1. Questão

Essa Orientação trata sobre os conceitos e aplicabilidade da Lei Geral de Proteção de Dados (LGPD).

2. Normas Apresentadas pelo Cliente

Legislação Analisada: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

3. Análise da Consultoria

A Lei Geral de Proteção de Dados Pessoais – LGPD, foi criada em 2018, com o objetivo de proteger os dados as pessoas físicas, através da regulamentação do tratamento e utilização dos dados, assim garantindo o direito do titular a liberdade e privacidade.

Embora a Lei de Proteção de Dados tenha sido publicada em 2018, no Brasil, aconteceu movimentações, conforme cronologia: 

• 2010: O Ministério da Justiça, iniciou em dezembro uma consulta sobre um projeto de lei com a intenção de proteger os dados pessoais das pessoas na Internet.

• 2012: publicado a Lei nº 4.060/2012, sobre o Tratamento de dados pessoais e outras providências. 

• 2013: publicado o Projeto de lei nº 330/2013 - Dispõe sobre a proteção, o tratamento e o uso dos dados pessoais, e dá outras providências.

• 2014: sancionada a Lei 12.965/2014 que fez um Marco Cível, visando regulamentar o uso da Internet no Brasil, com princípios, direitos e deveres das pessoas que usam a rede, porém ainda tinha lacunas referente a proteção de dados. 

• 2018: publicação da Medida Provisória nº 869/2018 que além da Criação da Autoridade Nacional  de Dados e alterando a lei do marco cível. 

Observação: Essa Lei deve ser aplicada a qualquer operação que envolva a utilização e tratamento de Dados de pessoas físicas. 

3.1 Órgão Regulamentador – ANDP

A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão vinculado à Presidência da República, dotada de autonomia técnica e decisória, com jurisdição no território nacional e com sede e foro no Distrito Federal no campo sobre Proteção de Dados,

A missão da ANPD é “Zelar pela proteção dos dados pessoais”, e sua visão é “Tornar-se órgão de referência nacional e internacional com relação à Proteção de Dados Pessoais”. A atuação da ANPD baseia-se nos seguintes valores: Ética, Transparência, Integridade, Imparcialidade, Eficácia e Responsabilidade.

3.2 Princípios da LGPD 

Para entender e facilitar boas práticas, evitando p´raticas inadequadas no dia a dia do mund empresarial, é importante conhever os 10 princípios que direcionam a utilização da Lei Geral de Proteção de Dados (LGPD):

• Finalidade: Não será mais possível tratar dados pessoais com finalidades genéricas ou indeterminadas. O tratamento de cada informação pessoal deve ser feito com fins específicos, legítimos, explícitos e informados. As empresas devem explicar para que usarão cada um dos dados pessoais. Não sendo autorizada utilizar esses mesmo dado para outra finalidade.

• Adequação: Os dados pessoais tratados devem ser compatíveis com a finalidade informada pela empresa. Ou seja, sua justificativa deve fazer sentido com o caráter da informação que você pede.

• Necessidade: As empresas devem utilizar apenas os dados estritamente necessários para alcançar as suas finalidades. Quando mais dados você tratar, maior será sua responsabilidade, inclusive em casos de vazamento e incidentes de segurança.

• Livre acesso: A pessoa física titular dos dados tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa detenha a seu respeito.

• Qualidade dos dados: Deve ser garantido aos titulares que as informações que a empresa tenha sobre eles sejam verdadeiras e atualizadas. è necessário ter atenção, clareza e relevância dos dados, de acordo com a necessidade e com a finalidade de seu tratamento.

• Transparência:  As informações passadas pela empresa, em todos os seus meios de comunicação, devem ser claras, precisas e verdadeiras. Se for repassado dados pessoais a terceiro, inclusive para operadores que sejam essenciais para a execução do serviço, o titular precisa saber.

• Segurança: É responsabilidade das empresas buscar procedimentos, meios e tecnologias que garantam a proteção dos dados pessoais de acessos por terceiros , ainda que não sejam autorizados, como nos casos de invasões por hackers.

