Baixe o app para aproveitar ainda mais
Prévia do material em texto
E-book do aluno: LGPD Experience Sobre a Professora Raquel Rinaldi... Raquel Rinaldi é Doutora e Mestre em Direito, empresária, advogada, pa-lestrante, professora de Direito, autora de Livros e artigos, pesquisadora acadêmica, consultora em Lei Geral de Proteção de Dados,membro da comis- são de proteção de dados e privacidade da OAB/RJ, criadora do LGPD EXPE- RIENCE e mãe da Sofia. Graduou-se em Direito pela Universidade Federal do Rio de Janeiro (UFR- J),pós-graduada em Direito Público na Universidade Católica de Petrópolis (UCP), Mestre e o Doutora em Direito pela linha de pesquisa Teoria e Filo- sofia do Direito da Universidade do Estado do Rio de Janeiro(UERJ).Cursou a formação de Data Protetion Officer na Masterhouse Soluções Inovadoras, e o curso de extensão em LGPD pela PUC/RJ. Sua trajetória profissional apresenta-se multidisciplinar: atuou como advo- gada no setor publico, desempenhando os cargos de Assessora jurídica do Procon/RJ e conselheira da 10ª Junta Recursal do INSS. Desempenhou o cargo de coordenação geral do curso de graduação em dIreito no Centro Uni- versitario Gama e Souza (UNIGAMA) e da Universidade Castelo Branco(UCB), e atuou como advogada e DPO da UBOOK S.A, plataforma de audiolivros. Atualmente ministra aulas de Direito em diversos cursos de graduação e pós graduação no Brasil, é professora de Filosofia do Direito para as turmas da OAB do Curso Forum, é consultora da Lei Geral de Proteção de dados, es- creve artigos e livros, e coordena e leciona o LGPD EXPERIENCE, curso de sua criação. E-book do aluno: LGPD Experience Me siga nas redes sociais (Clicável): Me envie um e-mail! Me siga no Instagram! Me siga no LinkedIn! Se inscreva no meu Canal! https://www.linkedin.com/in/raquel-rinaldi-835a98168/ https://www.instagram.com/professora_raquel_rinaldi/ mailto:lgpdexperience%40gmail.com?subject=Contato%20do%20e-book%20do%20aluno https://www.youtube.com/channel/UCged8UGzszoCP-wvRMd4PDA mailto:lgpdexperience%40gmail.com?subject=Contato%20do%20e-book%20do%20aluno https://www.instagram.com/professora_raquel_rinaldi/ https://www.linkedin.com/in/raquel-rinaldi-835a98168/ https://www.youtube.com/channel/UCged8UGzszoCP-wvRMd4PDA SUMÁRIO (Clicável) E-book do aluno: LGPD Experience Introdução ........................................................................................................................................ Página 05 O que é a LGPD? ............................................................................................................................... Página 07 Qual é o objetivo da LGPD? .............................................................................................................. Página 12 Qual é o alcance da aplicação da LGPD? .......................................................................................... Página 14 Em quais situações a LGPD não se aplica? ..................................................................................... Página 16 O que são dados pessoais? .............................................................................................................. Página 19 Quais são os principais conceitos adotados pela LGPD?................................................................ Página 26 Quais são os princípios que o agente de tratamento de dados deverá observar?.......................... Página 32 Quais são as bases legais que permitem o tratamento de dados? ................................................. Página 37 Quais são os Direitos do Titular de dados pessoais segundo a LGPD? .......................................... Página 66 Quem são os agentes de tratamento dos dados pessoais? ............................................................ Página 70 Quais são as penalidades aplicadas segundo a LGPD? .................................................................. Página 75 Como ocorre a responsabilidade e o ressarcimento de danos? ...................................................... Página 78 Quem é a Autoridade Nacional de Proteção de dados? .................................................................. Página 80 VENHA CONHECER O LGPD EXPERIENCE ....................................................................................... Página 81 5 E-book do aluno: LGPD Experience INTRODUÇÃO A tecnologia da informação redi-mensionou o desenvolvimento econômico e social, tornando-o de- pendente do processamento de da- dos pessoais dos cidadãos. Vivemos em uma sociedade da in- formação na qual a maioria dos cida- dãos compartilha suas informações pessoais em aplicativos ou sites de redes sociais, expondo informações que vão desde seu estado civil à seu estado sentimental, desde sua músi- ca favorita à refeição feita no dia, de- monstrando tolerância ao acesso de tais informações de cunho pessoal. Dessa forma, verificamos que os in- divíduos fornecem parte de sua priva- cidade através de metadados como moeda de troca para o uso de serviços gratuitos em plataformas, permitin- do a quantificação e a codificação de muitos aspectos pessoais de sua vida. Ao coletar tais informações sem muito esforço, e muitas vezes sem o consentimento dos usuários, muitas 6 E-book do aluno: LGPD Experience organizações têm por mau hábito compartilhar com terceiros os metadados agregados de seus usuários a fim de realizar marketing personalizado em tro- ca de serviços gratuitos. Tal cenário demonstra o fenômeno da datificação, indicando a existência de uma crença generalizada na quantificação objetiva e no potencial monito- ramento de todos os tipos de comportamentos humanos por parte das tec- nologias de mídia on-line, bem como a confiança nos agentes institucionais que coletam, interpretam e compartilham os (meta) dados extraídos da mídia social, das plataformas da internet e outras tecnologias de comunicação. Através do ato de datificar, o titular cede dados ao conectar-se aos mais diversos protocolos de comunicação na internet. Por isso, a datificação é um meio para acessar, entender e monitorar o comportamento das pessoas, trans- formando as ações sociais em dados quantificados, permitindo o monitora- mento em tempo real e análise preditiva: as empresas e as agências gover- namentais rastreiam informações sobre o comportamento humano, através da exploração dos metadados coletados na mídia social e nas plataformas de comunicação, tais como Facebook, Twitter, LinkedIn, Tumblr, iTunes, Skype, YouTube, e serviços gratuitos de e-mail. Sob a necessidade de estudar e compreender a LGPD de forma pormeno- rizada, o presente e-book foi redigido através da metodologia de perguntas e respostas, a fim de tornar a leitura didática. Boa Leitura! 7 E-book do aluno: LGPD Experience O QUE É A LGPD? As normas de proteção de dados pessoais permitem disciplinar a liber-dade, a inovação, o desenvolvimento, e o exercício de direitos e da cida- dania, assegurando ao indivíduo a participação sobre todos os movimentos de seus dados pessoais: da coleta ao compartilhamento, na chamada “auto- determinação informacional”. A LGPD é a legislação federal 13.709∕08 que tem como finalidade regular o tratamento de dados pessoais, nos meios digitais ou físicos, realizado por pes- soas jurídicas, de direito público ou privado, e pessoas naturais com finalidade econômica. Nesse contexto, é um regramento para a utilização e tratamento dos dados pessoais, sendo instrumento de proteção ao cidadão ao permitir que seus da- dos sejam utilizados com os limites impostos por suas regras. A LGPD visa proteger direitos fundamentais propiciando ao titular de dados ferramentas para que ele saiba como seus dados são tratados principalmente pelas organizações privadas e instituições públicas, construindo uma cultura de dados. 