forte e, em um país que adota o regime econômico capitalista como o Brasil, o desenvolvimento econômico é a base para uma sociedade mais justa e equilibrada, porque dele dependem os empregos e os recursos financeiros para o empreendedorismo, que pode via bilizar renda para as famílias viverem com dignidade. Em outras palavras, não se pode criar leis que protejam a ponto de dificultar o desenvolvimento econômico, porque isso afeta o bemestar social do país. É preciso que tenhamos leis que com equilíbrio protejam os dados pessoais e, ao mesmo tempo, permitam o desenvolvi mento econômico, tecnológico e todas as inovações que possam contribuir para a melhor qualidade de vida social e econômica para a população brasileira. 15 UNIDADE 1 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS A Livre Iniciativa, a Livre Concorrência e a Defesa Do Consumidor São princípios constitucionais que igualmente deverão ser respei tados na lei de proteção de dados pessoais. Cumprem o papel de equilibrar a necessidade de desenvolvimento econômico pela livre iniciativa (empresas privadas) com o respeito às pessoas naturais (pessoas físicas), que não podem ter seus dados pessoais utiliza dos indevidamente e sem seu consentimento. Direitos Humanos, Livre Desenvolvimento da Personalidade, a Dignidade a o Exercício da Cidadania pelas Pessoas Naturais Todos esses elementos são fundamentos constitucionais para a pro teção das pessoas naturais nos múltiplos aspectos que compõem seu direito a uma vida digna. Entre esses aspectos está o direito à proteção de seus dados pessoais para que não sejam utilizados de forma negativa, contrários aos interesses da própria pessoa. Em relação ao livre desenvolvimento da personalidade, por exemplo, imagine que um adolescente tem sua imagem divulgada indevi damente em redes sociais, nacionais e internacionais, em uma foto em que ele aparece estuprando uma criança. Suponha que essa foto é uma montagem feita por alguém que utilizou indevida mente uma foto verdadeira para atingir esse jovem em sua honra e dignidade, como vingança. Como se recuperar do trauma de ter sua imagem associada a um episódio tão violento? Como obter vaga em escola, em emprego, relacionamento social e pessoal se você foi atingido por um episódio como esse? É para proteger as pessoas contra ameaças graves como essa e tantas outras que a lei de proteção de dados tem esses fundamentos. Os objetivos da Lei Geral de Proteção de Dados Pessoais podem ser compre endidos a partir da análise de seus fundamentos. A disseminação de nossos dados pessoais tem sido intensa na sociedade contemporânea, principalmente em razão da internet e dos meios eletrônicos para contrata ção e consumo. Os dados pessoais são utilizados por milhares de empresas em todo o mundo para viabilizar o acesso a produtos e serviços, em especial para consumo, educação, lazer, entretenimento entre outras possibilidades. Além disso, os setores públicos também coletam e utilizam nossos dados pessoais: a Receita Federal; a Polícia Federal, para expedi ção de passaportes; o Sistema Único de Saúde; a educação pública (do fundamental ao superior); entre outras muitas possibilidades. Se os dados pessoais são utilizados para tantas atividades diferentes e, na grande maioria delas, por empresas que têm finalidade econômica com a utilização desses dados, é muito natural que tenhamos uma estrutura legal de proteção da coleta e do tratamento dos dados pessoais para que se garanta a todas as pessoas que a utilização será sempre em conformidade 16 UNIDADE 1 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS com a lei e para que não sejam gerados prejuízos materiais e imateriais (como dano moral, por exemplo). Quando ocorrerem prejuízos comprovados em decorrência da utilização indevida de dados, caberá aos responsáveis – empresas privadas ou poder público indenizarem os danos materiais e imateriais e, além disso, serão aplicadas sanções, das quais trataremos mais a frente nesta apostila. PRINCÍPIOS DA LGPD Além dos objetivos a LGPD brasileira também adotou princípios que terão de ser rigorosamente seguidos por todas as pessoas físicas ou jurídicas, públi cas ou privadas, que atuarem com coleta e tratamento de dados pessoais. Os princípios estão listados no artigo 6° da lei e são: Boa-Fé É um princípio que determina que as partes deverão agir sempre com honestidade e veracidade. Finalidade A utilização dos dados pessoais terá que ser feita sempre com propósitos legítimos, específicos, explícitos e informados ao titular dos dados. Coletados os dados para uma finalidade específica, não poderão ser utilizados para outra. Assim, o banco quando coleta seus dados pessoais para fornecimento de cartão de crédito não pode utilizálos, posteriormente, para contratar um seguro de vida em seu nome, salvo se houver consulta prévia e concordância expressa. Da mesma forma, se o cliente entrega seus dados pessoais para o corretor de seguros visando unicamenteà cotação de seguro de automóvel, não pode o corretor de seguros se aproveitar da situa ção e, de posse de tais dados pessoais, fazer cotações de seguro residencial e de vida, por exemplo. Para que isso seja possível é necessário que o cliente, titular dos dados pessoais dê o seu con sentimento para essa utilização diversa da finalidade original. Adequação Representa que os dados coletados deverão ser tratados em confor midade com a finalidade para a qual foram obtidos. Novamente, aqui fica vedada a obtenção para uma finalidade e o uso inadequado. 17 UNIDADE 1 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS Necessidade Os dados pessoais coletados deverão ser tratados de forma limitada ao mínimo necessário para que as finalidades sejam adequadamente atingidas. Isso significa que os dados pessoais solicitados deverão ser sempre o mínimo necessário e nunca excessivos. Por exemplo: é preciso perguntar quantos filhos uma pessoa tem e qual o gênero deles na contratação de um cartão de crédito? E para um seguro de vida? Cada situação exige uma quantidade de dados pessoais e eles devem ser solicitados sem pre tendo o mínimo e não o máximo como parâmetro. Livre Acesso Os titulares dos dados pessoais terão direito a consulta facilitada e gratuita de seus dados durante todo o período de duração da utilização deles. A consulta poderá ser à integralidade dos dados, ou seja, a todos os dados que foram coletados pela pessoa natural ou jurídica, pública ou privada, que solicitou esses dados para utili zação em suas atividades. Qualidade Dos Dados A lei obriga àqueles que coletam e tratam dados pessoais que garantam a exatidão, clareza, relevância e atualização dos dados, em conformidade com as necessidades e finalidades do tratamen to. As pessoas físicas e jurídicas, públicas ou privadas, que utilizam dados pessoais, devem coletálos de forma objetiva, exata, clara e mantêlos atualizados