• Prevenção: Que as empresas adotem medidas prévias para evitar a ocorrência de danos em virtude do tratamento de dados pessoais.

• Não Discriminação: Os dados pessoais não poderão ser usados para discriminar ou promover abusos contra os seus titulares. A LGPD criou regras específicas para o tratamento de dados que são frequentemente utilizados para discriminação, os chamados pessoais sensíveis.

• Responsabilização e prestação de contas:  As empresas devem ter provas e evidências de todas as medidas adotadas, para demonstrarem a sua boa-fé e a sua diligência.

3.3 Direito do Titular

Conforme a Lei Geral de Proteção de Dados - LGPD, a pessoa física titular dos dados possui direitos sobre seus dados disponíveis ao controlador e a organização, direitos esses que devem ser respeitados de forma expressa e devem ser atendidos de forma imediata, é garantido por lei:

• A confirmação de existência de tratamento: O artigo 19, regulamenta a confirmação da existência e a entrega dos dados do titular, podemos ser em duas hipóteses: A entrega imediata dos dados, em formato simplificado; ou a entrega em formato completo que deverá conter a origem dos dados; a inexistência de registro, os critérios utilizados e a finalidade do tratamento.

• O acesso aos dados: A pessoa tem o direito de confirmação da existência de tratamento e, por consequência, acessar todos os seus dados pessoais que estão sendo coletados e tratados pelo controlador.

• Anonimização: É uma técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa. No tocante á anonimização , a LGPD define como a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento por meio de quais um dado perde possibilidade de associação, direta ou indireta, a um indivíduo”. O termo “anonimização de dados” é utilizado para descrever o processo para eliminar qualquer tipo de conexão das informações armazenadas que possam ser utilizadas para identificar o titular destas informações. Será imprescindível se valer de meios técnicos e políticas de privacidade tanto no momento de coleta desses dados, como no seu processamento.

• Pseudonimização: Substitui o material pessoalmente identificável por identificadores artificiais (Codificando com mensagens para que apenas as pessoas autorizadas possam ler).

• Bloqueio ou eliminação de dados necessários, excessivos ou tratados em desconformidade com a Lei: Os Titulares possuem o direito de pedir o cancelamento ou exclusão de dados desnecessários, excessivos ou tratados em desconformidades com a LGPD.

• Retificação dos dados: O Titular tem o direito de corrigir dados incompletos, inexatos ou desatualizados.

• A informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados: O Titular tem o direito de receber informações sobre as entidades públicas e privadas com os quais o controlador realizou uso compartilhado de seus dados.

• A revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetam seus interesses: O Titular tem o direito de se opor a quaisquer tratamento e informações  que não estejam em conformidade com a lei, assim as decisões automatizadas que afetam seus interesses, como decisões destinadas a definir seu perfil pessoal, profissional, de consumo e de crédito ou aspectos de sua personalidade.

• Portabilidade dos Dados: O cliente tem o direito de realizar a Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, conforme a regulamentação da Autoridade Nacional, observados os segredos comercial e industrial.

3.4 Agentes de Tratamento de Dados 

Com a criação da Lei Geral de Proteção de Dados - LGPD, foi apresentado alguns perfis técnicos voltados para o tratamento de dados seguindo as diretrizes da Lei, são eles: 

• Controlador

O controlador segundo a LGPD é “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Ou seja, o controlador é a organização ou a pessoa responsável pela aplicabilidade da LGPD sobre os dados pessoais e sensíveis dos titulares.

• Operador

O operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”, Ou seja, o operador é o responsável por seguir as orientações do Controlador no tratamento dos dados, segundo a LGPD. 

• Encarregado (DPO)

Conforme a Lei geral de Proteção de Dados, o encarregado, tambem conhecido como Data Protection Officer é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). 

