INTEGRAÇÃO PERTENCIMENTO SIMPLICIDADE PROPÓSITO Comissão Especial da Lei Geral Proteção Dados (LGPD)
GLOSSÁRIO Para efeitos ste FAQ consira-se: LGPD Lei Geral Proteção Dados TRATAMENTO DE DADOS O tratamento abrange ANPD Autorida Nacional Proteção Dados um amplo conjunto operações efetuadas sobre TITULAR pessoa física, a quem se referem os pessoais. automatizados. Inclui a obtenção, o registo, a CONTROLADOR pessoa Jurídica ou Física que organização, a estruturação, a conservação, a coleta pessoais e toma todas as cisões em adaptação ou alteração, a recuperação, a consulta, relação a forma e finalida do tratamento dos a utilização, a divulgação por transmissão, difusão. ou qualquer outra forma disponibilização, a OPERADOR/PROCESSADOR pessoa Jurídica ou comparação ou interconexão, a limitação, o Física que realiza o tratamento pessoais bloqueio ou a struição pessoais. sob as orns do Controlador. ANONIMIZAÇÃO utilização técnicas ENCARREGADO (DPO) pessoa Física indicada pelo conversão pessoais em anônimos, Controlador para ser a ponte entre o Controlador, os ou que assegurem, forma robusta, que os Titulares e a ANPD (ou órgão que o substituir), bem não permitam a intificação da pessoa do titular. como orientar os funcionários do Controlador sobre Também é finida como o processo pelo qual a práticas tratamento, entre outras. informação pessoal intificável é irreversivelmente INCIDENTE DE SEGURANÇA É a ocorrência alterada, tal forma que a informação pessoal intificada um sistema, serviço ou re, que intificável indica uma possível violação da política intificada direta ou indiretamente. Segurança da Informação ou falha controles, ou uma situação previamente sconhecida, que possa ser relevante para a Segurança da Informação. pessoais, por principal meios não manuais po mais ou ser
01 A nova Lei Geral Proteção Dados Pessoais - LGPD se aplica a quem? A Lei Geral Proteção Dados (LGPD) se aplica coletados, inpenntemente do meio (físico ou a pessoas físicas e jurídicas direito público e digital), do país sua se ou do país on privado, que realizam o tratamento, bem estejam localizados os. como às pessoas físicas que tem seus 02 O que são pessoais? Quaisquer informações que possam levar a São exemplos pessoais: nome, enreço, intificação uma pessoa natural, maneira e-mail, intida, CPF, localização direta ou indireta (intificada ou intificável), (função localização em telefones ou por referência a um nome, a um número GPS), enreço IP (protocolo internet); intificação ou a um ou mais elementos testemunhos conexão (cookies), etc. específicos da sua intida física, fisiológica, psíquica, econômica, cultural ou social. 03 O que são pessoais sensíveis? São pessoais sobre origem racial ou étnica, pom causar impacto para a vida pessoal e/ou convicção religiosa, opinião política, filiação a profissional, sindicato ou a organização caráter religioso, registrados por um hospital ou médico. como por exemplo os filosófico ou político, dado referente à saú, à vida ou orientação sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. São aqueles que, se expostos ou compartilhados, 04 O que são anônimos e anonimizados? Dados anônimos são os pessoais cujo Por não permitirem a intificação do seu Titular não po ser intificado. respectivo Titular, os anonimizados não Os anonimizados são aqueles intificados ficam sujeitos à aplicação da LGPD, exceto que, a partir da utilização meios técnicos pelos quando agentes tratamento, passam a ser anonimização anônimos, ou seja, não passíveis associação a submetidos. um indivíduo, direta ou indiretamente. houver ao reversão qual do tais processo foram 01
