Aplicação LGPD

Prévia do material em texto

LGPD APLICAÇÃO DALGPDNAS EMPRESASJÁ ATUALIZADO COM A LEI N. 13.853/19
2
PERGUNTAS E RESPOSTAS 
SOBRE A APLICAÇÃO PELAS 
EMPRESAS DA LEI GERAL 
DE PROTEÇÃO DE DADOS 
PESSOAIS - LGPD
Abril, 2019.
3
Fred Meinberg é Promotor de Justiça, Coordenador da Unidade Especial de Pro-
teção de Dados e Inteligência Artificial – ESPEC do Ministério Público do Distrito 
Federal e Territórios - MPDFT; Presidente do Instituto Brasileiro de Direito Digital 
– IBDDIG; Mestre em Direito; Professor de Proteção de Dados; Membro da Interna-
tional Association of Privacy Professionals – IAPP e Membro da Association for the 
Advancement of Artificial Intelligence – AAAI.
Fred Meinberg é a primeira autoridade brasileira que se dedica exclusivamente à 
proteção dos dados pessoais dos brasileiros.
À frente da ESPEC conduz investigações de âmbito nacional e internacional focadas 
no uso indevido de dados pessoais.
Foi cotado pela publicação internacional Global Data Review como a possível Au-
toridade Nacional de Proteção de Dados – ANPD brasileira.
Para além da proteção de dados, Meinberg tem atuado em áreas como Inteligên-
cia Artificial, Privacidade, Compliance, Regulação de Novas Tecnologias, Reconheci-
mento Facial e Criptomoedas.
4
O que é a Lei Geral de Proteção de Dados 
Pessoais - LGPD?
A Lei n. 13.709, de 14 de agosto de 2018, é conhecida como Lei Geral de 
Proteção de Dados Pessoais – LGPD. 
A LGPD já foi alterada em algum ponto?
A Lei n. 13.853/19 alterou vários pontos da LGPD, inclusive criando a Auto-
ridade Nacional de Proteção de Dados – ANPD.
Quando a LGPD começará a valer? Quando a 
LGPD entrará em vigor?
Com as alterações realizadas pela Lei n. 13.853/19, a LGPD entrará em vigor 
após decorridos 24 (vinte e quatro) meses de sua publicação oficial. Assim, 
a Lei Geral de Proteção de Dados entrará em vigor a partir de 16 de agosto 
de 2020.
A LGPD impactará somente as grandes 
empresas de tecnologia?
Não. A LGPD impactará praticamente todos os setores da economia brasi-
leira, das pequenas, medias e grandes empresas.
Afinal, ela dispõe sobre o tratamento de dados pessoais, inclusive nos meios 
digitais, por pessoa natural (pessoa física) ou por pessoa jurídica.
5
LGPD impactará as empresas públicas e 
sociedades de economia mista?
Sim. As empresas públicas e as sociedades de economia mista que atu-
am em regime de concorrência, terão o mesmo tratamento dispensado às 
pessoas jurídicas de direito privado.
Já as empresas públicas e as sociedades de economia mista, quando es-
tiverem operacionalizando políticas públicas, terão o mesmo tratamento 
dispensado aos órgãos públicos.
Quem é o titular dos dados pessoais?
O titular dos dados pessoais é a pessoa natural (pessoa física) a quem se 
referem os dados pessoais que são objeto de tratamento.
A LGPD protegerá os dados das pessoas 
jurídicas?
Não. A lei somente protegerá os dados pessoais das pessoas naturais (pes-
soas físicas). Dados como os números dos CNPJs não serão protegidos 
pela legislação.
6
Qual o conceito de dado pessoal?
A LGPD traz um conceito bem abrangente de dado pessoal, definin-
do-o como toda informação relacionada a pessoa natural (pessoa 
física) identificada ou identificável.
São exemplos de dados pessoais: nome, CPF, e-mail, endereço, data 
de nascimento, hábitos de consumo, geolocalização, identificado-
res eletrônicos, entre outros.
