Prévia do material em texto
By @kakashi_copiador Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) Autor: Diego Carvalho, Equipe Informática e TI, Renato da Costa 01 de Maio de 2023 00285493337 - ADIEL SILVA CARDOSO Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 Índice ..............................................................................................................................................................................................1) Legislações - LGPD 3 ..............................................................................................................................................................................................2) Questões Comentadas - Legislações - LGPD - Multibancas 65 ..............................................................................................................................................................................................3) Lista de Questões - Legislações - LGPD - Multibancas 73 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 2 78 APRESENTAÇÃO Galera, vamos falar sobre a Lei 13.709/2018! Opa, opa, opa, calma aí, professor! Eu já estou cansado de estudar leis nas matérias de Direito, agora vou ter que estudar até em Informática/TI? Calma, fera! Vou explicar... essa lei dispõe sobre a proteção de dados pessoais e altera a Lei do Marco Civil na Internet. Logo, é uma lei que trata de um assunto que tem uma interface com a nossa disciplina. Se você entendeu Direito Constitucional, isso aqui vai ser fichinha para vocês. PROFESSOR DIEGO CARVALHO - www.instagram.com/professordiegocarvalho Galera, todos os tópicos da aula possuem Faixas de Incidência, que indicam se o assunto cai muito ou pouco em prova. Diego, se cai pouco para que colocar em aula? Cair pouco não significa que não cairá justamente na sua prova! A ideia aqui é: se você está com pouco tempo e precisa ver somente aquilo que cai mais, você pode filtrar pelas incidências média, alta e altíssima; se você tem tempo sobrando e quer ver tudo, vejam também as incidências baixas e baixíssimas. Fechado? INCIDÊNCIA EM PROVA: baixíssima INCIDÊNCIA EM PROVA: baixa INCIDÊNCIA EM PROVA: média INCIDÊNCIA EM PROVA: ALTA INCIDÊNCIA EM PROVA: Altíssima Além disso, essas faixas não são por banca – é baseado tanto na quantidade de vezes que caiu em prova independentemente da banca e também em minhas avaliações sobre cada assunto... Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 3 78 Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 4 78 Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 5 78 LEI 13.709/2018 Conceitos Básicos INCIDÊNCIA EM PROVA: ALTA Vamos começar falando sobre a motivação para essa lei, mas antes eu gostaria que vocês assistissem esse pequeno vídeo para já terem uma ideia do que se trata: https://www.camara.leg.br/internet/agencia/videos/repasse_dados_pessoais.mp4 Para quem não conseguir ver o vídeo, vamos transcrevê-lo com algumas observações aqui e ali. Imagine que você vai a uma famosa rede de farmácias comprar um remédio. Ao fazer isso, é comum que você tenha que fornecer vários dados, tais como: Nome, CPF, Número do Cartão de Crédito e, por vezes, até o E-mail – além, é claro, do nome do remédio que você deseja comprar na farmácia. Bacana? Agora imagine também que essa rede de farmácias repasse esses dados – sem o seu consentimento – para uma empresa de planos de saúde. De posse desses dados, a empresa poderá utilizar essas informações para decidir se aumenta ou não o preço do seu plano. Ora, você não autorizou a farmácia a repassar esses dados, portanto o plano de saúde utilizou esses dados de forma completamente indevida. Professor do céu, isso acontece mesmo? Sim, galera – e muito! E digo mais: a rede de farmácias não repassa esses dados gratuitamente, ela os vende por altos valores. Logo, podemos concluir que a farmácia ganha dinheiro vendendo a informação, a empresa de plano de saúde ganha dinheiro aumentando o valor contratado do seu plano e você ganha dinheiro... opa, você não ganha dinheiro nenhum, você só perde nessa história! A mesma coisa acontece quando você autoriza as redes sociais, aplicativos ou instituições financeiras a compartilharem seus dados. Afinal, ninguém lê aqueles textos enormes – que você geralmente é obrigado a marcar que concorda – para ter acesso a esses serviços. Como se proteger disso? O Congresso Nacional aprovou uma lei para prevenir o uso indevido dos dados e uma das medidas garante ao cidadão o poder sobre seus dados pessoais. Há ainda previsões de fiscalizações, punições para usos indevidos e exigências de autorização para o tratamento das informações. A lei aumenta ainda as exigências para uso de dados considerados sensíveis, como os relativos à saúde. No entanto, para evitar censura, ela deixa de fora pesquisas acadêmicas, matérias jornalísticas e dados necessários ao crédito. Com as novas regras, a justiça e as fiscalizações decidirão quem será punido em caso de uso indevido de dados. Como assim, professor? Em nosso exemplo, pode-se punir a rede de farmácias, a empresa de plano de saúde ou ambas. Essas definições são fundamentais para posicionar o nosso país nessa nova Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 6 78 economia, que é baseada no cruzamento de dados, às vezes em países diferentes, com o objetivo de direcionar publicidades e comercializar produtos. Lembrando que – somente em 2014 – isso movimentou mais de três trilhões de dólares em todo o mundo. O site www.dizerodireito.com.br traz uma contextualização interessante sobre a lei: Os serviços atualmente oferecidos, especialmente por meio de empresas que trabalham com novas tecnologias, têm como uma de suas características a constante coleta de dados pessoais do usuário. Assim, por exemplo, a partir do momento em que uma pessoa faz