Ele atua como um fiscal da aplicabilidade das normasl da LGPD dentro da organização com independência para melhor orientar a aderencia a legislação, além disso, tambem é responsável por intermediar a comunicação e ações em relação a organização, titular dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). 

3.5 Dados Pessoais e Dados Pessoais Sensíveis 

Toda pessoa física ou jurídica é única e possui características individuais. Para identificá-la, são utilizadas um conjunto de informações (Dados) - que revelam suas características físicas, costumes, gostos, preferências, rotina, grupos e outras diversas informações. 

A Lei Geral de Proteção de Dados, responsável por estabelecer critérios de proteção aos dados da pessoa física, separou essas informações em: 

• Dados Pessoais: aqueles que se referem a informações do seu titular como RG, data de nascimento, local de nascimento, telefone, endereço residencial, endereço de IP (Protocolo de Internet), etc.

• Dados Sensíveis: aqueles que  revelam informações sobre crenças, origens, quadro de saúde, visão política, entre outras e ainda exibem informações que não pertencem somente ao titular, mas dos seus grupos de pertencimentos. Se esses dados de alguma forma forem vazados, podem causar discriminação a uma pessoa, devido a isso, tem uma maior proteção.

Além disso, existem documentos que podem conter dados pessoais e dados sensíveis, como, por exemplo, o prontuário médico que possui a identificação do paciente com nome e RG e também as informações de saúde, doenças e quadro clínico. 

3.6 Tratamento

Tratamento de Dados é toda operação/manipuação/utilização dos dados de uma pessoa física natural (titular do dado), em qualquer meio, seja ele digital ou não, conforme disposto na legislação da Lei Geral de Proteção de dados. 

Lei 13.709/2018

(...)

Art. 5º Para os fins desta Lei, considera-se:

IX - agentes de tratamento: o controlador e o operador;

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

(...)

É extremamente importante que o titular do dados seja questionado quanto a sua autorização na manipulação do seus dados, é necessário que o mesmo forneça consentimento expresso, outro caso onde o tratamento é autorizado é em situações onde é necessário o cumprimento de obrigação legal ou regulatória pelo controlador. 

Além disso a LGPD é expressa sobre o titular do dado tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso a finalidade específica do tratamento, forma e duração do tratamento, observados os segredos comercial e industrial, identificação do controlador, informações de contato do controlador, informações acerca do uso compartilhado de dados pelo controlador e a finalidade, responsabilidades dos agentes que realizarão o tratamento. 

3.7 Termino do Tratamento de Dados

A Legislação da Lei Geral de Proteção de Dados, deixa expresso em seu texto ações que reconhecem a finalização da utilização dos dados, ou seja, o termino do tratamento. 

• Conforme legislação, termino do tratamento de dados: 

O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

•  Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
•  Ffim do período de tratamento;
• Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou
•  Determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.

Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

•  Cumprimento de obrigação legal ou regulatória pelo controlador;
• Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
• Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

3.7 Anonimização de Dados

Para a LGPD, um dado anonimizado é um dado pessoal ou um dado sensível que foi tratado para que as informações não possam ser vinculadas ao titular original. Aquele que originalmente, era relativo a uma pessoa, mas que passou por um processo de desvinculação.

Caso o dado seja anonimizado, então a LGPD não se aplicará a ele. Mas vale ressaltar que um dado só será considerado efetivamente anonimizado se não permitir que, por meios técnicos e outros, se reconstrua o caminho para descobrir quem era a pessoa titular do dado.

Se caso ocorrer a identificação, então ele não é um dado anonimizado e sim, apenas, um dado pseudonimizado e estará então, sujeito à LGPD.

Podemos definir que a anonimização é um processo de tratamento que garanti que os dados de titulares estejam anônimos, e que as exigências da lei não se aplicarão mais a eles.

O processo de anonimização irá permitir que as empresas possam compartilhar banco de dados que sejam devidamente anonimizados, desde que o processo de anonimização seja totalmente seguro e não reversível.