O que são dados pessoais sensíveis?
Dados pessoais sensíveis são dados pessoais sobre origem racial 
ou étnica, convicção religiosa, opinião política, filiação a sindicato 
ou a organização de caráter religioso, filosófico ou político, dado 
referente à saúde ou à vida sexual, dado genético ou biométrico, 
quando vinculado a uma pessoa natural.
DADOS PESSOAIS
INFORMAÇÕES
DADOS
PESSOAIS SENSÍVEIS
 
 
 
7
O perfil comportamental 
de pessoa física poderá ser 
considerado dado pessoal?
Sim. O perfil comportamental poderá ser considera-
do dado pessoal, desde que a pessoa natural (pes-
soa física) seja identificada.
O que são dados anonimizados?
Dados anonimizados são dados relativos aos titula-
res que não possam ser identificados, considerando 
a utilização de meios técnicos razoáveis e disponí-
veis na ocasião de seu tratamento.
Os dados anonimizados serão 
considerados dados pessoais?
Não. Os dados anonimizados não serão conside-
rados dados pessoais para os fins da LGPD, salvo 
quando o processo de anonimização ao qual foram 
submetidos for revertido, utilizando exclusivamente 
meios próprios, ou quando, com esforços razoáveis, 
puder ser revertido.
O que são dados 
pseudonimizados? Eles serão 
considerados dados pessoais 
para fins da LGPD?
Os dados pseudonimizados são aqueles que per-
mitem a associação a um indivíduo a partir de in-
formações mantidas pelo controlador em ambiente 
separado e seguro, como no caso da segregação da 
base de dados ou da atribuição de identificadores a 
indivíduos. Os dados pseudonimizados serão consi-
derados dados pessoais para fins da LGPD.
8
Dados Completos
Nome: Frederico
Sobrenome: Meinberg
Idade: 18
Gênero: Masculino
Nacionalidade: Brasil
Estado Civil: Casado
Telefone: (61) 9999-9999
Pro�ssão: Servidor Público
Organização: MPDFT
Salário: R$ 10.000,00
E-mail: frederico@mpdft.gov.br
Credit Score: 10
Acesso
Restrito
Nome: Frederico
Sobrenome: Meinberg
Telefone: (61) 9999-9999
Organização: MPDFT
Salário: R$ 10.000,00
E-mail: frederico@mpdft.gov.br
Idade: 18
Gênero: Masculino
Nacionalidade: Brasil
Estado Civil: Casado
Pro�ssão: Servidor Público
Credit Score: 10
Dados
Dissociados
Ps
eu
do
ni
m
iz
aç
ão
Informações Relacionadas
a Pessoa Natural Identi�cada
Como a lei define tratamento de dados?
Mais uma vez, o conceito é bastante amplo ao afirmar que tratamento é toda operação 
realizada com dados pessoais, como as que se referem a coleta, produção, recepção, 
classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, 
arquivamento, armazenamento, eliminação, avaliação ou controle da informação, mo-
dificação, comunicação, transferência, difusão ou extração.
A simples operação de armazenar os dados pessoais de clientes (nome, CPF, e-mail etc) 
é considerada tratamento para fins da LGPD.
Quem é o controlador?
Controlador é a pessoa natural (pessoa física) ou jurídica, de direito público ou privado, 
a quem competem as decisões referentes ao tratamento de dados pessoais.
Na prática, é a pessoa ou organização que detêm o poder sobre o tratamento dos da-
dos pessoais.
9
Quem estará submetido à lei?
A LGPD aplica-se a qualquer operação de tratamento realizado, desde que:
A operação de tratamento seja realizada no território nacional;
A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou servi-
ços ou o tratamento de dados de indivíduos localizados no território nacional; 
Os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional. 
10
Quais as hipóteses de não incidência da LGPD?
