Quais os pontos principais da lei geral de proteção de dados - LGPD?
A Lei Geral de Proteção de Dados (LGPD) é uma legislação brasileira que entrou em vigor em setembro de 2020 e tem como objetivo proteger os dados pessoais dos cidadãos. Os pontos principais da LGPD são:
Proteção dos dados pessoais: a LGPD estabelece regras para o tratamento de dados pessoais, garantindo a proteção da privacidade e da intimidade das pessoas.
Consentimento: a coleta e o tratamento de dados pessoais devem ser realizados apenas com o consentimento expresso e informado do titular dos dados.
Finalidade: a coleta e o tratamento de dados pessoais devem ter uma finalidade específica, clara e legítima.
Transparência: o titular dos dados deve ser informado sobre o tratamento de seus dados pessoais e ter acesso a informações claras e precisas sobre o uso desses dados.
Direitos dos titulares dos dados: a LGPD estabelece direitos aos titulares dos dados, como o acesso aos seus dados pessoais, a correção de informações incorretas, a exclusão de dados desnecessários e o direito de revogar o consentimento.
Segurança: é obrigação do responsável pelo tratamento dos dados adotar medidas de segurança técnicas e administrativas adequadas para proteger os dados pessoais dos titulares.
Responsabilidade: o responsável pelo tratamento dos dados pessoais é o principal responsável por garantir a proteção dos dados, mas outras partes envolvidas no processo, como os operadores de dados, também têm responsabilidades específicas.
Fiscalização e sanções: a LGPD prevê a criação de uma autoridade nacional de proteção de dados, responsável por fiscalizar o cumprimento da lei e aplicar sanções em caso de descumprimento.
Esses são alguns dos principais pontos da LGPD, que é uma legislação importante para garantir a privacidade e a proteção dos dados pessoais dos cidadãos brasileiros.
Quem é operador é controlador na LGPD?
Na Lei Geral de Proteção de Dados (LGPD), o controlador é a pessoa física ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais, ou seja, é a entidade responsável por tomar as decisões sobre como e por que os dados pessoais serão tratados.
O operador, por sua vez, é a pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, ou seja, é a entidade que executa as atividades de tratamento de dados pessoais conforme instruções do controlador.
Dessa forma, o controlador é responsável por determinar as finalidades, os meios e os limites do tratamento de dados pessoais, enquanto o operador é responsável por realizar o tratamento de dados pessoais em nome do controlador, seguindo as suas instruções. Ambos têm obrigações previstas na LGPD, e é importante que cada um conheça as suas responsabilidades para garantir a conformidade com a lei.
Quais são as funções do controlador?
Na Lei Geral de Proteção de Dados (LGPD), o controlador é a pessoa física ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais, ou seja, é a entidade responsável por tomar as decisões sobre como e por que os dados pessoais serão tratados. As principais funções do controlador são:
Definir a finalidade e a forma de tratamento dos dados pessoais: o controlador deve determinar a finalidade específica para a qual os dados pessoais serão tratados, além de definir a forma de tratamento adequada para atingir essa finalidade.
Coletar dados pessoais de forma adequada: o controlador deve obter o consentimento do titular dos dados de forma clara, específica e em conformidade com a LGPD, além de coletar apenas os dados necessários para a finalidade definida.
Garantir a precisão e atualização dos dados pessoais: o controlador deve assegurar que os dados pessoais coletados sejam precisos, completos e atualizados, tomando medidas para corrigir informações incorretas ou desatualizadas.
Garantir a segurança dos dados pessoais: o controlador deve adotar medidas de segurança técnica e administrativa adequadas para proteger os dados pessoais contra acesso não autorizado, uso indevido, perda ou destruição.
Assegurar a conformidade com a LGPD: o controlador deve garantir que as atividades de tratamento de dados pessoais estejam em conformidade com as disposições da LGPD, bem como com outras leis e regulamentos aplicáveis.
Garantir a proteção dos direitos dos titulares dos dados: o controlador deve garantir que os titulares dos dados tenham acesso aos seus dados pessoais, possam corrigir informações incorretas, solicitar a exclusão de dados desnecessários e exercer outros direitos previstos na LGPD.
Essas são algumas das principais funções do controlador de dados pessoais, que são importantes para garantir a proteção e privacidade dos dados pessoais dos titulares.
E as funções do operador?