Entendemos que caberá cada um definir o seu processo de anonimização, até a entrada da ANPD (Agência Nacional de Proteção de Dados), que poderá dispor sobre padrões e técnicas para o processo de anonimização. Porque até o momento a Lei não define qual dado deverá passar pelo processo, não possuindo uma padronização sobre os dados anonimizados

Lei Legal de Proteção de Dados - 13.709/2018

(...)

Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

(...)

Vale ressaltar que um dado só é considerado efetivamente anonimizado se não permitir que, via meios técnicos e outros, se reconstrua o caminho para "descobrir" quem era a pessoa titular do dado - se de alguma forma a identificação ocorrer, então ele não é, de fato, um dado anonimizado e sim, apenas, um dado pseudonimizado e estará, então, sujeito à LGPD.

3.8 LGPD e o Cumprimento de Obrigações Legais

Como mencionado no decorrer dessa orientação, o Controlador responsável pelo tratamento dos dados pessoais do titular é uma pessoa natural ou jurídica, de direito público ou privado. Em nosso território nacional, a fiscalização por parte do Governo (Receita Federal, Ministério do Trabalho e Previdência, Ministério da Economia e etc), é muito presente e compete as empresas a entregar de forma regular diversas obrigações de cumprimento legal da mais diversas áreas como Fiscal, Contábil, Financeira, Recursos humanos entre outras. 

A LGPD prevê esse processo porque é aplicável o tratamento de dados nessa situação, porém com algumas observações.  O tratamento de dados é composto de diversas fases que vão da mineração, extração ou obtenção desse dado, do tratamento e da finalidade do tratamento alcançado, é natural que para a empresa cumprir as suas obrigações frente ao Governo é necessário observação legislações especificadas para cada tipo e também aplicar a LGPD, no quesito dados a Lei é clara que a empresa pode realizar a conservação desses dados para cumprimento de Obrigações Legais.

Lei Geral de Proteção de Dados

(...)

Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I - cumprimento de obrigação legal ou regulatória pelo controlador;

II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III - transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV - uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

(...)

Além disso, vale ressaltar que as empresas constroladoras seguem diretrizes legislativas de leis especificas para cada obrigação legal do controlador, recomendamos como sugestão de leitura material referente ao tempo de guarda de documentos. 

• Guarda de Documentos - Obrigações RH - Prazo

• Guarda de Documentos - Obrigações Fiscais - Prazo

O tempo de guarda deve ser respeito mesmo que as operações ou tratamentos já realizado, aplicado tambem em caso de empregados já desligados para a área de recursos humanos. 

4. Conclusão

A Lei Geral de Proteção de Dados - LGPD, foi criada em 2018 com o objetivo de proteger e garantir a privacidade e liberdade do titular dos dados, através do tratamento de dados e diretrizes da legislação, ela separa os dados em dois grupos os dados pessoais que tornam o titular identificado ou identificável e os dados sensíveis que são informações que podem gerar algum tipo de constrangimento ao titular. 

Além disso, A LGPD implementa cargos técnicos especificos o controlador (utilizador dos dados), encarregado (segue as orietações do controlador) e o DPO (responsável pela ponte de comunicação entre o controlador, o titular a Autoridade Nacional de Dados). 

O Tratamento de dados segundo a Lei Geral de Proteção de dados, é a coleta e utilização de dados, que podem ocorrer de diversas formas diferentes, sempre com a autorização do titular, seguindo os princípios e direitos do titular conforme a legislação, o tratamento de dados possui um plano de utilização, um plano definido pelo controlador da empresa, finalizado as ações, pode ocorrer a exclusão e anonimização dos dados, mas vale destacar que existe cenários onde o controlador deve conservar os dados conforme legislações vigentes. 

5. Informações Complementares

Acompanhe nossa Página sobre LGPG. 

6. Referências

Lei Geral de Proteção de Dados - http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

CLT - http://www.planalto.gov.br/ccivil_03/decreto-lei/del5452.htm

Serpro - https://www.serpro.gov.br/

7. Histórico de alterações