1. Questão

Essa Orientação trata sobre os conceitos gerais sobre a Lei Geral de Proteção de Dados (LGPD) e sua aplicabilidade. 

2. Normas Apresentadas pelo Cliente

Legislação Analisada: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

3. Análise da Consultoria

A Lei Geral de Proteção de Dados Pessoais –LGPD, foi criada com 2018, com o objetivo de proteger os dados as pessoas físicas, através da regulamentação do manuseio e utilização, assim garantindo o direito do titular a liberdade e privacidade.

Embora a Lei de Proteção de Dados tenha sido publicada em 2018, no Brasil, aconteceu movimentações anos anteriores: 

• 2010: O Ministério da Justiça, iniciou em dezembro uma consulta sobre um projeto de lei com a intenção de proteger os dados pessoais das pessoas na Internet.

• 2012: publicado a Lei nº 4.060/2012, sobre o Tratamento de dados pessoais e outras providências. 

• 2013: publicado o Projeto de lei nº 330/2013 - Dispõe sobre a proteção, o tratamento e o uso dos dados pessoais, e dá outras providências.

• 2014: sancionada a Lei 12.965/2014 que fez um Marco Cível, visando regulamentar o uso da Internet no Brasil, com princípios, direitos e deveres das pessoas que usam a rede, porém ainda tinha lacunas referente a proteção de dados. 

• 2018: publicação da Medida Provisória nº 869/2018 que além da Criação da Autoridade Nacional  de Dados e alterando a lei do marco cível. 

Essa Lei deve ser aplicada a qualquer operação que envolva a utilização e tratamento de Dados de pessoas físicas. 

3.1 Órgão Regulamentador – ANDP

A Autoridade Nacional de Proteção de Dados (ANPD)é um órgão vinculado à Presidência da República, dotada de autonomia técnica e decisória, com jurisdição no território nacional e com sede e foro no Distrito Federal no campo sobre Proteção de Dados,

A missão da ANPD é “Zelar pela proteção dos dados pessoais”, e sua visão é “Tornar-se órgão de referência nacional e internacional com relação à Proteção de Dados Pessoais”. A atuação da ANPD baseia-se nos seguintes valores: Ética, Transparência, Integridade, Imparcialidade, Eficácia e Responsabilidade.

3.2 SubtíPrincípios da LGPD 

Para facilitar o reconhecimento de boas condutas e também das práticas inadequadas no dia a dia dos negócios, é importante o conhecimento quanto aos 10 princípios que norteiam a LGPD e que devem ser respeitados:

• Finalidade: Não será mais possível tratar dados pessoais com finalidades genéricas ou indeterminadas. O tratamento de cada informação pessoal deve ser feito com fins específicos, legítimos, explícitos e informados. As empresas devem explicar para que usarão cada um dos dados pessoais. Não sendo autorizada utilizar esses mesmo dado para outra finalidade.

• Adequação: Os dados pessoais tratados devem ser compatíveis com a finalidade informada pela empresa. Ou seja, sua justificativa deve fazer sentido com o caráter da informação que você pede.

• Necessidade: As empresas devem utilizar apenas os dados estritamente necessários para alcançar as suas finalidades. Quando mais dados você tratar, maior será sua responsabilidade, inclusive em casos de vazamento e incidentes de segurança.

• Livre acesso: A pessoa física titular dos dados tem o direito de consultar, de forma simples e gratuita, todos os dados que a empresa detenha a seu respeito.

• Qualidade dos dados: Deve ser garantido aos titulares que as informações que a empresa tenha sobre eles sejam verdadeiras e atualizadas. è necessário ter atenção, clareza e relevância dos dados, de acordo com a necessidade e com a finalidade de seu tratamento.

• Transparência:  As informações passadas pela empresa, em todos os seus meios de comunicação, devem ser claras, precisas e verdadeiras. Se for repassado dados pessoais a terceiro, inclusive para operadores que sejam essenciais para a execução do serviço, o titular precisa saber.

• Segurança: É responsabilidade das empresas buscar procedimentos, meios e tecnologias que garantam a proteção dos dados pessoais de acessos por terceiros , ainda que não sejam autorizados, como nos casos de invasões por hackers.

