Curso Escola Virtual - Introdução à Lei Brasileira de Proteção de Dados Pessoais

Prévia do material em texto

Introdução à Lei Brasileira de Proteção de Dados Pessoais (Lei nº 13.709/2018)
Aula 1 - Introdução e Conceitos-Chave – Eduardo Magrani (ITS Rio – www.itsrio.org – Tel. 3486-0390)
Caso Gerador: Grindr (plataforma de relacionamento virtual) coletava dados sensíveis de seus usuários, acerca da soropositividade HIV do usuário, e os repassava para outras empresas. Esta prática não constava dos termos de uso da plataforma.
LGPD: aplica-se a qualquer tratamento de dados pessoais de pessoas naturais realizado tanto pelo setor público quanto pelo privado.
Conceitos:
Dado Pessoal: dado relacionado à pessoa natural identificada ou identificável (não necessita que a pessoa esteja expressamente identificada para que o dado seja considerado pessoal).
Dado Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Engloba, pois, características mais gravosas que o mero dado pessoal e exigem um consentimento do usuário muito explícito e claro para seu tratamento – inclusive nos termos de usos de plataformas (não é o que se verificou no caso gerador).
Dado Anonimizado: dado (pessoal ou sensível) relativo a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O anonimato é cada vez mais difícil de ser obtido, já que existem cada vez mais técnicas para desanonimizar uma informação, reidentificando a fonte pessoal.
Dados gravosos – como o de saúde – exigem a adoção de técnicas de anonimização para se garantir efetiva tutela dos dados pessoais (para que o seu tratamento seja feita de forma lícita, legítima). Aí, então, poderá o usuário ter noção como seu dado é tratado, armazenado e transferido para terceiros.
Até o advento da LGPD, não havia um conceito sobre “dados sensíveis”, mesmo havendo CF, Código Civil, Lei do Marco Civil da Internet e CDC.
Uma visão clara destes conceitos permite a busca de tutela dos dados pessoais e produção de boas regulações e tratamentos legítimos por parte de empresas.
Questões:
1. De acordo com o art. 5º, I, da Lei 13.709/18, considera-se dado pessoal a informação relacionada à pessoa natural identificada ou identificável. Desta forma, o dado relativo à pessoa que não pode ser identificada de nenhuma maneira não está abarcado pelo conceito tratado legalmente. Além disso, a lei se aplica ao tratamento de dados obtidos dentro ou fora da internet. Por fim, os dados tratados pela lei acobertam quaisquer dados relacionados às pessoas naturais.
2. A definição de dados pessoais sensíveis está disposta no art. 5º, II, da Lei nº 13.709/18. Tratam-se de dados sujeitos a condições de tratamento específicas, uma vez que permitem a identificação de características ou pertencimento a grupos que podem ensejar a discriminação do seu titular.	
3. A definição de banco de dados está disposta no art. 5º, IV, da Lei nº 13.709/18 e se relaciona com o ambiente de armazenamento de dados pessoais. Dialogando com a primeira questão, trata-se do armazenamento de quaisquer dados relacionados à pessoa natural. Os dados, assim, podem estar armazenados em diversos locais, não se restringindo ao domínio de uma pessoa jurídica, a algum tipo de dado ou local determinado de armazenamento.
Aula 2 - Abrangência e Aplicabilidade – Priscilla Silva
Caso gerador: inscrição numa rede social sediada em certo país como o Facebook. Qual é a lei aplicável? E se essa empresa tiver aplicação em outros países? Qual será a regra de tratamento de dados aplicável à proteção dos dados pessoais?
Escopo de Aplicação da LGPD
Há duas teorias sobre a aplicação, quanto aos dados relacionados a pessoas naturais físicas:
- Teoria expansionista (adotada no Brasil) – pessoa identificável, indeterminada, vínculo mediato, indireto, impreciso ou inexato.
- Teoria reducionista – pessoa identificada, pessoa específica / determinada, vínculo imediato, direto, preciso ou exato.
Assim, a LGPD se aplica a toda uma coletividade, e não só a uma pessoa específica.
Não aplicação da LGPD:
- Dados relacionados a pessoa jurídica (já são protegidos pela Lei de Propriedade Intelectual);
- Tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
- Dados de pessoas falecidas (a LGPD só fala em aplicação aos dados de pessoas naturais – por analogia, o Código Civil, no art. 6º, a personalidade da pessoa natural termina com a morte);
- Tratamento de dados realizado exclusivamente para fins jornalístico, artístico ou acadêmico (neste caso, não se dispensa o consentimento inequívoco de que trata a LGPD);
- Tratamento de dados realizado exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; ou
- Dados em trânsito, ou seja, aqueles que não tem como destino Agentes de Tratamento no Brasil.