para que nenhum resultado adverso atin ja o titular dos dados apenas por falta de atualização ou clareza. Suponha que haja uma linha de crédito mais favorável para aqui sição da casa própria para pessoas casadas e o agente financeiro não tenha esse dado atualizado a seu respeito e, por isso, você perde a oportunidade de conseguir o financiamento que desejava. Transparência Significa que os titulares dos dados pessoais deverão ter a garantia de que as informações disponíveis a seu respeito são claras, pre cisas, facilmente acessíveis para qualquer verificação necessária, respeitados os segredos industriais e comerciais utilizados pelos organizadores da coleta e do tratamento de dados, ou seja, pelas pessoas físicas ou jurídicas, pública ou privada, que utilizam aque les dados em suas atividades. Segurança O titular de dados pessoais tem que ter a garantia por parte daquele que coleta e utiliza os dados de que serão utilizadas todas as medidas técnicas e de gestão que permitam a efetividade da proteção dos dados pessoais e, principalmente, que não permitam os acessos não autorizados ou, ainda, situações acidentais ou ilíci 18 UNIDADE 1 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS tas que resultem na destruição, perda, alteração, comunicação ou difusão de dados de maneira indevida. Prevenção Consiste na obrigatoriedade na adoção de medidas para pre venir qualquer fato ou ato que propicie danos aos titulares de dados pessoais. Não Discriminação A coleta de dados pessoais não pode ser realizada com finalidade discriminatória. Responsabilização e Prestação de Contas O agente, pessoa natural ou jurídica, pública ou privada, que coleta e trata dados pessoais, tem que adotar todas as medidas legais e técnicas necessárias para a proteção desses dados e será responsabilizado caso ocorram danos. Além disso, tem a obriga ção legal de prestar contas de seus atos na coleta e tratamento de dados pessoais. Os princípios são objetivos e ao mesmo tempo, organizam a atividade de coleta e tratamento de dados pessoais com a finalidade de proteger os titulares desses dados e isso, com certeza, é um benefício significativo para toda a sociedade brasileira. Ao mesmo tempo, os princípios não impe dem a atividade econômica e empresarial, o que igualmente é positivo para toda a sociedade. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 19 UNIDADE 2 ■ Definir alguns termos técnicos utilizados nas redes digitais de acordo com a LGPD. Após ler esta unidade, você deverá ser capaz de: LGPD – TERMINOLOGIA UTILIZADA 02 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 20 UNIDADE 2 O uso de dados pessoais para realização de negócios ou para a viabilização de atendimento pelo setor público é antigo na história da humanidade. Desde há muito tempo, as pessoas fornecem seu endereço, número de telefone, número de documentos pessoais, dados bancários, dados pessoais como gênero, estado civil, entre tantos outros para que os setores público e privado possam atuar. Nas últimas décadas, no entanto, o fornecimento de dados se avolumou exponencialmente porque passamos a utilizar a rede mundial de computadores – internet – para muitas atividades que antes só fazíamos presencialmente, como comprar uma televisão, um sofá ou um livro; assinar um jornal ou revista e fazer a leitura por meio eletrônico; contratar uma viagem de férias, a reserva de um hotel, comprar uma passagem aérea; contratar um seguro, plano de saúde, plano de previdência complementar, seguro viagem ou seguro de vida; ficar sócio de um clube ou associação nãogovernamental; contratar acesso a canais de entrete nimento para assistir filmes, séries, ouvir música; enfim, praticamente não há limite para o que pode ser feito pela internet. Para todas essas contratações disponibilizamos dados pessoais que são cole tados e armazenados pelo fornecedor de produtos e serviços. Muitas vezes na nossa atividade profissional também atuamos coletando e armazenando dados pessoais que são necessários para o trabalho que desenvolvemos. Na atualidade, existe uma grande quantidade de pessoas que se dedica a atividades profissionais pela internet e que, para desempenhálas cor retamente e com sucesso, precisa coletar e armazenar dados pessoais. Para todas essas situações, existem termos técnicos próprios que precisam ser utilizados para garantir a uniformidade da linguagem, com objetivo de facilitar a comunicação não apenas entre fornecedores e consumidores, como entre contratantes ou, ainda, entre o poder público regulador e aqueles que atuam por redes digitais. 21 UNIDADE 2 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS Para uniformizar as expressões utilizadas nesse novo universo do mundo digital, a Lei Geral de Proteção de Dados dedicou o artigo 5° exclusivamente para definições que deverão ser adotadas por todas as pessoas físicas, jurí dicas, públicas e privadas que utilizam dados pessoais em suas atividades. Vamos conhecer essa nova terminologia? Dado Pessoal Informação relacionada a pessoa natural identificada ou identificável. Pessoa natural e pessoa física têm o mesmo sentido, ou seja, o ser humano que se torna sujeito de direitos e deveres em conformidade com a lei. Pessoa jurídica é aquela composta por uma ou mais pessoas físicas que se organizam para exercer atividades econô micas (empresas) ou, sociais (associações, sindicatos, organizações nãogovernamentais, clubes desportivos, entre outras). Dado Pessoal Sensível Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. São dados que uma pessoa nem sempre deseja compartilhar ou mesmo que se torne conhecido para outras pes soas, seja para fins empresariais ou para pessoas de seu convívio social e familiar. A denominação sensível indicaque são dados que para serem tratados por pessoa natural ou jurídica, pública ou privada, vão demandar muito maior cuidado e especificidade. Dado Anonimizado Dado relativo a titular que não possa ser identificado, conside rando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Anonimização de Dados Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Exemplo: o dado pessoal passa a ser tratado de forma que não se possa identificar seu titular. Em lugar de constar o nome e o endereço do titular, a Anonimização fará constar: gênero feminino, 35 anos, operadora de telemarketing, faixa de renda R$ 1.800,00 mensais, resi- dente na Zona Oeste de São Paulo em casa alugada. Muitos dados pessoais estão elencados na frase, porém não se pode identificar a titular desses dados. 