uma conta e acessa o Facebook, o Instagram ou qualquer outra rede social, a empresa passa a coletar dados pessoais relacionados com aquele usuário. Tais informações vão sendo inseridas em um banco de dados cada dia mais completo a respeito da pessoa. Neste banco de dados há informações sobre seu nome, e-mail, cidade, profissão, círculo de amizades e, principalmente, seus gostos e interesses. Isso acontece, como já dito, com praticamente todos os serviços baseados nas novas tecnologias. É o caso do Google, do WhatsApp, do Uber, do Airbnb, do Waze etc. Em toda interação que fazemos via internet, há coleta de dados. Tais dados são muito valiosos economicamente porque eles definem tendências de consumo, políticas, religiosas, comportamentais etc. podendo servir para que empresas e políticos direcionem suas estratégias de acordo com essas informações. Sempre houve suspeita de que esses dados poderiam ser utilizados de forma indevida. Essa suspeita ganhou contornos mais reais quando se descobriu que houve um vazamento de dados de 87 milhões de usuários do Facebook para a empresa de marketing político Cambridge Analytica, que atuou na campanha eleitoral de Donald Trump. No Brasil, foram vazados os dados de 443 mil pessoas. Diante desse cenário, entendeu-se necessário regulamentar essa atividade a fim de evitar abusos que gerem violação aos direitos fundamentais dos indivíduos, dentre eles, a privacidade e a intimidade.Ressalte-se que essa é uma preocupação internacional, devendo-se destacar que, em 25/05/2018, entrou em vigor o “Regulamento Geral de Proteção de Dados”, conhecido como GDPR, sua sigla em inglês. A GPDR é uma legislação editada pela União Europeia que estabelece regras sobre como as empresas e os órgãos públicos devem lidar com os dados pessoais. É nesse contexto que foi editada a Lei nº 13.709/2018. É importante destacar que a nossa lei usou como base principalmente as regras do General Data Protection Regulation (GDPR) – ato legislatório da União Europeia sobre a proteção de dados! Na verdade, a nossa lei foi criada como uma resposta às cobranças feitas pela União Europeia para que outros países tivessem uma legislação de mesmo nível de proteção de dados que o nível do GPDR, que definia e limitava a forma como deveria ocorrer o tratamento e processamento de dados pessoais. Vamos contextualizar um pouco mais: diversas legislações e constituições federais ao redor do mundo tiveram como base a Declaração Universal de Direitos Humanos, de 1948. A partir dela, várias legislações Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 7 78 passaram a prever os direitos fundamentais como o direito à liberdade, intimidade e privacidade (vocês estão afiados em Direito Constitucional, né?). Já havia leis que protegiam dados pessoais, mas lembrem-se que o mundo passou por uma grande transformação digital recentemente. Logo, essa foi a demanda para uma legislação mais adequada aos tempos atuais. Daí para a Lei Geral de Proteção de Dados (LGPD) foi um pulo... Capítulo I INCIDÊNCIA EM PROVA: ALTA Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Parágrafo único. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios. Comentário: Esse primeiro artigo nos diz que essa lei dispõe sobre o tratamento de dados pessoais. Já vamos parar por aqui! O que é esse tratamento? E o que é um dado pessoal? Dado pessoal é fácil: trata-se de qualquer informação relacionada a uma pessoa natural (aquele ser humano capaz de direitos e obrigações na esfera civil). Já o tratamento é toda operação realizada com dados pessoais como coleta, utilização, processamento, armazenamento e eliminação. Vamos continuar lendo o artigo: essa lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais. O que isso significa? Isso significa que essa lei trata tanto daquele documento que você assina com caneta quando vai contratar um serviço de telefonia celular quanto aqueles contratos digitais que você marca que “concorda com os termos do contrato” quando está comprando ou usando serviços de um site. Ainda não entendi, professor! Um tempo atrás, eu estava de saco cheio da Claro e fui mudar para a Tim! Eu fui ao shopping, falei com um atendente, ele me mostrou os planos e eu acabei assinando um contrato com a Tim! Nesse contrato, eu tive que oferecer vários dados pessoais que, desde então, estão de posse dessa operadora. Esses dados que eu preenchi em um papel físico estão contemplados por essa lei? Sim! Legal... Agora se eu tivesse feito esse mesmo procedimento, porém pelo site da Tim? Bem, eu teria que oferecer os mesmos dados em um formulário digital na página dessa operadora e provavelmente teria que clicar em algum botando confirmando que eu aceito os termos do contrato. A partir desse momento, meus dados pessoais também estariam de posse dessa operadora. Esses dados que eu preenchi em uma página web estão contemplados por essa lei? Sim! Prosseguindo... Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 8 78 Então, essa lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado. Agora é o momento de relembrar os conceitos que vocês viram na disciplina de Direito Administrativo. Simplificando: a lei é válida tanto para Pessoas Físicas (Humanos) quanto para Pessoas Jurídicas (Empresas). E, nesse segundo caso, podem ser pessoas jurídicas de direito público ou privado. Vamos simplificar isso também? O que a lei quer dizer é que ela é válida tanto para dados tratados por empresas públicas quanto por empresas privadas. Ué, professor... eu achava que isso só era válido para empresas privadas. Não, não, não... vejam essa notícia a seguir! Em 2018, houve uma investigação que buscava apurar uma possível venda de dados pessoais pelo SERPRO – para quem não conhece, trata-se uma empresa pública de processamento de dados. Eu acho que isso poderia ser uma excelente pegadinha