Na Lei Geral de Proteção de Dados (LGPD), o operador é a pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, ou seja, é a entidade que executa as atividades de tratamento de dados pessoais conforme instruções do controlador. As principais funções do operador são:
Realizar o tratamento de dados pessoais de acordo com as instruções do controlador: o operador deve seguir as instruções do controlador no que se refere às finalidades, formas e limites do tratamento de dados pessoais.
Garantir a segurança dos dados pessoais: o operador deve adotar medidas técnicas e administrativas adequadas para garantir a segurança dos dados pessoais tratados, de modo a prevenir acessos não autorizados, perda ou destruição dos dados.
Garantir a conformidade com a LGPD: o operador deve garantir que as atividades de tratamento de dados pessoais estejam em conformidade com as disposições da LGPD, bem como com outras leis e regulamentos aplicáveis.
Assegurar a proteção dos direitos dos titulares dos dados: o operador deve colaborar com o controlador no que se refere à garantia dos direitos dos titulares dos dados, tais como o acesso aos seus dados pessoais, correção de informações incorretas, solicitação de exclusão de dados desnecessários, entre outros.
Auxiliar o controlador nas atividades de proteção de dados: o operador deve colaborar com o controlador no desenvolvimento e implementação de políticas e procedimentos de proteção de dados pessoais, incluindo a realização de avaliações de impacto à proteção de dados pessoais (AIPDs).
Essas são algumas das principais funções do operador de dados pessoais, que são importantes para garantir a proteção e privacidade dos dados pessoais dos titulares. É importante destacar que o operador só pode realizar o tratamento de dados pessoais em nome do controlador, e não pode tomar decisões próprias quanto à forma e finalidade do tratamento.
Como devem ser tratados os dados de crianças?
Os dados pessoais de crianças devem receber um tratamento especial de acordo com a Lei Geral de Proteção de Dados (LGPD). Isso ocorre porque as crianças são consideradas como um grupo vulnerável e merecem uma proteção mais rigorosa de seus dados pessoais.
A LGPD estabelece que o tratamento de dados pessoais de crianças deve ser realizado com o consentimento específico e em destaque dos pais ou responsáveis legais. Além disso, as informações devem ser apresentadas de maneira clara e acessível, em uma linguagem adequada ao público infantil.
A lei também determina que as empresas devem adotar medidas especiais para proteger a privacidade e os dados pessoais das crianças, como a limitação da coleta de dados ao mínimo necessário, a adoção de medidas de segurança adequadas para proteger os dados, a restrição de compartilhamento de informações com terceiros e a criação de mecanismos que permitam a exclusão dos dados pessoais das crianças caso seja solicitado pelos pais ou responsáveis.
É importante destacar que a LGPD considera crianças como pessoas com menos de 12 anos de idade. Portanto, as empresas devem estar atentas às regras específicas para o tratamento de dados pessoais de crianças e sempre buscar o consentimento dos pais ou responsáveis legais antes de coletar e tratar esses dados.
Quais são os casos nos quais os dados de crianças podem ser acessados, uma única vez, sem o consentimento dos pais ou responsáveis?
De acordo com a Lei Geral de Proteção de Dados (LGPD), o tratamento de dados pessoais de crianças deve ser realizado com o consentimento específico e em destaque dos pais ou responsáveis legais. No entanto, existem algumas exceções em que os dados de crianças podem ser acessados sem a necessidade de consentimento dos pais ou responsáveis, porém apenas uma única vez, em situações específicas e limitadas. São elas:
Para proteção da vida ou da integridade física da criança: em situações de emergência ou de risco iminente à vida ou à integridade física da criança, os dados pessoais podem ser acessados sem a necessidade de consentimento dos pais ou responsáveis, desde que essa informação seja estritamente necessária para proteger a vida ou a integridade da criança.
Para cumprir obrigação legal ou regulatória: em alguns casos, a legislação ou a regulamentação podem exigir o tratamento de dados pessoais de crianças sem a necessidade de consentimento dos pais ou responsáveis. Por exemplo, para o cumprimento de obrigações fiscais, trabalhistas ou previdenciárias.
Para estudo por órgão de pesquisa: os dados pessoais de crianças também podem ser utilizados para fins de pesquisa científica, em que a privacidade e a proteção dos dados são garantidas e os resultados da pesquisa não possam ser relacionados com a criança ou com sua família.
