Legislação - LGPD Flashcards by Vitor Krauss

De maneira geral, sobre o que discorre a Lei Geral de Proteção de Dados 13.709/2018?

A LGPD dispõe sobre o tratamento de dados pessoais de pessoas naturais, não incluindo pessoas jurídicas.

Tem o intuito de proteger os direitos fundamentais de liberdade, privacidade e livre formação da personalidade de cada indivíduo.

How well did you know this?

Not at all

Perfectly

Quais as condições para que
um conjunto de dados pessoais esteja sujeito à LGPD?

A regra geral é que qualquer coleta/tratamento/uso dos dados no/voltado ao/de território brasileiro está sujeito à LGPD.

Mais especificamente, as três regras são:

NO: operação de tratamento seja realizada no território nacional.
VOLTADO AO: a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional.
DE/NO: os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

How well did you know this?

Not at all

Perfectly

Para quais fins do uso de dados a LGPD não se aplica?

Fins jornalísticos.
Fins acadêmicos.
Segurança pública, defesa nacional, segurança do Estado e investigação e repressão penal.
Tratamento realizado por pessoa física com fins particulares e não econômicos.

How well did you know this?

Not at all

Perfectly

Em quais ocasiões dados de outros países estão sujeitos à LGPD?

De forma geral, dados de outros países estarão sujeitos à LGPD quando vierem a ser utilizados no Brasil.

Isso inclui:

dados compartilhados com agentes brasileiros.
dados de transferência internacional.

How well did you know this?

Not at all

Perfectly

Qual é uma ocasião prevista em que a LGPD não se aplica?

Dados que dizem respeito à segurança pública, defesa nacional, segurança do Estado e investigação e repressão penal.

Este caso se aplica exclusivamente a agentes públicos. Agentes privados não podem usar este pretexto, exceto sob tutela de agente público.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina dado pessoal.

Dado pessoal:

informação relacionada a pessoa natural identificada ou identificável.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina dado pessoal sensível.

Dado pessoal sensível:

dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina dado anonimizado.

Dado anonimizado:

dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina banco de dados.

Banco de dados:

conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina titular.

Titular:

pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina controlador.

Controlador:

pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina operador.

Operador:

pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina encarregado.

Encarregado:

pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina agente de tratamento.

Agentes de tratamento:

o controlador e o operador.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina tratamento.

Tratamento:

toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina anonimização.

Anonimização:

utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina consentimento.

Consentimento:

manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina bloqueio.

Bloqueio:

suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina eliminação.

Eliminação:

exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina uso compartilhado de dados.

Uso compartilhado de dados:

comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina relatório de impacto à proteção de dados pessoais.

Relatório de impacto à proteção de dados pessoais:

documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina finalidade.

Finalidade:

realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina adequação.

Adequação:

compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina necessidade.

Necessidade:

limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

How well did you know this?

Not at all

Perfectly

Segundo a LGPD, defina livre acesso.

Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Segundo a LGPD, defina qualidade dos dados.

Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

Segundo a LGPD, defina transparência.

Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

Segundo a LGPD, defina segurança.

Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Segundo a LGPD, defina prevenção.

Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Segundo a LGPD, defina não discriminação.

Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.

Segundo a LGPD, defina responsabilização e prestação de contas.

Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Quais são os requisitos estabelecidos pela LGPD para o tratamento de dados pessoais?

1. Mediante o fornecimento do titular. 2. Para tutela de saúde exclusivamente por profissionais de saúde. 3. Para proteção do crédito. 4. Regra geral: motivos que sejam de caráter legal ou judicial, interesse público, pesquisa. Isso inclui, mais especificamente: - para o cumprimento de obrigação legal ou regulatória pelo controlador. - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos. - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados. - para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

Quando é dispensado o consentimento do titular para o tratamento de dados pessoais?

Quando o titular manifestar os dados como públicos.

Como deve ser expresso o consentimento por parte do titular?

Deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais. Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.

O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.

Segundo a LGPD, quais os tipos de informação que devem ser disponibilizados de forma clara para o titular dos dados.

I - finalidade específica do tratamento; II - forma e duração do tratamento, observados os segredos comercial e industrial; III - identificação do controlador; IV - informações de contato do controlador; V - informações acerca do uso compartilhado de dados pelo controlador e a finalidade; VI - responsabilidades dos agentes que realizarão o tratamento; e VII - direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

Cite um caso no qual o consentimento requerido ao titular pode ser considerado nulo.