de prova, portanto cuidado: a lei trata tanto do tratamento de dados pessoais por parte de pessoas jurídicas de direito privado quanto empresas públicas de direito privado. Aliás, casos de vazamento ou venda de dados de empresas privadas, nós temos aos montes! Basta uma busca simples no Google e vocês encontrarão casos do Facebook, Twitter, PSN, etc. Seguindo... Esta lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Aqui ficou fácil... apenas descreve o objetivo dessa lei. Agora, para consolidar esse entendimento, nós vamos ter que pular para o artigo quinto. Antes, é importante mencionar que as normas gerais desta lei devem ser observadas por todos os entes: União, Estados, Distrito Federal e Municípios. Art. 5º Para os fins desta Lei, considera-se: Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 9 78 I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico; V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); IX - agentes de tratamento: o controlador e o operador; X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição,processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo; XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada; XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados; Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 10 78 XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado; XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro; XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados; XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco; XVIII - órgão de pesquisa: órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. Comentários: Galera, é importante a leitura das definições acima para o pleno entendimento do restante da lei. No entanto, eu gostaria de passar aqui pelas principais. Vocês se lembram do nosso exemplo da rede de farmácias? Pois é, vamos identificar alguns conceitos! Os dados pessoais são todas aquelas informações capazes de identificar o seu titular como nome, número de identidade, telefone, data de nascimento, local de nascimento, e-mail, entre outros. No nosso exemplo, os dados pessoais eram: Nome, CPF, Número do Cartão de Crédito e E-mail. Já o titular dos dados é a pessoa natural identificada, a quem os dados se referem – no nosso exemplo, o titular é você (que forneceu as informações). Professor, empresas podem ser titulares de dados? Não, apenas pessoas físicas! Pessoas falecidas podem ser titulares de dados? Também não, apenas pessoas naturais... Por fim, o controlador é o responsável pela guarda dos dados com o consentimento do titular, logo é a rede de farmácias. Bacana? É importante mencionar que a lei definiu uma categoria específica de dados pessoais chamados de dados pessoais sensíveis. Por que sensíveis, Diego? Porque tratam de características de personalidade individuais como raça, religião, orientação político-partidária, orientação sexual, dados de saúde, filiação sindical, entre outros. Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 11 78 Dessa forma, dados pessoais sensíveis são tratados em uma categoria especial por exigirem um cuidado maior que o padrão em seu tratamento. Outro conceito bastante importante também são os dados anonimizados: são aqueles que, originariamente, eram relativos a uma pessoa, mas que passaram por etapas que garantiram a desvinculação deles a essa pessoa. Por meio de técnicas de anonimização, é possível desassociar o dado pessoal de seu titular. DADOS PESSOAIS Informação relacionada a pessoa natural identificada ou identificável DADOS SENSÍVEIS Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. DADOS ANONIMIZADOS Dado relativo à titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. E os agentes de tratamento? Os agentes de tratamento são o controlador e o operador. Ambos podem ser uma pessoa natural ou uma pessoa jurídica. O controlador é aquele que detém o domínio das decisões e que estabelece de que forma o tratamento de dados será efetivamente realizado, PR IN CI PA IS P AP EI S TITULAR Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. CONTROLADOR Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. OPERADOR Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. ENCARREGADO Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o Controlador, os titulares dos dados e a ANPD. AGENTES DE TRATAMENTO O controlador e o operador ÓRGÃO DE PESQUISA Órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico AUTORIDADE NACIONAL Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 12 78 além de ser o responsável por responder diretamente à autoridade nacional. Já o operador atua tão somente de acordo com as normas determinadas pelo controlador. Já a autoridade nacional é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. Ela tem a autoridade de fiscalizar, aplicar sanções, definir normas padrões, procedimentos, efetuar auditorias e estabelecer interpretações de acordo com a LGPD. Bem, eu acredito que esses são os conceitos mais importantes inicialmente. Vaaaaaaamos seguir... Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. Comentário: Vamos comentar apenas o segundo inciso, que é menos intuitivo! O direito à autodeterminação informativa surge como um desmembramentodo direito à privacidade, com o escopo de tutelar de forma mais efetiva o conjunto de dados considerados pessoais dos cidadãos, garantindo-lhes o controle deles. Em outras palavras, trata-se do direito de concordar, retificar e cancelar dados pessoais constantes de bancos de dados eletrônicos (públicos ou privados). Bacana? FUNDAMENTOS Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 13 78 Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: I - a operação de tratamento seja realizada no território nacional; II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional. § 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta. § 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei. Comentários: Professor, se os dados são coletados em território nacional, a lei se aplica? Sim! Professor, se os dados são tratados em território nacional, a lei se aplica? Sim! Professor, se os dados não são coletados e tratados em território nacional, mas têm o objetivo de fornecer bens ou serviços em nosso país, a lei se aplica? Sim! Professor, se os dados não são coletados e tratados em território nacional, mas se trata de dados de indivíduos localizados em nosso país, a lei se aplica? Sim! Respeito à privacidade Autodeterminação Informativa Liberdade de Expressão, de Informação, de Comunicação e de Opinião Inviolabilidade da Intimidade, da Honra e da Imagem Desenvolvimento Econômico e Tecnológico e a Inovação Livre Iniciativa, Livre Concorrência e a Defesa do Consumidor Direitos Humanos, Livre Desenvolvimento da Personalidade, Dignidade e o Exercício da Cidadania pelas Pessoas Naturais Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 14 78 Professor, a lei só se aplica se se tratar de dados de indivíduos brasileiros? Não! O indivíduo pode ter qualquer nacionalidade. Se houver o tratamento de dados de um indivíduo argentino localizado em território nacional, a lei se aplica! Vocês se lembram do escândalo da Cambridge Analytica? 87 milhões de usuários do Facebook tiveram seus dados pessoais coletados para uso político com o intuito de influenciar a opinião de eleitores em vários países. Após a revelação do uso desses dados em uma investigação por um canal de televisão, o Facebook pediu desculpas e disse que a empresa – Cambridge Analytica – coletou os dados de forma inadequada. Vejam só: os dados foram coletados fora do território nacional (os servidores que hospedam essa rede social não ficam no Brasil) e foram tratados fora do território nacional, mas se trata de dados localizados em nosso território, logo... a lei se aplicaria! Em suma: a lei será aplicada caso a operação de tratamento ou coleta seja realizada em território nacional; ou caso a atividade de tratamento tenha o objetivo de oferecer bens ou serviços de indivíduos localizados em território nacional ou se tratar de dados de indivíduos localizados em território nacional. Não importa em que meio estejam os dados, em que país eles estejam armazenados ou localizados. Veremos agora os casos em que a lei não se aplica... Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II - realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos; (Redação dada pela Medida Provisória nº 869, de 2018) III - realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 15 78 § 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei. § 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste artigo. § 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais. § 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público. Comentários: Esse artigo apresenta diversos casos em que essa lei não se aplica. Ela não se aplica ao tratamento de dados pessoais realizados por pessoa natural para fins exclusivamente particulares e não econômicos. Querem um exemplo? Se você precisa fazer uma pesquisa de perfil político para a sua faculdade e pede para alguns amigos preencherem um formulário. Ora, como se trata de um uso particular sem nenhum objetivo econômico, a lei não será aplicada. Ela também não será aplica para fins exclusivamente jornalístico e artístico, ou acadêmico. No exemplo anterior, vimos um fim acadêmico, mas poderia ser para publicar uma pesquisa em um jornal ou para fazer uma exposição artística também. A lei também não será aplicada ao tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais. Suponha que um criminoso tenha seus dados coletados pelo governo com o intuito exclusivo de ser utilizado para fins de segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais. A lei se aplica? Não! O Estado pode utilizar esses dados mesmo sem a anuência do criminoso! Ainda não acabou... vocês se lembram da exceção do artigo anterior para a aplicação da lei em território nacional? Pois é... A lei não se aplica ao tratamento de dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 16 78 Observem também que o parágrafo primeiro afirma que o tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei. O que isso significa, professor? Isso significa que mesmo quando os dados forem utilizados para fins de segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais, ainda haverá limitações, isto é, haverá uma lei específica para regular medidas proporcionais e estritamente necessárias ao atendimento do interesse público no uso dessas informações coletadas. Entendido? Além disso, como apresenta o parágrafo segundo, o tratamento dos dados a que se refere o inciso III do caput por pessoa jurídica de direito privado só será admitido em procedimentos sob a tutela de pessoa jurídica de direito público, hipótese na qual será observada a limitação de que trata o § 3º. Em outras palavras, uma empresa privada só poderá utilizar esses dados para esses fins caso esteja sob a tutela de pessoa jurídica de direito público. Por fim, os dados pessoais constantes de bancos de dados constituídos para os fins de que trata o inciso III do caput não poderão ser tratados em sua totalidade por pessoas jurídicas de direito privado, não incluídas as controladas pelo Poder Público. Em outras palavras, os dados referentes à defesa nacional, por exemplo, não poderão ser tratados em sua totalidade por pessoas jurídicas de direito privado – o mesmo vale para os outros itens do inciso terceiro! Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 17 78 VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Comentários: esse artigo trata dos princípios que devem ser seguidos pelas atividades de tratamento de dados pessoais – são todos intuitivos! Capítulo II INCIDÊNCIA EM PROVA: ALTA CAPÍTULO II DO TRATAMENTO DE DADOS PESSOAIS Seção I Dos Requisitos para o Tratamento de Dados Pessoais Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o fornecimento de consentimento pelo titular; titular dos dados pessoais tem direito a obter do controlador FINALIDADE ADEQUAÇÃO NECESSIDADE LIVRE ACESSO QUALIDADE DOS DADOS TRANSPARÊNCIA SEGURANÇA PREVENÇÃO NÃO DISCRIMINAÇÃO RESPONSABILIZAÇÃO E PREsTAÇÃO DA CONTAS Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 18 78 II - para o cumprimento de obrigação legal ou regulatória pelo controlador; III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. § 1º (Revogado pela Medida Provisória nº 869, de 2018) § 2º (Revogado pela Medida Provisória nº 869, de 2018) § 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização. § 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei. § 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei. Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 19 78 § 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular. § 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei. Comentários: Galera, o que legitima o tratamento de dados?Quando e por quem ele poderá ser realizado? Esse artigo nos ajuda a responder a essas perguntas! A lei aborda o tratamento de dados como uma atividade de risco, isto é, via de regra não se deve tratá-los. Para realizar o tratamento de dados, é necessário que se incorra em um dos seguintes motivos ou requisitos que legitimam o tratamento de dados pessoais. Vejamos... (I) Hipótese de tratamento de dados pessoais: mediante o fornecimento de consentimento pelo titular. Dessa forma, a farmácia do nosso exemplo não pode coletar meus dados pessoais sem o meu consentimento. E como definimos consentimento? É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. (II) Hipótese de tratamento de dados pessoais: para o cumprimento de uma obrigação legal ou regulatória pelo controlador. Em outras palavras, se for para cumprir obrigações legais ou regulatórias, o controlador pode realizar o tratamento de dados. No entanto, mesmo neste caso específico, o titular deverá ser informado que será feito o tratamento – incluindo coleta, armazenamento, classificação, entre outros – de seus dados. Bacana? (III) Hipótese de tratamento de dados pessoais: pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. A administração pública frequentemente desenvolve políticas públicas e, para tal, precisa utilizar dados dos titulares. Nesse caso, o titular deverá ser informado do tratamento. (IV) Hipótese de tratamento de dados pessoais: para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. Galera, já sabemos que anonimizar dados pessoais significa fazer com que o titular dos dados se torne anônimo de modo que não se possa identificar que determinada informação pertence a uma pessoa específica. Além disso, é importante definir órgão de pesquisa! Um órgão de pesquisa é um órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico. Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 20 78 Em outras palavras, um órgão de pesquisa pode até ser uma pessoa jurídica de direito privado (isto é, uma empresa privada) desde que não tenha fins lucrativos. Dito isso, o Instituto Brasileiro de Geografia e Estatística (IBGE) pode ser considerado um órgão de pesquisa; já a DataFolha, não! Por que? Porque, em geral, essas empresas realizam pesquisas pagas e vendem os dados coletados para outras empresas. Bacana? (V) Hipótese de tratamento de dados pessoais: quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados. Imagine que você queira celebrar um contrato e, para fazê-lo, você autorize que seus dados pessoais sejam tratados pela outra parte assinante do contrato. Nesse caso, é autorizado o tratamento dos dados pessoais. (VI) Hipótese de tratamento de dados pessoais: para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem). Para que o controlador ou operador possam se defender, eles poderão apresentar os dados pessoais e isso não dependerá do consentimento do titular de dados. (VII) Hipótese de tratamento de dados pessoais: para a proteção da vida ou da incolumidade física do titular ou de terceiro. Esse caso ocorre com alguma frequência em casos relacionados a convênios de saúde, apólices de seguro de vida, entre outros. Nesses casos, caso haja necessidade de proteção da vida ou da incolumidade física do titular ou terceiro, existe a possibilidade de dispensa do consentimento pelo titular de dados. (VIII) Hipótese de tratamento de dados pessoais: para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Imaginem um enfermeiro em uma ambulância pedindo para uma vítima de um acidente de carro assine um termo para que seus dados possam ser tratados. Não faz sentido, né? Nesses casos, também há dispensa o consentimento. (VIX) Hipótese de tratamento de dados pessoais: quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Para os casos em que o controlador tem um interesse legítimo a ser preservado, também não é necessário coletar seu consentimento. (X) Hipótese de tratamento de dados pessoais: para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. Nós sabemos que existem diversas empresas de crédito pessoal espalhadas pelo país. Os dados dos consumidores circulam por essas empresas, de forma que – por diversas vezes – elas sabem se uma determinada pessoa está com “nome sujo”, teve cheques protestados, sofreu ações ou penhoras por não pagamento de dívidas, entre outros. Nesse caso, para preservar a própria livre circulação do crédito, há a dispensa do consentimento do titular de dados. Por que, Diego? Ora, se o titular de dados está com o “nome sujo” por dívidas, Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 21 78 evidentemente ele não fornecerá o consentimento, porque – caso o faça – as