Introdução à Lei Brasileira de Proteção de Dados Pessoais 13

Prévia do material em texto

Introdução à Lei Brasileira de Proteção de Dados Pessoais 13.709/18
- AULA 01 
Introdução e Conceitos – Chave 
- CASO GERADOR – 
Usando plataforma de relacionamento e os dados sobre saúde foram tratados não previamente informados ao usuário, nos termos de uso, que estava sendo transferida para outras empresas. Informação gravosa (usuário de HIV) transpassando. DADO SENSÍVEL, tem uma série de características que o faz mas gravoso que o DADO PESSOAL. 
O DADO PESSOAL: tem a tutela da LGPD e se aplica a qualquer tratamento de dados pessoais de pessoas naturais realizado tanto pelo setor público quanto privado. – DADO relacionado a pessoa natural identificada ou identificável, não precisa que a pessoa seja expressamente identificada. O mero fato da pessoa ser identificável restará configurada. 
Sua resposta está correta.
De acordo com o art. 5º, I, da Lei 13.709/18, considera-se dado pessoal a informação relacionada à pessoa natural identificada ou identificável. Desta forma, o dado relativo à pessoa que não pode ser identificada de nenhuma maneira não está abarcado pelo conceito tratado legalmente. Além disso, a lei se aplica ao tratamento de dados obtidos dentro ou fora da internet. Por fim, os dados tratados pela lei acobertam quaisquer dados relacionados às pessoas naturais.
DADO SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Exige que o tratamento esteja com consentimento explicito do usuário, inclusive nos termos de uso do usuário (isso não aconteceu no caso gerador). 
A definição de dados pessoais sensíveis está disposta no art. 5º, II, da Lei nº 13.709/18. Tratam-se de dados sujeitos a condições de tratamento específicas, uma vez que permitem a identificação de características ou pertencimento a grupos que podem ensejar a discriminação do seu titular.
A possibilidade do DADO. P ou S ser -> DADO ANONIMIZADO: pela lei são dados relativos a um titular que não possa ser identificado, considerado a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Impedem uma vinculação direta daquela informação no nome real (pessoa física). É importante buscar técnicas de anonimazão para que garanta a real tutela dos dados pessoais, garantindo que o tratamento será feito de forma licita e que o usuário tem plena consciência de como o dado é tratado e armazenado e transferido para terceiros. 
A definição de banco de dados está disposta no art. 5º, IV, da Lei nº 13.709/18 e se relaciona com o ambiente de armazenamento de dados pessoais. Dialogando com a primeira questão, trata-se do armazenamento de quaisquer dados relacionados à pessoa natural. Os dados, assim, podem estar armazenados em diversos locais, não se restringindo ao domínio de uma pessoa jurídica, a algum tipo de dado ou local determinado de armazenamento.
Aula 2 – Abrangência e Aplicabilidade
CASO GERADOR – ter dados aplicados em uma rede social de outro pais, qual é a lei aplicada? Se a empresa ( facebook) tiver aplicação em outros países, qual seria a regra de tratamento para a proteção dos dados. 
ESCOPO DE APLICAÇÃO
Dados relacionados a pessoas naturais físicas: 
1. Teoria expansionista (adotada no Brasil) – Pessoa identificável, indeterminada, vínculo mediato, indireto, impreciso ou inexato. 
2. Teoria reducionista – Pessoa identificada, pessoa específica/ determinada, vínculo imediato, direto, preciso ou exato. 
Isso que dizer que a LGPD ela se aplica a toda coletividade e não apenas uma pessoa específica. 
Sobre a aplicabilidade da Lei Geral de Proteção de Dados (LGPD), o caput de seu art. 3º diz que ela se destina à regulação de dados pessoais (relativo à pessoa natural) e pessoa jurídica de direito público ou privado. Uma vez que a Lei trata de dados relativo à pessoa natural, os dados das pessoas falecidas não são por ela tratados (vide conceito de pessoa natural no art. 6º do Código Civil - Lei nº 10.406, de 10 de janeiro de 2002).
Não aplicação da LGPD: 
· Dados relacionados a pessoa jurídica (proteção pela propriedade intelectual);
· Tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
· Dados de pessoas falecidas; artigo 6º CC. 
· Tratamento de dados realizado exclusivamente para fins jornalístico; deverá haver consentimento inequívoco. 