Aplicação Extraterritorial
Assim como a GDPR, a LGPD terá aplicação extraterritorial, ou seja, o dever de conformidade superará os limites geográficos do país. Toda empresa estrangeira que tiver filial no Brasil, ou oferecer serviços ao mercado nacional e coletar e tratar dados de pessoas naturais localizadas no país estará sujeita à nova lei.
Trânsito de Dados
LGPD – Aplicável aos titulares dos dados ou empresas que atuem no Brasil ou transitem no Brasil (empresa não precisa ter filial no país).
Ex.: Dados tratados em território nacional (coleta, uso, compartilhamento ou armazenamento)
Ex.: Dados coletados durante período de turismo.
A LGPD se aplica às empresas que preencham, pelo menos, um dos requisitos abaixo:
- Têm estabelecimento no Brasil,
- Oferecem serviços ao mercado consumidor brasileiro,
- Coletam dados pessoais localizadas no país.
Não é relevante:
- Meio de operação de tratamento de dados,
- País sede da empresa,
- Localização dos dados,
- Nacionalidade dos titulares dos dados.
Cooperação: legislação internacional coerente – como a maioria das empresas que tratam os dados dos titulares atuam em diversos países, é importante que os países tenham determinações legais coerentes, como é o caso da GDPR e da LGPD.
Questões
1. Sobre a aplicabilidade da Lei 13.709/18, o art. 3º determina que a lei é destinada ao tratamento de dados realizado no Brasil, independentemente da localização de armazenamento ou coleta desses dados. A lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou os dados pessoais objetos do tratamento tenham sido coletados no território nacional.
2. Sobre a aplicabilidade da Lei Geral de Proteção de Dados (LGPD), o caput de seu art. 3º diz que ela se destina à regulação de dados pessoais (relativo à pessoa natural) e pessoa jurídica de direito público ou privado. Uma vez que a Lei trata de dados relativo à pessoa natural, os dados das pessoas falecidas não são por ela tratados (vide conceito de pessoa natural no art. 6º do Código Civil - Lei nº 10.406, de 10 de janeiro de 2002).
3. A Lei Geral de Proteção de Dados (LGPD) se destina a qualquer operação de tratamento de dados no Brasil. Conforme o art. 3º, I, II e III, a empresa não precisa estar localizada no país para que haja incidência legislativa.
Aula 3 - Fundamentos Legais e Princípios Norteadores – Eduardo Magrani
Caso gerador: empresa que em seus termos de uso tem um abuso relativo à coleta e ao tratamento das informações coletadas (jogo Pokémon Go! – os termos de uso autorizavam o acesso ao conteúdo de e-mail e a realização de postagemem nome do usuário. Esses dados tratados e coletados não tinham relação direta com o produto ou serviço ofertado).
Base legal constitucional e infraconstitucional
Fundamentos da LGPD: tem norte nos direitos humanos e constitucionais. Seu fundamento é, pois, a proteção da privacidade, da liberdade de expressão, da livre iniciativa, da autodeterminação informativa dentre outros.
Respeito à privacidade e ao direito do consumidor: a LGPD complementa proteções em contratações, seja no mundo digital, seja no mundo off-line/físico, contra violações ao consumidor (CDC).
Dentre outras regulações, complementa a proteção da privacidade a Lei do Marco Civil da Internet (LMCI) – regulação específica para os ambiente on-line. A LMCI também fala em respeito aos direitos do consumidor, à privacidade e ao direito de expressão.
Princípios norteadores: é um espelho da GDPR.
- Finalidade
- Adequação
- Necessidade
- Livre-acesso
- Qualidade dos dados
- Transparência
- Segurança
- Prevenção
- Não-discriminação
- Responsabilização.
Pela finalidade, adequação e necessidade, os termos de uso do Pokémon Go! não poderia prever a visualização dos e-mails dos usuários ou a permissão para postagem em nome dos usuários. Tais dados não eram necessários para a prestação do serviço ou para o bom funcionamento do produto que estava sendo contratado.
Tais princípios ajudam a coibir uma série de abusos que se tem hoje, sendo, pois, importantes que constem na LGPD.
Prevenção e Segurança dos dados: empresa deve provar que tomou todas as medidas de segurança para proteção do titular dos dados – ou seja, medidas preventivas para que se evitasse vazamento de dados pessoais ou sensíveis.
Não-discriminação: as vidas das pessoas hoje são cada vez mais orientadas pelas decisões de algoritmos – e muitas vezes não se sabe como os algoritmos funcionam. Tem-se serviços bancários que funcionam on-line e, para se aceitar ou não determinado usuário, algoritmos trabalham como “caixas pretas” – e é possível que ele seja discriminatório. Vale aí também a transparência da empresa em demonstrar que seus algoritmos não foram discriminatórios.