22 UNIDADE 2 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS Banco de Dados Conjunto estruturado de dados pessoais estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Exemplo: os dados que uma corretora de seguros ou seguradora possui sobre seus clientes é um banco de dados; os escritórios de advocacia sobre seus clientes ou causas nas quais esteja atuando, é outro banco de dados. O mesmo acontece com hospitais, clínicas, academias, escolas, universidades, lojas, médicos, dentistas e muitas outras atividades. Todos possuem dados de seus clientes e usuários que são tratados em bancos de dados que precisam ser legalmente organizados. A estrutura do banco de dados pode se dar em meio físico ou eletrônico e, em ambas as hipóteses, estará sujeita ao cumprimento da LGPD. Titular Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Todas as pessoas físicas (naturais) possuem dados pessoais das quais são titulares (proprietárias) e que só devem ser compartilhados mediante seu consentimento expresso e específico. Tratamento de Dados Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Uso Compartilhado de Dados Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimen to de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos ou entre entes privados; Consentimento Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. É importante reparar que a lei adjetivou o consentimento de forma a tornar claro que não é qualquer forma de consentimento que pode ser interpretada como adequada à lei. Somente aquele consentimento prestado de forma livre, informada e inequívoca, que não deixe dúvida de que se trata de consentimento para tratamento de dados pessoais , sendo veda- do o consentimento genérico. 23 UNIDADE 2 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS Bloqueio Suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados. Ocorrerá o bloqueio quando a pessoa natural ou jurídica, públi ca ou privada, for instada a suspender, em caráter temporário, o tratamento de dados organizados em seu banco. Quase sempre a ordem de bloqueio virá de decisão judicial ou de acordo entre partes, sempre para atingir finalidade específica. Eliminação Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empre gado. A eliminação ocorrerá a pedido do titular com concordância dos agentes de tratamento ou, ainda, por ordem judicial que determine a eliminação. Poderão ser eliminados bancos de dados eletrônicos ou físicos. Transferência Internacional de Dados Transferência de dados pessoais para país estrangeiro ou, para algum organismo internacional do qual o país seja membro, como, por exemplo, a Organização das Nações Unidas – ONU, ou a Organização Internacional do Trabalho – OIT, entre outros. A necessidade de transferência de dados pessoais para país estrangeiro poderá ocorrer, por exemplo, em casos de aciden tes naturais (terremotos, furacões), ou eventos trágicos (queda de aeronaves, incêndios, ataques terroristas), para colaborar na identificação de vítimas. Agentes de Tratamento O controlador e o operador. Controlador Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Operador Pessoa natural ou jurídica, de direito público ou privado, que reali za o tratamento de dados pessoais em nome do controlador. DPO Sigla para Data Protection Officer – pronuncia-se dipiou: Expressão em inglês que significa a pessoa designada na empresa para ser o responsável (diretor ou gerente) pela proteção de dados. Observação A LGPD permitiu expressamente que o controlador e o operador sejam pessoas jurídicas – ou seja, empresas contratadas para exercerem essa atividade – e não vedou expressamente que sejam a mesma pessoa (natural ou jurídica) para exercer as duas tarefas ao mesmo tempo. 24 UNIDADE 2 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS Encarregado Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado poderá ser pessoa natural ou jurídica e não é preciso que seja uma pessoa com poderes específicos apenas para isso; pode ser alguém que exerça outras atividades na empresa e que passe a exercer também essa. Pode ser uma empresa contratada para atuar como encarregado perante a Autoridade Nacional de Proteção de Dados (ANPD), que será uma espécie de agência reguladora da proteção de dados pessoais no Brasil. Relatório De Impacto À Proteção De Dados Pessoais Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Sendo o controlador o agente de tratamento de dados responsável pelas decisões, também será dele a responsabilidade pela construção do relatório de impacto à proteção de dados com o objetivo de des crever os processos utilizados para tratamento de dados pessoais, bem como todos as medidas adotadas para prevenir a ocorrência dos riscos a que os bancos de dados estão sujeitos. Órgão De Pesquisa Órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, cientí fico, tecnológico ou estatístico. Autoridade Nacional Órgão da administração pública responsável por zelar, imple mentar e fiscalizar o cumprimento desta Lei em todo o território nacional. É o órgão federal que terá a incumbência de regular e fiscalizar o tratamento de dados no Brasil, inclusive para aplicar as sanções previstas na LGPD. Sua composição, organização e funcionamento será bastante semelhante ao das agências ou superintendências que já atuam no país, como a Agência Nacional de Saúde Suplementar ANS ou, a Superintendência de Seguros Privados – SUSEP. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 25UNIDADE 3 ■ Conhecer os requisitos para tratamento de dados pessoais. Após ler esta unidade, você deverá ser capaz de: TÓPICOS DESTA UNIDADE ⊲ REQUISITOS PARA TRATAMENTO DE DADOS PESSOAIS ⊲ COMPARTILHAMENTO DE DADOS PESSOAIS 03 ■ Entender como deverá ocorrer o compartilhamento de dados pessoais. DADOS PESSOAIS – REQUISITOS para TRATAMENTO e COMPARTILHAMENTO de DADOS LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 26 UNIDADE 3 Dois importantes aspectos são regulados pela LGPD: os requisitos para tratamento de dados pessoais e a possibilidade de compartilhamento de dados. REQUISITOS PARA TRATAMENTO DE DADOS PESSOAIS A LGPD estabeleceu que os dados pessoais só poderão ser tratados por uma pessoa natural ou jurídica, pública ou privada, em situações específicas, que são: ■ Mediante o fornecimento de consentimento pelo titular dos dados; ■ Para cumprimento de obrigação legal ou regulatória pelo controlador; ■ Pela administração pública, para o tratamento e uso compar- tilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; ■ Para a realização de estudos por órgãos de pesquisa, garanti- da, sempre que possível, a anonimização dos dados pessoais; ■ Quando necessário para a execução de contrato ou de procedi- mentos preliminares relacionados a contrato do qual seja parte o titular dos dados pessoais, a pedido deste; 27 UNIDADE 3 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS ■ Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei de Arbitragem; ■ Para a proteção da vida ou da incolumidade física do titular ou de terceiro; ■ Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou de autoridade sanitária; ■ Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a pro- teção dos dados pessoais; ■ Para a proteção do crédito, em consonância