RESUMO CNU - Lei Geral de Proteção de Dados Pessoais LGPD (Lei n 13 709 - 2018

Prévia do material em texto

RESUMO CNU
Lei Geral de Proteção de Dados Pessoais– LGPD (Lei nº 13.709/2018 e suas alterações e atualizações
Até o artigo 12.
Art 1 - A Lei protege dados pessoais em meios digitais, visando preservar liberdade, privacidade e desenvolvimento pessoal, com normas de interesse nacional aplicáveis a todos os níveis de governo.
Art 2 - Os fundamentos da proteção de dados incluem: 
· Respeito à privacidade
· autodeterminação informativa
· liberdade de expressão e opinião
· inviolabilidade da intimidade e imagem
· desenvolvimento econômico e tecnológico
· livre iniciativa e defesa do consumidor
· respeito aos direitos humanos e à cidadania.
Art 3 - A Lei se aplica a qualquer tratamento de dados realizado no território nacional, incluindo operações de pessoa natural ou jurídica, desde que:
· A operação seja feita no Brasil;
· A atividade envolva oferta de bens/serviços ou tratamento de dados de indivíduos no Brasil;
· Os dados tenham sido coletados no Brasil.
· Exceções aplicam-se a tratamentos específicos definidos no artigo 4º.
Art. 4º - A Lei não se aplica ao tratamento de dados pessoais nas seguintes situações:
1. Uso exclusivamente particular e não econômico por pessoa natural;
2. Fins jornalísticos, artísticos ou acadêmicos, desde que observados os princípios desta Lei;
3. Fins de segurança pública, defesa nacional, segurança do Estado ou investigação de infrações penais;
4. Dados originados fora do Brasil e não comunicados, compartilhados ou transferidos internacionalmente, desde que o país de origem tenha nível adequado de proteção de dados.
· O tratamento nos casos acima será regulado por legislação específica, com medidas proporcionais ao interesse público, respeitando princípios e direitos previstos na Lei.
· É proibido o tratamento de dados do item 3 por entidades privadas, exceto quando sob tutela de entidades públicas, com limitações específicas.
· A autoridade nacional emitirá pareceres e solicitará relatórios de impacto para essas exceções.
Art. 5º - Para os propósitos desta Lei:
Dado pessoal: informação relacionada a uma pessoa natural identificada ou identificável; 
Dado pessoal sensível: informação sobre origem racial ou étnica, crença religiosa, opinião política, filiação sindical ou a organizações de natureza religiosa, filosófica ou política, dados sobre saúde ou vida sexual, dados genéticos ou biométricos, quando associados a uma pessoa; 
Dado anonimizado: informação sobre um indivíduo que não pode ser identificado, através de meios técnicos disponíveis; 
Banco de dados: conjunto organizado de dados pessoais, em formato eletrônico ou físico, em um ou vários locais; 
Titular: pessoa natural a quem os dados pessoais se referem; 
Controlador: pessoa física ou jurídica responsável pelas decisões sobre o tratamento de dados pessoais; 
Operador: pessoa física ou jurídica que realiza o tratamento de dados em nome do controlador; 
Encarregado: pessoa indicada pelo controlador e operador para ser o ponto de contato com o titular e a Autoridade Nacional de Proteção de Dados (ANPD);
Agentes de tratamento: inclui o controlador e o operador; 
Tratamento: qualquer operação realizada com dados pessoais, incluindo coleta, uso, acesso, transmissão, armazenamento, eliminação, entre outros; 
Anonimização: processo pelo qual um dado perde a possibilidade de associação direta ou indireta a um indivíduo; 
Consentimento: concordância livre, informada e inequívoca do titular para o tratamento de seus dados pessoais para uma finalidade específica; 
Bloqueio: suspensão temporária de qualquer operação de tratamento de dados; 
Eliminação: exclusão de dados armazenados em um banco de dados; 
Transferência internacional de dados: envio de dados pessoais para fora do país; 
Uso compartilhado de dados: comunicação, transferência ou interconexão de dados pessoais entre órgãos públicos ou entre entidades públicas e privadas; 
Relatório de impacto à proteção de dados pessoais: documento do controlador que descreve os processos de tratamento de dados que podem representar riscos às liberdades civis e direitos fundamentais, com medidas de mitigação; 
Órgão de pesquisa: entidade pública ou privada sem fins lucrativos dedicada à pesquisa científica ou tecnológica; 
Autoridade Nacional: órgão responsável por fazer cumprir esta Lei em todo o país.
Art. 6º - As atividades de tratamento de dados pessoais devem seguir a boa-fé e os seguintes princípios:
· Finalidade: Tratar os dados para propósitos legítimos, específicos e informados ao titular, sem uso posterior incompatível. 
· Adequação: O tratamento deve ser compatível com os propósitos informados ao titular e o contexto do tratamento. 
· Necessidade: Limitar o tratamento ao mínimo necessário para as finalidades, com dados pertinentes, proporcionais e não excessivos. 
· Livre acesso: Garantir aos titulares acesso facilitado e gratuito aos seus dados e ao processo de tratamento. 
· Qualidade dos dados: Assegurar a exatidão, clareza, relevância e atualização dos dados, conforme necessário. 
· Transparência: Fornecer informações claras e acessíveis sobre o tratamento e os agentes envolvidos. 
