Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados). Flashcards
As normas gerais contidas na LGPD é de interesse nacional e devem ser observadas pela
União, Estados, Distrito Federal e Municípios
A disciplina da proteção de dados pessoais tem como FUDAMENTOS
- Autodeterminação informativa
- Desenvolvimento econômico e tecnológico e a inovação
- Direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais
- Inviolabilidade da intimidade, da honra e da imagem
- Livre iniciativa, a livre concorrência e a defesa do consumidor
- Liberdade de expressão, de informação, de comunicação e de opinião
- Respeito à privacidade;
Desde que a operação de tratamento seja realizada no território nacional, a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou os dados pessoais objeto do tratamento tenham sido coletados no território nacional, a LGPD aplica-se
A qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados
A LGPD não se aplica ao tratamento de dados pessoais realizado para fins exclusivamente
- Acadêmicos
- Atividades de investigação e repressão de infrações penais
- Defesa nacional
- Jornalístico e artísticos
- Segurança pública
- Segurança do estado
A LGPD não se aplica ao tratamento de dados pessoais realizado por
- Pessoa natural para fins exclusivamente particulares e não econômicos
A LGPD não se aplica ao tratamento de dados pessoais provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que
O país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto em Lei.
O tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional; segurança do Estado ou
será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados
O devido processo legal, os princípios gerais de proteção e os direitos do titular
No tratamento de dados realizado para fins exclusivos de segurança pública, defesa nacional segurança do Estado ou atividades de investigação e repressão de infrações penais é vedado
O tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta
Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata a segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais entre outros, poderá ser tratada por pessoa de direito privado, EXCETO
Por aquela que possua capital integralmente constituído pelo poder público.
(…) é a informação relacionada a pessoa natural identificada ou identificável;
DADO PESSOAL
O (…) é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
DADO PESSOAL SENSÍVEL
O (…) é o dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
DADO ANONIMIZADO
O (…) é o conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
BANCO DE DADOS
O (…) é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais
CONTROLADOR
O (…) é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador
OPERADOR
O (…) é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados
ENCARREGADO
OBS: agentes de tratamento são o controlador e o operador
A (…) é a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
ANONIMIZAÇÃO
A (…) é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
AUTORIDAE NACIONAL
As atividades de tratamento de dados pessoais deverão observar a boa-fé e o princípio da (…), que é a compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
ADEQUAÇÃO
As atividades de tratamento de dados pessoais deverão observar a boa-fé e o princípio da (…), que é a realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
FINALIDADE
As atividades de tratamento de dados pessoais deverão observar a boa-fé e o princípio do (…), que é garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
LIVRE ACESSO
As atividades de tratamento de dados pessoais deverão observar a boa-fé e o princípio da (…), que é a limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados
NECESSIDADE
O princípio da (…) é a garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
TRANSPARÊNCIA
O princípio da (…), consiste na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
SEGURANÇA
O princípio da (…), consiste na adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais
PREVENÇÃO
O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses
- Mediante o fornecimento de consentimento pelo titular;
- Para o cumprimento de obrigação legal ou regulatória pelo controlador;
- Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
- Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
- Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
- Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
- Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
O consentimento pelo titurar deverá ser fornecido
Por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
O controlador que obteve o consentimento, que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter
Consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas em Lei.
OBS: É vedado o tratamento de dados pessoais mediante vício de consentimento.
O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a
- Apoio e promoção de atividades do controlador
- Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais
OBS: Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses
- Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
- Sem fornecimento de consentimento do titular
4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de
Saúde, de assistência farmacêutica e de assistência à saúde
Os dados anonimizados não serão considerados dados pessoais para os fins desta LGPD EXCETO quando
O processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
Poderão ser igualmente considerados como dados pessoais, para os fins da LGPD
Aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de
Estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.
A (…) é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Pseudonimização
O tratamento de Dados Pessoais de Crianças e de Adolescentes
- Deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.
- Os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos
- Poderão ser coletados sem consentimento quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento
O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses
- Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público
- Determinação da autoridade nacional, quando houver violação ao disposto na LGPD
- Fim do período de tratamento
- Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada
Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD
- Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição
- acesso aos dados
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- confirmação da existência de tratamento
- correção de dados incompletos, inexatos ou desatualizados
- eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas
- informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- revogação do consentimento
O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas
As decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida
Em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.
Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas
- à execução de políticas públicas
- à prestação de serviços públicos
- à descentralização da atividade pública à disseminação e
- ao acesso das informações pelo público em geral.
É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto
- Em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado
- Nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.
- Quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres
- Na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
A transferência internacional de dados pessoais somente é permitida quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
A autoridade nacional poderá dispor sobre padrões de
- Interoperabilidade para fins de portabilidade
- Livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.
O controlador deverá indicar
Encarregado pelo tratamento de dados pessoais.
Será obrigado à reparação do dano
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados
Os agentes de tratamento só não serão responsabilizados quando provarem
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
O controlador deverá comunicar à autoridade nacional e ao titular
A ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela AUTORIDADE NACIONAL
- Advertência, com indicação de prazo para adoção de medidas corretivas
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização
- Eliminação dos dados pessoais a que se refere a infração
- Multas
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período
Fica criada a Autoridade Nacional de Proteção de Dados (ANPD), autarquia de natureza especial, dotada de
Autonomia técnica e decisória, com patrimônio próprio e com sede e foro no Distrito Federal.
O Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente e serão escolhidos pelo
Presidente da República e por ele nomeados, após aprovação pelo Senado Federal, e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superiores
OBS: Mandato de de 4 (quatro) anos.
