• Lei Nº 13709/18

• Definições e Termos Utilizados na Lei

• Funcionamento Básico

• Quando se Aplica à Lei

• Quando NÃO se Aplica à Lei

• Princípios da Lei

• Tratamento de Dados

• Termino do Tratamento de Dados

• Tratamento de Dados por órgãos públicos

• Transferência internacional de dados

• DPO

• ANPD

• Sanções Administrativas

Índice da página - click no link para ir direto ao assunto

Lei nº 13709/18 - LGPD

• LGPD - Lei Geral de Proteção de Dados

• É a Lei brasileira baseada na lei europeia (GDPR) e adaptada para o Brasil.

• Composta por 10 capítulos, 65 artigos e resoluções adicionais e complementares.

• Atua em conjunto com outras leis brasileiras

• Lei importante e necessária para a relação comercial entre países, principalmente a Europa.

Definições e Termos utilizados na lei

A Lei utiliza alguns termos técnicos. É importante entender estes termos para compreender a lei e suas regras.

Dado pessoal: São as informações relacionadas a uma pessoa. ex: Nome, endereço, CPF.

Dado pessoal sensível: Dado pessoal que necessita de maior atenção, pode gerar algum tipo de preconceito e/ou discriminação como: cor, raça, religião, saúde, biométricos e outros.

Titular: Pessoa (Física - CPF) a quem pertencem os dados pessoais.

Tratamento de Dados: é tudo o que pode ser feito com os dados do titular, exemplo: coleta, uso, armazenamento, compartilhamento, alteração, exclusão e muitos outros.

Controlador: É a pessoa jurídica (Empresa - CNPJ), (órgão público ou empresa privada) – Quem toma as decisões referentes ao tratamento de dados pessoais;

Operador: (Empresa) igual ao controlador, só que executa as tarefas de tratamento de dados conforme regras estabelecidas pelo controlador, presta serviços para o controlador.

Agentes de Tratamento: São os controladores e os operadores;

Consentimento: termo onde o titular concorda com o tratamento de seus dados. Existem regras a serem seguidas.

ANPD: Autoridade Nacional de Proteção de Dados, é o órgão que cuida da LGPD no Brasil.

DPO: Data Protection Officer ou no Brasil chamado de encarregado de proteção de Dados.

RIPD: Relatório de Impacto sobre o tratamento de dados da empresa.

Funcionamento Básico da Lei

Quando Se Aplica a lei

• Art. 1. – A todas as pessoas vivas (CPF)

• Art. 1. - A Todas as empresas (CNPJ) Pública e Privada, independente de tamanho ou ramo de atividade.

• Em todos os meios: Papel, Digital e/ou outros.

• Tratamento de dados é realizado no Brasil, ou a pessoa esteja no Brasil.

• Outras regras e exceções.

Quando Não se aplica a lei

• Na relação entre Pessoas (CPF) para fins particulares e não comerciais.

• Fins exclusivamente jornalísticos, artísticos e/ou acadêmicos.

• Realizado para segurança pública, defesa nacional, investigação e outros;

• algumas outras situações mais específicas;

A lei não se aplica para as situações acima, para todos os demais processos da empresa a lei é aplicada e a empresa precisa se adequar.

Princípios da Lei

O Art. 6, determina os 10 princípios da lei.

As empresas precisam cumprir com todos para poder estar adequada.

• Finalidade

• Adequação

• Necessidade

• Livre Acesso

• Qualidade

• Transparência;

• Segurança

• Prevenção

• Não Discriminação

• Responsabilização

Tratamento dos Dados Pessoais

O Capítulo II Art. 7º ao 14º estipula as regras para o tratamento de dados pessoais.

Existem regras específicas para cada tipo de tratamento de dados pessoais: normais, sensíveis, crianças e adolescentes e pelo poder público.

A lei possuí 10 Hipóteses que podem ser usadas para o tratamento de dados pelas empresas

Exemplos de algumas hipóteses:

• consentimento

• obrigação legal

• execução de contrato

• tutela da saúde

• legítimo interesse

• e outras.

As hipóteses devem ser usadas conforme suas regras, e o uso incorreto leva a empresa a não adequação e as sanções e multas.