Responsabilização (accoutability): empresa deve observar o cumprimento das diretrizes da LGPD, exigindo-se uma atualização constante das empresas que tratam dados pessoais e sensíveis.
Questões
1. O art. 6º da Lei Geral de Proteção de Dados (LGPD) determina que as atividades de tratamento de dados pessoais deverão observar a boa-fé, além dos 10 princípios norteadores para a proteção de dados, os quais estão elencados nos seus incisos. Cada princípio tem sua importância para a regulação do tratamento de dados pessoais.
2. Os princípios norteadores devem ser observados como exigência mínima para uma boa atividade de tratamento de dados pessoais, conforme estabelecem o caput e os 10 incisos do art. 6º da Lei Geral de Proteção de Dados (LGPD). Além dos princípios ali elencados, a Lei poderá estabelecer regras mais específicas para o tratamento.
3. A LGPD tem base legal constitucional, ao tratar, conforme seu art. 2º, sobre questões de liberdade de expressão e direitos humanos e, infraconstitucional, ao tratar sobre questões de direito do consumidor e livre concorrência.
Aula 4 - Direitos do Titular – Carlos Affonso
Caso gerador: a exclusão do perfil de um usuário de uma rede social implica na exclusão dos dados pessoais?
Art. 17ss. da LGPD:
A - Acesso (Art. 18, II): acessar e conhecer os dados coletados e tratados por empresas e governos com relação a cada sujeito de dados: exportação de cópia dos dados coletados; informações sobre modo de coleta e armazenamento; possibilidade de selecionar data de intervalo de informação; tipo de informações para incluir no arquivo.
B – Cancelamento (Art. 18, IV, VI e IX): uma vez que já existe uma relação entre o titular de dados pessoais e o agente de tratamento de dados, pode-se pedir que esse tratamento de dados seja excluído.
C – Oposição: revogação do consentimento.
D – Retificação: atualização, conserto dos dados.
E – Explicação: obtenção de explicação para qualquer decisão automática feita por algoritmo. É um direito bastante controvertido. Ex.: explicação da aparição de anúncios.
F – Portabilidade (Art. 18, IV): indivíduos poderão transferir seus dados de um serviço para outro, aumentando a competitividade no mercado. É especialmente importante em plataformas que envolvem notas, resenhas, comentários...
G – Revisão das decisões automatizadas: possiblidade de revisão das decisões algorítmicas por um humano. Ex.: as notas de crédito ou perfis de consumo.
Direitos dos titulares
A QUEM: Controlador, Autoridade Nacional, Órgãos de Defesa do Consumidor e em Juízo.
COMO: Individualmente ou coletivamente.
PRAZOS: Imediamente, acesso em até 15 dias ou prazo razoável se justificado.
Questões
1. Os direitos do titular estão elencados no art. 18, nos incisos I a IX da Lei Geral de Proteção de Dados. Os incisos II e III estabelecem que o usuário tem direito a acesso aos dados e correção de dados incompletos, inexatos ou desatualizados.
2. O art. 17 da Lei Geral de Proteção de Dados (LGPD) diz que toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, conforme a lei.
3. O art. 20 da Lei Geral de Proteção de Dados (LGPD) trata do que a doutrina chama de direito à explicação. O direito à explicação refere-se ao direito de o titular de pedir explicação sobre as decisões automatizadas. O direito à explicação, conforme redação do art. 20, deverá ser realizado por pessoa natural.
Observação: Prezado (a) aluno (a), informamos que, após a gravação das aulas deste curso, foi emitida a Medida Provisória nº 869, de 27 de dezembro de 2018, pelo então presidente Michel Temer. A Medida Provisória, ainda em análise no Congresso Nacional, modifica o art. 20, que passaria a ter a seguinte redação: “O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.” De acordo com a medida provisória, a revisão não deverá, necessariamente ser realizada por pessoa natural. No entanto, a Medida Provisória poderá não ser convertida em lei, devendo, para tanto, aguardar a análise do Congresso. Caso a Medida Provisória não seja convertida em lei, volta a vigorar a redação do art. 20 conforme aprovado na Lei 13.709/18.
Aula 5 - Agentes no Tratamento de Dados – Priscilla Silva
Caso Gerador: Google+ foi responsável por um vazamento de dados, por conta de um erro de software que permitiu a hackers a terem acesso a dados pessoais dos usuários. Assim, a Google encerrou as atividades da rede social, permanecendo apenas para empresas. Vê-se aí a necessidade de se resguardar o controlador de uma plataforma e como ele deve proceder para evitar esse tipo de escândalo e como proteger o titular de dados.
Agentes de Tratamento Apresentados pela Lei
Controlador – pessoa natural ou jurídica, de direito público ou privado ao qual compete as decisões referentes ao tratamento de dados pessoais.