• Prevenção: Que as empresas adotem medidas prévias para evitar a ocorrência de danos em virtude do tratamento de dados pessoais.

• Não Discriminação: Os dados pessoais não poderão ser usados para discriminar ou promover abusos contra os seus titulares. A LGPDP criou regras específicas para o tratamento de dados que são frequentemente utilizados para discriminação, os chamados pessoais sensíveis.

• Responsabilização e prestação de contas:  As empresas devem ter provas e evidências de todas as medidas adotadas, para demonstrarem a sua boa-fé e a sua diligência.

3.3 Direito do Titular

Conforme a Lei Geral de Proteção de Dados, a pessoa física titular dos dados possui direitos sobre seus dados disponíveis ao controlador, direitos esses que devem ser feitos de forma expressa e devem ser atendidos de forma imediata, é garantido por lei:

• A confirmação de existência de tratamento: O artigo 19, regulamenta a confirmação da existência e a entrega dos dados do titular, podemos ser em duas hipóteses: A entrega imediata dos dados, em formato simplificado; ou a entrega em formato completo que deverá conter a origem dos dados; a inexistência de registro, os critérios utilizados e a finalidade do tratamento,

• O acesso aos dados: A pessoa tem o direito de confirmação da existência de tratamento e, por consequência, acessar todos os seus dados pessoais que estão sendo coletados e tratados pelo controlador.

• Anonimização: É uma técnica de processamento de dados que remove ou modifica informações que possam identificar uma pessoa. No tocante á anonimização , a LGPD define como a “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento por meio de quais um dado perde possibilidade de associação, direta ou indireta, a um indivíduo”. O termo “anonimização de dados” é utilizado para descrever o processo para eliminar qualquer tipo de conexão das informações armazenadas que possam ser utilizadas para identificar o titular destas informações. Será imprescindível se valer de meios técnicos e políticas de privacidade tanto no momento de coleta desses dados, como no seu processamento.

• Pseudonimização: Substitui o material pessoalmente identificável por identificadores artificiais (Codificando com mensagens para que apenas as pessoas autorizadas possam ler).

• Bloqueio ou eliminação de dados necessários, excessivos ou tratados em desconformidade com a Lei: Os Titulares possuem o direito de pedir o cancelamento ou exclusão de dados desnecessários, excessivos ou tratados em desconformidades com a LGPD.

• Retificação dos dados: O Titular tem o direito de corrigir dados incompletos, inexatos ou desatualizados.

• A informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados: O Titular tem o direito de receber informações sobre as entidades públicas e privadas com os quais o controlador realizou uso compartilhado de seus dados.

• A revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetam seus interesses: O Titular tem o direito de se opor a quaisquer tratamento e informações  que não estejam em conformidade com a lei, assim as decisões automatizadas que afetam seus interesses, como decisões destinadas a definir seu perfil pessoal, profissional, de consumo e de crédito ou aspectos de sua personalidade.

• Portabilidade dos Dados: O cliente tem o direito de realizar a Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, conforme a regulamentação da Autoridade Nacional, observados os segredos comercial e industrial.

3.4 Agentes de Tratamento de Dados 

Com a criação da Lei Geral de Proteção de Dados, foi apresentado alguns perfis técnicos para o tratamento de dados:

• Controlador

O controlador segundo a LGPD é “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. Ou seja, o controlador é a organização ou a pessoa responsável pela aplicabilidade da LGPD sobre os dados pessoais e sensíveis dos titulares.

• Operador

O operador é a “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”, Ou seja, o operador é o responsável por seguir as orientações do Controlador no tratamento dos dados, segundo a LGPD. 

• Encarregado (DPO)

Conforme a Lei geral de Proteção de Dados, o encarregado, tambem conhecido como Data Protection Officer é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). 

Ele atua como um fiscal da aplicabilidade das normasl da LGPD dentro da organização com independência para melhor orientar a aderencia a legislação, além disso, tambem é responsável por intermediar a comunicação e ações em relação a organização, titular dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). 