· Tratamento de dados realizado exclusivamente para fins de segurança investigação e repressão de infrações penais; 
· Dados em trânsito, ou seja, aqueles que não tem como destino Agentes de tratamento no Brasil. 
A Lei Geral de Proteção de Dados (LGPD) é aplicável quando a coleta e o tratamento de dados são realizados em qual(is) país(es)?
A Lei Geral de Proteção de Dados (LGPD) se destina a qualquer operação de tratamento de dados no Brasil. Conforme o art. 3º, I, II e III, a empresa não precisa estar localizada no país para que haja incidência legislativa.
APLICAÇÃO EXTRATERRITORIAL 
Assim como a GDPR (proteção de dados da União Européia) a Lei Geral terá aplicação extraterritorial, ou seja, o dever de conformidade superará os limites geográficos do país. Toda empresa estrangeira que tiver filial no Brasil, ou oferecer serviços ao mercado nacional e coletar e tratar dados de pessoais naturais localizadas no país estará sujeita à nova lei. 
TRANSITO DE DADOS 
LGPD – Aplicável aos titulares dos dados ou empresas que atuem no Brasil ou transitem no Brasil. EX: dados tratados em território nacional(coleta, uso, compartilhamento ou armazenamento) – EX: turismo, durante estiver no Brasil estará sujeito a LGPD – A empresa não precisa ter empresa necessariamente no Brasil. 
- A LGPD se aplica às empresas que preenchem, pelo menos, um dos requisitos abaixo: 
1. Têm estabelecimento no Brasil, 
2. Oferecem serviços ao mercado consumidor brasileiro, 
3. Coletam dados pessoais localizados no país. 
Sobre a aplicabilidade da Lei 13.709/18, o art. 3º determina que a lei é destinada ao tratamento de dados realizado no Brasil, independentemente da localização de armazenamento ou coleta desses dados. A lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou os dados pessoais objetos do tratamento tenham sido coletados no território nacional.
Não é relevante para a aplicação da lei: 
· Meio de operação de tratamento de dados, 
· País sede da empresa, 
· Localização dos dados, 
· Nacionalidade dos titulares dos dados. – basta que os dados sejam tratados de alguma maneira no território. 
Cooperação: Legislação internacional coerente. 
AULA 3 – FUNDAMENTOS LEGAIS E PRINCÍPIOS NORTEADORES
CASO GERADOR 
Empresa que acabou nos seus termos de uso, cometendo uma abusividade na coleta e no tratamento das informações coletadas. Jogo de realidade aumentada em que nos termos de uso, estava concordando que a empresa poderia coletar dados dos e-mail e fazer postagens em seu nome e tal incidência não tinha nenhuma relação com o serviço que estava sendo ofertado. 
BASE LEGAL CONSTITUCIONAL e INFRACONSTITUCIONAL 
A LGPD se vale do norte dos direitos humanos e constitucionais, tem como fundamento a proteção da privacidade, livre iniciativa, liberdade de expressão, autodeterminação informativa etc. Além dessa forte base constitucional, a lei complementa outras regelações vigentes, relacionando a importância a PRIVACIDADE E AO DIREITO DO CONSUMIDOR. Aplicação conjunta com CDC. Marco civil da internet, também fala da necessidade de respeito a privacidade, liberdade de expressão e direitos do consumidor.A LGPD possui base legal constitucional e infraconstitucional como, por exemplo, a proteção do consumidor. 
A LGPD tem base legal constitucional, ao tratar, conforme seu art. 2º, sobre questões de liberdade de expressão e direitos humanos e, infraconstitucional, ao tratar sobre questões de direito do consumidor e livre concorrência.
PRINCÍPIOS NORTEADORES. 
Os princípios norteadores devem ser observados como exigência mínima para uma boa atividade de tratamento de dados pessoais, conforme estabelecem o caput e os 10 incisos do art. 6º da Lei Geral de Proteção de Dados (LGPD). Além dos princípios ali elencados, a Lei poderá estabelecer regras mais específicas para o tratamento.
1. Finalidade - 
2. Adequação
3. Necessidade
Com base nesses 3 princípios anteriores em relação ao caso gerador, dá pra perceber que a empresa por trás do jogo não poderia nos termos de uso, não poderia prevê a coletar e visualização dos e-mail dos usuários, muito menos postagem em seu nome. Esses dados não eram necessários para a prestação do serviço ou para o bom funcionamento do produto que estava sendo contratado. 