Operador – pessoa natural ou jurídica, de direito público ou privado ao qual compete a realização do tratamento em nome do controlador.
Não são agentes de tratamento, mas atuam em conjunto com eles:
Encarregado – pessoa natural ou jurídica, de direito público ou privado, atuará como canal de comunicação entre o Controlador e os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).
ANPD – órgão da administração pública indireta que deve ser criado para zelar, implementar e fiscalizar o cumprimento da LGPD.
Tratamento é toda a operação realizada com o dado pessoal: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, comunicação, transferência,difusão ou extração.
Obrigações do Controlador:
- Provar que o consentimento do titular dos dados foi obtido em conformidade com a LGPD (o consentimento deve ser livre, informado e inequívoco – o titular dos dados deve ter plena ciência sobre a finalidade do tratamento de seus dados);
- Manter registro das operações de tratamento de dados pessoais que realize;
- Mediante solicitação da autoridade nacional de proteção de dados, elaborar relatório de impacto à proteção de dados;
- Informar o titular caso haja alguma alteração na finalidade para a coleta de dados;
- Responder solidariamente, em conjunto com o operador, se causar a terceiros danos por violação da LGPD.
Medidas para resguardo do Controlador, evitando o vazamento e o mau tratamento dos dados:
- Adotar medidas técnicas que garantam o tratamento de dados de forma segura;
- Desenvolver processos internos e criar políticas que permitam realizar a criação e manutenção de registros das operações de tratamento de dados;
- Conservar os dados visando atender a finalidade pela qual foram coletados e para cumprir com obrigações legais e regulatórias;
- Nomear o encarregado pelo tratamento dos dados pessoais caso haja alguma alteração na finalidade para a coleta de dados;
- Informar o titular caso haja alguma alteração na finalidade para a coleta de dados;
- Em caso de falta de consentimento, o controlador somente poderá fundamentar o tratamento de dados pessoais atestando que há finalidade legítima para tanto;
- O controlador que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para tanto (exceto caso de dados públicos);
- O controlador responde solidariamente com o operador se, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à LGPD;
- É facultado ao controlador formular regras de boas práticas e de governança que estipulem condições de organização, procedimentos, normas de segurança, padrões técnicos, obrigações específicas, mecanismos internos de supervisão e mitigação de riscos – a LGPD prevê a possibilidade de autorregulação, por meio da criação de regras internas de ajuste pelo Controlador para melhor tratamento desses dados.
- É permitida a conservação de dados pelo controlador quando encerrado o período de tratamento para que seja possível cumprir com as obrigações legais e regulatórias (como o cumprimento de um contrato).
Questões:
1. Conforme dispõe o art. 5º, IX, da Lei Geral de Proteção de Dados (LGPD), são considerados agentes de tratamento o controlador e o operador.
2. De acordo com o art. 5º, VI, da Lei Geral de Proteção de Dados (LGPD), o controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
3. De acordo com o art. 8º, §2º, da Lei Geral de Proteção de Dados (LGPD) cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na Lei. O art. 37 da LGPD dispõe que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Aula 6 - Hipótese de Tratamento e Exceções – Priscilla Silva
Caso gerador: hipótese de encontrar no Google o próprio nome, atrelado a outras informações pessoais. Será que esse fornecimento de dados está em conformidade com a LGPD?
Bases legais para tratamento de dados:
O consentimento inequívoco para a cessão dos dados pessoais é uma das maneiras mais diretas para o fornecimento de dados e que está em conformidade com a LGPD. Mas há outras hipóteses em que o tratamento de dados é permitido:
- Processo judicial: outra hipótese que não precisa de consentimento – tratamento de dados pessoais para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Em processos eletrônicos, há demanda pelo tratamento adequado de dados pessoais, para fins de proteção a direitos, perante o Poder Judiciário e/ou Administração Pública. Obs.: a lei veda o tratamento de dados para fins exclusivos de investigação e repressão de infrações penais;
- Contratos;
- Legítimo interesse: destinado ao setor privado (Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I - apoio e promoção de atividades do controlador; e II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.)
Artigo polêmico: não se sabe o que seria o legítimo interesse, mas se sabe que o interesse pode estar ligado ao controlador (como em questões de marketing) e do próprio titular do direito. Outros exemplos incluem: prevenção à fraude (como para um banco); profiling (perfilamento – empresas realizam estudos sobre o perfil de seus consumidores, a partir dos dados destes); monitoramento de empregados; e propósitos éticos.
- Proteção à vida;
- Proteção ao crédito: também se autoriza o tratamento de dados pessoais sem o consentimento para a proteção do crédito. Ex.: sistema nacional de proteção ao crédito (Serasa e SPC), comércio, indústria e setor de serviços;
- Proteção à saúde;
- Política pública: destinado ao setor público (Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;);
Devendo as políticas públicas estar atreladas ao Poder Público, é-lhe vedado transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto: em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei de Acesso à Informação; e nos casos em que os dados forem acessíveis publicamente, observadas as disposições da lei ora analisada.