Para a proteção do crédito: em situações em que o tratamento dos dados pessoais é necessário para a proteção do crédito, como por exemplo, em análise de crédito para a concessão de empréstimos, os dados de crianças podem ser tratados sem o consentimento dos pais ou responsáveis, mas apenas uma única vez.
Importante lembrar que, mesmo nos casos em que os dados pessoais de crianças podem ser acessados sem o consentimento dos pais ou responsáveis, a privacidade e a proteção desses dados devem ser garantidas, e o acesso deve ser limitado apenas às informações estritamente necessárias para a finalidade específica do tratamento. Além disso, os dados pessoais das crianças devem ser tratados de forma a garantir sua segurança e integridade.
Segundo a LGPD, qual a diferença entre dados e dados sensíveis?
A Lei Geral de Proteção de Dados (LGPD) define dois tipos de dados: dados pessoais e dados sensíveis.
Dados pessoais são todas as informações relacionadas a uma pessoa natural identificada ou identificável. Ou seja, qualquer dado que possa identificar uma pessoa, direta ou indiretamente, como nome, CPF, endereço, e-mail, telefone, entre outros.
Já os dados sensíveis são informações sobre características pessoais e/ou hábitos de vida da pessoa, como origem racial ou étnica, convicções religiosas, opiniões políticas, orientação sexual, dados genéticos, entre outros. Esses dados são considerados mais sensíveis, pois podem gerar preconceito ou discriminação caso sejam usados de forma inadequada.
A LGPD prevê que o tratamento de dados pessoais sensíveis só é permitido em casos específicos, como quando o titular dos dados der o seu consentimento expresso e em destaque para a finalidade específica, ou quando o tratamento for necessário para o cumprimento de obrigação legal ou regulatória pelo controlador.
Por isso, é importante que as empresas estejam atentas ao tipo de dado que estão coletando e tratando, e adotem medidas de segurança adequadas para proteger esses dados, especialmente quando se trata de dados sensíveis.
Quais são os casos nos quais os dados pessoais podem ser usados sem o consentimento do titular?
De acordo com a Lei Geral de Proteção de Dados (LGPD), o tratamento de dados pessoais deve ser realizado com o consentimento do titular dos dados ou com base em outras hipóteses previstas na lei. No entanto, existem algumas situações em que os dados pessoais podem ser utilizados sem a necessidade de consentimento do titular, são elas:
Para o cumprimento de obrigação legal ou regulatória: em alguns casos, a legislação ou a regulamentação podem exigir o tratamento de dados pessoais sem a necessidade de consentimento do titular. Por exemplo, para cumprir obrigações fiscais, trabalhistas ou previdenciárias.
Para o cumprimento de contrato: o tratamento de dados pessoais é permitido quando necessário para o cumprimento de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular seja parte, como por exemplo, em um contrato de compra e venda.
Para a execução de políticas públicas: os dados pessoais podem ser tratados para a execução de políticas públicas previstas em leis e regulamentos, como programas de assistência social, saúde pública e educação.
Para a proteção da vida ou da incolumidade física do titular ou de terceiros: em situações de emergência ou de risco iminente à vida ou à integridade física do titular ou de terceiros, os dados pessoais podem ser tratados sem o consentimento do titular, desde que essa informação seja estritamente necessária para proteger a vida ou a integridade da pessoa.
Para a tutela da saúde: os dados pessoais podem ser tratados para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Para a realização de estudos por órgão de pesquisa: os dados pessoais podem ser utilizados para fins de pesquisa científica, em que a privacidade e a proteção dos dados são garantidas e os resultados da pesquisa não possam ser relacionados com o titular dos dados.
Para a defesa de direitos em processos judiciais ou administrativos: os dados pessoais podem ser tratados para a defesa de direitos em processo judicial, administrativo ou arbitral, inclusive no âmbito de processos trabalhistas.
É importante ressaltar que, mesmo nos casos em que os dados pessoais podem ser utilizados sem o consentimento do titular, a privacidade e a proteção desses dados devem ser garantidas, e o acesso deve ser limitado apenas às informações estritamente necessárias para a finalidade específica do tratamento.