4. Livre-acesso
5. Qualidade dos dados 
6. Transparência 
7. Segurança 
8. Prevenção 
Uma empresa terá que provar todas as mediadas necessárias para garantir a segurança das informações do titular dos dados, ou seja, vai ter que conseguir provar que tomou medidas preventivas para evitar o vazamento de dados. 
9. Não-discriminação 
Poderá exigir de uma empresa que ela prove que os algoritmos não foram discriminatórios. 
10. Responsabilização 
AULA 4 – DIREITO DO TITULAR
CASO GERADOR 
Excluir conta de alguma rede social. Vem a pergunta, será quando exclui os seus dados foram efetivamente apagados? Somente a exclusão da conta e aplicativo são suficientes? Os amigos na rede social poderão ter postado dados, fotos suas, como fica ? será apagado. 
Quem possui o chamado direito do titular, de acordo com a Lei Geral de Proteção de Dados (LGPD)?
O art. 17 da Lei Geral de Proteção de Dados (LGPD) diz que toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, conforme a lei.
Direitos dos titulares – artigo 17 e seguintes 
Acesso. Retificação. Oposição. Cancelamento. Explicação. Portabilidade. Revisão de decisões automatizadas. 
Art. 17. Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I - confirmação da existência de tratamento;
II - acesso aos dados;
1. Exportação de cópia dos dados coletados. 
2. Informações sobre modo de coleta e armazenamento. 
3. Possibilidade de selecionar data de intervalo informação. 
4. Tipo de informações para incluir no arquivo. 
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
PORTABILIDADE: 
1. Indivíduos poderão transferir seus dados de um serviço para outro, aumentando a competitividade no mercado. 
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;    (Redação dada pela Lei nº 13.853, de 2019)     Vigência
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
CANCELAMENTO: já existe uma relação. A partir da entrada em vigor, tem-se o direito de exclusão de pessoais que estão sendo tratados por terceiro. 
1. Requisição de exclusão dos dados pessoais. 
2. Requisição de anonimazação ou bloqueio dos dados. 
OPOSIÇÃO: revogar o consentimento que foi dado anteriormente. 
1. Revogação do consentimento. 
RETIFICAÇÃO: - possibilidade de atualizar dados já coletados. 
1. Atualização, conserto dos dados. 
EXPLICAÇÃO: titular poderá solicitar esclarecimento de uma decisão que foi tomada com base em algoritmo. 
1. Obtenção de explicação para qualquer decisão automática feita por algoritmo. EX: explicação da aparição de anúncios. 
REVISÃO DAS DECISOES AUTOMATIZADAS: possibilidade de exercita um novo direito que é a possibilidade que foram tomadas por meio eletrônicos que elas sejam revisadas (componente humano na análise dessa revisão). 
1. Possibilidade de revisão das decisões algorítimicas por um humano. EX: as notas de crédito ou perfis de consumo. 
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:
I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.      (Redação dada pela Lei nº 13.853, de 2019)      Vigência
§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.
Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
I - em formato simplificado, imediatamente; ou
II - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.
§ 2º As informações e os dados poderão ser fornecidos, a critério do titular:
I - por meio eletrônico, seguro e idôneo para esse fim; ou
II - sob forma impressa.
§ 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
§ 4º A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II do caput deste artigo para os setores específicos.
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoaisque afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.      (Redação dada pela Lei nº 13.853, de 2019)      Vigência
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
§ 3º (VETADO).       (Incluído pela Lei nº 13.853, de 2019)      Vigência
Art. 21. Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.
Art. 22. A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.
A que se refere o “direito à explicação”, tratado na Lei Geral de Proteção de Dados (LGPD)? Revisão, por pessoa natural, de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses – ARTIGO 20. 
AULA 5 – OBRIGAÇÃO DOS AGENTES DE TRATAMENTO DE DADOS
CASO GERADOR 
Google+ - responsável escândalo de vazamento de dados por erro software – todos tiveram acesso a diversas informações. Por conta disso fechou a Google plus até agosto. 
AGENTES DE TRATAMENTO APRESENTADOS PELA LEI: 
1. Controlador – pessoa natural ou jurídica, de direito público ou privado ao qual competem as decisões referentes ao tratamento de dados pessoais. 
