LGPD (revisão) Flashcards
LGPD
Há uma hipótese na qual não é a finalidade, mas uma qualidade da pessoa que realiza o tratamento de dados que exclui a aplicação da LGPD. Qual?
Pessoa natural
Para fins exclusivamente particulares e não econômicos
Atenção a uma exceção importante: art. 23, §4º Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas no caput deste artigo, nos termos desta Lei
LGPD
Existem três finalidades particulares (que não envolvem interesse público) que, apesar disso, excluem a disciplina da LGPD. Quais são elas?
Jornalístico, artístico e acadêmico
Mas fim acadêmico aplica-se regras de tratamento de dados pessoais
LGPD
Existem quatro finalidades “públicas” (que envolvem interesse público) que excluem a disciplina da LGPD. Quais são elas?
Investigação e repressão penal…
…Defesa nacional, segurança pública e do Estado
LGPD
A LPGD lista 10 hipóteses em que se admite o tratamento de dados pessoais. Esse rol é exemplificativo ou taxativo?
Taxativo
A lei fala expressamente que “somente” nestas hipóteses
LGPD
A LPGD lista 10 hipóteses em que se admite o tratamento de dados pessoais. Quais são elas?
São muitas. Você selecionou sete, com destaque para duas
Consentimento, proteção ao crédito
… obrigação legal; política pública; estudos; processos; vida/saúde
- mediante o fornecimento de consentimento pelo titular. Dispensada para os dados tornados manifestamente públicos pelo titular. Deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular (dados sensíveis, sempre por escrito e destacado).
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei (dados sensíveis, somente lei ou regulamento);
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei de Arbitragem ;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019) Vigência
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ( Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I - apoio e promoção de atividades do controlador; e II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei )
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
LGPD
A LGPD permite o tratamento de dados pessoais (gerais ou sensíveis) caso haja consentimento. Há, contudo, diferenças entre o consentimento para dados sensíveis. Quais?
Forma e finalidade específicas
Dados pessoais admite “por qq meio que demonstre a vontade do titular”
- dados pessoais: mediante o fornecimento de consentimento pelo titular, fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
- dados sensíveis: quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas.
LGPD
Quais são os sete fundamentos da disciplina de dados pessoais?
- Respeito à privacidade
- Autodeterminação informativa
- Liberdade de expressão, de informação, de comunicação e de opinião
- Inviolabilidade da intimidade, da honra e da imagem
- Desenvolvimento econômico e tecnológico e a inovação
- Livre iniciativa, a livre concorrência e a defesa do consumidor
- Direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais
LGPD
Na LGDP, o que é dado pessoal?
Info de pessoa natural
Identificada ou identificável
dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
LGPD
Na LGDP, o que é dado pessoal sensível?
Etnia, religião, política…
…filiação, saúde,vida sexual, genética e biometria
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural
LGPD
Na LGDP, o que é dado anonimizado?
Titular não pode ser identificado
considerando meios técnicos razoáveis na ocasião do tratamento
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento
LGPD
Na LGDP, o que é banco de dados?
Conjunto estruturado…
de dados pessoais
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico
LGPD
Na LGDP, o que é titular?
Pessoa natural
a quem se referem os dados pessoais tratados
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
LGPD
Na LGDP, o que é controlador?
Quem decide
Pessoa (física ou jurídica) a quem compete decisões sobre o tratamento
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais
agentes de tratamento é gênero, do qual são espécies o controlador e o operador
LGPD
Na LGDP, o que é operador?
Quem realiza o tratamento
Pessoa (física ou jurídica) que trata os dados em nome do controlador
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
agentes de tratamento é gênero, do qual são espécies o controlador e o operador
LGPD
Na LGDP, o que é encarregado?
Ponte entre controlador, titular e autoridade nacional
Quem o indica são os agentes de tratamento (controlador e operador)
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
LGPD
Na LGDP, o que são agentes de tratamento?
Controlador e operador
Agentes são o gênero, do qual o controlador e o operador são espécies
IX - agentes de tratamento: o controlador e o operador
Encarregado, portanto não é agente de tratamento
LGPD
Na LGDP, o que é tratamento?
Operação com dados pessoais
Qq uma: coleta, classificação, acesso, avaliação, modificação etc.