Término do Tratamento de Dados

Art. 15 e 16, definem as regras para o término do tratamento de dados pelas empresas.

Estas regras se relacionam com outros artigos da lei e com outras leis de seu ramo de atividade, tornando-se um processo complexo o qual as empresas devem tomar muito cuidado.

Então é muito importante tanto o titular como as empresas conhecerem as regras.

Tratamento dos dados pelos órgãos públicos

A lei LGPD é aplica a todos os órgãos públicos.

Além de cumprir com todas as regras da lei como uma empresa privada, tem o capítulo IV  art. 23º até 32º só com regras específicas para órgãos públicos.

Além de todas estás regras, precisa entender o relacionamento com todos as leis e regulamentos relacionado ao seu tipo de órgão público.

Transferência Internacional de Dados

O capítulo V, Art. 33º ao 36º tratam de regras para efetuar as transferências internacionais de dados.

Ex: Multinacionais com filial no Brasil, precisam seguir as regras para tratar dados fora do Brasil.

Existem regras que são permitidos esta transferência e/ou compartilhamentos de dados entre países como: no caso de cooperação judicial, proteção da vida e outros.

O titular tem o direito de saber se seus dados estão sendo tratados fora do Brasil.

DPO (Encarregado de Proteção de Dados)

DPO significa Data Protection Officer (Oficial de Proteção de Dados), termo usado na lei GDPR.

No Brasil foi traduzido para Encarregado de Proteção de dados, mas o termo DPO é o mais usado.

A LGPD no Art. 41 determina algumas regras a respeito do DPO.

• Controlador e Operador precisam indicar e nomear um DPO, salvo poucas exceções.

• O DPO pode ser um funcionário ou um terceiro prestador de serviço (DPO as a service).

• O DPO possuí diversas atribuições e funções.

  O DPO não precisa ser um advogado, isso não está na lei.

  O DPO precisa ser uma pessoa com múltiplos conhecimentos: lei LGPD, outras leis, negócios, processos, projetos, comunicação, TI e Segurança da Informação.

  Cuidado:

  1) Com a não indicação de um DPO (salvo poucas exceções) = sanção e multa. (uma microempresa já foi multada por isso).

  2) Com o DPO que você escolhe e nomeia para fazer o processo de adequação, existem muitas empresas "adequadas" de forma errada, e estas podem sofrer sanções pesadas por conta disso.

ANPD

A ANPD é a Autoridade Nacional de Proteção de Dados no Brasil.

A sua composição e suas atribuições estão definidas no capítulo IX Art. 55 da Lei.

Entre suas diversas atribuições, podemos citar:

• Controle da Lei LGPD

• Definição de resoluções complementares a LGPD conforme artigos.

• Definir padrões mínimos para atuação e adequação das empresas

• Receber denuncias dos titulares contra as empresas

• Comunicar com o DPO da empresa para passar solicitações e outras

• Divulgar a Lei LGPD para todos

• Fiscalizar ou mandar fiscalizar as empresas no cumprimento da lei

• Aplicar multas e sanções as empresas

• entre outras.

Sanções Administrativas

As Sanções Administrativas estão definidas no capítulo VIII Art. 52º ao 54º e podem ser aplicadas pela ANPD.

As Sanções serão avaliadas de acordo com a resolução de Dosimetria, podendo ser mais leves ou mais pesadas de acordo com a adequação correta ou a falta de adequação da empresa.

Algumas Sanções Previstas:

• Advertência;

• Multa simples de 2% do faturamento até 50 milhões por infração cometida;

• Multa diária;

• Bloqueio dos dados;

• Bloqueio das operações da empresa;

• Publicar os fatos para conhecimento de todos;

• Outras;

  As empresas têm direito a ampla defesa, para isso tem um prazo bem curto, em geral 15 dias, para apresentar documentações necessárias e provas.

  Além das sanções da ANPD, a empresa ainda pode sofrer ações em outras esferas judiciais, cível e criminal, assim como indenizações aos titulares.

  Então muito cuidado na hora de fazer a adequação, de escolher seu DPO, ou prestador de serviços, a existência da sua empresa pode depender disso.