05 A LGPD aplica-se apenas ao tratamento pessoais coletados na Internet? Não. A LGPD é aplicável a qualquer operação pessoas localizadas no Brasil, inpenntemente tratamento pessoais que tenham sido stes pessoais terem sido coletados coletados ntro do território brasileiro ou que offline ou online, em meios físicos ou digitais. tenha como objetivo oferecer bens ou serviços a 06 Sim. A lei fine A LGDP apresenta alguma finição para consentimento? consentimento como a manifestação livre, informada e inequívoca pela 07 qual o Titular concorda com o tratamento seus pessoais para uma finalida terminada. Em quais casos tratamento pessoais, a LGPD não será aplicada? São os casos em que o tratamento pública, fesa nacional, segurança do Estado e pessoais for feito: atividas investigação e repressão (I) por uma pessoa física, para fins particulares, e infrações penais. não comerciais, p.ex., coleta pessoais Pom não estar sujeitos a aplicação da LGPD os dos integrantes da família para a montagem provenientes e stinados a outros países, uma árvore genealógica; que apenas transitem pelo território nacional, sem (II) para fins exclusivamente jornalísticos, que aqui seja realizada qualquer operação artísticos e acadêmicos; tratamento e s que o país origem tenha (III) pelo Por Público - no caso segurança nível proteção similar ao previsto na LGPD. 08 Quais os principais atores no tratamento pessoais, acordo com a LGPD? Os principais atores são o Titular, o Controlador, o OPERADOR/PROCESSADOR: Pessoa Física ou operador e o encarregado. Jurídica que realiza o tratamento TITULAR: Pessoa Física, a quem se referem os pessoais sob as orns do Controlador. pessoais. ENCARREGADO (DPO): Pessoa Física indicada CONTROLADOR: Pessoa Física ou Jurídica que pelo Controlador para ser o canal comunicação toma todas as cisões em relação a forma e entre o Controlador, os Titulares e a ANPD (ou finalida do tratamento pessoais. órgão que a substituir). 02
09 O Titular tem direito solicitar anonimização? Sim. Constitui direito do Titular exigir a anonimização snecessária, excessiva ou em sconformida seus, quando coletados forma com a LGPD. 10 O Titular do dado pessoal po solicitar que os seus sejam apagados? Sim. A eliminação dos pessoais po ser O Controlador do dado pessoal verá acolher o solicitada mediante pedido, exceto quando a LGPD autorizar a sua requisição formal do Titular, mesmo com relação conservação, tais como para cumprimento aos que tenham sido tratados com obrigação legal ou regulatória pelo Controlador, consentimento prévio. estudo O Titular po ainda exigir a eliminação quando transferência a terceiros e uso exclusivo do houver Controlador, s que anonimizados. a qualquer coleta tempo, snecessários, por órgão pesquisa ou para excessivos ou que tenham sido tratados em sconformida com as diretrizes da LGPD. 11 O Titular po, sem motivação, se opor ao tratamento seus pela Administração Pública? Não. A oposição ao tratamento não Além disso a LGPD termina a continuação do porá ser imotivada, já que só porá ser tratamento quando necessária a proteção do exercida em caso scumprimento ao interesse público, mesmo após o recebimento terminado na LGPD. comunicação expressa do Titular. 12 É possível utilizar os pessoais armazenados antes da vigência da LGPD?? O recomendável é que seja implantado um tratamento somente porá ser efetuado se programa para proteção e coletadas houver novo consentimento ou se a finalida for autorizações/consentimentos específicos para compatível com o consentimento original; o uso stes anteriormente armazenados, c) havendo mudança finalida e esta não seja em conformida com a LGPD. compatível com o consentimento original, o o Controlador verá informar previamente o Titular consentimento, pom ocorrer as seguintes sobre as mudanças finalida, pondo o situações: Titular revogar o consentimento, caso discor a) os porão ser utilizados, s que das alterações previamente consentido o seu uso, e se Nos casos em que o tratamento utilizados para a mesma finalida para a qual pessoais for baseado no interesse legítimo, o foram coletados; Controlador ve adotar medidas para garantir a b) no caso alteração da finalida, o transparência tal tratamento. Nos casos em que seja requerido 03