De acordo com o art. 5º, VI, da Lei Geral de Proteção de Dados (LGPD), o controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
2. Operador – pessoa natural ou jurídica, de direito público ou privado ao qual compete a realização do tratamento em nome do controlador. 
Conforme dispõe o art. 5º,  IX, da Lei Geral de Proteção de Dados (LGPD), são considerados agentes de tratamento o controlador e o operador.
3. Encarregado – pessoa natural ou jurídica, de direito público ou privado, atuará como canal de comunicação entre o controlador e os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD). Não são agentes de tratamento mas aturaram em conjunto com estes. Será nomeada. 
4. ANPD- órgão da administração pública indireta que deve ser criado para zelar, implementar e fiscalizar o cumprimento da LGPD. Órgão independente. 
Tratamento pessoal: para a Lei é toda operação realizada com dado pessoal. Coleta. Produção. Recepção. Classificação. Acesso. Reprodução. Transmissão. Distribuição. Processamento. Arquivamento. Armazenamento. Eliminação. Avaliação. Controle da informação. Comunicação. Transferência. Difusão ou extração. 
OBRIGAÇÕES DO CONTROLADOR: 
· Provar que o consentimento foi obtido em conformidade com a LGPD; 
· Manter registro das operações de tratamento de dados pessoais que realize;
De acordo com o art. 8º, §2º, da Lei Geral de Proteção de Dados (LGPD) cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto na Lei. O art. 37 da LGPD dispõe que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
· Mediante solicitação da autoridade nacional de proteção de dados, elaborar relatório de impacto à proteção de dados; 
· Informar o titular caso haja alguma alteração na finalidade para a coleta de dados; 
· Responder solidariamente, em conjunto com o operador, se causar a terceiros danos por violão da LGPD. 
MEDIDAS PARA RESGUARDO QUE O CONTROLADOR PODERÁ TOMAR: 
· Adotar medidas técnicas que garantam o tratamento de dados de forma segura. 
· Desenvolver processos internos e criar políticas que permitam realizar a criação e manutenção de registros das operações de tratamento de dados. 
· Conservar os dados visando atender a finalidade pela qual foram coletados e para cumprir com obrigações legais e regulatórias. 
· Nomear o encarregado pelo tratamento dos dados pessoais caso haja alguma alteração na finalidade para a coleta de dados. 
· Informar o titular caso haja alguma alteração na finalidade para a coleta de dados. 
· Em caso de falta de consentimento, o controlador somente poderá fundamentar o tratamento de dados pessoais atestando que há finalidade legítima para tanto. 
· O controlador que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para tanto (exceto caso de dados públicos). 
· O controlador responde solidariamente com o operador se, em razão do exercício de atividades de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo em violação a LGPD. 
· É facultado ao controlador formular regras de boas práticas e de governança que estipulem condições de organização, procedimentos, normas de segurança, padrões técnicos, obrigações específicas, mecanismos internos de supervisão e mitigação de riscos. 
· É permitida a conservação de dados pelo controlador quando encerrado o período de tratamento para que seja possível cumprir com as obrigações legais e regulatórias. 
AULA 5 – HIPÓTESES DE TRATAMENTO E EXCEÇÕES
CASO GERADOR 
Encontrar no Google o próprio nome atrelado a CPF, numero de telefone. Apesar de não consentir com esse consentimento de dos será que está de acordo com a LGPD.
BASES LEGAIS PARA TRATAMENTO DE DADOS
O consentimento inequívoco para acesso aos dados pessoais é uma das maneiras mais diretas de fornecimento de dados e está de acordo com a presente lei, mas existem outras hipóteses: além do consentimento de dados o tratamento de dados é permitido em: 
1. Processo judicial 
OUTRA hipótese que não precisa de consentimento: tratamento de dados pessoais para o exercício regular de direitos em processo judicial, administrativo ou arbitral. 
- Processo eletrônicos, há demanda pelo tratamento adequado de dados pessoais, para fins de proteção a direitos, perante o Poder Judiciário e/ou Administração Pública. 
· OBS: a lei veda o tratamento de dados para fins exclusivos de investigação e repressão de infrações penais. 