com a legislação existente sobre o assunto. A utilização de dados pessoais fora dessas hipóteses estará em confronto com a legislação e, certamente, ensejará sanções e indenizações por responsabilidade. Algumas dessas hipóteses são especialmente importantes para as ativida des de seguros privados, como, por exemplo: Mediante o fornecimento de consentimento pelo titular dos dados Todos os segurados deverão consentir expressamente com a utilização de seus dados pessoais pelo corretor de seguros e pelo segurador. Esse consentimento deverá estar expresso desde o primeiro contato que, quase sempre, é o preenchimento físico ou digital da proposta de seguros, momento em que já são fornecidos dados como nome, endereço, estado civil, número de documentos de identidade, gênero, existência de filhos, profissão, entre outros. Para cumprimento de obrigação legal ou regulatória pelo controlador O setor de seguros é regulado e se obriga a cumprir as determi nações emanadas de seus órgãos regulatórios (SUSEP, BANCO CENTRAL, CVM, ANS, ANVISA). Sempre que um desses órgãos reguladores obrigar o tratamento e guarda de dados pessoais de segurados em geral, pessoas politicamente expostas, corretores de seguro ou prestadores de serviços em geral, isso poderá ser feito porque estará em conformidade com a LGPD. 28 UNIDADE 3 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular dos dados pessoais, a pedido deste Na contratação de seguros desde o momento preliminar, apresentação da proposta, é necessário obter dados pessoais e analisalos, na medida em que eles são a base para cálculo de prêmios que deverão ser pagos pelo segurado. Assim, tanto nos procedi mentos preliminares como na execução dos contratos, os dados de pessoas naturais são essenciais para a operação de seguros e a LGPD autoriza que sejam tratados por corretores de segu ro, seguradoras e resseguradoras, sempre que isso seja necessário. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei de Arbitragem Estabelecido um conflito entre segurados, corretores de seguro, seguradores ou resseguradores, o caminho para a solução pode ser o processo judicial, administrativo (na esfera dos PROCONS, por exemplo), ou, arbitral (quando regido pela Lei de Arbitragem). Nessas situações, os dados pessoais poderão ser utilizados, principalmente se forem essenciais para a prova da conduta regular do corretor, segurador ou ressegurador. Por exemplo – uma pessoa no momento do preenchimento da proposta para contratação do seguro de automóvel informa que não tem filhos. Meses depois, o veículo tem perda total em decorrência de um acidente quando era guiado pelo filho do segurado, de 22 anos de idade. O segurador nega o pagamento da indenização e se estabelece um conflito entre as partes. O segurado ingressa em juízo para decidir o conflito e o segurador, ao se defender, exibe a proposta na qual constam dados pessoais do proponente, inclusi ve a resposta negativa quando perguntado sobre a existência de filhos. O mesmo pode acontecer com habitualidade em conflitos envolvendo seguros de pessoas (vida e acidentes pessoais), de saúde e em contratos de previdência complementar. Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou de autoridade sanitária As operadoras de saúde são detentoras de dados pessoais de seus usuários e beneficiários e poderão ser chamadas a apre sentar esses dados quando isso for imprescindível para a tutela da saúde deles. Por exemplo: o segurado possuía um plano de saúde com uma seguradora e residia no Mato Grosso do Sul. Foi trabalhar em outra empresa, ingressou em novo plano de saúde e mudou de cidade. Em razão de uma doença da qual foi acometido, 29 UNIDADE 3 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS o plano de saúde atual, através de seu diretor médico responsável, solicita que o plano de saúde anterior informe um tipo específico de tratamento a que o usuário teria se submetido (realização de um procedimento para doença coronariana) para que seja possível dar continuidade a um tratamento ao qual ele está sendo sub metido, provavelmente decorrente do problema cardíaco que o usuário teve no passado. Nessas circunstâncias, a lei permite que a informação de dados pessoais seja compartilhada com objetivo exclusivo de proteger a saúde do usuário. Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais O controlador é a pessoa a quem competem as decisões referentes ao tratamento de dados pessoais. Em algumas ocasiões, poderá ser imputada responsabilidade civil decorrente de sua conduta, da qual ele terá que se defender, principalmen te, com objetivo de provar que agiu em conformidade com a lei. Nessas situações, ele poderá utilizar os dados pessoais no interesse legitimo de se defender e comprovar que não pra- ticou o ato que lhe é imputado. O mesmo poderá ocorrer em relação a terceiro que tiver objetivo de provar um interesse legítimo e para isso dependa de dados pessoais. Por exemplo: um médico de rede credenciada de seguradora de saúde que deseja provar que não agiu com erro médico ao ministrar um determinado medicamento para o paciente/usuário da segu radora alega que no prontuário do paciente não constava que ele era alérgico àquela substância. O paciente, por sua vez, alega que teria dito que era alérgico e por isso o medicamentoministrado pelo médico lhe trouxe complicações. A exibição do prontuário com todos os dados pessoais e mesmo com alguns dados sensíveis do paciente é a única forma de solucionar o problema adequadamente. Para a proteção do crédito, em consonância com a legislação existente sobre o assunto A proteção de crédito no Brasil está consolidada na Lei nº 8078, de 1990, que é o Código de Proteção e Defesa do Consumidor. Ele autoriza a existência de bancos de dados de crédito e regulamenta a forma como poderão atuar, sempre resguardada a dignidade dos consumidores, mesmo daqueles que possuem seu nome negati vado e que nem por isso poderão ser expostos de forma ilegal. Atualmente, existem bancos de dados negativos e positivos e tam bém é lícito operar com dados para formação do score ( pontuação) de crédito de cada pessoa física. No entanto, o tratamento de 30 UNIDADE 3 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS dados de crédito deve ser feito em rigorosa consonância com o que dispõe a legislação, inclusive a LGPD, para que os bancos de dados não sejam responsabilizados por sua conduta. COMPARTILHAMENTO DE DADOS PESSOAIS Em muitas situações cotidianas da vida empresarial, será necessário ou conveniente compartilhar dados pessoais. Para esses casos, a LGPD determina que o controlador que precisar comunicar ou compartilhar dados pessoais com outros controladores precisará obter o consenti- mento específico do titular para essa finalidade, ressalvadas hipóteses em que a lei dispensa expressamente a necessidade de consentimento. A LGPD estabelece também