Empresas públicas e sociedades de economia mista: As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares. Já as empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do poder público.
- Pesquisa;
- Obrigação legal;
- Consentimento.
Tratamento de dados – crianças e adolescentes (Art. 14 da LGPD)
A coleta e o tratamento de dados de crianças e adolescentes deve ser realizado “em seu melhor interesse”. O tratamento só pode ocorrer “com o consentimento específico e em destaque, dado por pelo menos um dos pais ou pelo responsável legal”. Ex.: jogo destinado a crianças não poderá coletar quaisquer informações como nome, localização ou contatos, sem que haja uma permissão clara dadas por um dos responsáveis.
Única hipótese permitida de coleta dos dados de crianças sem autorização dos pais:
1) Para contatá-los
2) Para proteção da criança
Ex.: uso de informações para políticas públicas de saúde, como campanhas de vacinação ou monitoramento da ocorrência de doenças (proibido o armazenamento e repasse a terceiros).
Dados sensíveis: Art. 5º, II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Preocupação: assegurar a privacidade e que tais dados não sejam utilizadoscontra os titulares, trazendo-lhes restrições ao acesso a bens, serviços e exercício de direitos.
Não se aplicam às hipóteses de tratamento a dados sensíveis:
- execução de contratos (art. 7º, V),
- legítimo interesse do controlador (art. 7º, IX),
- proteção ao crédito (art. 7º, X).
Obs.: No lugar da hipótese de legítimo interesse do controlador, o art. 11, II, “g”, da LGPD previu hipótese bem mais restritiva, vinculada essencialmente aos interesses dos titulares de dados.
Questões:
1. O art. 10 da Lei Geral de Proteção de Dados (LGPD) elenca situações não taxativas em que o legítimo interesse pode ser invocado, como: (i) apoio e promoção de atividades do controlador; e (ii) proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos da Lei.
2. Como dados sensíveis que são, devem ser tratados de maneira especial. Sendo assim, o art. 11, b, da Lei Geral de Proteção de Dados (LGPD) determina que o consentimento deverá ser expresso e inequívoco, a não ser em questões específicas citadas taxativamente em lei.
3. As empresas públicas e as sociedades de economia mista terão tratamento compatível com as atividades que exercerem. Aquelas que atuam em regime de concorrência terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares. Já aquelas que estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, conforme o art. 24, parágrafo único, da Lei Geral de Proteção de Dados.
Aula 7 – Transferência Internacional de Dados – Mario Viola
É um dos temas principais da LGPD, já que o tratamento dos dados pessoais na era da Internet (Web 2.0, 3.0 e quem sabe da Web 4.0) tem uma natureza transnacional – está além das fronteiras dos países.
Caso gerador: werable (dispositivos de tecnologia “vestíveis”). O volume de informações é compartilhado por meio dessas tecnologias para oferecer serviços agregados para grandes players que estão fora do país. Quem adquire produtos com essa tecnologia acaba transferindo até dados sensíveis para o exterior.
Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
Condições para a transferência internacional
- Países ou organismos com grau adequado de proteção de dados pessoais. A ANPD determina se determinado país é ou não adequado para a proteção de dados. Critérios para esta avaliação:
- as normas gerais e setoriais da legislação em vigor;
- a natureza dos dados;
- a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares;
- a adoção de medidas de segurança;
- a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais;
- outras circunstâncias específicas relativas à transferência, a serem definidas pela ANPD.
Uma vez considerado como adequado, o país ou a organização terá o fluxo de dados normalmente, como se a transferência de dados se desse de um estado a outro, dentro do próprio Brasil.
A transferência de dados também pode se dar caso o Controlador ofereça garantias de cumprimento dos princípios, direitos do titular e regime de proteção de dados, por meio de:
- cláusula contratuais específicas (também podem ser submetidas à ANPD)
- cláusulas contratuais padrão (cláusulas aprovadas pela ANPD)
- normas corporativas globais (aprovadas dentro do mesmo conglomerado econômico, que se aplicam a todas as suas entidades)
- selos, certificados e códigos de conduta
Outras hipóteses para a transferência:
- por autorização da ANPD – o que pode se dar mediante provocação do interessado.
- cooperação jurídica internacional entre órgãos públicos de inteligência, investigação e persecução.
- compromisso assumido em acordo de cooperação internacional.
- proteção da vida ou da incolumidade física do titular ou de terceiro.
- execução de política pública ou atribuição legal do serviço público.
- consentimento específico e em destaque.
- execução de contrato ou de procedimentos preliminares para tanto (o consumidor pode ser parte do contrato, mas não necessariamente).