2. Contratos 
3. Legitimo interesse 
DESTINADO AO SETOR PRIVADO 
Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I - apoio e promoção de atividades do controlador; e
II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
- não é taxativa, poderá haver outras hipóteses. 
- poderá está atrelado ao próprio controlador e do próprio titular do direitos. 
- Exemplos: prevenção de fraude, Marketing, Profiling, monitoramento de empregados, propósitos éticos. 
4. Vida 
5. Crédito
6. Saúde
7. Política pública
DESTINADO AO PODER PÚBLICO 
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
· As políticas P devem está atreladas ao poder público. 
· É vedado ao poder público transferir a entidades privadas dados pessoais constantes de bases de dados que tenha acesso, exceto: 
1. Em casos de execução descentralização de atividade públicaque exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei de Acesso à informação; e 
2. Nos casos em que os dados forem acessíveis publicamente, observadas a disposições da lei ora analisada. 
EM CASOS – EMPRESAS PÚBLICAS E SOCIEDADES DE ECONOMIA MSITA 
· As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência terão os mesmos tratamento dispensado às pessoas jurídicas de direito privado particulares. 
· As EP e S.E.M, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento aos órgãos e às entidades do poder público. 
· As empresas públicas e as sociedades de economia mista terão tratamento compatível com as atividades que exercerem. Aquelas que atuam em regime de concorrência terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares. Já aquelas que estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, conforme o art. 24, parágrafo único, da Lei Geral de Proteção de Dados.
8. Pesquisa
9. Obrigação legal 
10. Consentimento 
TRATAMENTO DE DADOS – CRIANÇAS E ADOLESCENTES 
- Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
§ 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.
§ 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
§ 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
A COLETA E O TRATAMENTO DE DADOS DE C E A DEVE SER REALIZADO EM SEU MELHOR INTERESSE. 
O TRATAMENTO SÓ PODE OCORRER “COM CONSENTIMENTO ESPECÍFICO E EM DESTAQUE, DADO POR PELO MENOS UM DOS PAIS OU RESPONSÁVEL LEGAL. 
EX: jogo destinado a crianças não poderá coletar quaisquer informações como nome, localização ou contatos, sem que haja permissão clara dadas por um dos responsáveis. 
- Única hipótese permitida de coleta dos dados de crianças sem autorização dos pais: 
 	1. Para contatá-los
	2. Para proteção da criança
Ex: uso de informações para políticas públicas de saúde, como campanhas de vacinação ou monitoramento da ocorrência de doenças(proibido o armazenamento e repasse a terceiros). 
· PROTEÇÃO DE CRÉDITO 
Também se autoriza o tratamento de dados pessoais sem o consentimento para a proteção o crédito. 
Ex: sistema nacional de proteção ao crédito ( Serasa e SPC), comercio, industria e setor de serviços. 
· DADOS SENSÍVIS ( sem consentimento )
Art. 5º Para os fins desta Lei, considera-se: II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Preocupação: assegura a privacidade e que tais dados não sejam utilizados contra os titulares, trazendo-lhes restrições ao acesso a bens, serviços e exercício de direitos. 
Não se aplicam às hipóteses de tratamento de dados sensíveis: 
· Execução de contratos (artigo 7, IX)
· Legítimo interesse do controlador (artigo 7, IX)
O art. 10 da Lei Geral de Proteção de Dados (LGPD) elenca situações não taxativas em que o legítimo interesse pode ser invocado, como: (i) apoio e promoção de atividades do controlador; e (ii) proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos da Lei.
· Proteção do crédito (artigo 7, X). 
OBS: - no lugar da hipótese de legitimo interesse do controlador, o artigo 11, II,g da LGPD previu hipótese bem mais restritiva, vinculada essencialmente aos interesses dos titulares de dados. 
Como deve ocorrer o tratamento de dados pessoais sensíveis, de acordo com a Lei Geral de Proteção de Dados (LGPD)? a. O tratamento de dados pessoais sensíveis deve ocorrer quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas ou, sem o consentimento específico, nas hipóteses taxativas elencadas na LGPD.
Como dados sensíveis que são, devem ser tratados de maneira especial. Sendo assim, o art. 11, b, da Lei Geral de Proteção de Dados (LGPD) determina que o consentimento deverá ser expresso e inequívoco, a não ser em questões específicas citadas taxativamente em lei.