O consentimento assinado pelo titular deve referir-se às finalidades do uso dos dados. Descrições genéricas, enganosas ou abusivas ou que não tenham sido apresentadas previamente serão consideradas nulas.

Quando o titular pode revogar o consentimento?

A qualquer momento, por procedimento gratuito e facilitado. Quando há alguma alteração na finalidade, no controlador e etc, o titular deverá ser informado e poderá revogar o consentimento.

Quando pode ser feito o tratamento de dados pessoais sensíveis?

1. Quando o titular consentir, de forma específica e destacada. 2. Regra geral: motivos que sejam de caráter legal ou judicial, interesse público, pesquisa. Isso inclui, mais especificamente. 3. Prevenção à fraude, em processos de identificação e autenticação.

Quando que dados pessoais podem ser considerados como dados pessoais para os fins da LGPD?

Quando os dados são anonimizados.

Além dos dados pessoais usuais, quais outros dados podem ser considerados como dados pessoal pela LGPD?

Dados do perfil comportamental do titular.

Qual a diferença entre anonimização e pseudonimização?

Anonimização: elimina a possibilidade de associação, direta ou indireta, do dado a um indivíduo. Pseudonimização: o dado perde a possibilidade de ser associado, direta ou indiretamente, a um indivíduo, senão por informação adicional mantida separadamente.

No caso de crianças, por quem deve ser dado o consentimento?

Por pelo menos um dos pais ou responsáveis legais.

Em qual situação podem ser coletados dados pessoais de crianças sem consentimento?

Quando a coleta for necessária para contatar os pais ou responsáveis, sendo utilizados uma única vez e sem armazenamento.

Quando que ocorre o término do tratamento de dados?

I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; II - fim do período de tratamento; III - comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público; ou IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.

O titular dos dados tem direito de obter do controlador uma série de informações e exigir procedimentos. Quais são estes?

I - confirmação da existência de tratamento. II - acesso aos dados. III - correção de dados incompletos, inexatos ou desatualizados. IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei. V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa. V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa. VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

A quem o titular deve exigir seus direitos como informação, cancelamento, portabilidade etc?

Deve requisitar ao controlador e ao agente de tratamento.

Quando que o o tratamento de dados pessoais pode ser realizado por instituições públicas?

O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares. As empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público

O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas.

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.

Os controladores e operadores poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos.

Quais são as sanções administrativas aplicáveis pela autoridade nacional em caso de infração da LGPD?

I - advertência, com indicação de prazo para adoção de medidas corretivas; II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, limitada, no total, a R$ 50.000.000,00 por infração; III - multa diária, observado o limite total a que se refere o inciso II; IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência; V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI - eliminação dos dados pessoais a que se refere a infração; X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses; XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses; XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

O produto da arrecadação das multas aplicadas pela ANPD será destinado ao Fundo de Defesa de Direitos Difusos.

Quais são as competências da ANPD?

I - zelar pela proteção dos dados pessoais III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação V - apreciar petições de titular contra controlador VI - promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança VII - promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade XVI - realizar auditorias, ou determinar sua realização, no âmbito da atividade de fiscalização sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluído o poder público XXI - comunicar às autoridades competentes as infrações penais das quais tiver conhecimento

Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade I - propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD II - elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade III - sugerir ações a serem realizadas pela ANPD IV - elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade V - disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.

Quais são as entidades que estão subordinadas à Lei de Acesso à Informação?

- órgãos públicos integrantes do poderes executivo, legislativo, cortes de conta, judiciário e ministério público. - entidades privadas sem fins lucrativos que recebam recursos públicos

Quais são as entidades que estão subordinadas à Lei de Acesso à Informação?

- órgãos públicos integrantes do poderes executivo, legislativo, cortes de conta, judiciário e ministério público. - entidades privadas sem fins lucrativos que recebam recursos públicos

Lei de Acesso à Informação: A publicidade a que estão submetidas as entidades citadas no caput refere-se à parcela dos recursos públicos recebidos e à sua destinação, sem prejuízo das prestações de contas a que estejam legalmente obrigadas.

Lei de Acesso à Informação: observância da publicidade como preceito geral e do sigilo como exceção.

Quais são as diretrizes da Lei de Acesso à Informação?

I - observância da publicidade como preceito geral e do sigilo como exceção; II - divulgação de informações de interesse público, independentemente de solicitações; III - utilização de meios de comunicação viabilizados pela tecnologia da informação; IV - fomento ao desenvolvimento da cultura de transparência na administração pública; V - desenvolvimento do controle social da administração pública.