- cumprimento de obrigação legal ou regulatória do Controlador.
- exercício regular de direitos em processo judicial, administrativo ou arbitral.
Questões
1. O art. 33 da Lei Geral de Proteção de Dados (LGPD) estabelece duas hipóteses para a transferência internacional de dados: (i) para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei; e (ii) quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei.
2. O art. 5º, XV, da Lei Geral de Proteção de Dados (LGPD) conceitua a transferência internacional como a transferência de dados pessoais para um país estrangeiro ou organismo internacional do qual o país seja membro.
3. O art. 33, II, da Lei Geral de Proteção de Dados (LGPD) determina expressamente que “A transferência internacional de dados pessoais é permitida quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos.
Aula 8 - Segurança de Dados e Notificação – Priscilla Silva
Caso gerador: Uber. A empresa foi responsável pelo vazamento de dados de 56 milhões de usuários, por conta de uma falha na segurança, em 2016. Os dados só não foram levados a público em razão da empresa ter desembolsado cerca de R$ 100mi para que os hackers deletassem os dados vazados. Esse caso nos mostra além dos riscos no tratamento dos dados e do mal-uso no tratamento, um erro do controlador e do operador em não notificarem os usuários em tempo (vez que se deu um ano após o ocorrido). Como a notificação deve ocorrer?
Incidente de segurança:
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
PRAZO Razoável (Definido pela ANPD – Art. 48, § 1º). Problema: conceito amplo, sem determinação das balizas. Ao longo da lei, fala-se que se o controlador não comunicar a ANPD e os usuários sobre o vazamento de forma imediata, deverá expor os motivos dessa falta de informação imediata.
QUEM:
- Controlador (Art. 48, caput) – é quem deve comunicar a ANPD e os usuários
- Operador (não mencionado as responsabilidades do operador)
[esta responsabilidade não afeta a responsabilidade civil solidária entre eles]
A QUEM:
- Autoridade Nacional (Art. 48, caput)
- Titulares dos Dados (Art. 48, caput)
COMO:
- Descrição dos dados (Art. 48, § 1º, I)
- Informação dos titulares atingidos (Art. 48, § 1º, II)
- Medidas técnicas adotadas
- Medidas para reverter prejuízos
Medidas para resguardo do Controlador:
- Anonimização de dados: não será possível associar o dado vazado com seu usuário
Art. 5º Para os fins desta Lei, considera-se:
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
- Criptografia:
A criptografia permite que serviços existam com maior segurança e, em alguns casos,como o banco on-line, é condição básica para a viabilidade do serviço.
Criptografia é um mecanismo de segurança e privacidade que torna determinada comunicação (textos, imagens, vídeos etc.) ininteligível para quem não tem acesso à chave que traduz a mensagem. No caso do WhatsApp, a criptografia é garantida inclusive contra os servidores – a chamada criptografia “de ponta a ponta”. Bancos on-line também fazem uso da criptografia.
Questões
1. O caput do art. 48 da Lei Geral de Proteção de Dados (LGPD) determina que o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
2. O art. 5º, III, da Lei Geral de Proteção de Dados conceitua dado anonimizado como dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
3. O 5º, XI, da Lei Geral de Proteção de Dados estabelece que a anonimização é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Trata-se de uma prática não obrigatória, mas que deve ser estimulada para uso de empresas, podendo ser revertida.
Aula 9 - Responsabilidade e Possíveis Sanções – Eduardo Magrani
Aos agentes de tratamento de dados, empresas e órgãos públicos que coletam dados pessoais.
Caso gerador: empresa que coleta e trata dados pessoais sensíveis sem o consentimento do usuário. Essa coleta e tratamento é considerada pela LGPD como ilícita e passível, pois, de sanção.
Possíveis sanções:
- Multa simples;
- Multa diária – as multas podem ser aplicadas isoladamente ou cumulativamente pela ANPD;
- Advertência;
- Bloqueio dos dados pessoais;
- Publicização da infração;
- Eliminação dos dados pessoais.
Quem está sujeito às sanções por infrações? Agentes de tratamento de dados (controlador/operador)
Quem aplica as sanções? A Autoridade Nacional
Meio de aplicação das sanções? Processo Administrativo
Vetos presidenciais e possíveis impactos Fragilização do sistema sancionatório. Autoridade pode aplicar demais sanções, mas não há previsão da exigência de suspensão da atividade ilícita ou suspensão parcial do funcionamento do banco de dados.
Incisos vetados do art. 52:
VII – suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses
VIII – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses
IX – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados
Tipos de responsabilidade
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. [responsabilidade solidária]
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro. [são exceções de nexo causal]
- Construção a partir da teoria do risco [responsabilidade objetiva]:
Art. 45. As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.
