Lei de proteção de dados

Disposições contidas na Lei Geral de Proteção de Dados (LGPD)

A Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), entrou em vigor visando à proteção dos dados relativos a qualquer pessoa física que se encontre no território brasileiro.

Seguindo uma tendência global, a nova legislação objetiva proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, promovendo o correto tratamento de dados pessoais, em meios físicos ou digitais, no âmbito de instituições públicas e privadas.

SOBRE A LGPD

QUAL O PROPÓSITO?
A Lei Geral de Proteção de Dados tem como propósito estabelecer regras sobre o tratamento de dados pessoais, ou seja, aqueles relacionados a pessoas físicas, por qualquer organização, pública ou privada, com o objetivo de proteger direitos fundamentais como liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Essa lei deve ser aplicada a qualquer operação de tratamento de dados pessoais realizada, em território nacional, por pessoa natural ou pessoa jurídica de direito público ou privado, criando um ambiente de respeito à privacidade e de segurança jurídica tanto para os titulares dos dados pessoais quanto para os agentes e as organizações responsáveis pelo referido tratamento.

O QUE É TRATAMENTO DE DADOS?
Denomina-se tratamento de dados qualquer operação realizada com dados pessoais, incluindo coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Princípios do tratamento de dados pessoais

Finalidade – O tratamento de dados deverá demonstrar que tem fundamento na finalidade pública e deve ser realizado com propósitos legítimos, específicos, explícitos e informados.

Adequação – O tratamento de dados deve ser adequado à finalidade informada.

Necessidade – O tratamento de dados deverá limitar-se ao mínimo necessário para a realização de suas finalidades, com abrangência de dados pertinentes, proporcionais e não excessivos.

Livre acesso – O tratamento de dados deve ser pautado pelo livre acesso, por meio da garantia, aos titulares, de exercer seus direitos segundo os procedimentos previstos em legislação específica, em especial na Lei nº 9.507, de 12 de novembro de 1997 (Lei do Habeas Data) e na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).

Qualidade dos dados – O tratamento de dados deverá ser feito com exatidão, clareza, relevância e atualização, de acordo com a necessidade e para o cumprimento de sua finalidade específica.

Transparência – O tratamento de dados deve ser realizado com transparência, por meio do fácil acesso do titular dos dados ao agente de tratamento, que deverá apresentar informações claras e precisas, mediante procedimento previsto na Lei nº 12.527/11 (Lei de Acesso à Informação).

Segurança – O tratamento de dados deverá ocorrer por meio de medidas técnicas e administrativas suficientes a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção – O tratamento de dados deverá adotar medidas de prevenção para mitigar a ocorrência de danos.

Não discriminação – O tratamento de dados não poderá ser realizado para fins discriminatórios ilícitos ou abusivos.

Responsabilização e prestação de contas – O controlador, o encarregado e o operador deverão demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.

  • A LGPD não se aplica ao tratamento de dados pessoais:
  • a) realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
  • b) realizado para fins exclusivamente jornalísticos, artísticos ou acadêmicos;
  • c) realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
  • d) provenientes de fora do território nacional e que não sejam objeto de comunicação, de uso compartilhado com agentes de tratamento brasileiros ou de transferência internacional de dados com outro país que não o de proveniência, desde que este proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.

LEGISLAÇÃO APLICÁVEL
Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação)
Regula o acesso a informações previsto no inciso XXXIII do art. 5º, no inciso II do § 3º do art. 37 e no § 2º do art. 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências

Lei nº 13.709, de 14 de agosto de 2018 (LGPD)
Lei Geral de Proteção de Dados Pessoais (LGPD).
(Redação dada pela Lei nº 13.853, de 2019)

GLOSSÁRIO DE TERMOS DA LGPD
Agentes de tratamento: o controlador e o operador.

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Autoridade Nacional: órgão da administração pública responsável por fiscalizar e implementar o cumprimento da LGPD em todo o território nacional e zelar por ele.

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando-se a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente a saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Interoperável: formato capaz de operar, funcionar ou atuar com outro; estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos e à disseminação e ao acesso das informações pelo público em geral.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos, legalmente constituído(a) sob as leis brasileiras, com sede e foro no País, que inclua, em sua missão institucional ou em seu objetivo social ou estatutário, a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.

Pseudonimização: é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

Relatório de impacto na proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o País seja membro.

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre estes e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

Fonte: Programa de Proteção de Dados Pessoais do TJMG