que o titular dos dados tem direito de saber sobre o compartilhamento e sua finalidade. No setor de seguros privados, o compartilhamento de dados pessoais é feito de forma usual em muitas situações diferentes. Dados pessoais são compartilhados entre o corretor de seguros e o segurador; entre o segura dor e os prestadores de serviços (oficinas referenciadas, rede credenciada de prestadores de serviços de saúde, reguladores de sinistro terceirizados, advogados, entre outros); entre os prestadores de serviços (reguladores de sinistro e oficinas referenciadas; médicos e hospitais); e, também, entre empresas do mesmo grupo econômico para fins negociais. Em todas essas hipóteses o compartilhamento deverá ser autorizado expressamente e informado ao titular de dados pessoais. Há um consentimento informado do titular de dados para utilização de seus dados para finalidades previstas na lei. No entanto, deve haver um consentimento informado específico para o compartilhamento de dados pessoais. Isso não é um problema! Basta que existam campos para que o titular de dados assinale que autoriza o compartilhamento de dados pessoais para as finalidades negociais e para o compartilhamento. Isso pode ser feito com a colocação de um X em um campo próprio no preenchimento da proposta de seguro ou, ainda, na página digital de contratação de seguros para as empresas que atuam com distribuição direta. Se esse sinal não for colocado, o programa não permitirá a continuidade da negociação, ou seja, ficará travado até que o titular de dados pessoais forneça seu consentimento expresso para tratamento e compartilhamento. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 31 UNIDADE ■ Compreender quais são os direitos dos titulares de dados pessoais. Após ler esta unidade, você deverá ser capaz de: TÓPICOS DESTA UNIDADE ⊲ DIREITOS DO TITULAR DE DADOS PESSOAIS ⊲ TÉRMINO DO TRATAMENTO DE DADOS PESSOAIS 04 ■ Identificar as hipóteses em que ocorre o término do tratamento de dados pessoais de acordo com a determinação da LGPD. DIREITOS do TITULAR de DADOS PESSOAIS e TÉRMINO do TRATAMENTO de DADOS PESSOAIS LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 32 UNIDADE 4 DIREITOS DO TITULAR DE DADOS PESSOAIS Sendo a lei para proteção de dados pessoais, existem direitos que o titular de dados pessoais possui e que deverão ser respeitados por todos os que atuam com tratamento de dados em todas as situações em que isso ocor ra. O princípio que rege esse direito é o do livre acesso, o que significa que o titular de dados poderá solicitar informações quantas vezes quiser, sem precisar justificar por qual razão está solicitando. O direito mais importante que o titular de dados pessoais possui é o de ter acesso facilitado às informações sobre o tratamento de seus dados. E, ao solicitar informações, essas deverão ser prestadas de forma clara, adequada e ostensiva sobre: Finalidade específica do tratamento Objetivo que motivou o tratamento dos dados. Forma e duração do tratamento, observados os segredos comercial e industrial De que maneira esses dados serão tratados e durante quanto tempo. O responsável pelo tratamento poderá preservar os segre dos comercial e industrial de sua atividade. Porém, precisa informar que instrumentos vai utilizar para tratamento de dados. Identificação do controlador Quem é o responsável pelas decisões. Informações de contato do controlador Que forma de contato o titular de dados pessoais poderá ter com o controlador (acesso por telefone, por endereço eletrônico, por aplicativo de mensagens, entre outros). 33 UNIDADE 4 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS Informações acerca do uso compartilhado de dados pelo controlador e a finalidade É preciso deixar claro se há compartilhamento de dados, com quem e com qual finalidade. Responsabilidades dos agentes que realizarão o tratamento Quem serão os responsáveis pelo tratamento dos dados pessoais. Direitos do titular A LGPD tem um artigo específico, o 18, para tratar de direitos dos titulares de dados pessoais. Sempre que o titular de dados pessoais fizer contato com o controlador da empresa que trata seus dados pessoais, terá direito a receber informações sobre o conjunto de direitos elencados no artigo 18 da LGPD. O objetivo é que os agen tes de dados da empresa (controlador e operador) e todos aqueles que trabalham na equipe estejam aptos a fornecer informações corretas e a esclarecer sobre direitos do titular de dados pessoais. A resposta à consulta feita pelo titular de dados pessoais deverá ser no sen tido de confirmar ou negar a existência de dados pessoais e deverá ser feita em formato simples, de forma imediata, por meio de declaração clara e com pleta que indique a origem dos dados e sua finalidade ou sua inexistência. Além desses requisitos da maior importância, a LGPD determinou o prazo máximo de 15 (quinze) dias contados da data do requerimento do titular para que seja fornecida a resposta ou viabilizado o acesso aos dados. A falta de cumprimento desse prazo poderá ser nociva para as empresas que trabalham com tratamento de dados, razão pela qual é de fundamental importância que os fluxos administrativos sejam organizados para o seu correto cumprimento. A informação solicitada pelo titular de dados pessoais poderá ser fornecida por meio eletrônico, seguro e idôneo para essa finalidade; ou, ainda, na forma impressa. O responsável pelo tratamento de dados poderá decidir a melhor forma para prestar informações, sempre respeitados os limites de acessibilidade do titular de dados pessoais. Assim, se um titular de dados pessoais não possuir acesso a computador ou celular com acesso à rede mundial de computadores, o responsável pelo tratamento de dados não poderá fornecer informações por meio eletrônico, porque o titular não terá acesso à resposta. Nos casos em que o tratamento de dados pessoais teve origem no con- sentimento do titular ou em um contrato, como ocorre nos contratos de seguros privados, o titular terá direito de solicitar cópia integral de seus dados pessoais respeitados os segredos comercial e industrial que fundamentam a operação da empresa que faz o tratamento dos dados. 