Art. 927, Código Civil e Art. 14, CPC.
Questões
1. O art. 42, I, da Lei Geral de Proteção de Dados estabelece que o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 da Lei.
2. O art. 52, § 1º, da Lei Geral de Proteção de Dados prevê que as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto. A previsão do processo administrativo não prejudica a possibilidade de ingresso em processo judicial. A Autoridade Nacional é o órgão que aplica as sanções, e não o órgão que julga.
3. Conforme determinado pelo caput do art. 52 da Lei Geral de Proteção de Dados (LGPD), quem aplica as sanções é a Autoridade Nacional.
Aula 10 - Autoridade Nacional de Proteção de Dados – Priscilla Silva
Atribuições e composição da ANPD.
Caso gerador: em maio de 2018, quando a GDPR entrou em vigor, houve um processo contra o Google e o Facebook, por violações referentes à proteção de dados pessoais. Quem seria a autoridade competente para processar e estabelecer sanções a estas empresas? Na GDPR há previsão para tanto. E no Brasil?
Autoridade Nacional: fins de fiscalização, sanção e outras.
Pelo projeto original, sua natureza é de autarquia especial, vinculada ao Ministério da Justiça. Goza de independência administrativa, mandato fixo e estabilidade de seus dirigentes e de autonomia financeira. Não há subordinação hierárquica. Mas com a Lei nº 13.853, passou a ser parte da administração pública federal, integrante da Presidência da República – podendo ser, mais tarde, passada para a administração indireta.
Tarefas da Autoridade Nacional:
- zelar pela proteção dos dados pessoais, nos termos da legislação;
- zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art. 2º da LGPD;
- elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
- fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
- apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação;
- promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
- promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
 - estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
- promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
- dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, respeitados os segredos comercial e industrial;
- solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, com a possibilidade de emitir parecer técnico complementar para garantir o cumprimento da LGPD;
- elaborar relatórios de gestão anuais acerca de suas atividades;
- editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
- ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
 - arrecadar e aplicar suas receitas e publicar, no relatóriode gestão a que se refere o inciso XII do caput deste artigo, o detalhamento de suas receitas e despesas;
 - realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização de que trata o inciso IV e com a devida observância do disposto no inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público;
 - celebrar, a qualquer momento, compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos, de acordo com o previsto no Decreto-Lei nº 4.657, de 4 de setembro de 1942;
- editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se a LGPD;
- garantir que o tratamento de dados de idosos seja efetuado de maneira simples, clara, acessível e adequada ao seu entendimento, nos termos da LGPD e da Lei nº 10.741, de 1º de outubro de 2003 (Estatuto do Idoso);
- deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação desta Lei, as suas competências e os casos omissos;
- comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
- comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei por órgãos e entidades da administração pública federal;
- articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
- implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD.
Originalmente, houve vetos presidenciais sobre o art. 55ss. – isto porque haveria vício de iniciativa do legislativo em criar um órgão do Executivo (o que só poderia ter sido feito por este – art. 61, § 1º, II, da CF). A correção se deu por ocasião da MPv 869/2018, convertida na Lei nº 13.709/2018.
Medida Provisória altera a Lei Geral de Proteção de Dados (Lei nº 13.709/18)
Em 27 de dezembro de 2018, foi promulgada a Medida Provisória nº 869/18, pelo então presidente Michel Temer.
A Medida Provisória altera a Lei Geral de Proteção de Dados (Lei nº 13.709/18) em alguns aspectos e a principal dessas alterações é o reconhecimento da existência da Autoridade Nacional de Proteção de Dados:
“Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados - ANPD, órgão da administração pública federal, integrante da Presidência da República.”
Na sequência (art. 55-C), a Medida Provisória estabelece a composição da Autoridade por (i) Conselho Diretor, como órgão máximo de direção; (ii) Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, (iii) Corregedoria e (iv) ouvidoria.
A Medida Provisória cumpre, assim, a necessidade de uma Autoridade Nacional de Proteção de Dados, com o caráter de fiscalização e poder sancionatório. Vale ressaltar, porém, que a Medida Provisória tem força normativa desde a sua promulgação, sendo editada com caráter de urgência pelo Presidente. O prazo inicial de vigência de uma Medida Provisória é de 60 dias e é prorrogado automaticamente por igual período caso não tenha sua votação concluída nas duas Casas do Congresso Nacional. Se não for apreciada em até 45 dias, contados da sua publicação, entra em regime de urgência, sobrestando todas as demais deliberações legislativas da Casa em que estiver tramitando.
A MPv 869/2018 foi convertida na Lei nº 13.709/2018.
Questões
1. O art. 5º, XIX, da Lei Geral de Proteção de Dados (LGPD) estabelece que a Autoridade Nacional é o órgão da administração pública responsável por zelar, implementar e fiscalizar o seu cumprimento e, de acordo com o art. 52, a autoridade aplicará as sanções em casos de responsabilização.