A diferença entre dados anonimizados e pseudoanonimizados
Dados anonimizados são aqueles que não permitem a identificação do titular dos dados, direta ou indiretamente. Em outras palavras, os dados foram processados de tal forma que não é possível identificar a pessoa a quem pertencem, mesmo que sejam combinados com outras informações. É importante ressaltar que a anonimização deve ser feita de forma irreversível, ou seja, os dados não podem ser revertidos para sua forma original.
Já os dados pseudoanonimizados são aqueles que, mesmo que não permitam a identificação direta do titular, ainda podem ser relacionados a uma pessoa por meio de outras informações disponíveis. Ou seja, a pseudonimização é uma técnica de tratamento de dados que torna difícil, mas não impossível, a identificação do titular dos dados. Um exemplo comum é o uso de um identificador único (como um número ou código) para representar os dados pessoais do titular, que pode ser utilizado para associar informações adicionais a esses dados.
A LGPD define a pseudonimização como um dos meios de garantir a proteção dos dados pessoais, desde que seja feita com medidas de segurança adequadas para garantir a proteção dos dados e desde que não haja possibilidade de reversão para a forma original dos dados. No entanto, é importante destacar que a pseudonimização não garante o anonimato completo dos dados e, portanto, ainda são considerados dados pessoais sujeitos à proteção prevista na lei.
Quais são as multas aplicadas a quem desrespeita a LGPD?
A LGPD prevê diversas sanções administrativas que podem ser aplicadas às empresas ou organizações que desrespeitam suas disposições. As multas podem variar de acordo com a gravidade da infração e a capacidade econômica do infrator. As sanções administrativas previstas na LGPD são:
Advertência: é uma notificação por escrito, que serve como aviso para a empresa se adequar à lei.
Multa simples: é uma multa de até 2% do faturamento da empresa no seu último exercício fiscal, limitada a R$ 50 milhões por infração.
Multa diária: é uma multa diária, limitada a 2% do faturamento da empresa no seu último exercício fiscal, até que a infração seja regularizada.
Publicização da infração: é a publicização da infração, de forma ampla e gratuita, por meios eficazes para que a população tome conhecimento.
Bloqueio ou eliminação dos dados: pode ser determinado o bloqueio ou a eliminação dos dados pessoais que foram objeto da infração.
Suspensão parcial ou total do funcionamento do banco de dados ou da atividade de tratamento: em casos mais graves, pode ser determinada a suspensão total ou parcial da atividade de tratamento de dados da empresa.
Além disso, a LGPD prevê a possibilidade de as pessoas afetadas pelas infrações buscarem reparação judicial pelos danos causados. As multas e sanções previstas na LGPD são aplicáveis tanto a controladores quanto a operadores de dados, e podem ser aplicadas por autoridades como a ANPD (Autoridade Nacional de Proteção de Dados), o Ministério Público e outros órgãos reguladores.
Qual a composição da Autoridade Nacional de Proteção de Dados - ANPD?
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por zelar pela proteção de dados pessoais no Brasil e pela aplicação da Lei Geral de Proteção de Dados (LGPD). A ANPD foi criada pela Lei nº 13.709/2018 e sua composição é a seguinte:
Conselho Diretor: é o órgão máximo da ANPD, responsável por definir as diretrizes e estratégias da autoridade e por tomar decisões colegiadas. É composto por cinco membros, sendo um deles indicado para a presidência da ANPD.
Corregedoria: é responsável por fiscalizar e apurar possíveis desvios de conduta por parte dos servidores da ANPD.
Ouvidoria: é responsável por receber e encaminhar as demandas dos cidadãos referentes à proteção de dados pessoais.
Assessorias: são órgãos de assessoramento técnico e jurídico da ANPD, responsáveis por subsidiar o Conselho Diretor nas suas decisões.
Os membros do Conselho Diretor são nomeados pelo Presidente da República, após aprovação pelo Senado Federal. A ANPD tem sede em Brasília e pode contar com unidades regionais em outras partes do país.
Quantos membros compõe o conselho?
O Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) é composto por cinco membros, conforme previsto no artigo 55, inciso I, da Lei Geral de Proteção de Dados (LGPD). O presidente da ANPD é escolhido pelo Presidente da República entre os membros do Conselho Diretor e deve ser aprovado pelo Senado Federal. Os demais membros do Conselho Diretor são escolhidos pelo Presidente da República após aprovação pelo Senado Federal, com mandato de quatro anos, permitida a recondução por igual período.
Nenhum comentário:
Postar um comentário