34 UNIDADE 4 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS De posse das informações sobre seus dados pessoais, o titularpoderá soli citar revisão de decisões tomadas com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive aquelas que criaram seu perfil pessoal, profissional, de consumo, de crédito ou de aspectos de sua personalidade, conforme determina o artigo 20 da LGPD. Na atualidade, muitas empresas têm utilizado legalmente a inteligência artificial, ou seja, programas de computadores que a partir da análise dos dados disponíveis podem definir algumas características de grupos ou de pessoas. Esses programas analisam dados de consumo, de opção por entretenimento (viagens ou lazer), dados de crédito e bancários e, com isso, criam perfis que serão utilizados para novos negócios a serem ofere cidos aos titulares dos dados pessoais ou para que não sejam oferecidas certas opções negociais em razão do resultado do perfil. Se o titular de dados pessoais tiver elementos que permitam solicitar a mudança do perfil automatizado construído pela empresa de tratamento de dados, ele poderá solicitar que isso seja feito. Entretanto, essa mudan ça só poderá ser feita nos casos em que os perfis foram construídos de forma automatizada. No artigo 18 da LGPD existe uma relação de direitos dos titulares de dados pessoais. São eles: ■ Confirmação da existência de tratamento de dados pessoais; ■ Acesso aos dados pessoais que estão sendo tratados; ■ Correção de dados incompletos, inexatos ou desatualizados; ■ Anonimização, bloqueio ou eliminação de dados desneces- sários, excessivos ou tratados em desconformidade com o disposto na LGPD; ■ Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regu- lamentação que será criada pela Autoridade Nacional; ■ Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses em que a LGPD prevê a conser- vação dos dados (artigo 16); ■ Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; ■ Informação sobre a possibilidade de não fornecer consenti- mento e sobre as consequências da negativa; ■ Revogação do consentimento. É importante lembrar que o titular de dados pessoais tem direito a revogar seu consentimento e, nesse caso, o contrato de seguro poderá ser rescindido, na medida em que as seguradoras depen- 35 UNIDADE 4 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS dem de dados pessoais para exercer corretamente sua atividade de oferecer cobertura para riscos predeterminados. Se o titular não quiser informar dados pessoais relevantes para a operação de seguros privados ou, tendo informado, quiser revogar o consentimento, o contrato poderá ser rescindido de pleno direito porque esses dados pessoais são essen ciais para a configuração da extensão dos riscos e, consequentemente para a realização de cálculos atuariais. Por essa razão é importante que os agentes de tratamento de dados informem o titular dos dados pessoais sobre as consequências de não fornecer o consentimento para o tratamento de dados. Nos contratos de seguro privado, a consequência da não autorização para o tratamento de dados é a não realização do contrato ou sua rescisão, nos casos em que houver consentimento e posterior revogação do consentimento. Outro aspecto importante é que o titular dos dados pessoais não pode abusar de seu direito de pedir informações sobre os dados pessoais que estão sendo tratados. É uma hipótese típica do artigo 187 do Código Civil brasileiro que determina que comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes. Se o titular de dados pessoais fizer consultas em número excessivo e desprovido de finalidade, poderá ser responsabilizado por seus atos com fundamento no disposto no Código Civil, ou seja, conduta abusiva no exercício de direitos. O pedido para acesso aos dados pessoais poderá ser feito pelo próprio titular ou por um representante legal e, será feita aos agentes de tratamento de dados. O requerimento feito pelo titular de dados pessoais ou seu representante legal não poderá ser cobrado, razão pela qual não poder ser solicitado de forma excessiva ou, sem finalidade. Caso não haja atendimento imediato pelos agentes de tratamento de dados, o titular de dados pessoais ou seu representante poderá comunicar o fato a Autoridade Nacional de Proteção de Dados – ANPD – ou aos órgãos de proteção e defesa do consumidor pertencentes ao Sistema Nacional de Direito do Consumidor – SNDC, do Ministério da Justiça. TÉRMINO DO TRATAMENTO DE DADOS PESSOAIS Determina a LGPD que o término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses: 36 UNIDADE 4 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS a) Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcan- ce da finalidade específica almejada – É o que acontece, por exemplo, quando os dados são obtidos para a finalidade de avaliar proposta de risco apresentada para a seguradora. Se a proposta não for aceita e se tornar contrato, os dados já terão cumprido sua finalidade e deverão ser descartados com a segurança devida. b) Fim do período de tratamento – é o que acontece no encerra mento do contrato com período de vigência e sem prorrogação por vontade das partes. c) Comunicação do titular sobre a revogação do consentimento para tratamento de dados pessoais. d) Determinação da autoridade nacional em razão de violação à LGPD. Os dados pessoais poderão ser conservados nos casos em que seja necessário cumprir obrigação legal ou regulatória, o que será usual no setor de seguros privados que precisa atender normas de arquivamento da SUSEP e da ANS. Em algumas situações específicas o controlador poderá manter os dados pessoais para uso exclusivo, sem acesso a terceiros, sem compartilhamento e com os dados devidamente anonimizados. É o que pode acontecer, por exemplo, se as seguradoras ou corretores de seguro quiserem estudar dados pessoais para finalidades empresariais. Nesse caso, os dados podem ser estudados, mas sem identificação, apenas de forma anonimizada. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 37 UNIDADE 5 ■ Conhecer as principais atividades previstas na LGPD para o encarregado pelo tratamento de dados pessoais. ■ Compreender as responsabilidades dos agentes de tratamento de dados pessoais. Após ler esta unidade, você deverá ser capaz de: TÓPICOS DESTA UNIDADE ⊲ AGENTES DE TRATAMENTO ⊲ RESPONSABILIDADE DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS ⊲ SEGURANÇA NO TRATAMENTO DE DADOS ⊲ COMUNICAÇÃO IMEDIATA DE RISCOS OU DANOS ⊲ BOAS PRÁTICAS E GOVERNANÇA 05 ■ Identificar o que a LGPD determina nos casos de risco ou dano ao titular dos dados pessoais. ■ Conhecer a importância de boas práticas e governança para os controladores e operadores de dados pessoais. AGENTES de TRATAMENTO de DADOS PESSOAIS e RESPONSABILIDADES LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 38 UNIDADE 5 AGENTES DE TRATAMENTO A LGPD determina que o controlador e o operador deverão manter registro das operações de tratamento de dados pessoais que realizarem, principal mente quando esse tratamento for fundamentado em legítimo interesse, como ocorre com o setor de seguros quando precisa manter dados pessoais arquivados para cumprimento de disposições do órgão regulador. As atividades de controlador e operador poderão ser objeto de relatório solicitado pela Autoridade Nacional de Proteção de Dados, inclusive em relação a dados sensíveis. O relatório deverá conter, entre outras informa ções, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardase mecanismos de mitigação de risco adotados. O operador de tratamento de dados pessoais é a pessoa encarregada