· Segurança: Utilizar medidas técnicas e administrativas para proteger os dados contra acessos não autorizados e incidentes. 
· Prevenção: Adotar medidas para prevenir danos decorrentes do tratamento. 
· Não discriminação: Proibir o tratamento discriminatório dos dados. 
· Responsabilização e prestação de contas: Demonstrar a adoção de medidas eficazes e conformidade com as normas de proteção de dados.
DOS REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS
Art. 7º - O tratamento de dados pessoais só é permitido nas seguintes situações:
I. Com consentimento do titular; 
II. Para cumprir obrigação legal ou regulatória; 
III. Pela administração pública, para execução de políticas públicas; 
IV. Para estudos por órgãos de pesquisa, com anonimização sempre que possível; 
V. Para execução de contrato ou procedimentos preliminares a pedido do titular; 
VI. Para exercício de direitos em processos judicial, administrativo ou arbitral; 
VII. Para proteger a vida ou a integridade física do titular ou de terceiros.
· O tratamento de dados públicos deve considerar sua finalidade, boa-fé e interesse público.
· Não é necessário consentimento para dados manifestamente públicos, desde que se respeitem os direitos do titular e os princípios da Lei.
· Se dados forem comunicados ou compartilhados com outros controladores, é necessário consentimento específico do titular, exceto em casos previstos na Lei.
· A dispensa de consentimento não exime os agentes de tratamento de outras obrigações da Lei, como respeitar os princípios e garantir os direitos do titular.
· O tratamento posterior dos dados públicos pode ser feito para novas finalidades desde que sejam respeitados os propósitos legítimos, os direitos do titular e os princípios da Lei.
Art. 8º - O consentimento deve ser dado por escrito ou por outro meio que demonstre a vontade do titular, destacando-se em cláusula separada se fornecido por escrito. É responsabilidade do controlador provar que o consentimento foi obtido conforme a Lei, e é proibido o tratamento de dados com consentimento viciado. O consentimento deve ser específico para finalidades determinadas, sendo nulas as autorizações genéricas. O titular pode revogar o consentimento a qualquer momento, e em caso de alteração das informações previstas na Lei, o controlador deve informar ao titular, destacando as alterações, permitindo que o titular revogue o consentimento se discordar das mudanças.
Art. 9º - O titular tem direito ao acesso fácil às informações sobre o tratamento de seus dados, incluindo a finalidade específica do tratamento, forma e duração, identificação do controlador, informações de contato, uso compartilhado de dados, responsabilidades dos agentes de tratamento e direitos do titular. Se o consentimento for necessário, será nulo se as informações forem enganosas ou abusivas. Se houver mudança na finalidade do tratamento não compatível com o consentimento original, o titulardeve ser informado e pode revogar o consentimento. Se o tratamento de dados for necessário para fornecer um produto, serviço ou exercer um direito, o titular será informado destacadamente e sobre como exercer seus direitos.
Art. 10 - O legítimo interesse do controlador só pode justificar o tratamento de dados pessoais para finalidades legítimas, considerando situações específicas, como apoio e promoção das atividades do controlador e proteção dos direitos do titular ou prestação de serviços que o beneficiem, desde que respeitadas as expectativas do titular e os direitos fundamentais. O tratamento deve se limitar aos dados estritamente necessários para a finalidade. O controlador deve garantir a transparência no tratamento dos dados baseado em seu legítimo interesse, e a autoridade nacional pode solicitar um relatório de impacto à proteção de dados pessoais nesses casos, respeitando segredos comerciais e industriais.
Do Tratamento de Dados Pessoais Sensíveis
Art.11 - O tratamento de dados pessoais sensíveis só é permitido nas seguintes situações:
1. Com consentimento específico e destacado do titular, para finalidades específicas.
2. Sem o consentimento do titular, quando for indispensável para: 
a) Cumprimento de obrigação legal ou regulatória. 
b) Tratamento compartilhado de dados para execução de políticas públicas. 
c) Realização de estudos por órgão de pesquisa, com anonimização sempre que possível. 
d) Exercício regular de direitos, inclusive em processos judiciais.
e) Proteção da vida ou da incolumidade física do titular ou de terceiros. 
f) Tutela da saúde, exclusivamente por profissionais de saúde, serviços de saúde ou autoridades sanitárias. 
g) Garantia de prevenção à fraude e segurança do titular em processos de identificação e autenticação de cadastros em sistemas eletrônicos, desde que resguardados os direitos do titular.
Para órgãos e entidades públicas, a dispensa de consentimento deve ser publicada. O compartilhamento de dados pessoais sensíveis entre controladores para obter vantagem econômica pode ser regulamentado pela autoridade nacional, considerando os interesses dos titulares. É vedado às operadoras de planos de saúde o tratamento de dados para seleção de riscos na contratação ou exclusão de beneficiários.
Art.12 - Os dados anonimizados não são considerados dados pessoais, a menos que possam ser revertidos ao estado original com esforços razoáveis. A reversão deve ser feita apenas por meios próprios e considerando fatores como custo e tempo. Se os dados são usados para criar o perfil comportamental de uma pessoa identificada, ainda são considerados dados pessoais. A autoridade nacional pode definir padrões e técnicas de anonimização e verificar sua segurança, em consulta ao Conselho Nacional de Proteção de Dados Pessoais.
Parte superior do formulário