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
LGPD
Na LGDP, o que é anonimização?
Dissociação entre dado e seu titular
Por meio técnico razoável e disponível no momento do tratamento
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
LGPD
Na LGDP, o que é consentimento?
Concordância livre e informada
Deve ser inequívoca e para uma finalidade determinada
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
LGPD
Na LGDP, o que é bloqueio?
Suspensão temporária
de qualquer operação de tratamento
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
LGPD
Na LGDP, o que é eliminação?
Exclusão do dado armazenado
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
LGPD
Na LGDP, o que é transferência internacional de dados?
País estrangeiro
ou organismo internacional
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
LGPD
Na LGDP, o que é uso compartilhado de dados?
Cumprimento de competências legais…
ou para ente privado, com autorização específica
XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
LGPD
Na LGDP, o que é relatório de impacto à proteção de dados pessoais?
Processos, medidas e salvaguardas
Documento do controlador com riscos a direitos fundamentais
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
LGPD
Na LGDP, o que é órgão de pesquisa?
Ente público ou sem fins lucrativos
de pesquisa histórica, científica, técnológica ou estatística
XVIII - órgão de pesquisa: órgão ou entidade _da administração pública _direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
LGPD
Na LGDP, o que é a autoridade nacional?
Fiscaliza o cumprimento da LGPD
Trata-se de órgão público, com atribuição em todo território nacional
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
LGPD
Na LGPD, quais são as quatro atividades do encarregado?
Reclamações dos titulares
Comunicações da autoridade
Orientar funcionários e executar determinações do controlador
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- receber comunicações da autoridade nacional e adotar providências;
- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
- executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
LGPD
Quais são os princípios que, ao lado da boa-fé, devem ser observados nas atividades de tratamento de dados pessoais?
Finalidade, adequação e necessidade
Livre acesso, qualidade, transparência, segurança, prevenção…
- finalidade
- adequação
- necessidade
- livre acesso
- qualidade dos dados
- transparência
- segurança
- prevenção
- não discriminação
- responsabilização e prestação de contas
LGPD
Dentre os princípios que, ao lado da boa-fé, devem ser observados nas atividades de tratamento de dados especiais, está a finalidade. Defina.
Propósitos legítimos e específicos
Deve ser explícita e informada ao titular
I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
LGPD
Dentre os princípios que, ao lado da boa-fé, devem ser observados nas atividades de tratamento de dados especiais, está a adequação. Defina.
Tratamento só na finalidade informada
Talvez a palavra chave seja compatibilidade
II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
LGPD
Dentre os princípios que, ao lado da boa-fé, devem ser observados nas atividades de tratamento de dados especiais, está a necessidade. Defina.
Só o necessário para alcançar finalidade
Limita o tratamento ao mínimo necessário para alcançar finalidade
III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
LGPD
Dentre os princípios que, ao lado da boa-fé, devem ser observados nas atividades de tratamento de dados especiais, está o livre acesso. Defina.
Consulta fácil e gratuita ao titular
Sobre forma e duração do tratamento e íntegra de seus dados pessoais
IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
LGPD
Dentre os princípios que, ao lado da boa-fé, devem ser observados nas atividades de tratamento de dados especiais, está a qualidade dos dados. Defina.
Exatidão, clareza, relevância e atualização
De acordo com a necessidade e p/ o cumprimento dos fins do tratamento
V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
LGPD
Dentre os princípios que, ao lado da boa-fé, devem ser observados nas atividades de tratamento de dados especiais, está a transparência. Defina.
Clara, precisa e de fácil acesso
Observados os segredos comercial e industrial
VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
LGPD
Dentre os princípios que, ao lado da boa-fé, devem ser observados nas atividades de tratamento de dados especiais, está a segurança. Defina.
Acessos não autorizados
E perda, alteração ou difusão acidental ou ilícita
VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
LGPD
Dentre os princípios que, ao lado da boa-fé, devem ser observados nas atividades de tratamento de dados especiais, está a prevenção. Defina.
Prevenir danos pelo tratamento
VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
LGPD
Dentre os princípios que, ao lado da boa-fé, devem ser observados nas atividades de tratamento de dados especiais, está a não discriminação. Defina.