de realizar o tratamento em conformidade com as instruções do controlador, cabendo ao próprio controlador verificar se suas instruções estão sendo cumpridas e se elas estão adequadas à legislação. Cabe ao controlador, ainda, indicar quem será o encarregado pelo trata mento de dados pessoais, disponibilizar sua identidade e informações de contato de forma pública preferencialmente no site do controlador. As principais atividades previstas na LGPD para o encarregado são: a) Aceitar reclamações e comunicações dos titulares, prestar esclare cimentos e adotar providências; b) Receber comunicações da autoridade nacional e adotar providências; c) Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e 39 UNIDADE 5 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS d) Executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares que venham a ser criadas principalmente pela Autoridade Nacional de Proteção de Dados – ANPD. RESPONSABILIDADE DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS Da atividade de controlador e encarregado decorrem responsabilidades e obrigação de reparar danos materiais e imateriais quando esses atingirem o titular de dados pessoais. Danos materiais são aqueles que atingem o patrimônio e danos imateriais são os danos morais. Em ambas as hipóteses, eles poderão ser individuais ou coletivos. As duas principais causas de danos para tratamento de dados pessoais são: deixar de observar as determinações da Lei Geral de Proteção de Dados e tratar dados sem segurança técnica adequada para a finalidade a que se destina. Os agentes de tratamento de dados pessoais ou qualquer outra pessoa que trate dados pessoais autorizada por eles terá obrigação de garantir a segurança da informação em todas as fases, o que inclui responsabilidade mesmo após o término da finalidade que dava sustentação ao tratamento. No caso dos contratos de seguro, após o encerramento do período de vigência, persiste a responsabilidade pela segurança técnica dos dados pessoais dos segurados. O operador de dados pessoais responderá solidariamente pelos danos que causar aos titulares nos casos em que comprovadamente não cumprir as determinações da lei ou as instruções do controlador. Este, por sua vez, quando estiver diretamente envolvido no tratamento de dados do qual resultaram danos para o titular, responderá solidariamente com o operador. Responsabilidade solidária é um instituto de direito civil que determina que todos os responsáveis por uma obrigação respondem juntos por ela, sem divisão em relação ao credor; quando um deles quitar integralmente, terá direito de se ressarcir dos demais devedores solidários em relação às suas cotapartes. Assim, se o prejuízo for no valor de cem mil reais, controlador e agente serão responsáveis perante o titular de dados prejudicado por esse valor integral. Se o controlador efetuar o pagamento, terá direito de se ressarcir de cinquenta mil reais em relação ao agente. 40 UNIDADE 5 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS O titular de dados terá em seu benefício o instituto da inversão do ônus da prova nos termos do que já acontece na atualidade em decorrência da aplicação do Código de Defesa do Consumidor, Lei 8.078, de 1990. A inversão do ônus da prova não ocorrerá de forma automática, mas por determinação judicial quando o magistrado concluir que as alegações do titular de dados são verossímeis, houver comprovada hipossuficiência do titular, ou quando a produção da prova se mostrar excessivamente onerosa para o titular. Não haverá responsabilidade em todas as situações comprovadas em que os agentes: a) Não realizaram o tratamento de dados pessoais que lhes foi atribuído; b) Embora tenham realizado o tratamento de dados pessoais, não ficou demonstrada a violação da LGPD; e c) O dano alegado pelo titular de dados pessoais decorreu de sua ação exclusiva ou de terceiro que não tem nenhum relacionamento com os agentes de tratamento de dados pessoais, como por exem plo, um amigo, parente ou relacionamento comercial do titular de dados pessoais. A segurança no tratamento de dados pessoais é ponto fundamental para que não ocorram hipóteses de responsabilidade a ser reparada por danos causados ao titular dos dados. Todos os dispositivos de segurança técnica deverão ser utilizados com a finalidade de proteger o tratamento de dados contra vazamento e outras possibilidades que causem prejuízos aos titulares. SEGURANÇA NO TRATAMENTO DE DADOS A Lei Geral de Proteção de Dados – LGPD, determina que os agentes de tratamento – controlador e agente – deverão adotar as medidas de segu rança, técnicas e administrativas aptas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas que possam causar destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito. Com objetivo de tornar o tratamento de dados pessoais sempre seguro para os titulares e agentes de tratamento, a Autoridade Nacional de Proteção de Dados – ANPD, poderá determinar padrões técnicos mínimos aplicáveis à natureza das informações tratadas, em especial com relação aos dados pessoais sensíveis. 41 UNIDADE 5 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS COMUNICAÇÃO IMEDIATA DE RISCOS OU DANOS O controlador de tratamento de dados pessoais está obrigado por lei a comunicar a Autoridade Nacional de Proteção de Dados e o titular dos dados pessoais todos o incidente de insegurança que potencialmente possa causar riscos ou danos relevantes aos titulares. Essa hipótese será aplicada apenas e tão somente às situações em que os riscos ou danos sejam relevantes, ou seja, de importância comprovada, como acontece com os vazamentos de dados ou, o acesso indevido, aquele realizado por pessoas não autorizadas. A LGPD estabelece que a comunicação deverá ser feita em um prazo razoável e embora não haja estipulação do prazo em dias ou horas, é possível interpretar que ele deva ser definido para cada situação concreta e aplicado sempre com critério de maior brevidade possível para trans missão da informação. Não tão rápido que a informação não seja segura e nem tão lento que não seja mais possível tomar providências próprias do gerenciamento de crise. Ao prestar a informação a Autoridade Nacional de Proteção de Dados e ao titular dos dados pessoais sobre situações de risco ou de danos, deverão constar obrigatoriamente os seguintes dados: ■ A descrição da natureza dos dados pessoais afetados; ■ As informações sobre os titulares envolvidos; ■ A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; ■ Os riscos relacionados ao incidente; ■ Os motivos da demora, no caso de a comunicação não ter sido imediata; e ■ As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo. Ao ter conhecimento da informação sobre riscos, a Autoridade Nacional de Proteção de Dados – ANPD avaliará a gravidade do fato ocorrido. Essa ava liação levará em conta as medidas técnicas que tenham sido adotadas para tornar os dados ininteligíveis para terceiros não autorizados ao tratamento. Após a avaliação, a ANPD poderá determinar as seguintes providências: a) Ampla divulgação do fato em meios de comunicação; e b) Medidas para reverter ou mitigar os efeitos do incidente. 