Módulo 1 - Para entender a LGPD

Prévia do material em texto

Módulo 1 - Para entender a LGPD
1. Introdução
Você já ouviu falar sobre a Lei Geral de Proteção de Dados, a LGPD, e tem
alguma ideia acerca dos impactos dessa Lei no seu dia a dia?
Neste curso vamos apresentar alguns conceitos fundamentais para que você
conheça e entenda o que é, a quem e a quais situações se aplica a LGPD.
Para começar, assista ao vídeo a seguir!
https://cdn.evg.gov.br/cursos/603_EVG/videos/modulo01_video01.mp4
2. Conceitos básicos
A Lei Geral de Proteção de Dados - LGPD regulamenta o tratamento de dados
pessoais, com o objetivo de proteger a liberdade, a privacidade, a intimidade e o
livre desenvolvimento da personalidade da pessoa natural, Titular desses dados,
mas também de garantir o adequado fluxo de dados, o direito à informação, à
liberdade de expressão, bem como a plenitude e a saúde da economia digital e
informacional.
A referida Lei aplica-se a qualquer operação de tratamento de dados realizada
por pessoa natural ou física, e por empresa pública ou privada, com o objetivo
de ofertar bens e serviços ou de fornecer o serviço de tratamento de dados em
si. E não é apenas o tratamento digital! O legislador deixou isso claro, quando
disse "Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos
meios digitais."
Assim, não é mais possível adiar o entendimento dos principais impactos da
LGPD na sua vida! Ela passa a vigorar a partir de agosto de 2020, embora as
sanções somente entrem em vigor em agosto de 2021.
https://cdn.evg.gov.br/cursos/603_EVG/videos/modulo01_video01.mp4
Vamos começar pelos conceitos e definições a seguir, que embasam qualquer
discussão sobre a LGPD:
Conceitos e Definições
Dado Pessoal
Qualquer informação que possa levar à identificação de
uma pessoa natural (titular), como: nome, endereço,
e-mail, identidade, CPF, dados de localização (o GPS no
celular), endereço de IP do computador e tantos outros.
Dado Pessoal Sensível
Qualquer informação que possa causar impacto mais
relevante na vida pessoal e/ou profissional, caso seja
exposta ou compartilhada, como: dado de origem racial
ou étnica, convicção religiosa, opinião política, filiação a
sindicato ou organização de caráter religioso, filosófico ou
político, dado referente à saúde, à vida ou orientação
sexual, dado genético ou biométrico.
Tratamento de Dados
O tratamento abrange um amplo conjunto de operações
efetuadas sobre dados pessoais, por meios manuais ou
automatizados. Inclui a coleta, o registro, a organização, a
alteração, a consulta, a utilização, a divulgação, o
bloqueio, a destruição de dados pessoais, entre outras
ações.
Atores
Titular
É a pessoa natural, o ser humano a quem se referem os
dados pessoais que são objeto de tratamento, seja
criança, adulto ou idoso.
Controlador
Pessoa natural ou jurídica responsável pelo tratamento
dos dados pessoais, que deve definir a hipótese legal, a
finalidade e o modo como esses dados serão tratados
por ele mesmo ou por quem ele designar para fazer esse
tratamento.
No Regulamento Europeu, o Controlador é chamado
"responsável".
Operador
Pessoa Jurídica (em geral), mas também pode ser uma
pessoa natural/física, que realiza o tratamento de dados
pessoais em nome do Controlador.
É possível que um controlador seja ao mesmo tempo o
operador responsável pela execução do tratamento.
Em leis dos EUA e da União Europeia, o Operador
também é chamado "processador".
Agente de Tratamento
O Controlador e o Operador são agentes de tratamento.
Encarregado
Também conhecido como DPO - Data Protection Officer, é
uma pessoa natural indicada pelo Controlador ou pelo
Operador para ser a ponte entre esses agentes de
tratamento e os titulares dos dados, e também entre os
agentes de tratamento e a ANPD. O Encarregado também
é responsável por orientar os funcionários do
Controlador sobre as práticas de tratamento de dados.
ANPD
Autoridade Nacional de Proteção de Dados, órgão da
administração pública responsável por zelar,
implementar e fiscalizar o cumprimento dos dispositivos
e a aplicação dos princípios e fundamentos da LGPD.
Também é a instância responsável pela aplicação das
sanções previstas na LGPD.
Pode-se constatar, então, que a LGPD trata dos dados pessoais que, como a
própria expressão deixa claro, referem-se a uma pessoa, um titular. No próximo
tópico, serão apresentados os direitos garantidos ao Titular dos dados.
Ouça o Episódio 1 do Podcast LGPD Serpro!
Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre a
importância do Encarregado / DPO.
Tema: O papel do Encarregado na LGPD
Convidado: Ulysses Machado
https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo01_podcast01.mp3
3. Direitos do titular
Ouça o Episódio 2 do Podcast LGPD Serpro!
Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre o
protagonismo e direitos do Titular de dados pessoais.
Tema: O titular dos dados pessoais
Convidado: Ulysses Machado
https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo01_podcast02.mp3
A LGPD define o regramento sobre como os agentes de tratamento podem
obter, separar, classificar ou trabalhar os dados pessoais de alguém para ofertar
ou entregar serviços e produtos que pretendam melhorar a vida dessa pessoa
ou da sociedade como um todo.
O Módulo 2 deste curso apresenta as dez situações de tratamento de dados
pessoais que a LGPD autoriza. São as chamadas hipóteses ou bases legais de
tratamento. Fora delas, o tratamento de dados pessoais é ilegal e implica
violação de dados.
https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo01_podcast01.mp3
https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo01_podcast02.mp3
Mas é preciso observar um fato importante: se um dos princípios da LGPD é a
preservação da liberdade e da intimidade do Titular desses dados, então é certo
que este tenha direitos.