Lei de Acesso à Informação -- definição de informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;

Segundo a Lei de Acesso à Informação, define-se VI - disponibilidade: qualidade da informação que pode ser conhecida e utilizada por indivíduos, equipamentos ou sistemas autorizados; VII - autenticidade: qualidade da informação que tenha sido produzida, expedida, recebida ou modificada por determinado indivíduo, equipamento ou sistema; VIII - integridade: qualidade da informação não modificada, inclusive quanto à origem, trânsito e destino; IX - primariedade: qualidade da informação coletada na fonte, com o máximo de detalhamento possível, sem modificações.

Cabe aos órgãos e entidades do poder público, observadas as normas e procedimentos específicos aplicáveis, assegurar a: I - gestão transparente da informação, propiciando amplo acesso a ela e sua divulgação; II - proteção da informação, garantindo-se sua disponibilidade, autenticidade e integridade; e III - proteção da informação sigilosa e da informação pessoal, observada a sua disponibilidade, autenticidade, integridade e eventual restrição de acesso.

O acesso à informação de que trata esta Lei compreende, entre outros, os direitos de obter: I - orientação sobre os procedimentos para a consecução de acesso, bem como sobre o local onde poderá ser encontrada ou obtida a informação almejada; II - informação contida em registros ou documentos, produzidos ou acumulados por seus órgãos ou entidades, recolhidos ou não a arquivos públicos; III - informação produzida ou custodiada por pessoa física ou entidade privada decorrente de qualquer vínculo com seus órgãos ou entidades, mesmo que esse vínculo já tenha cessado; IV - informação primária, íntegra, autêntica e atualizada; V - informação sobre atividades exercidas pelos órgãos e entidades, inclusive as relativas à sua política, organização e serviços; VI - informação pertinente à administração do patrimônio público, utilização de recursos públicos, licitação, contratos administrativos; e VII - informação relativa: a) à implementação, acompanhamento e resultados dos programas, projetos e ações dos órgãos e entidades públicas, bem como metas e indicadores propostos; b) ao resultado de inspeções, auditorias, prestações e tomadas de contas realizadas pelos órgãos de controle interno e externo, incluindo prestações de contas relativas a exercícios anteriores.

É dever dos órgãos e entidades públicas promover, independentemente de requerimentos, a divulgação em local de fácil acesso, no âmbito de suas competências, de informações de interesse coletivo ou geral por eles produzidas ou custodiadas. § 1º Na divulgação das informações a que se refere o caput, deverão constar, no mínimo: I - registro das competências e estrutura organizacional, endereços e telefones das respectivas unidades e horários de atendimento ao público; II - registros de quaisquer repasses ou transferências de recursos financeiros; III - registros das despesas; IV - informações concernentes a procedimentos licitatórios, inclusive os respectivos editais e resultados, bem como a todos os contratos celebrados; V - dados gerais para o acompanhamento de programas, ações, projetos e obras de órgãos e entidades; e VI - respostas a perguntas mais frequentes da sociedade.

Os sítios de que trata o § 2º deverão, na forma de regulamento, atender, entre outros, aos seguintes requisitos: I - conter ferramenta de pesquisa de conteúdo que permita o acesso à informação de forma objetiva, transparente, clara e em linguagem de fácil compreensão;

Qualquer interessado poderá apresentar pedido de acesso a informações aos órgãos e entidades referidos no art. 1º desta Lei, por qualquer meio legítimo, devendo o pedido conter a identificação do requerente e a especificação da informação requerida.

Não sendo possível conceder o acesso imediato, na forma disposta no caput, o órgão ou entidade que receber o pedido deverá, em prazo não superior a 20 (vinte) dias: I - comunicar a data, local e modo para se realizar a consulta, efetuar a reprodução ou obter a certidão; II - indicar as razões de fato ou de direito da recusa, total ou parcial, do acesso pretendido; ou III - comunicar que não possui a informação, indicar, se for do seu conhecimento, o órgão ou a entidade que a detém, ou, ainda, remeter o requerimento a esse órgão ou entidade, cientificando o interessado da remessa de seu pedido de informação.

O disposto nesta Lei não exclui as demais hipóteses legais de sigilo e de segredo de justiça nem as hipóteses de segredo industrial decorrentes da exploração direta de atividade econômica pelo Estado ou por pessoa física ou entidade privada que tenha qualquer vínculo com o poder público.