42 UNIDADE 5 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS BOAS PRÁTICAS E GOVERNANÇA A divulgação, em meios de comunicação de grande circulação, de riscos de vazamento de dados pessoais ou de acesso indevido ou as notícias publicadas a esse respeito constituem significativoabalo à reputação da empresa obrigada a adotar essas medidas. Na área de seguros, esse abalo reputacional fere o vínculo de confiança que é imprescindível para que o contratante escolha uma seguradora para proteger sua vida, sua saúde ou seu patrimônio. Evitar os riscos aos dados pessoais é uma estratégia que todas as empresas que operam na área de seguros – seguradores, corretores de seguro, presta dores de serviços e outros – deverão adotar com especial atenção e cuidado. Para isso, a LGPD inseriu as boas práticas e a governança como impres cindíveis para os controladores e operadores de dados pessoais no âmbito de suas competências. As boas práticas e a governança terão regras cons truídas a partir da consideração sobre a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorren- tes de tratamento de dados do titular. Determina a lei que as regras de boas práticas e de governança deverão estabelecer as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais. O controlador de dados pessoais avaliará a estrutura, escala e volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos riscos que poderão ser causados aos titulares de dados pessoais, para: a) Implementar programa de governança em privacidade; b) Demonstrar a efetividade de seu programa de governança em privacidade a pedido da ANPD ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de con duta, os quais, de forma independente, promovam o cumprimento da LGPD. As regras adotadas pela empresa para boas práticas e governança na área de proteção de dados pessoais deverão ser publicadas e atualizadas periodicamente e a Autoridade Nacional de Proteção de Dados poderá reconhecêlas e divulgálas quando necessário. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 43 UNIDADE 6 ■ Conhecer as sanções aplicáveis em razão das infrações cometidas por falta de cumprimento da LGPD. Após ler esta unidade, você deverá ser capaz de: 06 SANÇÕES APLICÁVEIS aos AGENTES de TRATAMENTO de PROTEÇÃO de DADOS LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 44 UNIDADE 6 Determina a LGPD que em razão das infrações cometidas por falta de cumprimento da lei, os agentes de tratamento de dados pessoais ficarão sujeitos a sanções, que poderão ser: Advertência Com indicação de prazo para adoção de medidas corretivas. Multa Simples De até 2% (dois por cento) do faturamento da pessoa jurídi ca de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Multa Diária Observado o limite total acima. Publicização da Infração Após devidamente apurada e confirmada a sua ocorrência. Bloqueio dos Dados Pessoais A que se refere a infração até a sua regularização. Eliminação dos Dados Pessoais A que se refere a infração. A ANPD promoverá processo administrativo que viabilize a ampla defesa dos agentes de tratamento de dados pessoais e só após o resultado dele é que serão aplicadas as sanções, de forma gradativa, isolada ou cumulativa e de acordo com as particularidades de cada caso concreto. Para fixação da sanção serão levados em conta, obrigatoriamente, os seguintes critérios: 45 UNIDADE 6 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS ■ Gravidade e a natureza das infrações e dos direitos pessoais afetados; ■ Boa-fé do infrator; ■ Vantagem auferida ou pretendida pelo infrator; ■ Condição econômica do infrator; ■ A reincidência; ■ O grau do dano; ■ A cooperação do infrator; ■ A adoção de mecanismos de prevenção e minimização dos danos; ■ A política de boas práticas e governança; ■ A pronta adoção de medidas corretivas; e ■ A proporcionalidade entre a gravidade da falta e a intensidade da sanção. É importante ressaltar que a LGPD não exclui a aplicação de sanções admi nistrativas, civis ou penais definidas no Código de Defesa do Consumidor e em outras leis específicas sobre o tema da proteção de dados pessoais. Essas sanções poderão ser cumuladas com aquelas aplicadas pela LGPD. O valor arrecadado com as multas não se destina às vítimas de danos, mas sim ao Fundo de Defesa dos Direitos Difusos, que utiliza, para a efetivação de projetos de educação e proteção nas áreas de meio ambiente, direitos do consumidor, proteção do patrimônio cultural, artístico e histórico, entre outros. LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 46 UNIDADE 7 ■ Conhecer a Autoridade Nacional de Proteção de Dados – ANPD e suas competência. Após ler esta unidade, você deverá ser capaz de: 07 AUTORIDADE NACIONAL de PROTEÇÃO de DADOS LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS 47 UNIDADE 7 A AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD, é órgão da administração pública federal, vinculada à Presidência da República, e terá várias competências. Entre elas destacamos: ■ Zelar pela proteção dos dados pessoais, nos termos da legislação; ■ Zelar pela observância dos segredos comerciais e industriais, observada a proteção de dados pessoais e do sigilo das informa ções quando protegido por lei ou quando a quebra do sigilo violar os fundamentos da LGPD; ■ Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; ■ Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso; ■ Promover na população o conhecimento das normas e das polí ticas públicas sobre proteção de dados pessoais e das medidas de segurança; ■ Promover e elaborar estudos sobre as práticas nacionais e interna cionais de proteção de dados pessoais e privacidade; ■ Estimular a adoção de padrões para serviços e produtos que facili tem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis; ■ Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional; 48 UNIDADE 7 LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS ■ Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comerciais e industriais; ■ Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei; ■ Editar normas, orientações e procedimentos simplificados e diferen ciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação possam adequarse a esta Lei; ■ Garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento; ■ Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos; ■ Comunicar às autoridades competentes as infrações penais das quais tiver conhecimento; ■ Implementar mecanismos simplificados, inclusive por meio ele trônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei. A ANPD não está definida em lei como autarquia, mas poderá
Compartilhar