A LGPD não se aplicará ao tratamento de dados pessoais:
Realizado por pessoa natural (pessoa física) para fins exclusivamente particu-
lares e não econômicos;
Realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 da LGPD.
Realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
Provenientes de fora do território nacional e que não sejam objeto de comu-
nicação, uso compartilhado de dados com agentes de tratamento brasileiros 
ou objeto de transferência internacional de dados com outro país que não 
o de proveniência, desde que o país de proveniência proporcione grau de 
proteção de dados pessoais adequado ao previsto na LGPD.
11
Quais são os princípios da LGPD?
A lei traz 10 princípios que balizará todo tratamento de dados pessoais no Brasil. 
São eles:
Finalidade: realização do tratamento para propósitos legítimos, específicos, 
explícitose informados ao titular, sem possibilidade de tratamento posterior 
de forma incompatível com essas finalidades.
Adequação: compatibilidade do tratamento com as finalidades informadas 
ao titular, de acordo com o contexto do tratamento.
Necessidade: limitação do tratamento ao mínimo necessário para a realiza-
ção de suas finalidades, com abrangência dos dados pertinentes, proporcio-
nais e não excessivos em relação às finalidades do tratamento de dados.
Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a 
forma e a duração do tratamento, bem como sobre a integralidade de seus 
dados pessoais.
Qualidade dos Dados: garantia, aos titulares, de exatidão, clareza, relevância 
e atualização dos dados, de acordo com a necessidade e para o cumprimen-
to da finalidade de seu tratamento.
Transparência: garantia, aos titulares, de informações claras, precisas e facil-
mente acessíveis sobre a realização do tratamento e os respectivos agentes 
de tratamento, observados os segredos comercial e industrial.
Segurança: utilização de medidas técnicas e administrativas aptas a proteger 
os dados pessoais de acessos não autorizados e de situações acidentais ou ilí-
citas de destruição, perda, alteração, comunicação ou difusão.
Prevenção: adoção de medidas para prevenir a ocorrência de danos em vir-
tude do tratamento de dados pessoais.
Não Discriminação: impossibilidade de realização do tratamento para fins 
discriminatórios ilícitos ou abusivos.
Responsabilização e Prestação de Contas: demonstração, pelo agente, da 
adoção de medidas eficazes e capazes de comprovar a observância e o cum-
primento das normas de proteção de dados pessoais e, inclusive, da eficácia 
dessas medidas.
12
Quais são os direitos dos titulares dos dados pessoais?
O titular dos dados pessoais tem direito a obter do controlador, em relação aos seus da-
dos por ele tratados, a qualquer momento e mediante requisição:
• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou trata-
dos em desconformidade com o disposto na lei;
• Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisi-
ção expressa e observados os segredos comercial e industrial, de acordo com a regu-
lamentação do órgão controlador;
• Eliminação dos dados pessoais tratados com o consentimento do titular;
• Informação das entidades públicas e privadas com as quais o controlador realizou 
uso compartilhado de dados;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as conse-
quências da negativa; e
• Revogação do consentimento.
13
Como poderei tratar os dados pessoais em conformidade 
com a LGPD? Quais são as bases legais (requisitos) para 
o tratamento de dados na LGPD?
A lei elenca as possibilidades em que os dados pessoais poderão ser tratados. São elas:
• Mediante o fornecimento de consentimento pelo titular;
• Para o cumprimento de obrigação legal ou regulatória pelo controlador;
• Pela administração pública, para o tratamento e uso compartilhado de dados necessá-
rios à execução de políticas públicas previstas em leis e regulamentos ou respaldadas 
em contratos, convênios ou instrumentos congêneres;
• Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a 
anonimização dos dados pessoais;
• Quando necessário para a execução de contrato ou de procedimentos preliminares rela-
cionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de 
saúde, serviços de saúde ou autoridade sanitária;
• Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, 
exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exi-
jam a proteção dos dados pessoais; ou
• Para a proteção do crédito.