8 E-book do aluno: LGPD Experience A premissa regulatória da proteção de dados pessoais é tutelar o cidadão, cada vez mais exposto à praticasque afetam sua vida, e a profusão de seus dados pessoais, como por exemplo: ao ingressar em um site e clicar em de- terminadas janelas; quando é solicitado o número de seu CPF para eventual cadastro; quando é questionado sobre um hábito de consumo, sem nenhum tipo de controle. Dessa forma a LGPD abarca todo e qualquer processamento de dados rea- lizado por pessoa jurídica de direito público ou privado, bem como pessoas fí- sicas que realizem o tratamento com finalidades econômicas, que sujeite um indivíduo a uma decisão automatizada e impactem o livre desenvolvimento de sua personalidade. As pessoas jurídicas não se encontram amparadas pela LGPD, pois so- mente as pessoas físicas são titulares de dados pessoais. RELAÇÕES ENGLOBADAS PELA LGPD • COMERCIAIS • CONSUMEIRISTAS • TRABALHISTAS A LGPD terá grande impacto nas: • Relações comerciais e de consumo, que exigem a coleta de dados, so- bretudo diante da crescente tendência de tratamento de dados pessoais de usuários/consumidores com a finalidade de traçar seu perfil, identifi- cando diversas informações, em especial hábitos de consumo, condições financeiras e de crédito. • Relações trabalhistas, pois a pessoa jurídica na qualidade de empregado- 9 E-book do aluno: LGPD Experience ra detém informações pessoais de seus empregados, devendo observar a legislação sob pena de responsabilidade civil, além de ressarcimento de eventuais danos causados. Embora a LGPD autorize as empresas a usar os dados pessoais dos seus empregados e prestadores de serviços (art. 7°, V e IX) para a legítima execução dos contratos, em benefício do próprio trabalhador, não se pode desconsiderar cautela e observância das regras da lei em todas as suas fases, nos atos praticados antes da contratação (fase pré contratual), durante a vigência do contrato (fase contratual), nas terceirizações e após a rescisão dos contratos (fase pós contratual). A reputação da empresa é de extrema importância e deve ser fator de pre- ocupação, além das penalidades. Da leitura da LGPD é possível extrais os seguintes objetivos: • Limitação à atividade de processamento de dados pessoais, regulamen- tando todas as atividades que compõem tal tratamento, desde a coleta até o descarte dos dados; • Proteção do titular de dados, promovendo sua dignidade, e permitindo ao mesmo o controle sobre seus dados pessoais com o escopo de autodeter- minar as suas informações pessoais; • Proteção dos direitos fundamentais e os direitos da personalidade enun- ciados na Constituição, trazendo-os como seus fundamentos junto ao de- senvolvimento econômico-tecnológico e da inovação. • Garantia de que o fluxo informacional atenda às legitimas expectativas do titular de dados, e não venha a ferir o livre desenvolvimento de sua perso- nalidade. 10 E-book do aluno: LGPD Experience Além disso, trata-se de uma lei de gestão de risco, permitindo que a pessoa jurídica faça seu gerenciamento de risco, o que exigirá na prática uma mu- dança na cultura das organizações que deverão, a partir do privacy by design, pensar na prevenção de danos, na possibilidade de fornecer dados, e na ela- boração de relatórios, ganhando mais credibilidade junto aos usuários e con- sumidores em relação à governança de dados, e respaldando sua reputação. Dessa forma, através do controle de dados pessoais a LGPD busca limitar o direito do cidadão quanto ao fornecimento de seus dados que não pode ser ilimitado, garantindo a integralidade dos sistemas de informática que traba- lham com os dados, e assim protegendo a pessoa. A LGPD é dividida em 10 capítulos e diversas seções conforme o seguinte quadro sinótico: CAPITULO I DISPOSIÇÕES PRELIMINARES artigo 1º ao 6º CAPITULO II TRATAMENTO DE DADOS PESSOAIS Seção I- Dos requisitos para o tratamento de dados pessoais. (artigo 7º ao 10º) Seção II- Do tratamento de dados pessoais sensíveis. (artigo 11º ao 13º) Seção III- Do tratamento de dados pessoais de Crianças e Adolescentes. (artigo 14º) Seção IV- Do término do tratamento de Dados. (artigo 15º e 16 º) CAPITULO III DOS DIREITOS DO TITULAR artigo 17º ao 22º 11 E-book do aluno: LGPD Experience CAPITULO IV DO TRATAMENTO DOS DADOS PESSOAIS PELO PODER PUBLICO Seção I- Das regras. (artigo 23º ao 30º) Seção II- Da responsabilidade. (artigo 31º e 32º) CAPITULO V DA TRANSFERENCIA INTERNACIONAL DE DADOS artigo 33º ao 36º CAPITULO VI DOS AGENTES DE TRATAMENTOS DE DADOS PESSOAIS Seção I- Do controlador e do Operador. (artigo 37º ao 40º) Seção II- Do encarregado pelo Tratamento de dados pessoais. (artigo 41º) Seção III- Da responsabilidade e do Ressarcimento de danos. (artigo 42º ao 45º) CAPITULO VII DA SEGURANÇA E DAS BOAS PRÁTICAS Seção I- Da segurança e do Sigilo de Dados. (artigo 46º ao 49º) Seção II- Das boas práticas e da governança. (artigo 50º e 51º) C A P I T U L O VIII DA FISCALIZAÇÃO Seção I- das sanções administrativas. (artigo 52º ao 54º) CAPITULO IX DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE Seção I- Da autoridade Nacional de Dados- vetado Seção II- Do Conselho Nacional de Proteção de dados Pessoais e da Privacidade- vetado CAPITULO X DISPOSIÇÕES FINAIS E TRANSITÓRIAS artigo 60º ao 65º 12 E-book do aluno: LGPD Experience QUAL É O OBJETIVO DA LGPD? A leitura do artigo 1º indica que a LGPD se aplica ao tratamento de dados realizado nos meios físico e online, por pessoa jurídica (de direito públi- co ou de direito privado) ou natural (desde que tenha fins econômicos através do tratamento de dados), objetivando proteger a privacidade, a liberdade e o desenvolvimento da personalidade dos titulares de dados. Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liber- dade e de privacidade e o livre desenvolvimento da personalidade da pes- soa natural. Parágrafo único. As normas gerais contidas nesta Lei são de interesse na- cional e devem ser observadas pela União, Estados, Distrito Federal e Muni- cípio. TITULAR DE DADOS ➞ PESSOA NATURAL SOBRE QUEM RECAI A LGPD ➞ PESSOA NATURAL OU PESSOA JURIDICA 13 E-book do aluno: LGPD Experience ✔ PESSOA JURIDICA DE DIREITO PÚBLICO • União • Estados • Municípios • Distrito Federal • Território • Autarquias ✔ PESSOA JURIDICA DE DIREITO PRIVADO • PARTICULARES • ESTATAIS 14 E-book do aluno: LGPD Experience QUAL É O ALCANÇE DA APLICAÇÃO DA LGPD? A LGPD tende a convergência, pois cada vez mais os relacionamentos nacionais dependem do compartilhamento de dados internacionais, sendo importante a existência de um diálogo das normas de cada país. A lei não pode ser autóctone, devendo haver diálogo. A LGPD abrange as operações realizadas no Brasil, a partir de dados coleta- dos no território nacional, tendo também aplicação extraterritorial quando o tratamento ocorrer fora do Brasil. O artigo 3º traz as hipóteses de aplicação territorial e extraterritorial da LGPD: Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, inde- pendentemente do meio, do país de sua sede ou do país onde estejam lo- calizados os dados, desde que: I - a operação de tratamento seja realizada no território nacional; 15 E-book do aluno: LGPD Experience II - a atividade de tratamento tenha por objetivo a oferta ou o forneci- mento de bens ou serviços ou o tratamento de dados de indivíduos locali- zados no território nacional; ou (Redação dada pela Lei nº 13.853, de 2019) Vigência. III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional. § 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei. Nas três hipóteses trazidas pelo artigo 3º temos a conexão com a ideia de território, pois algo deve estar no Brasil (os dados, ou o titular, ou a operação de tratamento), verificando-se a expansão da LGPD para além das fronteiras do nosso Estado, independentemente da nacionalidade dos envolvidos. SÃO REGRAS DE ATRAÇÃO AO TERRITÓRIO BRASILEIRO: ✔ Operação de tratamento realizada no Brasil, sendo os dados coletados em qualquer lugar. ✔ Operação de tratamento de dados relacionados a dados de indivíduos que estejam no Brasil; ou ✔ Operação de tratamento de dados que foram coletados no Brasil. 16 E-book do aluno: LGPD Experience EM QUAIS SITUAÇÕES A LGPD NÃO SE APLICA? A LGPD traz exceções a sua aplicabilidade, indicando no artigo 4º os casos em que ela não será aplicada. O artigo 4º da LGPD ensina que ela não se apli- ca ao tratamento de dados pessoais realizado: ➞ Por pessoa física para fins exclusivamente particulares e não econômicos; ➞ Para fins jornalísticos e artísticos ou acadêmicos; ➞ Para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais; ➞ Fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de pro- veniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei: NÃO HÁ ELEMENTO DE CONEXÃO TERRITORIAL, NÃO HÁ COMUNICAÇÃO COM AGENTES DE TRATA- MENTO FORA DO PAIS AONDE OS DADOS FORAM COLETADOS. TAMPOUCO 17 E-book do aluno: LGPD Experience HÁ TRANSFERENCIA INTERNACIONAL DE DADOS. Obs: Os artigos 7º e 11º da LGPD deverão ser aplicados ao tratamento de dados pessoais realizado para fins acadêmicos. Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais: I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II - realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei; III - realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei. § 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estrita- mente necessárias ao atendimento do interesse público, observados o de- 18 E-book do aluno: LGPD Experience vido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei. § 2º É vedado o tratamento dos dados a que se refere o inciso III do caput des- te artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste artigo. § 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pesso- ais. § 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente consti- tuído pelo poder público. (Redação dada pela Lei nº 13.853, de 2019) Vigência 19 E-book do aluno: LGPD Experience O QUE SÃO DADOS PESSOAIS? A LGPD menciona 04 tipos de dados: (i) Dados pessoais; (ii) Dados pessoais sensíveis; (iii) Dados pessoais de Crianças e Adolescentes; (iv) Dados Anonimizados. Art. 5º Para os fins desta Lei, considera-se: I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida se- xual, dado genético ou biométrico, quando vinculado a uma pessoa natural; 20 E-book do aluno: LGPD Experience III - dado anonimizado: dado relativo a titular que não possa ser identifi- cado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; Seção III Do Tratamento de Dados Pessoais de Crianças e de Adolescentes Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente. § 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal. § 2º No tratamento de dados de que trata o § 1º deste artigo, os controla- dores deverão manter pública a informação sobre os tipos de dados co- letados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o art. 18 desta Lei. § 3º Poderão ser coletados dados pessoais de crianças sem o consenti- mento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste ar- tigo. § 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade. § 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo respon- 21 E-book do aluno: LGPD Experience sável pela criança, consideradas as tecnologias disponíveis. § 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e men- tais do usuário, com uso de recursos audiovisuais quando adequado, de for- ma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança. (I) DADOS PESSOAIS: O artigo 5º, I da LGPD considera como dado pessoal qualquer informação que identifique diretamente uma pessoa física ou possa identifica-la de for- ma remota, tais como nomes, números, códigos de identificação, endereços e imagens. Dessa forma, considera-se dado pessoal como toda a informação que torna a pessoa física identificada ou identificável. A LGPD se destina a proteger apenas dados de pessoas físicas. PESSOA FISICA IDENTIFICADA # PESSOA FISICA IDENTIFICÁVEL CRITÉRIO EXPANSIONISTA Dessa forma, o gênero “dados pessoais” tem duas espécies com regulamen- tação diferenciada: ✔ DADOS PESSOAIS • DADOS PESSOAIS SENSÍVEIS • DADOS PESSOAIS DE CRIANÇAS E ADO- LESCENTES 22 E-book do aluno: LGPD Experience (II) DADOS PESSOAIS SENSÍVEIS: São dados relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde, vida sexual, dado genético ou biométrico. O conteúdo destes dados sociais é consideradosensível por oferecer ao seu titular uma especial vulnerabilidade, e capacidade de discriminação em de- terminadas situações de vida. No contexto de uma sociedade e uma economia movida por dados, a ca- tegorização de uma pessoa a partir de seus dados pessoais sensíveis, pode repercutir em suas oportunidades sociais. A exposição dos dados sensíveis pode conduzir à uma discriminação não justificada, perseguição ideológi- ca e situações de injustiça social, tocando nos pontos em que a pessoa é mais vulnerável. A LGPD entende que o fluxo informacional não pode ser corrosivo à própria pessoa, e por isso, a proteção aos dados pessoais perpassa a própria tutela do princípio da isonomia, sendo um instrumento de contenção a práticas discri- minatórias. Exemplo: O conhecimento de uma filiação à sindicato poderá prejudicar o titular no acesso emprego. Segundo o artigo 11 a LGPD, os dados pessoais sensíveis poderão ser sub- metidos a tratamento mediante: • Consentimento específico e destacado do titular, para finalidades espe- cíficas (art. 11, I), 23 E-book do aluno: LGPD Experience • Sem o fornecimento do consentimento do titular, nas seguintes hipóte- ses: ➞ O tratamento se demonstrar indispensável ao cumprimento de uma obrigação legal ou regulatória pelo controlador (art. 11, II, “a”); ➞ No tratamento houver compartilhamento de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; ➞ O tratamento estiver voltado a (ao): • Realização de estudos por órgão de pesquisa, garantida, sempre que pos- sível, a anonimização dos dados pessoais sensíveis; • Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral (de acordo com a lei de arbitragem); • Proteção da vida ou da incolumidade física do titular ou de terceiro; • Tutela da saúde, exclusivamente, em procedimento realizado por profis- sionais de saúde, serviços de saúde ou autoridade sanitária; ou • Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, res- guardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. (III) DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES: Segundo a LGPD, para a realização do tratamento de dados pessoais de 24 E-book do aluno: LGPD Experience crianças e adolescentes deve-se respeitar o melhor interesse sendo necessá- rio consentimento específico e em destaque de pelo menos um dos pais ou do responsável legal (art. 14, §1º). O consentimento pode ser considerado nulo caso não seja respeitada a ob- servância de suas características. Cabe ao controlador, com base nas tecnologias disponíveis, empreender to- dos os esforços razoáveis para confirmar que o consentimento de fato tenha sido dado por um dos pais ou pelo responsável legal (art. 14, §5º), e manter pú- blica a informação sobre os tipos de dados coletados legal (art. 14, §2º). As informações sobre o tratamento destes dados deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-mo- toras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informa- ção necessária aos pais ou ao responsável legal e adequada ao entendimento da criança legal (art. 14, §6º). Obs: Dados anonimizados são os dados que não podem ser identificados pois passaram pelo procedimento de anonimização, que consiste na utiliza- ção de técnicas por meio dos quais um dado perde a possibilidade de associa- ção, direta ou indireta, a um indivíduo. Através da anonimização, ocorre a quebra do vínculo de um dado a seu res- pectivo titular através da eliminação dos elementos identificadores da pessoa natural de uma base de dados. Dessa forma, a LGPD não considera dados anonimizados como sendo da- dos pessoais, a não ser que o processo de anonimização possa ser revertido. Isto porque, diversos são os estudos que indicam que o processo de anonimi- zação é falível, podendo ser revertido, pois através da agregação de uma base de dados anonimizada à outra, tornando possível gerar a reidentificação de 25 E-book do aluno: LGPD Experience uma base de dados supostamente anonimizada. Segundo Bruno Bioni: “A agregação de diversos ‘pedaços’ de informação (dados) pode re- velar (identificar) a imagem (sujeito) do quebra cabeça, a qual era até então desfigurada (anônimo) – o chamado efeito mosaico”. Por essa lógica, qualquer dado pessoal anonimizado detêm o risco poten- cial de se tornar um dado pessoal, e embora a LGPD não incida diretamente sobre os dados anonimizados, poderá vir a incidir caso a anonimização seja revertida, pois aos dados anônimos poderá ser aplicada a reidentificação le- vando a identificação não imediata do titular. Por isso, para mensurar a possibilidade de reversão de um processo de ano- nimização, deve-se analisar a capacidade subjetiva do agente de tratamento e de terceiros que ingressem no fluxo informacional. Logo, a anonimização não é considerado um método irreversível pois o fato de um dado ser anonimizado é algo circunstancial, analisado a partir do con- texto no qual estiver inserida a atividade de tratamento de dados. 