13 Qual órgão será responsável pela aplicação e fiscalização do cumprimento da LGDP? A LGPD estabelece que a Autorida Nacional elaborar diretrizes para uma Política Nacional Proteção Dados ANPD, será responsável por Proteção Dados Pessoais e Privacida; zelar, implementar e fiscalizar o cumprimento da fiscalizar e aplicar sanções; promover entre a legislação proteção regulando a população o conhecimento das normas e das atuação empresas e do setor público. políticas públicas sobre proteção A Medida Provisória 869/18, publicada em 27 pessoais e as medidas segurança; e promover zembro 2018, cria a Autorida Nacional ações Proteção Dados, órgão vinculado a Presidência proteção pessoais outros países, da República que tem, entre outras atribuições, natureza internacional ou transacional. 14 cooperação com autoridas Quando o Controlador e/ou o operador pom fazer o tratamento dos pessoais? A LGPD estabelece um rol taxativo das hipóteses que Para a proteção da vida ou da incolumida física autorizam o tratamento pessoais, quais do Titular ou terceiro; sejam: Para o exercício regular direito em processo Mediante o consentimento do Titular; judicial, administrativo ou arbitral; Para o cumprimento obrigação legal ou Para atendimento interesses legítimos do regulatória pelo Controlador dos ; Controlador ou terceiro, exceto no caso Pela administração pública, para o tratamento e uso prevalecerem direitos e liberdas fundamentais do compartilhado necessários à execução Titular que exijam a proteção dos pessoais; políticas públicas previstas em leis e regulamentos; Para a tutela da saú, em procedimento realizado Para a realização estudos por órgão pesquisa, por profissionais da área da saú ou por entidas garantido, sempre que possível, que os sanitárias; pessoais permaneçam anônimos; Para a proteção do crédito, inclusive quanto ao Quando necessário para a execução contrato ou disposto na legislação pertinente. procedimentos contratuais preliminares; 15 O tratamento pessoais sensíveis po ser realizado em quais condições? Os pessoais sensíveis pom ser objeto b) tratamento quando o Titular ou seu representante necessários à execução políticas públicas legal autorizá-lo, mediante a formalização previstas em leis e regulamentos; consentimento para finalidas específicas. c) Realização estudos por órgão pesquisa, Caso não haja consentimento do Titular, o garantida, sempre que possível, que os tratamento pessoais permaneçam anônimos; dos pessoais sensíveis Tratamento compartilhado somente porá ocorrer quando for indispensável d) Exercício regular direitos; para: e) Proteção da vida ou da incolumida física do a) Cumprimento obrigação legal ou regulatória Titular ou terceiros; pelo controlador; f) Tutela da saú, em procedimento realizado 04
por profissionais da área da saú ou por entidas O tratamento pessoais crianças e sanitárias; e adolescentes g) Garantia da prevenção à frau e à segurança do consentimento específico e em staque dado Titular. A LGPD não permite o tratamento pessoais sensíveis para atenr ao interesse legítimo do Controlador ou terceiros ou mesmo para proteção do crédito, tal como ocorre com os pessoais ve ser realizado com o por pelo menos um dos pais ou pelo responsável legal. A única hipótese em que a LGPD permite a coleta pessoais sem o consentimento pais ou responsável legal é no caso da coleta necessár para realizar contato com os pais ou responsável legal. em geral, não qualificados como sensíveis. 16 É permitido pela LGPD, o uso compartilhado entre órgãos da Administração Pública? Sim. Entretanto, o uso compartilhado públicas e atribuição legal pelos órgãos e pelas pessoais pelo Por Público ve atenr as entidas finalidas especificas execução políticas informações ao INSS, e-social, fiscalizações, etc. 17 públicas, como por exemplo Existe disposição na LGPD sobre a transferência entre o Por Público e o setor privado? A LGPD veda a transferência entre o Por (I) em que os forem acessíveis publicamente; e Público e as empresas e instituições privadas, exceto (II) na execução scentralizada ativida nos seguintes casos: pública que exija essa transferência. 