14
Quais penalidades poderão ser impostas às empresas 
que fizerem tratamento de dados em desconformidade 
com LGPD?
• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito 
privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, 
limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• Multa diária;
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização; e
• Eliminação dos dados pessoais a que se refere a infração.
Minha organização poderá ser penalizada de outras 
formas se fizer tratamento inadequado de dados 
pessoais?
Sim. Além das sanções administrativas expressas na LGPD, caso ocorram danos patrimoniais, 
morais, individuais ou coletivos a organização ficará obrigada a repará-los.
Nestes casos, por meio de ações judiciais de reparação de danos.
15
O que é a Autoridade 
Nacional de Proteção de 
Dados – ANPD?
A Autoridade Nacional de Proteção de Dados 
- ANPD é órgão da administração pública fe-
deral, integrante da Presidência da República.
Compete à ANPD, entre outras atribuições: ze-
lar pela proteção dos dados pessoais; fiscalizar 
e aplicar sanções em caso de tratamento de 
dados realizado em descumprimento à legis-
lação, mediante processo administrativo que 
assegure o contraditório, a ampla defesa e o 
direito de recurso; apreciar petições de titular 
contra controlador após comprovada pelo ti-
tular a apresentação de reclamação ao contro-
lador não solucionada no prazo estabelecido 
em regulamentação; editar regulamentos e 
procedimentos sobre proteção de dados pes-
soais e privacidade, bem como sobre relatórios 
de impacto à proteção de dados pessoais para 
os casos em que o tratamento representar alto 
risco à garantia dos princípios gerais de pro-
teção de dados pessoais previstos na LGPD e 
deliberar, na esfera administrativa, em caráter 
terminativo, sobre a interpretação da LGPD, as 
suas competências e os casos omissos.
O que é o Conselho 
Nacional de Proteção 
de Dados Pessoais e da 
Privacidade?
O Conselho Nacional de Proteção de Dados 
Pessoais e da Privacidade é um comitê forma-
do por 23 representantes do Poder Público, 
da Sociedade Civil, da Academia e das Em-
presas.
Compete ao Conselho propor diretrizes es-
tratégicas e fornecer subsídios para a ela-
boração da Política Nacional de Proteção de 
Dados Pessoais e da Privacidade e para a atu-
ação da ANPD; elaborar relatórios anuais de 
avaliação da execução das ações da Política 
Nacional de Proteção de Dados Pessoais e da 
Privacidade; sugerir ações a serem realizadas 
pela ANPD; elaborar estudos e realizar deba-
tes e audiências públicas sobre a proteção 
de dados pessoais e da privacidade; e disse-
minar o conhecimento sobre a proteção de 
dados pessoais e da privacidade à população. 
16
Quem é o encarregado?
O encarregado, também conhecido por DPO (Data Protection Officer), e a pessoa indi-
cada pelo controlador e operador para atuar como canal de comunicação entre o con-
trolador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD.
O encarregado poderá ser pessoa jurídica?
Sim. Com a nova redação dada pela Lei n. 13.853/19 o encarregado poderá ser pessoa 
natural (pessoa física) ou pessoa jurídica.
O que é relatório de impacto à proteção de dados 
pessoais?
O relatório de impacto à proteção de dados pessoais é o documento do controlador 
que contém a descrição dos processos de tratamento de dados pessoais que podem 
gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salva-
guardas e mecanismos de mitigação de risco.
O relatório de impacto à proteção de dados pessoaistambém é conhecido como Data 
Protection Impact Assessment – DPIA.
A Autoridade Nacional de Proteção de Dados – ANPD 
poderá solicitar a elaboração de relatório de impacto à 
proteção de dados pessoais às empresas.
Sim. A ANPD poderá determinar ao controlador que elabore relatório de impacto à pro-
teção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de 
tratamento de dados, nos termos de regulamento, observados os segredos comercial 
e industrial.
www.fredmeinberg.com.br