AULA 7 – TRANSFERENCIA INTERNACIONAL
CASO GERADOR 
Grandes playes do mercado é sediado fora do Brasil. Faz aquisição uma tecnologia no Brasil ( relógio smart) – produtores estão fora do Brasil – conseqüentemente seus dados. 
- PARA A LGPD – a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro. Ou seja, estabelece um limite. 
CONDIÇÕES PARA A TRANSFERENCIA INTERNACIONAL: 
1. Países ou organismos internacional com grau adequado de proteção de dados pessoais. Quem vai estabelecer, será autoridade nacional, no Brasil ainda não existe, quando de sua instituição ela vai estabelecer os parâmetros para ver se tal país está ou não de acordo com LGPD do Brasil. 
Critérios para determinar que um País esteja em condições com as nossas leis: 
· As normas gerais e setoriais da legislação em vigor existência e garantias judiciais e institucionais para respeito aos direitos de proteção de dados pessoais
· A natureza dos dados 
· A observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares
· A adoção de medidas de segurança 
· A existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados
· Outras circunstancias especificas relativas à transferência. 
De acordo com a Lei Geral de Proteção de Dados (LGPD), em que circunstância(s) a transferência internacional de dados poderá ocorrer: Quando houver o mesmo grau de proteção de dados compatível com a legislação brasileira. O art. 33 da Lei Geral de Proteção de Dados (LGPD) estabelece duas hipóteses para a transferência internacional de dados: (i) para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na Lei; e (ii) quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei.
GARANTIAS DE CUMPRIMENTO DOS PRINCÍPIOS, DIREITOS DO TITULAR E REGIME DE PROTEÇÃO DE DADOS: - autoriza a transferênciade dados internacionais, mas deverá observar essas garantias. E será assegurado: 
· Cláusulas contratuais específicas 
· Cláusulas contratuais padrão
· Normas corporativas globais 
· Selos, certificados e códigos de conduta 
AUTORIZAÇÃO DA AUTORIDADE NACIONAL – Hipóteses de transferência internacional de dados. Poderá ser feita por autorização observando todo preceito legal. Outra possibilidade de transferência é a através da:
1. cooperação jurídica internacional entre órgãos públicos de inteligência , investigação e persecução. ; 
2. TAMBÉM, quando tiver Compromisso assumido em acordo de cooperação internacional; 
3. Proteção da vida ou da incolumidade física do titular ou de terceiro(sem necessidade de autorização prévia de autoridade);
4. Execução de política pública ou atribuição legal do serviço público; Consentimento específico e em destaque (próprio titular do dados autorizando); 
5. Execução de contrato ou de procedimentos preliminares; Cumprimento de obrigação legal ou regulatória( do controlador); 
6. Exercício regular de direito em processo judicial, administrativo ou arbitral(não sensíveis – artigo 7). 
Para fins da Lei Geral de Proteção de Dados (LGPD), o que se considera transferência internacional de dados? O art. 5º, XV, da Lei Geral de Proteção de Dados (LGPD) conceitua a transferência internacional como a transferência de dados pessoais para um país estrangeiro ou organismo internacional do qual o país seja membro.
- O art. 33, II, da Lei Geral de Proteção de Dados (LGPD) determina expressamente que “A transferência internacional de dados pessoais é permitida quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos.”
AULA 8 – SEGURANÇA DE DADOS E NOTIFICAÇÕES
CASO GERADOR 
Uber – empresa responsável de vazamento de milhões de usuários por conta de falha na segurança, propiciando um ataque hacker que além de tornar os dados públicos – a Uber ofereceu dinheiro para que pudessem deletar os dados vazados. Não fizeram notificação na data do fato. 
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
I - ampla divulgação do fato em meios de comunicação; e
II - medidas para reverter ou mitigar os efeitos do incidente.
§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
QUEM: 
1. Controlador ( ART 48 CAPUT ) 
2. Operador ( não mencionado) 
A QUEM: 
1. Autoridade Nacional ( artigo 48 caput)
2. Titulares dos dados ( 48, caput)
COMO:
1. Descrição dos dados ( artigo 48, §1º, I) 
2. Info titulares atingidos ( artigo 48m 1º, II)
3. Propor medidas técnicas adotadas
4. Medidas para reverter prejuízos 
PRAZO -> Razoável ( definido pela ANPD ( artigo 48, §1º) 
Responsabilidade civil solidária do controlador e do operador diante do vazamento. 