26 E-book do aluno: LGPD Experience QUAIS SÃO OS PRINCIPAIS CONCEITOS ADOTADOS PELA LGPD? O artigo 5º da LGPD traz 19 incisos com importantes conceitos que o pro- fissional da área deverá conhecer a fim de atuar junto a interdisciplinaridade proposta pela legislação. São eles: DADO PESSOAL É toda a informação relacionada a pessoa natural identificada ou identificável. A identificação pode ser considerada de duas for- mas: ➞ Uso de identificadores diretos: exemplo: nome e prenome da pessoa. ➞ Uso de identificadores indiretos: Exemplo: endereço, características fenótipas, nú- mero do cep, etc... Não são apenas os identificadores diretos de um indivíduo são considerados como dados pessoais, mas também os identificadores indiretos que con- sistem em potenciais informações que abstrata- mente não seriam capazes de associar a identida- de de uma determinada pessoa mas em conjunto permitem a identificação de um indivíduo deter- minado. Potencialmente qualquer informação pode ser considerada dado pessoal, logo a visão da LGPD é expansionista. 27 E-book do aluno: LGPD Experience DADO PESSOAL SENSÍVEL É o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. m uma dupla camada de base legal (de ser dado pessoal ordinário e de ser um dado pessoal sensí- vel) DEIDENTIFICAÇÃO É a atividade de ofuscação de toda uma base pessoal de dados para impedir a identificação do indivíduo. Nem sempre é irreversível, podendo ser revertido. DADO ANONIMIZADO É o dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Através do fator razoabilidade não é possível identificar o titular do dado anonimizado. Pretende ser irreversível e permanente, havendo controvérsias doutrinarias acerca de sua irreversi- bilidade. ➞ Inicialmente, não é um dado pessoal a ser pro- tegido, pois via de regra não é considerado dado pessoal já que, em tese, não gera identificação do titular. ➞ Caso o processo de anonimização possa ser re- vertido UTILIZANDO OS ESFORÇOS RAZOÁVEIS DE ENGENHARIA REVERSA e o dado deixe de ser ano- nimizado, identificando o titular, incidirá a LGPD. A determinação do que seja razoável é circunstan- cial pois deve levar em conta o custo, o tempo ne- cessário e a tecnologia do momento,para realizar a reversão. A razoabilidade é um risco tolerável da reversibili- dade, olhando para fatores objetivos como tecno- logia disponível, tempo e custo. Dessa forma a ano- nimização será eficaz. 28 E-book do aluno: LGPD Experience ANONIMIZAÇÃO É uma forma de tratamento de dados assim como a encriptação, capaz de tornar um anonimizado. É UMA TÉCNICA DE DEIDENTIFICAÇÃO. É um direito do titular toda vez que um dado coletado for considerado desnecessário, excessivo ou coletado em desacordo com a LGPD. Utilizam-se meios técnicos razoáveis e disponíveis no momento do tratamento, fazendo com que um dado perca a possibilidade de associação, direta ou indireta, a um indivíduo. A análise é circunstancial e contextualizada. O desafio é garantir realizar a anonimização eficaz pois a desassociarão que se faz entre o dado e o titular pretende ser permanente e irreversível, rom- pendo o vínculo entre o dado e o titular, mas há estudos que comprovam o contrário. É obrigatória sempre que: - os dados pessoais forem utilizados para fins de es- tudo de saúde pública por órgão de pesquisa, - quando os dados não forem eliminados após o fim de tratamento deverão ser anonimizados. PSEUDONIMIZAÇÃO É o tratamento por meio do qual um dado perde a possibilidade de associação direta ou indireta ao indivíduo, senão por acesso informação adicional. É UMA TÉCNICA DE DEIDENTIFICAÇÃO. Ocorre quando algumas informações sobre o ti- tular são guardadas em separado (identificadores indiretos), e posteriormente pode-se junta-las, e só dessa forma é possível identificar o titular de dados. É reversível. TITULAR É a pessoa natural a quem se referem os dados pessoais que serão objeto de tratamento. 29 E-book do aluno: LGPD Experience BANCO DE DADOS É o conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. TRATAMENTO DE DADOS PESSOAIS Considera-se como tratamento de dados toda ope- ração realizada com o dado pessoal, entre eles: • coleta, • produção, • recepção, • classificação, • utilização, • acesso, • reprodução, • transmissão, • distribuição. • processamento, • arquivamento, • armazenamento, • eliminação, • avaliação, • controle da informação, • comunicação, • transferência, • difusão • extração de dados pessoais O tratamento vai da coleta a eliminação, que é obri- gatória por conta do princípio da finalidade e da minimização dos dados. A coleta dá início a um processo de tratamento com diversas atividades dos dados. Hoje bases de dados são ativos econômicos de em- presas. Mas é possível que a empresa não possa ou não queira, para não prejudicar o negócio, excluir as informações. Com a LGPD há um respaldo legal de proteção a essa não-exclusão à empresa que precisar manter tais informações em sua base de dados. AÇÕES ENVOLVIDAS NA ATIVIDADE DE TRATAMENTO 30 E-book do aluno: LGPD Experience CONSENTIMENTO É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Deve ser obtido nos moldes legais: manifestação li- vre, informada e inequívoca. BLOQUEIO É a suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados ELIMINAÇÃO DE DADOS É a exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. É a última etapa do ciclo de dados. Quando o tratamento de dados terminar, os mes- mos deverão ser excluídos, eliminados. TRANSFERÊNCIA INTERNACIONAL DE DADOS É a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro. A LGPD possui vocação transnacional que deriva das necessidades de adequação ao GDPR e ao ce- nário internacional. USO COMPARTILHADO DE DADOS É a comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS É a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que poderão gerar riscos às liberdades civis e aos direitos fundamentais, bem como a apresentação de medidas, salvaguardas e mecanismos de mitigação de risco CONTROLADOR É a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. É um dos agentes de tratamento. 31 E-book do aluno: LGPD Experience OPERADOR É a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. É um dos agentes de tratamento. ENCARREGADO É a pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional. AGENTES DE TRATAMENTO É o termo utilizado para fazer referência ao controlador e ao operador. 32 E-book do aluno: LGPD Experience QUAIS SÃO OS PRINCIPIOS QUE AO AGENTE DE TRATAMENTO DEVERÁ OBSERVAR? A LGPD estabelece no artigo 6º, princípios que disciplinam a proteção de dados pessoais e a atividade de tratamento de dados, guiando a atividade dos agentes que realizam o tratamento dos dados pessoais. Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: I - finalidade: realização do tratamento para propósitos legítimos, espe- cíficos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II - adequação: compatibilidade do tratamento com as finalidades infor- madas ao titular, de acordo com o contexto do tratamento; III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, rele- vância e atualização dos dados, de acordo com a necessidade e para o cum- primento da finalidade de seu tratamento; VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; 33 E-book do aluno: LGPD Experience VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações aci- dentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X - responsabilização e prestação de contas: demonstração, pelo agen- te, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 34 E-book do aluno: LGPD Experience FINALIDADE É o princípio que ensina que o tratamento de dados só poderá ser realizado para a finalidade que justificou sua coleta, sua obtenção, e que é conhecida pelo titular. A Realização do tratamento é para propósitos legí-timos, específicos, explícitos e informados ao titu- lar, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Por este princípio os dados pessoais nunca poderão ser objeto de negócio jurídico, ou seja, não poderão ser comercializados, pois a finalidade que justificou a cessão destes dados é um fator limitante. A finalidade nunca abandona o dado pessoal. Não existe dado pessoal sem finalidade como um de seus atributos. Não existe dado pessoal com finalidade genérica. O consentimento genérico é nulo. Devemos nos perguntar: quais dados pessoais a empresa trata? Deve-se analisar se o tratamento dado a aqueles dados se justifica em contemplação à sua finalida- de. ADEQUAÇÃO Tal princípio determina que deve haver compatibili- dade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento dos dados. NECESSIDADE Tal princípio estabelece que o tratamento deve li- mitar-se ao mínimo necessário para a realização de suas finalidades. Há limitação do tratamento ao mínimo necessário para a realização de suas finali- dades. São eles: 35 E-book do aluno: LGPD Experience LIVRE ACESSO Todo o titular deve ter acesso facilitado aos seus dados pessoais, um acesso facilitado que não pode ser oneroso. Dá a garantia aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamen- to, bem como sobre a integralidade de seus dados pessoais. QUALIDADE DOS DADOS Tal princípio estabelece a garantia aos titulares, de exatidão, clareza, relevância e atualização dos da- dos, de acordo com a necessidade e para o cumpri- mento da finalidade de seu tratamento. Ao acessar os dados o titular poderá verificar que tipo de infor- mação consta dele, e daí altera-los. Logo, os dados devem ser exatos, claros, relevantes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. TRANSPARÊNCIA Todo o tratamento de dados pessoais deve ser de conhecimento do titular. O Titular deve saber para que, e de que forma seus Dados serão usados. Tal princípio estabelece a garantia aos titulares de obtenção de informações claras, precisas e facil- mente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observa- dos os segredos comercial e industrial. 