Os principais direitos do Titular, listados a seguir, devem ser atendidos pelo
Controlador. Ele precisa definir os requisitos por meio dos quais esses direitos
serão cumpridos, sempre que necessário, com simplicidade, rapidez e
qualidade.
São direitos do Titular:
Solicitar anonimização1 dos seus dados, quando eles forem
coletados de forma desnecessária, excessiva ou em
desconformidade com a LGPD, além de pedir, em determinados
casos, o bloqueio ou a eliminação desses dados tratados em
desacordo com a Lei (decorrência do direito ao esquecimento);
(Art. 18, IV)
1. Anonimizar significa usar meios técnicos razoáveis e disponíveis no momento do
tratamento, de forma que um dado pessoal não possa ser associado direta ou
indiretamente a um indivíduo, tornando-o anônimo.
Receber confirmação sobre tratamento de seus dados e ser
informado sobre seus dados; (Art. 18, I)
Ter acesso ao conjunto de informações sobre o tratamento de
seus dados, inclusive no tocante a finalidade, modo, identificação
do controlador, uso compartilhado de seus dados,
responsabilidade dos agentes; (Arts. 9º e 18, II)
Solicitar correção ou atualização dos seus dados, como atributo de
qualidade no tratamento dos dados pessoais; (Art. 18, III)
https://addiemooc38.escolavirtual.gov.br/mod/book/tool/print/index.php?id=11192#nota1er1
Revogar consentimento para a coleta ou tratamento de dados,
quando a base legal de tratamento for o consentimento; (Art. 18,
IX)
Obter informação das entidades públicas e privadas com as quais
o controlador realizou uso compartilhado de dados; (Art. 18, VII)
Opor-se a qualquer tratamento fundado em alguma das hipóteses
de tratamento diversas do consentimento quando haja violação do
disposto na Lei; (Art. 18, § 2º)
Ser informado sobre a possibilidade de não fornecer
consentimento para tratamento de seus dados e as consequências
dessa negativa; (Art. 18, VIII)
Requerer revisão de decisões tomadas unicamente em tratamento
automatizado de dados pessoais, quando estas afetem seus
interesses; (Art. 20)
Peticionar ao controlador para o exercício de seus direitos ou
peticionar à Autoridade Nacional de Proteção de Dados.
(Art. 18, § 1º)
A LGPD prevê diversos tipos de penalidades para aqueles que violarem suas
disposições.No entanto, as sanções previstas somente entrarão em vigor em
agosto de 2021, por força do disposto no Projeto de Lei que alterou a LGPD.
De qualquer forma, é importante ter em mente que para a LGPD, violar dados
não é apenas invadir um repositório ou vazar dados pessoais. Qualquer
desconformidade com a Lei, inclusive a indisponibilidade de dados que
deveriam ser acessíveis, implica "violação de dados". Essas questões serão
detalhadas no Módulo 3 deste curso.
Entenda a diferença entre dados pseudonimizados e dados
anonimizados
Dados pseudonimizados são aqueles dados que, submetidos a
tratamento, não oferecem a possibilidade de associação, direta ou
indireta, a um indivíduo, senão pelo uso de informação adicional
mantida separadamente pelo controlador em ambiente controlado e
seguro.
Dados anonimizados são aqueles cujos titulares não podem ser
identificados, dada a aplicação de meios técnicos razoáveis e
disponíveis na ocasião de seu tratamento. Para os efeitos da Lei,
"dado anonimizado" não é "dado pessoal".
Por não permitirem a identificação do seu respectivo Titular, os dados
anonimizados não ficam sujeitos à aplicação da LGPD, exceto quando
houver reversão do processo de anonimização ao qual tais dados
foram submetidos.
Ouça o Episódio 3 do Podcast LGPD Serpro!
Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre o
sentido do consentimento por parte do Titular dos dados.
Tema: O sentido do consentimento pelo Titular
Convidado: Ulysses Machado
https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo01_podcast03.mp3
https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo01_podcast03.mp3
4. Relações e atribuições
No início deste módulo foram apresentados os envolvidos no processo de
tratamento de dados e sujeitos à LGPD.
E como é o relacionamento entre esses atores? Quais as atribuições de cada um
deles no processo de tratamento de dados e de proteção aos dados dos
titulares?
O infográfico a seguir responde a essas questões. Entenda a relação entre cada
um dos atores desse processo, iniciando com o Titular.
Competências da ANPD
A ANPD, em seu papel norteador da privacidade e da proteção de dados, não
tem apenas a função de fiscalizar e punir. A Autoridade Nacional de Proteção
de Dados tem a responsabilidade de zelar pela proteção de dados, elaborar
diretrizes para a Política Nacional de Proteção de Dados, apreciar e processar
petições dos titulares, disseminar o conhecimento sobre privacidade para o
grande público, realizar estudos sobre as práticas de privacidade no Brasil e no
mundo, desenvolver formas simplificadas para o registro de reclamações sobre
o tratamento de dados pessoais.
Uma das competências da ANPD mais importantes dentre as destacadas pelo
legislador está a de articular-se com as autoridades reguladoras públicas para
exercer suas competências em setores específicos de atividades econômicas e
governamentais sujeitas à regulação. Essa articulação deverá se dar com os
PROCONS, com as Agências Reguladoras, com as associações de defesa dos
consumidores em seus diversos setores de atividade.
O próximo módulo coloca em foco o tratamento de dados: o que é permitido e
o que é vedado aos Agentes de Tratamento.