De acordo com a Lei Geral de Proteção de Dados (LGPD), quando ocorre um incidente de segurança que possa acarretar risco ou dano relevante aos dados de titulares, o controlador dos dados deve: O caput do art. 48 da Lei Geral de Proteção de Dados (LGPD) determina que o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
MEDIDAS PARA REGUARDO: 
1. Anonimização dos dados 
Art. 5º Para os fins desta Lei, considera-se:
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
O art. 5º, III, da Lei Geral de Proteção de Dados conceitua dado anonimizado como dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
O 5º, XI, da Lei Geral de Proteção de Dados estabelece que a anonimização é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Trata-se de uma prática não obrigatória, mas que deve ser estimulada para uso de empresas, podendo ser revertida.
2. Criptografia: 
- A criptografia permite que serviços existam com maior segurança e, em alguns casos, como o banco on-line, é condição básica para a viabilidade do serviço. 
- Criptografia é um mecanismo de segurança e privacidade que torna determinada comunicação (textos, imagens, vídeos, e etc) ininteligível para quem não tem acesso à chave que traduz a mensagem. 
AULA 9 - RESPONSABILDIADE E POSSÍVEIS SANÇÕES
CASO GERADOR 
Empresa que teria coletado e catado dados pessoais sensíveis(exige tutela maior) sem a concordância dos usuários. 
- 
Possíveis Sanções: Multa simples; multa diária; advertência; bloqueio dos dados pessoais; publicização da infração; eliminação dos dados pessoais. 
Quem está sujeitos às sanções por infrações? Agentes de tratamento de Dados ( controlador / operador ). 
Quem aplica as sanções? A autoridade Nacional .
Conforme determinado pelo caput do art. 52 da Lei Geral de Proteção de Dados (LGPD), quem aplica as sanções é a Autoridade Nacional.
Meio de aplicação das sanções? Processo Administrativo. 
· As sanções poderão ser aplicadas a órgãos públicos e privados. 
O art. 42, I, da Lei Geral de Proteção de Dados estabelece que o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 da Lei.
 
Qual o meio de aplicação das sanções por violações ao tratamento de dados, segundo a Lei Geral de Proteção de Dados (LGPD)? b. Procedimento Administrativo por meio da Autoridade Nacional.  
O art. 52, § 1º, da Lei Geral de Proteção de Dados prevê que as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto. A previsão do processo administrativo não prejudica a possibilidade de ingresso em processo judicial. A Autoridade Nacional é o órgão que aplica as sanções, e não o órgão que julga.
AULA 10 – ATRIBUIÇÕES E COMPOSIÇÃO DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
Caso gerador 
Maio de 2021 quando GDPR (união européia) houve instauração de um processo contra Google e facebook por violação de tratamento de dados pessoais. Quem seria aautoridade competente ? 
NATUREZA DA AUTORIDADE NACIONAL 
· Seria uma especial, vinculada ao Ministério da Justiça, gozaria de independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes e autonomia financeira. 
TAREFAS DA AUTORIDADE NACIONAL: 
· Zelar pela proteção dos dados pessoais; 
· Estimular a adoção de padrões técnicos bem como serviços e produtos que facilitem o exercício de controle pelos titulares sobre seus dados pessoais;
· Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação;
· Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; 
· Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países;
· Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais: solicitar às entidades do poder público, que realizem operações de dados e os demais detalhes do tratamento realizado; 
· E realizar ou determinar a realização de auditorias, no âmbito da atividade de fiscalização, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluindo o poder público. 
VETOS 55 seguintes – Criação da autoridade nacional 
O art. 5º, XIX, da Lei Geral de Proteção de Dados (LGPD) estabelece que a Autoridade Nacional é o órgão da administração pública responsável por zelar, implementar e fiscalizar o seu cumprimento e, de acordo com o art. 52, a autoridade aplicará as sanções em casos de responsabilização.
As disposições sobre Autoridade Nacional foram previstas a partir do art. 55 da Lei Geral de Proteção de Dados. No entanto, os artigos foram vetados pela Presidência da República, sob o argumento de que a Autoridade teria de ser criada pelo poder Executivo. Recentemente foi editada a Medida Provisória 869, criando a Autoridade Nacional. A Medida Provisória, no entanto, está aguardando a análise do Congresso Nacional. Neste momento, aguarda-se deliberação para implementação de uma Agência Nacional.