São consideradas imprescindíveis à segurança da sociedade ou do Estado e, portanto, passíveis de classificação as informações cuja divulgação ou acesso irrestrito possam: I - pôr em risco a defesa e a soberania nacionais ou a integridade do território nacional; II - prejudicar ou pôr em risco a condução de negociações ou as relações internacionais do País, ou as que tenham sido fornecidas em caráter sigiloso por outros Estados e organismos internacionais; III - pôr em risco a vida, a segurança ou a saúde da população; IV - oferecer elevado risco à estabilidade financeira, econômica ou monetária do País; V - prejudicar ou causar risco a planos ou operações estratégicos das Forças Armadas; VI - prejudicar ou causar risco a projetos de pesquisa e desenvolvimento científico ou tecnológico, assim como a sistemas, bens, instalações ou áreas de interesse estratégico nacional; VII - pôr em risco a segurança de instituições ou de altas autoridades nacionais ou estrangeiras e seus familiares; ou VIII - comprometer atividades de inteligência, bem como de investigação ou fiscalização em andamento, relacionadas com a prevenção ou repressão de infrações.

O acesso, a divulgação e o tratamento de informação classificada como sigilosa ficarão restritos a pessoas que tenham necessidade de conhecê-la e que sejam devidamente credenciadas na forma do regulamento, sem prejuízo das atribuições dos agentes públicos autorizados por lei.

As informações pessoais, a que se refere este artigo, relativas à intimidade, vida privada, honra e imagem: I - terão seu acesso restrito, independentemente de classificação de sigilo e pelo prazo máximo de 100 (cem) anos a contar da sua data de produção, a agentes públicos legalmente autorizados e à pessoa a que elas se referirem; e II - poderão ter autorizada sua divulgação ou acesso por terceiros diante de previsão legal ou consentimento expresso da pessoa a que elas se referirem.

A restrição de acesso à informação relativa à vida privada, honra e imagem de pessoa não poderá ser invocada com o intuito de prejudicar processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como em ações voltadas para a recuperação de fatos históricos de maior relevância.

A pessoa física ou entidade privada que detiver informações em virtude de vínculo de qualquer natureza com o poder público e deixar de observar o disposto nesta Lei estará sujeita às seguintes sanções: I - advertência; II - multa; III - rescisão do vínculo com o poder público; IV - suspensão temporária de participar em licitação e impedimento de contratar com a administração pública por prazo não superior a 2 (dois) anos; e V - declaração de inidoneidade para licitar ou contratar com a administração pública, até que seja promovida a reabilitação perante a própria autoridade que aplicou a penalidade.

Marco Civil da Internet: Esta Lei estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria.

A disciplina do uso da internet no Brasil tem como fundamento o respeito à liberdade de expressão, bem como: I - o reconhecimento da escala mundial da rede; II - os direitos humanos, o desenvolvimento da personalidade e o exercício da cidadania em meios digitais; III - a pluralidade e a diversidade; IV - a abertura e a colaboração; V - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VI - a finalidade social da rede.

A disciplina do uso da internet no Brasil tem os seguintes princípios: I - garantia da liberdade de expressão, comunicação e manifestação de pensamento, nos termos da Constituição Federal; II - proteção da privacidade; III - proteção dos dados pessoais, na forma da lei; IV - preservação e garantia da neutralidade de rede; V - preservação da estabilidade, segurança e funcionalidade da rede, por meio de medidas técnicas compatíveis com os padrões internacionais e pelo estímulo ao uso de boas práticas; VI - responsabilização dos agentes de acordo com suas atividades, nos termos da lei; VII - preservação da natureza participativa da rede; VIII - liberdade dos modelos de negócios promovidos na internet, desde que não conflitem com os demais princípios estabelecidos nesta Lei.

informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;

O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, terminal ou aplicação.

Na provisão de conexão à internet, onerosa ou gratuita, bem como na transmissão, comutação ou roteamento, é vedado bloquear, monitorar, filtrar ou analisar o conteúdo dos pacotes de dados, respeitado o disposto neste artigo.

Pela LGPD, apenas pessoas naturais são consideradas como titular de dados pessoais. A LGPD não engloba pessoas jurídicas.

O controlador deve apresentar relatório de impacto à proteção de dados pessoais, que é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco

A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.

Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.

A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais.

Compete à ANPD I - zelar pela proteção dos dados pessoais, nos termos da legislação; II - zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações III - elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;

A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.

A ANPD poderá aplicar sanções em caso de violação da legislação a partir de agosto de 2021. As penalidades variam de acordo com o caso e após processo administrativo que fará a análise da ocorrência, são aplicadas: advertências simples, multas de 2% do valor do faturamento da empresa ou grupo no último exercício, bloqueio ou exclusão dos dados envolvidos na ocorrência e suspensão ou proibição do acesso ao tratamento de dados pessoais.