36 E-book do aluno: LGPD Experience SEGURANÇA Deve haver a garantia da utilização de medidas téc- nicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, altera- ção, comunicação ou difusão. No tratamento de dados deve haver proteção dos dados pessoais de acessos não autorizados e de si- tuações acidentais ou ilícitas, e por isso uma série de obrigações são geradas aos operadores dos da- dos que possuem limitação de uso. Tal princípio estabelece que dados pessoais sejam tratados de forma a impedir que haja ataques in- formáticos, vulnerações cibernéticas, e que pessoas não autorizadas tenham acesso aos dados. PREVENÇÃO Tal princípio estabelece a adoção de medidas para prevenir a ocorrência de danos em virtude do trata- mento de dados pessoais. NÃO DISCRIMINAÇÃO Tal princípio estabelece a impossibilidade de reali- zação do tratamento para fins discriminatórios ilíci- tos ou abusivos. RESPONSABILIZA- ÇÃO E PRESTAÇÃO DE CONTAS Tal princípio estabelece que deve haver a demons- tração pelo agente de tratamento da adoção de me- didas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Não basta, portanto, o enquadramento em uma das hipóteses legais auto- rizativas para se iniciar o tratamento de dados pessoais. É fundamental ga- rantir que os princípios listados acima sejam respeitados. 37 E-book do aluno: LGPD Experience QUAIS SÃO AS BASES LEGAIS QUE PERMITEM O TRATAMENTO DE DADOS? Em se tratando de dados pessoais em sentido amplo, a LGPD possui 10 ba- ses legais vinculando a licitude do tratamento dos dados pessoais a cada uma delas. O objetivo do uso das bases legais é dar licitude ao tratamento de dados feito pelo agente de tratamento, por isso, o rol de bases legais traz de forma taxativa as hipóteses que autorizam a realização do tratamento de dados, não cabendo interpretação extensiva ou analogia. As bases legais não têm dependência ou predominância entre si, pois não existe hierarquia, já que todas estão horizontalmente elencadas no artigo 7º da LGPD, possuindo o mesmo valor. Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o fornecimento de consentimento pelo titular; II - para o cumprimento de obrigação legal ou regulatória pelo contro- lador; III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV - para a realização de estudos por órgão de pesquisa, garantida, sem- pre que possível, a anonimização dos dados pessoais; V - quando necessário para a execução de contrato ou de procedimen- 38 E-book do aluno: LGPD Experience tos preliminares relacionados a contrato do qual seja parte o titular, a pedi- do do titular dos dados; VI - para o exercício regular de direitos em processo judicial, adminis- trativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setem- bro de 1996 (Lei de Arbitragem) ; VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; IX - quando necessário para atender aos interesses legítimos do con- trolador ou de terceiro, exceto no caso de prevalecerem direitos e liberda- des fundamentais do titular que exijam a proteção dos dados pessoais; ou X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. § 1º (Revogado). (Redação dada pela Lei nº 13.853, de 2019) § 2º (Revogado). (Redação dada pela Lei nº 13.853, de 2019) Vigência § 3º O tratamento de dados pessoais cujo acesso é público deve conside- rar a finalidade, a boa-fé e o interesse público que justificaram sua disponi- bilização. § 4º É dispensada a exigência do consentimento previsto no caput des- te artigo para os dados tornados manifestamente públicos pelo titular, res- guardados os direitos do titular e os princípios previstos nesta Lei. § 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pes- soais com outros controladores deverá obter consentimento específico do http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm http://www.planalto.gov.br/ccivil_03/LEIS/L9307.htm http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2 http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm#art3 39 E-book do aluno: LGPD Experience titular para esse fim, ressalvadas as hipóteses de dispensa do consentimen- to previstas nesta Lei. § 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, espe- cialmente da observância dos princípios gerais e da garantia dos direitos do titular. § 7º O tratamento posterior dos dados pessoais a que se referem os §§ 3º e 4º deste artigo poderá ser realizado para novas finalidades, desde que ob- servados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princí- pios previstos nesta Lei. Basta o cumprimento de apenas uma base legal para que a operação de tratamento de dados seja licita, o que não impede que exista mais de uma base legal: o que definirá a base legalutilizada é a finalidade do tratamento. O uso equivocado de uma base legal torna a atividade de tratamento ilícita pois a base legal deverá ser adequada a finalidade do tratamento. Para todo caso de tratamento de dados, o controlador é responsável por de- finir qual será a base legal mais apropriada, de acordo com a finalidade dada ao tratamento, não havendo discricionariedade na escolha da base legal a ser utilizada. Sempre deve-se informar ao titular em caso de mudança da finali- dade do tratamento. ➞ Para encontrar sua finalidade, o agente de tratamento deverá se pergun- tar: O que irei fazer com esse dado? 40 E-book do aluno: LGPD Experience I – consentimento do titular (artigo 7º, I): Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I - mediante o fornecimento de consentimento pelo titular O consentimento diz respeito a ideia de autodeterminação informacional, concedendo ao cidadão o controle sobre seus dados pessoais, dando-lhe po- der de • retificar • emendar • apagar (excluir) • completar A organização deverá dispor de um canal para que o titular possa requisitar tais ações. É a autodeterminação do indivíduo quem parametriza a licitude de qual- quer atividade de tratamento dos dados pessoais. Somado a autodeterminação do indivíduo, o consentimento traz o princípio da proporcionalidade, impedindo que o agente de tratamento colete dados excessivos frente a finalidade que ele decretou, trazendo a ideia de minimiza- ção dos dados como um dever de quem realiza a atividade de tratamento de dados. O consentimento é considerado um autorizador temporário, uma vez que pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado. Em outras palavras, caso uma empresa colete dados através do consentimento dos titulares desses dados, será necessário dispor de algum tipo de plataforma que permita a exclusão dos dados após a requisição do titular e que mantenha evidência dessa ex- clusão para fins de comprovação posterior, caso necessário, tudo de forma gratuita. 41 E-book do aluno: LGPD Experience Portanto, recomenda-se que a coleta de dados se dê com base no consen- timento somente de forma residual, caso não seja possível o tratamento de dados através de alguma outra das outras 09 bases legais. Sobre o consentimento: • Deve ser fornecido de forma livre, especifica, por escrito ou por outro meio que demonstre a efetiva manifestação de vontade do titular, em cláusula destacada dos demais termos contratuais (art. 8°, §1º). • Autorizações genéricas são nulas, justamente para que seja comprovado que aquele consentimento foi dado para uma finalidade específica de tratamento. (art. 8°, §5º). • Deve dizer respeito a uma finalidade determinada de forma geral, impe- dindo o agente de dar tratamento diverso daquele informado e, caso ve- nha a alterar as finalidades inicialmente informadas, novo consentimen- to deverá ser obtido do titular (art. 8°, §6º). • O consentimento poderá ser: ➞ ELIMINADO (art. 8°, §5º). ➞ REVOGADO (art. 8°, §6º). • Empodera o titular de dados, aumentando sua carga participativa no fluxo de suas informações pessoais, permitindo que a qualquer tempo, revogue o consentimento dado (art. 8°, §5º), tornando o tratamento dos dados limitado às hipóteses em que o consentimento é dispensado, res- peitados os demais requisitos legais. Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. § 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais. 42 E-book do aluno: LGPD Experience § 2º Cabe ao controlador o ônus da prova de que o consentimento foi ob- tido em conformidade com o disposto nesta Lei. § 3º É vedado o tratamento de dados pessoais mediante vício de consen- timento. § 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas. § 5º O consentimento pode ser revogado a qualquer momento me- diante manifestação expressa do titular, por procedimento gratuito e faci- litado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de elimi- nação, nos termos do inciso VI do caput do art. 18 desta Lei. § 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do art. 9º desta Lei, o controlador deverá informar ao titular, com desta- que de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração. A LGPD dispõe especificamente que a gestão dos dados pessoais deve ser feita pelos agentes de tratamento de modo a possibilitar que, através de re- querimento do titular a fim de obter as seguintes informações: • Confirmação da existência de tratamento; • Acesso aos dados; • Informação a respeito do compartilhamento de dados; • Informação sobre a possibilidade e consequências do não fornecimento de consentimento. • Revisão de decisão automatizada; 43 E-book do aluno: LGPD Experience • Revogação do consentimento; • Correção de dados; • Anonimização; • Bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; • Portabilidade dos dados; • Eliminação dos dados. ➞ Confirmação de existência ou confirmação de acesso a dados pessoais: O agente de tratamento deverá atender a requisição de confirmação da existência de tratamento e acesso aos dados: (i) em formato simplificado, caso a providência seja adotada imediatamen- te; ou (ii) por meio de declaração clara e completa, no prazo de 15 dias contados do requerimento do titular. A declaração, deve conter a indicação da origem dos dados, inexistência de registro, critérios utilizados e finalidade do trata- mento. As informações solicitadas deverão ser fornecidas por meio eletrônico ou de forma impressa. ➞ Impossibilidade de atendimento aos requerimentos dos titulares: Importante destacar, ainda, que a LGPD estabelece medidas a serem toma- das no caso de impossibilidade de adoção imediata, por parte do agente de tratamento da providência solicitada pelo titular dos dados. Exemplo: hipóte- ses do artigo 16. Nestes casos, o agente de tratamento deverá enviar resposta ao titular in- 44 E-book do aluno: LGPD Experience formando: (i) que não realiza o tratamento dos dados e indicar, se possível, o agente que realiza o referido tratamento; ou (ii) as razões que impedem a adoção da medida requerida. Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e me- diante requisição: I - confirmação da existência de tratamento; II - acesso aos dados; III - correção de dados incompletos, inexatos ou desatualizados; IV - anonimização, bloqueio ou eliminação de dados desnecessários, ex- cessivos ou tratados em desconformidade com o disposto nesta Lei; V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autori- dade nacional, observados os segredos comercial e industrial; VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; VII - informação das entidades públicas e privadas com as quais o contro- lador realizou uso compartilhado de dados; VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. E ainda, o artigo 16 traz hipóteses de impossibilidade de eliminação dos da- dos, autorizando a conservação dos mesmos: 45E-book do aluno: LGPD Experience Art. 16. Os dados pessoais serão eliminados após o término de seu trata- mento, no âmbito e nos limites técnicos das atividades, autorizada a con- servação para as seguintes finalidades: I - cumprimento de obrigação legal ou regulatória pelo controlador; II - estudo por órgão de pesquisa, garantida, sempre que possível, a ano- nimização dos dados pessoais; III - transferência a terceiro, desde que respeitados os requisitos de tra- tamento de dados dispostos nesta Lei; ou IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e des- de que anonimizados os dados. II- cumprimento de obrigação legal ou regulatória pelo controlador (ar- tigo 7º II da LGPD): Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (...) II - para o cumprimento de obrigação legal ou regulatória pelo contro- lador; É a hipótese em que o tratamento de dados pessoais é justificado por exi- gências de outras leis, possibilitando que a LGPD não entre em conflito com outras legislações vigentes em nosso país, o que acabaria por gerar uma dis- cussão sobre a possibilidade ou não do titular de dados registrar reclamação contra um tipo de tratamento de dados que estivesse em discordância com outra determinação legal. No caso de uma obrigação decorrente de lei ou regulamento vier a acarretar em tratamento de dados pessoais por parte da organização, a mesma estará autorizada a trata-los de modo a cumprir a dita exigência legal ou regulatória. São os cenários nos quais uma pessoa jurídica de direito privado precise utili- zar ou armazenar dados pessoais para cumprir obrigações legais. 46 E-book do aluno: LGPD Experience Exemplificando: uma empresa deseja transmitir os dados de seus empre- gados constantes de seus registros internos de RH à Secretaria Especial do Ministério da Economia (antigo Ministério do Trabalho), a fim de cumprir com a entrega da Relação Anual de Informações Sociais (Rais). Nesse caso, os em- pregados não podem opor resistência ao compartilhamento de dados, uma vez que é necessária para o cumprimento de uma obrigação legal/regulatória por parte do controlador. III- USO COMPARTILHADO DE DADOS NECESSÁRIOS Á EXECUÇÃO DE POLITICAS PÚBLICAS PREVISTAS EM LEIS, REGULAMENTOS, CONTRATOS, CONVÊNIOS OU INSTRUMENTOS CONGENERES POR PARTE DA ADMINIS- TRAÇÃO PÚBLICA (artigo 7º III da LGPD): Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (...) III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei. Quando o tratamento de dados pessoais é resguardado pelo interesse pú- blico ou por necessidade de uma autoridade oficial que exercerá o papel de agente controlador quanto ao tratamento daquele dado. Ocorre quando órgãos da administração pública precisam se adequar e cumprir a lei ao tratarem e compartilharem dados pessoais para execução de políticas públicas ou respaldadas em contratos, convênios ou instrumentos congêneres, sem a necessidade de consentimento dos titulares. Contudo, a Administração Pública é obrigada a fornecer ao titular dos da- dos informações claras e inequívocas sobre a base legal para o tratamento dos dados, a finalidade e quais os procedimentos utilizados ao longo do ciclo de vida do dado dentro dos sistemas da Administração Pública. 47 E-book do aluno: LGPD Experience A Administração Pública somente não estará obrigada a cumprir com as exigências da LGPD no caso de tratamento de dados feito exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou ati- vidades de investigação ou de repressão de infrações penais. Ressaltamos que os serviços notariais e de registro exercidos em caráter pri- vado, por delegação do Poder Público, terão o mesmo tratamento dispensado aos órgãos públicos, devendo fornecer acesso aos dados por meio eletrônico para a Administração Pública. Uma grande diferença da aplicação da LGPD aos órgãos públicos para o âmbito privado diz respeito às penalidades aplicadas: para a Administração Pública, não há a previsão de sanção pecuniária, mas apenas a advertência, a publicização da infração, bloqueio ou eliminação dos dados pessoais a que se refere a infração, sem prejuízo das sanções previstas no Estatuto do Servidor Público Federal, na lei de Improbidade Administrativa e na lei de acesso à in- formação. IV- PARA A REALIZAÇÃO DE ESTUDOS POR ORGÃOS DE PESQUISA, GA- RANTIDA SEMPRE QUE POSSIVEL, A ANONIMIZAÇÃO DOS DADOS PESSO- AIS: Art. 7º: O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (...) IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; Dados pessoais podem ser tratados para fins de estudos de órgãos