3.5 Dados Pessoais e Dados Pessoais Sensíveis 

Toda pessoa física ou jurídica é única e possui características individuais. Para identificá-la, são utilizadas um conjunto de informações (Dados) - que revelam suas características físicas, costumes, gostos, preferências, rotina, grupos e outras diversas informações. 

A Lei Geral de Proteção de Dados, responsável por estabelecer critérios de proteção aos dados da pessoa física, separou essas informações em: 

• Dados Pessoais: aqueles que se referem a informações do seu titular como RG, data de nascimento, local de nascimento, telefone, endereço residencial, endereço de IP (Protocolo de Internet), etc.

• Dados Sensíveis: aqueles que  revelam informações sobre crenças, origens, quadro de saúde, visão política, entre outras e ainda exibem informações que não pertencem somente ao titular, mas dos seus grupos de pertencimentos. Se esses dados de alguma forma forem vazados, podem causar discriminação a uma pessoa, devido a isso, tem uma maior proteção.

Além disso, existem documentos que podem conter dados pessoais e dados sensíveis, como, por exemplo, o prontuário médico que possui a identificação do paciente com nome e RG e também as informações de saúde, doenças e quadro clínico. 

3.6 Tratamento

Tratamento de Dados é totda operação/manipuação/utilização dos dados de uma pessoa física natural (titular do dado), em qualquer meio, seja ele digital ou não, conforme Art. 5 da Lei Geral de Proteção de Dados. 

Lei 13.709/2018

(...)

Art. 5º Para os fins desta Lei, considera-se:

IX - agentes de tratamento: o controlador e o operador;

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

(...)

É extremamente importante que o titular do dados seja questionado quanto a sua autorização na manipulação do seus dados, é necessário que o mesmo forneça consentimento expresso, outro caso onde o tratamento é autorizado é em situações onde é necessário o cumprimento de obrigação legal ou regulatória pelo controlador. 

Além disso a LGPD é expressa sobre o titular do dado tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso a finalidade específica do tratamento, forma e duração do tratamento, observados os segredos comercial e industrial, identificação do controlador, informações de contato do controlador, informações acerca do uso compartilhado de dados pelo controlador e a finalidade, responsabilidades dos agentes que realizarão o tratamento. 

• Termino do Tratamento de Dados 

O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

•  Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
•  Ffim do período de tratamento;
• Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou
•  Determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.

Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

•  Cumprimento de obrigação legal ou regulatória pelo controlador;
• Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
• Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

3.7 Anonimização de Dados

Para a LGPD, um dado anonimizado é um dado pessoal ou um dado sensível que foi tratado para que as informações não possam ser vinculadas ao titular original. Aquele que originalmente, era relativo a uma pessoa, mas que passou por um processo de desvinculação.

Caso o dado seja anonimizado, então a LGPD não se aplicará a ele. Mas vale ressaltar que um dado só será considerado efetivamente anonimizado se não permitir que, por meios técnicos e outros, se reconstrua o caminho para descobrir quem era a pessoa titular do dado.

Se caso ocorrer a identificação, então ele não é um dado anonimizado e sim, apenas, um dado pseudonimizado e estará então, sujeito à LGPD.

Podemos definir que a anonimização é um processo de tratamento que garanti que os dados de titulares estejam anônimos, e que as exigências da lei não se aplicarão mais a eles.

O processo de anonimização irá permitir que as empresas possam compartilhar banco de dados que sejam devidamente anonimizados, desde que o processo de anonimização seja totalmente seguro e não reversível.

Entendemos que caberá cada um definir o seu processo de anonimização, até a entrada da ANPD (Agência Nacional de Proteção de Dados), que poderá dispor sobre padrões e técnicas para o processo de anonimização. Porque até o momento a Lei não define qual dado deverá passar pelo processo, não possuindo uma padronização sobre os dados anonimizados

Lei Legal de Proteção de Dados - 13.709/2018

(...)

Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

(...)

Vale frisar ressaltar que um dado só é considerado efetivamente anonimizado se não permitir que, via meios técnicos e outros, se reconstrua o caminho para "descobrir" quem era a pessoa titular do dado - se de alguma forma a identificação ocorrer, então ele não é, de fato, um dado anonimizado e sim, apenas, um dado pseudonimizado e estará, então, sujeito à LGPD.

3.8