empresas de crédito automaticamente vão consultar sua situação e não vão emprestá-lo dinheiro. Logo, nesses casos, não há necessidade de consentimento do titular. No caso de compartilhamento, há um consentimento específico. A lei afirma que o controlador que obteve o consentimento do titular, se necessitar comunicar ou compartilhar dados pessoais com outros controladores, deverá obter consentimento específico do titular para esse fim. Professor, não me lembro mais o que é um controlador! É a pessoa natural ou jurídica, de direito público ou privado, a quem competem decisões referentes ao tratamento de dados pessoais. Professor, e quando os dados são manifestamente públicos? Nesse caso, é dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios desta lei. Por outro lado, a eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas na lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular. Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. § 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais. § 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei. § 3º É vedado o tratamento de dados pessoais mediante vício de consentimento. § 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas. § 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificadosos tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei. § 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração. Comentários: O consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Caso seja por escrito, isso deverá ser feito por meio de cláusula destacada das Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 22 78 demais cláusulas contratuais. E se o titular disser que não consentiu com nada? Nesse caso, cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com a lei. E se eu for induzido em erro para fornecer meus dados pessoais? Aí teremos um vício de consentimento e o consentimento será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo, ou não tenham sido apresentados previamente com transparência, de forma clara e inequívoca. Além disso, cabe destacar que o consentimento deve ser específico. Como é isso, Diego? Isso significa que o consentimento deve se referir a finalidades determinadas – autorizações genéricas para o tratamento de dados pessoais serão nulas. E se houver mudança na finalidade do consentimento? Exemplo: você pode autorizar o tratamento de seus dados pessoais para uma finalidade específica, mas a empresa pode utilizá-los para outras finalidades diversas daquela que você consentiu inicialmente. No caso de mudança na finalidade do consentimento não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso não concorde com as alterações. Aliás, a revogação do consentimento pode ocorrer a qualquer tempo mediante manifestação expressa do seu titular, sendo que o procedimento deve ser fácil e gratuito. Enquanto não houver requerimento de eliminação, os tratamentos realizados sob amparo do consentimento anteriormente manifestado são válidos. Como assim, Diego? Imagine que você conceda seu consentimento em janeiro de 2022 e o revogue em janeiro de 2023. Os dados que foram tratados nesse período de 1 ano são válidos, salvo se você requerer a eliminação. Entendida essa parte? Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso: I - finalidade específica do tratamento; II - forma e duração do tratamento, observados os segredos comercial e industrial; III - identificação do controlador; IV - informações de contato do controlador; V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade; VI - responsabilidades dos agentes que realizarão o tratamento; e VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei. § 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca. Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 23 78 § 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações. § 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei. Comentário: O principal aqui é entender que o titular de dados tem direito ao livre acesso às informações sobre tratamento de seus dados, que devem ser disponibilizadas de forma clara, adequada e ostensiva. Isso significa que ele pode querer saber a finalidade do tratamento, forma e duração, identificação e informações de contato do controlador, informações sobre compartilhamento, responsabilidades dos agentes que realizarão o tratamento, direitos do titular, etc. Ora, os dados são dele, logo ele tem direito de saber todas essas informações sobre como seus dados serão tratados, isto é, toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Além disso, ele deve ter acesso transparente e rigoroso à finalidade do tratamento dos dados. Em outras palavras, a finalidade do tratamento precisa ser pontualmente esclarecida ao titular dos dados – seja no contrato, nos termos de uso ou na política de privacidade. Caso as informações fornecidas ao titular tenham conteúdo enganoso/abusivo ou não tenham sido apresentadas previamente com transparência, o consentimento será considerado nulo. Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I - apoio e promoção de atividades do controlador; e II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. § 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. § 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 24 78 § 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial. Comentário: Essa é apenas uma lista exemplificativa de situações que legitimam o interesse de um controlador em tratar dados. Desse modo, a partir da literalidade da lei, podemos entender que o legítimo interesse é uma das condições de possibilidade para a realização de tratamento de dados pessoais. Além do legítimo interesse do controlador, o consentimento é outra condição de possibilidade para que se possa realizar tratamento de dados pessoais: É importante ressaltar que, mesmo com posse de outros dados, o controlador somente poderá tratar dos dados pessoais estritamente necessários para a finalidade pretendida. Tudo isso deve ocorrer com transparência e poderá ser auditado pela autoridade nacional, que poderá requisitar ao controlador um relatório de impacto à proteçãode dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial. Seção II Do Tratamento de Dados Pessoais Sensíveis Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 25 78 g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. § 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica. § 2º Nos casos de aplicação do disposto nas alíneas “a” e “b” do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do art. 23 desta Lei. § 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências. § 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir: I - a portabilidade de dados quando solicitada pelo titular; ou II - as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo. § 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. Comentário: O que são dados pessoais sensíveis? Trata-se do dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Quando o titular dos dados não dá consentimento para o tratamento de dados sensíveis, eles só poderão ser tratados nos sete casos citados no artigo. Essas hipóteses são bastante parecidas com aquelas que vimos no Art. 7. É importante ressaltar também que a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional. Aqui há também uma ressalva importante em relação ao compartilhamento de dados. Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 26 78 O artigo afirma que é vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, desde que observado o § 5º deste artigo, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir: (1) a portabilidade de dados quando solicitada pelo titular; ou (2) as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo. Ele também deixa explícito que é vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. Logo, está proibido que elas se utilizem de uma investigação do histórico do paciente para limitar acesso, contratação, bem como a exclusão de eventuais benefícios em razões da vida pregressa do beneficiário. Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. § 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios. § 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada. § 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais. Comentários: Vocês se lembram o que são dados pessoais? A definição diz que é toda informação relacionada a pessoa natural identificada ou identificável. Vocês se lembram o que é anonimização? Trata-se da utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Por fim, dados anonimizados são dados relativos a um titular que não possa ser identificado. Bem, esse artigo afirma que os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. Ora, se os dados anonimizados não são pessoais (uma vez que não podem ser associados a uma pessoa), então não estão sujeitos a essa lei. Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 27 78 Claro que, para que não possam ser considerados dados pessoais, os dados devem passar por um processo de anonimização. Se esse processo puder ser revertido com um esforço razoável, os dados não serão mais considerados anonimizados. Logo,se o processo de anonimização for mal feito, isto é, possibilitar com esforços razoáveis que estatisticamente possa ser descoberto de quem se trata, então aquele dado será considerado pessoal e estará sujeito à lei! Professor, o que são esforços razoáveis? O responsável por responder essa pergunta será um órgão técnico especializado capaz de estabelecer padrões, parâmetros e critérios para que se qualifique quão robusto é um determinado processo de anonimização, além de realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais. Fechado? Por fim, serão considerados dados pessoais quando forem utilizados para a formação do perfil comportamental de uma determinada pessoa natural, se identificada. Agora vejam exemplo de anominização: se um Administrador de Banco de Dados tiver acesso às tabelas de dados, ele não visualizará os nomes originais das pessoas e, sim, seus dados anonimizados (XXXXX). Art. 13. Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas. § 1º A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais. § 2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro. § 3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências. § 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. Comentários: Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 28 78 O artigo acima trata dos dados de tratamento de dados pessoais na realização de estudos em saúde pública – como é possível concluir, é semelhante aos estudos por órgão de pesquisa. Vale ressaltar ainda que os dados relativos à saúde são dados sensíveis, que exigem um tratamento bem mais cauteloso, devendo conter toda a informação possível e ser específico sobre a finalidade do tratamento. Estudos em saúde pública por órgãos de pesquisa seguem uma tendência mundial, na qual governos, com alguma variação, utilizam dados para controle populacional e monitoramento do espectro de infecção do vírus. Por exemplo: na China, há notícias da utilização de drones, tecnologia de reconhecimento facial, scanners infravermelhos, além da implementação de aplicativo para classificar as pessoas de acordo com o risco de contágio. Na Coréia do Sul, o Poder Executivo resolveu rastrear os celulares dos usuários para criar um mapa que fica disponível publicamente para que todos os cidadãos possam consultar por onde passaram as pessoas infectadas. Diante deste panorama, conclui-se que a utilização de dados pessoais pela administração pública para fins de combate ao COVID-19 é uma arma essencial nesta batalha. Por outro lado, evidentemente isso não quer dizer que – por conta desta necessidade – o Estado pode inobservar os parâmetros legais e constitucionais atinentes ao caso, principalmente no que tange aos objetivos do tratamento, ao tempo de duração e, principalmente, aos mecanismos de segurança e sigilo dos dados tratados. Bacana? Não sei se vai cair, mas eu – se fosse examinador – faria uma questão com esse tema. Seção III Do Tratamento de Dados Pessoais de Crianças e de Adolescentes Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente. § 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. § 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei. § 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo. Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 29 78 § 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade. § 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis. § 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança. Comentário: Aqui tem algumas coisas legais! É permitido tratar dados pessoais de um adolescente de dezessete anos? Somente com o consentimento específico de um dos pais ou responsável legal. Por outro lado, se não se souber onde se encontram os pais da criança ou adolescente, é permitido tratar os dados para entrar em contato com os responsáveis. Agora vocês sabem que hoje em dia as crianças já nascem com um computador/tablet nas mãos. E se uma criança mais esperta tentar comprar um joguinho pela internet? Já vimos, é necessário o consentimento dos pais ou responsáveis! E como garantir que os pais ou responsáveis realmente deram o consentimento? Bem, o controlador deve realizar todos os esforços razoáveis – considerando as tecnologias disponíveis – para verificar a autenticidade do consentimento. Bacana? Prosseguindo... Seção IV Do Término do Tratamento de Dados Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses: I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; II - fim do período de tratamento; III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei. Comentário: Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337- ADIEL SILVA CARDOSO 30 78 Ué, professor... o tratamento de dados tem fim? Sim, ele possui um fim! E esse fim ocorre quando acaba o prazo de tratamento, quando a sua finalidade for alcançada ou deixar de ser necessária, quando o titular dos dados pessoais revogar seu consentimento ou sob determinação da autoridade nacional, quando houver violação ao disposto nessa lei. Não tem muito segredo... vamos partir para o próximo... Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: I - cumprimento de obrigação legal ou regulatória pelo controlador; II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados. Comentário: O artigo acima apresenta alguns casos em que é permitida a conservação dos dados desde que para essas quatro finalidades listadas no acima. Capítulo III INCIDÊNCIA EM PROVA: média CAPÍTULO III DOS DIREITOS DO TITULAR Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei. Comentário: Bem, nós vimos no início da aula que essa lei tem como fundamento proteger os direitos fundamentais de liberdade e de privacidade, e o livre desenvolvimento da personalidade da pessoa natural. Nesse contexto, toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta lei. Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I - confirmação da existência de tratamento; Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 31 78 II - acesso aos dados; III - correção de dados incompletos, inexatos ou desatualizados; IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. § 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional. § 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei. § 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento. § 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá: I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência. § 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento. § 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 32 78 procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional. § 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador. § 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor. Comentário: Se há um controlador tratando seus dados, você poderá pedir para que ele te forneça diversas informações conforme apresenta o diagrama seguinte. Os direitos previstos nesse artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento. Caso o controlador não seja o agente de tratamento dos dados, deve indicar quem é ou indicar as razões que o impedem de adotar providências. Duas informações importantes: (1) as ações de que tratam o artigo não incorrem em nenhum custo para o titular dos dados; (2) a portabilidade não inclui dados já anonimizados. Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular: I - em formato simplificado, imediatamente; ou titular dos dados pessoais tem direito a obter do controlador confirmação da existência de tratamento acesso aos dados correção de dados incompletos, inexatos ou desatualizados anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa revogação do consentimento, nos termos do § 5º do art. 8º desta Lei Diego Carvalho, Equipe Informática e TI, Renato da Costa Aula 25 IBAMA (Nível Superior) Noções de TI - 2023 (Pré-Edital) www.estrategiaconcursos.com.br 00285493337 - ADIEL SILVA CARDOSO 33 78 II - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular. § 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso. § 2º As informações e os dados poderão ser fornecidos, a critério do titular: I - por meio eletrônico, seguro e idôneo para esse fim; ou II - sob forma impressa. § 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento. § 4º A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos
Continue navegando
Conteúdos escolhidos para você
81 pág.
81 pág.
50 pág.
39 pág.
Perguntas dessa disciplina