De acordo com o art. 5º, XIX, da Lei Geral de Proteção de Dados, a Agência Nacional teria natureza de órgão da Administração Pública indireta. Após a edição da Medida Provisória nº 869, de 2018, essa caracterização passa a ser mais genérica: “órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei”.
AULA 11 – ATUALIZAÇÃO
Marcos temporais e Modificações legais. 
A IMPORTANCIA DA CRIAÇÃO DA ANPD 
1. A Importância da Autoridade se reflete no texto da lei. A expressão “autoridade nacional” aparece 50 vezes. 
2. A figura da ANPD é o pilar de sustentação de todo arcabouço normativo da política de proteção de dados adotada no Brasil.
3. Dos 120 países que possuem lei de proteção de dados, apenas 12 não criaram uma autoridade independente, como Angola e Nicarágua. 
4. A existência de uma autoridade independente também facilitaria o ingresso do Brasil na OCDE. 
NATUREZA DA AUTORIDADE NACIONAL DA PROTEÇÃO DE DADOS 
Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República.                  
§ 1º A natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.
ATRIBUIÇÕES DA AUTORIDADE NACIONAL 
· Zelar pela proteção dos dados pessoais; 
· Estimular a adoção de padrões técnicos bem como serviços e produtos que facilitem o exercício de controle pelos titulares sobre seus dados pessoais;
· Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação;
· Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; 
· Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países;
· Dispor sobre as formas de publicidade das operações de tratamento de dados pessoais: solicitar às entidades do poder público, que realizem operações de dados e os demais detalhes do tratamento realizado; 
· E realizar ou determinar a realização de auditorias, no âmbito da atividade de fiscalização, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluindo o poder público. 
COMPOSIÇÃO DA AUTORIDADE N 
Art. 55-C. A ANPD é composta de:                (Incluído pela Lei nº 13.853, de 2019)
I - Conselho Diretor, órgão máximo de direção;                 
 II - Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;                    (Incluído pela Lei nº 13.853, de 2019)
III - Corregedoria;                    
IV - Ouvidoria;                 
V - órgão de assessoramento jurídico próprio; e                
VI - unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei.                   
CONSELHO DIRETOR 
Art. 55-D. O Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente
· Escolhidos e nomeados pelo PR, após aprovação pelo Senado Federal(sabatina).
· Os membros do Conselho Diretor serão escolhidos dentre brasileiros que tenham reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados.
· O mandato dos membros do Conselho Diretor será de 4 anos. 
COSELHO NACIONAL 
Art. 58-A. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto de 23 (vinte e três) representantes, titulares e suplentes, dos seguintes órgãos:                     (Incluído pela Lei nº 13.853, de 2019)
I - 5 (cinco) do Poder Executivo federal;                      
 II - 1 (um) do Senado Federal;                 
III - 1 (um) da Câmara dos Deputados
IV - 1 (um) do Conselho Nacional de Justiça;               
V - 1 (um) do Conselho Nacional do Ministério Público
VI - 1 (um) do Comitê Gestor da Internet no Brasil;                
 VII - 3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais;                 
 VIII - 3 (três) de instituições científicas, tecnológicas e de inovação;                 
 IX - 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo;                  
X - 2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e                 
XI - 2 (dois) de entidades representativas do setor laboral.
CORREGEDORIA 
· Órgão que regula a atividade dos primeiros.
OUVIDORIA
· Responde às denuncias com órgão de assessoria própria / assessoramento jurídico próprio. 
UNIDADES ADMINISTRATIVAS E UNIDADES ESPECIALIZADAS 
· Estados e Municípios / Responsáveis por garantir a aplicação da lei. 
NOVAS SANÇOES ADMINISTRATIVAS 
ARTIGO 52, X E XI – Previsão de três novas sanções administrativas. 
· Suspensão parcial do funcionamento do banco de dados por seis meses, 
· Suspensão do exercício da atividade de tratamento dos dados pessoais também por até seis meses,
· Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. 
DIREITO Á REVISÃO 
· 
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.      (Redação dada pela Lei nº 13.853, de 2019)      Vigência
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comerciale industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.