2. As disposições sobre Autoridade Nacional foram previstas a partir do art. 55 da Lei Geral de Proteção de Dados. No entanto, os artigos foram vetados pela Presidência da República, sob o argumento de que a Autoridade teria de ser criada pelo poder Executivo. Recentemente foi editada a Medida Provisória 869, criando a Autoridade Nacional. A MPv 869/2018 foi convertida na Lei nº 13.709/2018.
3. De acordo com o art. 5º, XIX, da Lei Geral de Proteção de Dados, a Agência Nacional teria natureza de órgão da Administração Pública indireta. Após a edição da Medida Provisória nº 869, de 2018, essa caracterização passa a ser mais genérica: “órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei”.
Aula 11 - Atualizações da Lei nº 13.709/18 – Priscilla Silva
Marcos temporais e modificações legais:
- 25/05/2018 – GDPR entra em vigor na EU (Diretiva 95/46/CE)
- 10/07/2018 – Congresso Nacional aprova PLC 53/18
- 14/08/2018 – Lei 13.709 é sancionada
- 28/12/2018 – MPv 869/18 – Institui e regulamenta a ANPD
- PLV nº 07/2019
- Lei 13.853/2019
- Vacatio legis: aplicação imediata (28 de dezembro de 2018), art. 55 da LGPD; 24 meses (14 de agosto de 2020), demais artigos.
Importância da criação da ANPD
I – A importância da Autoridade se reflete no texto da lei. A expressão “autoridade nacional” aparece 50 (cinquenta) vezes;
II – A figura da ANPD é o pilar de sustentação de todo o arcabouço normativo da política de proteção de dados adotada no Brasil;
III – Dos 120 países que possuem lei de proteção de dados, apenas 12 não criaram uma autoridade independente, como Angola e Nicarágua
IV – A existência de uma autoridade independente também facilitaria o ingresso do Brasil na OCDE.
Natureza da ANPD
A expectativa era de que a ANPD fosse uma autarquia especial. Com o advento da Lei nº 13.853/2019, definiu-se:
Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República.
§ 1º A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.
Houve críticas à criação da ANPD nesse modelo, já que se dificultaria sua atuação – frente à sua ligação com o Executivo e risco à sua tecnicidade, dificultando a aplicação de sanções ao próprio poder público.
Não há, ainda, qualquer esclarecimento sobre condicionantes para que a alteração prevista no § 1º ocorra.
Atribuições da autoridade nacional – ver Aula 10. Deve-se atentar a eventual alteração em caso de descentralização do órgão.
Composição da ANPD:
Art. 55-C. A ANPD é composta de:
I - Conselho Diretor, órgão máximo de direção;
II - Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
III - Corregedoria;
IV - Ouvidoria;
V - órgão de assessoramento jurídico próprio; e
VI - unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei.
Conselho Diretor:
Art. 55-D. O Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente.
§ 1º Os membros do Conselho Diretor da ANPD serão escolhidos pelo Presidente da República e por ele nomeados, após aprovação pelo Senado Federal, nos termos da alínea ‘f’ do inciso III do art. 52 da Constituição Federal, e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superiores - DAS, no mínimo, de nível 5.
§ 2º Os membros do Conselho Diretor serão escolhidos dentre brasileiros que tenham reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados.
§ 3º O mandato dos membros do Conselho Diretor será de 4 (quatro) anos.
§ 4º Os mandatos dos primeiros membros do Conselho Diretor nomeados serão de 2 (dois), de 3 (três), de 4 (quatro), de 5 (cinco) e de 6 (seis) anos, conforme estabelecido no ato de nomeação.
ConselhoNacional – Art. 58. 23 membros de diferentes áreas da sociedade civil. Assessora o conselho anterior.
Corregedoria: órgão que regula a atividade dos primeiros.
Ouvidoria: responde às denúncias com órgão de assessoria própria / assessoramento jurídico próprio.
Unidades administrativas e unidades especializadas: Estados e Municípios / responsáveis por garantir a aplicação da lei.
Novas sanções administrativas:
Art. 52, X e XI – previsão de três novas sanções administrativas
- suspensão parcial do funcionamento do banco de dados por seis meses;
- suspensão do exercício da atividade de tratamento dos dados pessoais também por até seis meses;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Direito à revisão
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. – O direito de revisão é mantido, mas não é garantida a utilização de humano. A revisão pode, pois, ocorrer de forma duplamente automatizada. 
Questão
O Art. 55-A, incluído pela Lei 13.853/2019 à LGPD institui, no caput, a criação da “Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República”. O § 1º do mesmo artigo complementa estabelecendo que “a natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.”