Fins discriminatórios ilícitos ou abusivos
Lembre-se que é possível haver discriminação lícita (como a positiva)
IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
LGPD
Dentre os princípios que, ao lado da boa-fé, devem ser observados nas atividades de tratamento de dados especiais, está a responsabilização e prestação de contas. Defina.
Demonstrar medidas
X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
LGPD
Dados anonimizados são considerados dados pessoais para os fins da LGPD?
Em regra, não
Salvo se processo puder ser revertido com esforços razoáveis
Art. 12. Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
LGPD
Quais são os direitos do titular dos dados, de acordo com a LGPD?
Acesso, correção, portabilidade…
Eliminação, informações e revogação de consentimento
- confirmação da existência de tratamento;
- acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
- portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
- informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- revogação do consentimento
LGPD
Qual a garantia dada pela LGPD ao titular relação ao tratamento automatizado de dados pessoais?
Revisão da decisão que lhe afete
Tomada exclusivamente com base no tratamento automatizado
Art. 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
LGPD
O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais. O controlador pode se negar a fornecer tais dados alegando segredo industrial ou comercial?
Pode
Mas neste caso, autoridade nacional pode realizar auditoria
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
LGPD
Qual a disciplina a que estão submetidas as empresas públicas e as sociedades de economia mista na LGPD? O tratamento dispensado às pessoas jurídicas de direito privado particulares, ou aos órgãos e entidades do Poder Público?
Regime de concorrência?
Se realizarem políticas públicas, é regime público
Art. 24. As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência, sujeitas ao disposto no art. 173 da Constituição Federal , terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, nos termos desta Lei.
Parágrafo único. As empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, nos termos deste Capítulo.
LGPD
A responsabilidade dos agentes de tratamento (controladores e operadores) é objetiva ou subjetiva? Se objetiva, admitem-se excludentes?
Lembre resp. do fornecedor no CDC
Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:
1. que não realizaram o tratamento de dados pessoais que lhes é atribuído;
2. que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
3. que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
LGPD
Por regra, é vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dado a que tenha acesso. Quais são as 4 exceções previstas na LGPD?
Execução de atividade pública…
Dado acessível ao público, previsão legal/contratual, prevenir fraude
I - em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei de Acesso à Informação;
II - (VETADO);
III - nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.
IV - quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres; ou
V - na hipótese de a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades.
LGPD
O controlador tem responsabilidade por danos decorrentes do tratamento de dados? E o operador?
Se violar lei de proteção
Operador responde solidariamente qdo descumprir ordem do controlador
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I - o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;
LGPD
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Como se dá o ônus da prova neste caso? Há inversão ope legis?
No processo civil, faculdade do juízo
Se há verossimilhança ou hipossuficiência para produção da prova
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
LGPD
O que a LGPD fala sobre compliance?
Agentes de tratamento e suas associações
Podem formular regras de boas práticas e governança
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
LGPD
A LGPD prevê 9 possíveis sanções administrativas aos agentes de tratamento de dados. Dessas, seis são “incondicionadas” (podem ser aplicadas sem a necesidade de uma punição anterior). Quais são?
Eram 12 sanções, mas três foram vetadas
Há duas ou três delas que não me parecem ser bem uma sanção, mas quase que uma medida de proteção ao titular de dados… mas se a lei chama de sanção, quem sou eu para discordar!
Advertência, multas (2), publicidade…
… bloqueio e eliminação de dados pessoais
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (Vigência)
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração (não se aplica a órgãos públicos - §4º)
III - multa diária, observado o limite total a que se refere o inciso II; (não se aplica a órgãos públicos - §4º)
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
LGPD
A LGPD prevê 9 possíveis sanções administrativas aos agentes de tratamento de dados. Dessas, três somente podem ser aplicadas caso o agente tenha recebido uma punição anterior e, ainda assim, persistido na falta. Quais são essas três sanções?
Suspensão (parcial e total) e…
Proibição parcial ou total para tratar dados
LGPD
Duas das sanções administrativas possíveis aos agentes de tratamento são multas (simples ou diária). A LGPD estabelece a destinação do valor destas multas?
Fundo de defesa de direitos difusos
