A Lei Geral de Proteção de Dados (LGPD), tem como objeto o tratamento de dados pessoais, em meios físicos ou digitais, por pessoa natural ou jurídica, de direito público ou privado, tendo como finalidade a proteção dos direitos fundamentais de liberdade e de privacidade.
Essa proteção alcança apenas os dados de pessoas naturais, ou seja, a LGPD não almeja guardar ou defender dados de pessoas jurídicas, como empresas. Isso porque a privacidade é um direito próprio dos indivíduos, não de entidades.
A LGPD é muito importante no âmbito interno, pois faz com que aqueles que tratam dados pessoais sejam obrigados a cumprir com certos deveres, sendo vedada a utilização abusiva dos dados dos cidadãos – como a venda, a utilização para fins diversos, entre outros. Por meio da LGPD, os indivíduos também terão mais acesso a informações e controle sobre o que é feito com os seus dados.
Também é muito relevante no âmbito internacional, pois é desejável que os dados pessoais sejam protegidos e tratados adequadamente no território brasileiro, para viabilizar o estabelecimento de relações diversas – por exemplo, comerciais – com países estrangeiros e com organismos internacionais, como a Organização para a Cooperação e Desenvolvimento Econômico (OCDE).
A LGPD não é aplicada ao tratamento de dados pessoais:
• realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
• realizado para fins exclusivamente jornalístico, artísticos ou acadêmicos;
• realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;
• provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
Dados pessoais são qualquer informação relacionada a pessoa natural identificada ou identificável. Exemplos de dados pessoais são: nome, CPF, telefone, endereço, escolaridade, endereço, entre outros.
Para compreender a diferença entre “identificada” e “identificável”, é preciso entender que nem sempre um dado, sozinho, pode identificar o seu titular. Contudo, quando combinado com outros dados, pode gerar uma informação que identifica o titular de dados.
Por exemplo, não é tão fácil identificar uma pessoa sabendo apenas qual é a sua idade. Todavia, se se tem conhecimento também de seu CPF, seu telefone, seu endereço, sua escolaridade e outros, talvez seja mais fácil descobrir a quem esses dados dizem respeito, mesmo sem saber, num primeiro momento, o seu nome.
Os dados pessoais também podem se tornar dado pessoal sensível, quando analisados sob a ótica do contexto e da consequência. Um nome como Hussain Al-Baghdadi indica a origem étnica do indivíduo “árabe”, o que em determinados contextos pode criar uma situação de constrangimento ou descriminação.
Por sua vez, dados pessoais sensíveis são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Esses dados devem ser ainda mais protegidos, pela lei e por aqueles que os tratam, pois, se mal utilizados, podem violar direitos personalíssimos e até mesmo gerar situações de constrangimento, ameaça ou discriminação.
O art. 5° da LGPD determina que o tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. O tratamento de dados pessoais pode se dar tanto de forma física ou digital, verbal ou visual.
Toda vez que os dados pessoais de alguém são pedidos para a realização de cadastro numa loja, numa escola, num serviço de saúde, entre outros, está ocorrendo o tratamento de dados pessoais. Não importa se os dados em questão não são sensíveis ou se, numa primeira vista, a situação parece ser inofensiva. O tratamento de dados pessoais deve respeitas os princípios e os direitos estabelecidos pela LGPD.
O tratamento de dados pessoais de crianças e adolescentes poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), mas sempre observando o seu melhor interesse.
O controlador de dados é o responsável por decidir a respeito do tratamento de dados. Pode ser uma pessoa natural ou jurídica, de direito público ou privado.
O operador, por sua vez, é aquele que realiza o tratamento de dados em nome do controlador. Também pode ser uma pessoa natural ou jurídica, de direito público ou privado.
O encarregado de dados é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado de dados pode responder por um grupo de empresas, desde que tenha capacidade para isso. O encarregado dever ter conhecimentos multidisciplinares, inerentes à função, como conhecimento jurídico, tecnológico e práticos no que se refere à proteção de dados.
A LGPD determina que as atividades de tratamento de dados pessoais devem observar, além da boa-fé, os seguintes princípios:
Os art. 18 e 20 da LGPD determinam que os titulares têm direito a:
A LGPD descreve no art. 7º, dez bases legais para o tratamento de dados pessoais. As bases legais são hipóteses que autorizam os controladores de dados a utilizar os dados pessoais dos titulares de dados, considerando os princípios da legislação e as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. As bases legais são: consentimento; cumprimento de obrigação legal ou regulatória pelo controlador; quando necessário para a execução de contratos ou procedimentos preliminares relacionados a contratos do qual seja parte o titular, a pedido do titular; para o exercício regular de direitos em processo judicial, administrativo ou arbitral; para a proteção da vida ou da incolumidade física do titular; para a tutela da saúde; para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de dados pessoais; e para a proteção do crédito.
A ANPD é o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil.
Em agosto de 221, entraram em vigor as sanções administrativas previstas pelo art. 52 da LGPD, que devem ser aplicadas pela ANPD. As sanções são as seguintes:
Nesses casos, os titulares devem, primeiramente, entrar em contato com o controlador de dados e apresentar suas solicitações formalmente. Caso não sejam atendidas, devem entrar em contato com a ANPD, identificando a si mesmos, ao seu representante (se for o caso) e o agente de tratamento. Isso deve ser feito por meio do sistema de Peticionamento Eletrônico do Sistema, utilizando o Protocolo Central – Documentos para outras Unidades e Órgãos da Presidência da República.
A capacidade civil significa que uma pessoa tem aptidão para exercer direitos. A capacidade é a regra à qual algumas exceções: são absolutamente incapazes de exercer pessoalmente os atos da vida civil os menores de 16 (dezesseis) anos. Por sua vez, são relativamente incapazes os maiores de dezesseis e menores de dezoito anos; os ébrios habituais e os viciados em tóxico; e, aqueles que, por causa transitória ou permanente, não puderem exprimir sua vontade.
Nos casos em que um titular não tenha capacidade civil para exercer seus direitos, deve ser assistido por seus pais, tutores ou curadores.
A legitimidade é a capacidade de uma pessoa de adquirir e buscar a concretização de um determinado direito, sendo seu titular ativo ou seu representante legal de outra pessoa. Um aluno de 12 anos, por exemplo, deve ser representado por seu responsável, tutor ou curador, para ter acesso ao tratamento de seus dados pela escola. Caso um tio ou outro parente requisite o acesso em nome do aluno, não será possível, por não haver legitimidade para representá-lo.
Autenticidade se refere à veracidade da alegação de origem ou a autoria das informações. Se uma pessoa solicita acesso aos dados de um aluno a uma escola alegando ser seu representante legal, deve comprovar que de fato possui esse status. A comprovação da autenticidade pode ser feita por meio de uma foto do solicitante com o seu documento de identificação pessoal ao lado do rosto, por exemplo. Desse modo, a autenticidade deve ser comprovada para que se dê o exercício dos direitos dos titulares, seja pela requisição pessoal ou por seu representante legal.
É um procedimento para verificar/validar se o titular de dados realmente é quem alega ser. Este procedimento busca garantir, no caso de exercício dos direitos do titular, que as respostas serão encaminhadas a pessoa correta.
O canal para entrar em contato com o encarregado de Dados está disponível no endereço eletrônico https://everestdf.com.br/portal-de-privacidade/. Acessível ao titular de dados e qualquer entidade interessada.
relacionamento@everestdf.com.br