18 Em quais casos os pessoais porão ser transferidos para fora do Brasil? A transferência internacional pessoais (c) quando a autorida nacional autorizar a somente será permitida para os casos em que o país transferência; ou organismo internacional proporcionarem um grau (d) quando a transferência correr acordo proteção aquado ao previsto na LGPD, cooperação internacional; ou quando forem oferecidas pelo Controlador (e) quando for necessária para a execução garantias cumprimento dos princípios, dos política pública ou atribuição legal do serviço direitos e do regime da proteção da LGPD. público; A transferência também porá ocorrer em (f) outras hipóteses: consentimento específico e em staque para a (a) para fins cooperação jurídica internacional transferência internacional; entre órgãos públicos inteligência, investigação (g) quando servir para o cumprimento obrigação e persecução; legal ou regulatória pelo Controlador; (b) para os casos em que for necessária para (h) quando necessário para a execução contrato; proteger a vida ou a integrida física do Titular dos (i) quando servir para o exercício regular direitos pessoais ou terceiros; em processo judicial, administrativo ou arbitral. quando o Titular tiver fornecido seu 05
19 Como a LGDP protege as pessoas cisões automatizadas, baseadas exclusivamente em meios tecnológicos? O Titular tem direito a solicitar revisão cisões que solicitadas, informações claras e aquadas a tomadas unicamente com base em tratamento respeito dos critérios e dos procedimentos automatizado pessoais que afetem seus utilizados interesses, inclusive cisões stinadas a finir observados os segredos comercial e industrial. o seu perfil pessoal, profissional, consumo e A fesa dos interesses dos Titulares porá ser crédito ou os aspectos sua personalida. exercida em juízo, individual ou coletivamente. para a cisão automatizada, Além disso, o Controlador verá fornecer, sempre 20 Em caso vazamento, qual o procedimento previsto na LGPD? A LGPD termina que o Controlador verá a ocorrência algum incinte segurança, comunicar tanto ao Titular quanto a ANPD sobre que venha a resultar em um risco ao Titular. 21 Como o Titular ve procer ao intificar o vazamento seus? Essa questão ainda pen da regulamentação. Controlador O Titular porá entrar em contato com o formalmente as vidas correções e controles. 22 do dado vazado, solicitando Caso o tratamento pessoais não ocorra acordo com a LGPD, quem será responsabilizado? O Controlador ou o Operador responm por danos Controlador quando scumprir a LGPD ou correntes violação a LGPD. quando não tiver seguido as instruções dadas O Operador responrá conjuntamente com o previamente pelo Controlador. 23 Quais são as penalidas que pom ser aplicadas àqueles que violarem a LGDP? São as seguintes sanções administrativas, previstas V bloqueio dos pessoais a que se refere a na nova lei: infração até a sua regularização; I advertência, com a indicação prazo para adoção VI eliminação dos pessoais a que se refere a medidas corretivas; infração. II multa simples até 2% do faturamento da pessoa As sanções serão aplicadas forma gradativa, isolada jurídica direito privado, grupo ou conglomerado no ou cumulativa, acordo com as peculiaridas do Brasil, no último exercício, excluídos os tributos e caso concreto e consirando sua gravida e a limitada a R$ 50.000.000,00, por infração; natureza. Além das sanções administrativas, o infrator III multa diária, observado o limite total a que se porá responr judicialmente por repercussões refere o inciso anterior; correntes do scumprimento da LGPD, individual ou IV publicização da infração, após apuração e coletivamente. confirmação; 06
Créditos Dr. Adalberto Bueno; Dra. Ana Carolina Tavares Torres; Dra. Ana Luísa Azevedo; Dra. Eliana Herzog; Dra. Fernanda Girardi; Dra. Júlia Klarmann; Dra. Letícia Batistela; Dra. Natália Bertol; Dra. Roberta Feiten; Dra. Simone Rapone; Dra. Vera Rossana Martini Wanner.
INTEGRAÇÃO PERTENCIMENTO SIMPLICIDADE PROPÓSITO Largo Viscon do Cairu, 17-4º andar 90,030-110 - Centro Histórico - Porto Alegre/RS-Brasil Fone: 51 3026.4800 ramal 217 www.ferasul.com.br fabiana.marques@ferasul.com.br ou giorgiana.amaral@ferasul.com.br