oficial- mente credenciados como de pesquisa. Nesse caso, sempre que possível o dado deve ser anonimizado garantindo ao máximo a privacidade dos titulares e evitar possíveis vazamentos, uma vez que um dado anonimizados é aquele que, via de regra, não é possível identi- ficar o seu titular, considerando a utilização de técnicas razoáveis na ocasião 48 E-book do aluno: LGPD Experience do tratamento. Uma prática já utilizada pelos órgãos de pesquisa com o intuito de anoni- mizar os dados pessoais é, por exemplo, quando em uma pesquisa para apu- ração de intenção de votos em uma eleição, haja a proporção de votação para cada candidato de acordo com sexo, escolaridade, região geográfica, classe social, etc. O resultado da pesquisa é cumprido, ao ponto que é praticamente impossível saber quem foram as pessoas que demonstraram aquelas inten- ções utilizando-se de técnicas razoáveis para tentar atribuir um conjunto de dados a uma pessoa individualizada. V-QUANDO NECESSÁRIO A EXECUÇÃO DE UM CONTRATO OU DE PRO- CEDIMENTOS PRELIMINARES RELACIONADOS A CONTRATO DO QUAL SEJA PARTE O TITULAR, A PEDIDO DO TITULAR DE DADOS: Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (...) V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; Nesta hipótese os dados de uma pessoa podem ser processados em dois casos: ➞ Para que seja cumprida uma obrigação prevista em contrato; ➞ Para validar e dar início a vigência de um contrato. Nesse caso, o tratamento de dados se dará a pedido do próprio de titular dos dados para garantir a execução de um contrato ou de seus procedimen- tos preliminares. Essa hipótese se assemelha um pouco com o tratamento de dados via consentimento, com a diferença de que o titular dos dados não po- derá revogar o seu fornecimento a qualquer momento, uma vez que a outra parte estará resguardada pela LGPD para poder manter os dados fornecidos 49 E-book do aluno: LGPD Experience pelo titular enquanto durar a vigência do contrato. Exemplo¹: Para contratar os serviços da um novo colaborador, a Empresa X, você precisa fornecer de uma série de informações pessoais necessárias para formalizar o contrato (dados do contratante, dados para faturamento, etc.) que farão parte do futuro contrato de emprego do titular dos dados. Exemplo²: a contratação por parte de um titular de dados de um serviço cujo objeto principal é o tratamento de dados pessoais, tal como acontece com a inserção de dados em um serviço de armazenamento em nuvem. VI - PARA O EXERCICIO REGULAR DE DIREITOS EM PROCESSO JUDICIAL, ADMINISTRATIVO OU ARBITRAL Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (...) VI - para o exercício regular de direitos em processo judicial, administrati- voou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); Esta base legal foi decisão acertada do legislador com o intuito de garantir o direito de produção de provas de uma parte contra a outra em um processo judicial, administrativo ou arbitral, este último nos termos da Lei de Arbitra- gem. Permitir que uma das partes se oponha a este tipo de tratamento de dados seria cercear o direito de defesa da outra em um processo e infringir os preceitos constitucionais da ampla defesa e do contraditório. VII- PARA A PROTEÇÃO DA VIDA OU DA INCOLUMIDADE FISICA DO TI- TULAR OU TERCEIRO: Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (...) 50 E-book do aluno: LGPD Experience VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; Trata-se da base legal que visa garantir a proteção de bens de elevado inte- resse público, tais como a vida e a incolumidade física, desde que devidamen- te comprovada essa necessidade e exposta a finalidade do tratamento dos dados nesta situação. Esta é uma base legal autorizadora para o tratamento de dados pessoais tão específica que, até mesmo o art. 11, II, “e” da LGPD estabelece que dados pessoais sensíveis poderão ser tratados sem o fornecimento de consentimen- to do titular, caso o tratamento seja indispensável para a proteção da vida ou da incolumidade física do titular ou de terceiro, haja vista o interesse público envolvido neste tipo de tratamento. Exemplo: imagine uma pessoa inconsciente dando entrada em um hos- pital que nunca esteve na vida após sofrer um grave acidente. Nesse caso, o novo hospital precisará de todo o histórico médico do paciente constante de um outro hospital que ele costuma frequentar, estando, portanto, autorizado o médico que irá atende-lo requisitar a documentação ao outro hospital, que poderá compartilhar toda a documentação que disponha daquele paciente. VIII - PARA A TUTELA DA SAÚDE, EM PROCEDIMENTO REALIZADO POR PROFISSIONAIS DA ÁREA DA SAÚDE OU POR ENTIDADES SANITÁRIAS: Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (...) VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; Esta base legal autoriza a coleta de dados por parte dos profissionais de saúde, serviços de saúde ou autoridades sanitárias quando precisarem cole- tar e tratar os dados pessoais. É uma base legal bastante específica, em que o art. 11, II, f da LGPD estabele- 51 E-book do aluno: LGPD Experience ce que dados pessoais sensíveis poderão ser tratados sem o fornecimento de consentimento do titular, caso sejam indispensáveis para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, servi- ços de saúde ou autoridade sanitária. Visa o interesse público no tratamento dos dados pessoais, sendo objeto de regras específicas dentro da própria LGPD quando o controlador atuar na área da saúde. Provavelmente será um dos itens de maior debate ao longo da formação e consolidação da consciência de proteção de dados na sociedade brasileira. Uma especificidade do tratamento com base neste inciso é a autorização do art. 11 da LGPD para a comunicação ou o uso compartilhado entre contro- ladores de dados pessoais sensíveis referentes à saúde nos casos de prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, com objetivo de obter vantagem econômica, desde que em benefício dos interesses dos titulares de dados, sendo vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na con- tratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. Qualquer outro tipo de comunicação ou uso compartilhado de dados referentes à saúde é categoricamente vedado pela LGPD. Art 11 (...) § 4º É vedada a comunicação ou o uso compartilhado entre con- troladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, des- de que observado o § 5º deste artigo, incluídos os serviços auxiliares de diag- nose e terapia, em benefício dos interesses dos titulares de dados, e para permitir: I - a portabilidade de dados quando solicitada pelo titular; ou II - as transações financeiras e administrativas resultantes do uso e da 52 E-book do aluno: LGPD Experience prestação dos serviços de que trata este parágrafo. § 5º É vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contra- tação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. IX - quando necessário para atender aos interesses legítimos do contro- lador ou de terceiro Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (...) IX - quando necessário para atender aos interesses legítimos do contro- lador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; A base legal do legítimo interesse não pode ser utilizada no caso de preva- lecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Não há exatidão na definição do que seria o “legítimo interesse” do contro- lador ou de terceiro uma vez que não há uma previsão legal no ordenamento jurídico brasileiro, nem orientações ou diretrizes específicas a respeito desta definição. A ANPD será o órgão responsável, dentre outras coisas, pela criação destas diretrizes. A base legal do legítimo interesse é: • Multipropósito pois atende diversas finalidades, sendo uma solução estru- tural, pois abarca a finalidade por inteiro e ajuda a ver coisas que as outras bases não ajudaram, como uma espécie de auditoria interna. • Mais flexível, mas a sua aplicação não é simples. • Mais completa e transfere o ônus integral da prova ao controlador. 53 E-book do aluno: LGPD Experience O art. 10 da LGPD determina que o legítimo interesse do controlador so- mente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: 1. Apoio e promoção de atividades do controlador e 2. Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expecta- tivas dele e os direitos e liberdades fundamentais. Portanto, para que se possa utilizar esta base legal como autorizadora para o tratamento de dados é necessário identificar um interesse inequivocamen- te legítimo, demonstrar que o tratamento de dados é necessário para se atin- gir tal objetivo e tomar o devido cuidado para não violar nenhum dispositivo legal ou nenhum direito do titular daqueles dados. O legítimo interesse permite o uso dos dados, sem a necessidade de obten- ção de consentimento, dispensando a ciência do titular de dados. Contudo, é necessário tomar alguns cuidados para entender em quais casos o legítimo interesse realmente pode ser aplicado: é necessário que cada empresa realize testes de proporcionalidade, uma análise para ponderar os interesses da em- presa e a os direitos do indivíduo. São premissas do legitimo interesse (ponto de partida): • Ser produzido um documento próprio, diferente das demais bases legais. • Ser um ônus do controlador comprovar que utilizou tal base de forma cor- reta, ou seja, que o tratamento se amolda ao que ele justificou como sen- do legitimo interesse. 54 E-book do aluno: LGPD Experience Como definir abase legal “Legitimo Interesse do controlador”? Uma das primeiras perguntas que toda a organização faz é: Qual é a razão para tratar os dados pessoais? Pois as atividades de tratamento só são licitas quando houver hipótese de tratamento, base legal. Para o uso da base legal legitimo interesse, deve haver uma situação con- creta, não podendo haver uma possibilidade (esquecer o “pode ser”). A finali- dade deve ser legitima para o uso da base “Legitimo interesse”. Esta base não está vinculada a uma finalidade em particular, ao contrário das demais bases legais. Além disso, a base legitimo interesse não possui uma finalidade com a qual o titular tenha consentido previamente e por isso pode em principio ser aplicada a qualquer tratamento. SITUAÇÕES EM QUE A BASE LEGAL LEGITIMO INTERESSE PODE SER A MAIS ADEQUADA O tratamento não for exigido por lei, mas for um claro benefício para a or- ganização ou terceiros. Quando houver um impacto limitado sobre a privacidade do titular O Titular espera razoavelmente que o controlador utilize os dados dessa forma A organização não pode ou não quer dar ao titular controle total inicial (isto é, consentimento) , ou incomodá-lo com pedidos de consentimento disruptivos, quando é improvável que ele se oponha ao tratamento A Base legal legitimo interesse aparece em 02 momentos na LGPD: 1) Artigo 37: O controlador e o operador devem manter registro das operações de 55 E-book do aluno: LGPD Experience tratamento de dados pessoais que realizarem, especialmente quando ba- seado no legítimo interesse. 2) Artigo 10: O legítimo interesse do controlador somente poderá fundamentar tra- tamento de dados pessoais para finalidades legítimas, consideradas a par- tir de situações concretas, que incluem, mas não se limitam a: I - apoio e promoção de atividades do controlador; e II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expecta- tivas dele e os direitos e liberdades fundamentais, nos termos desta Lei. § 1º Quando o tratamento for baseado no legítimo interesse do controla- dor, somente os dados pessoais estritamente necessários para a finali- dade pretendida poderão ser tratados. § 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. § 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial. Segundo o artigo 10º da LGPD, utiliza-se a base legal “Legitimo interesse” nas seguintes hipóteses CONCRETAS (jamais podem haver situações hipoté- ticas): a) Apoio e promoção e atividades do controlador; b) Proteção em relação ao titular do exercício regular de seus direitos respei- tadas: 56 E-book do aluno: LGPD Experience c) Atividade que ofereça prestação de serviços que beneficie o titular; → Desde que: • As expectativas LEGITIMAS e os direitos e liberdades fundamentais do ti- tular sejam garantidos; • O controlador observe a transparência (ART 10 §2º), que é dar garantia ao titular do controle dos seus dados; • Haja tratamento somente dos dados estritamente necessários (minimiza- ção). Obs: A ANPD poderá solicitar o RIPD- RELATÓRIO DE IMPACTO, que deverá ser feito quando se usar a base legitimo interesse. O legitimo interesse é uma base legal versátil, trazendo obrigações acresci- das ao Controlador que deverá buscar o equilíbrio entre seus interesses legíti- mos e os direitos do titular, não podendo ser usado como “base coringa” pois a escolha de base legal não é feita com base em análise de risco e sim com base na análise da finalidade. O controlador deverá tratar os dados do titular da forma como ele esperaria. → A escolha da base legal é sempre feita de acordo com a finalidade. O Legitimo interesse é usado em situações que gerem impactos à vida do titular, desde que a organização saiba salvaguardar contrabalanceando a si- tuação. A questão é que o impacto deve ser mínimo aos direitos do titular, ainda que cause uma intrusão na vida do titular, deverá ser mínima. A LGPD não ensina como usar o Legitimo interesse, sendo necessário usar Boas Práticas como: • Uso da ISO 27701 - é padrão, mas não traz nada sobre legitimo interesse, somente um parágrafo na página 34. 57 E-book do aluno: LGPD Experience • Interpretação análoga do GDPR que diz que: quando o tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo con- trolador ou por terceiros, exceto se prevalecerem interesses ou direitos e liberdades fundamentais do titular que exijam a proteção de dados pes- soais, em especial se o titular for uma criança. Não há nenhuma regra informando que a empresa deverá fazer uma AVA- LIAÇÃO DE INTERESSE LEGITIMO, mas essa avaliação é uma boa prática pois o Legitimo interesse como base legal dá um grande poder à organização tor- nando a relação com o titular assimétrica. A avaliação do legitimo interesse é uma boa prática pois não é obrigatória segundo a LGPD, sendo uma boa pratica diante do poder que dá à organização. Avalia-se o legitimo interesse em 03 etapas: 1 - TESTE DE FINALIDADE: QUESTIONA-SE SE O INTERESSE DA EMPRESA É LEGITIMO, LEGAL, SE A FINALIDADE “INTERESSE DO CONTROLADOR” É LEGITIMA. O interesse da empresa é legítimo? Ter um interesse legitimo não garante automaticamente à organização que ela possa usar a base legal “legitimo interesse”. 2 - TESTE DE NECESSIDADE: O tratamento previsto deve ser necessário para que a organização conquis- te seu interesse legitimo. O tratamento é necessário? VERIFICA-SE SE NAQUELE CONTEXTO ESPECÍFICO DE TRATAMENTO PRE- 58 E-book do aluno: LGPD Experience VISTO É NECESSÁRIO O USO DO LEGITIMO INTERESSE, PARA QUE A EMPRE- SA CONCRETIZE SEU INTERESSE LEGÍTIMO 3 - TESTE DE PROPORCIONALIDADE OU BALANCEAMENTO (EQUILI- BRIO): EQUILIBRA-SE O INTERESSE LEGITIMO AOS INTERESSES DOS TITULARES. O tratamento é proporcional? VERIFICA-SE O EQUILIBRIO DO INTERESSE LEGÍTIMO COM OS DIREITOS E LIBERDADES FUNDAMENTAIS DO TITULAR. GERA UM ÔNUS AO CONTROLADOR QUE DEVERÁ GARANTIR E DEMOS- NTRAR O EQUILIBRIO ENTRE OS SEUS INTERESSES COM OS DO TITULAR →Ao contrário do interesse legitimo, as demais bases são explícitas. No le- gitimo interesse a amplitude é maior para a empresa que deverá garantir os direitos e liberdades dos titulares, e dessa forma, a organização deverá ter a confiança em assumir a possibilidade de proteger os direitos dos titulares, de- vendo ser transparente e explicar aos titulares que direitos são esses. A avaliação do legitimo interesse é uma espécie de avaliação de risco mas não para dizer se o risco é alto, ou baixo, sendo uma avaliação de ris- co dos direitos e liberdades do titular. A organização olhará para o contexto compreendendo qual será o impacto para os direitos e liberdades dos titula- res. Deve-se avaliar o contexto para usar a base legal legitimo interesse. A exis- tência de um interesse legítimo do controlador é só um ponto de partida, pois o controlador poderá ter um interesse legitimo para realizar o trata- 59 E-book do aluno: LGPD Experience mento, mas outras estapas deverão ser analisadas. É NECESSÁRIO REALIZAR 03 ETAPAS PARA USAR A BASE INTERESSE LEGI- TIMO, EM TODAS AS ATIVIDADES DE TRATAMENTO EM QUE A EMPRESA DE- CIDIR USAR ESSA BASE LEGAL, AINDA QUE NÃO SEJA OBRIGATÓRIO PELA LGPD. O LIA É INSTRUMENTO PARA QUE A ORGANIZAÇÃO COMPROVE A NECES- SIDADE DE USAR A BASE LEGAL INTERESSE LEGITIMO. São 03 as etapas do LIA • Finalidade • Necessidade • Proporcionalidade 1-TESTE DE FINALIDADE: É a etapa mais simples, de identificação da finalidade. Identifica-se a finali- dade buscando verificar se ela é um interesse legitimo ao controlador. É o tes- te mais fácil e mais tranquilo. Para verificar se há legitimo interesse, devemos
Compartilhar