Guia Pratico - MATTOS FILHO
Guia Pratico - MATTOS FILHO
Guia Pratico - MATTOS FILHO
a Lei Geral
de Proteção
de Dados
Agosto 2018
1
GUIA PARA
A LEI GERAL
DE PROTEÇÃO
DE DADOS
O Mattos Filho está preparado para ser seu parceiro ideal neste momento
de mudança legislativa e cultural em relação à proteção de dados pessoais.
A atuação da prática de Proteção de Dados e Cybersecurity do escritório
inclui os seguintes serviços:
2
Auxílio na adaptação das Elaboração de políticas e Assessoria jurídica para
empresas aos requisitos da lei documentos corporativos transferência internacional de
internos dados pessoais
• Assessoria jurídica e consultoria
para mapeamento (gap analysis) e • Elaboração de política de
• Verificação de procedimentos e
adoção de medidas necessárias de segurança cibernética e demais
fluxos relacionados à transferência
adequação ao regime de proteção políticas corporativas para regular
internacional de dados e eventuais
estabelecido pela LGPD. o tratamento de dados pessoais.
restrições ou adequações.
• Revisão de procedimentos • Consultoria na elaboração de
• Elaboração e revisão de contratos,
internos, políticas e fluxos de processos internos envolvendo
cláusulas, códigos e normas
tratamento de dados pessoais registros de processamento de
corporativas vinculantes para
para cumprimento da LGPD. dados pessoais.
a transferência internacional
• Assessoria jurídica na elaboração de dados.
de relatório de impacto para
Consultoria e assessoria proteção de dados pessoais.
jurídica na relação entre
Assessoria jurídica em
agentes de tratamento
incidentes de vazamento de
e titulares de dados
Treinamentos de equipe sobre dados e segurança cibernética
boas práticas e medidas de
• Elaboração ou revisão de política
proteção de dados • Assessoria no desenvolvimento de
de privacidade e termos de uso
medidas preventivas relativas a
para o tratamento de dados
• Assessoria na elaboração de incidentes de segurança;
pessoais.
materiais educativos para
• Criação de processos internos
• Elaboração e revisão de contratos funcionários, prestadores de
para responder adequadamente a
e documentos envolvendo a serviço e demais colaboradores,
incidentes de segurança perante
contratação de prestadores de com foco em assuntos de
os titulares dos dados, autoridades
serviços que coletam ou tratam privacidade, proteção de dados e
e demais terceiros.
dados pessoais em benefício segurança da informação.
da empresa no Brasil e em • Coordenação de incidentes de
• Realização de treinamentos
outros países. vazamento de dados em várias
internos.
jurisdições em conjunto com
escritórios locais.
3
Interação com autoridades Assessoria jurídica na interação
reguladoras e fiscalizadoras com outros países ou blocos
e consultoria na adaptação
das empresas brasileiras à
• Assessoria jurídica na defesa de
legislação europeia (GDPR)
interesses da empresa junto às
autoridades reguladoras e de
• Análise sobre a necessidade de
investigação responsáveis
cumprimento com a legislação
pela fiscalização e imposição
europeia (GDPR) e assessoria
de sanções por descumprimento
na adaptação, o que fazemos
da LGPD.
em parceria com escritórios
estrangeiros, em formato
one-stop-shop.
• Análise de compatibilidade de
políticas, procedimentos e práticas
de tratamento de dados pessoais
de outros países ou blocos
(tais como EUA, Apec) com a
legislação brasileira.
4
GUIA PARA
A LEI GERAL
DE PROTEÇÃO
DE DADOS
Boa leitura!
5
SÓCIOS DA
PRÁTICA
6
GUIA PARA
A LEI GERAL
DE PROTEÇÃO
DE DADOS
ÍNDICE
08 Definições Importantes
09 Abrangência
11 Princípios
13 Base legal
16 Direitos do titular
19 Obrigações ao controlador
22 Transferência internacional
24 Segurança e notificações
26 Sanções
7
DEFINIÇÕES
IMPORTANTES
Tratamento
8
ABRANGÊNCIA
Em quais as situações a LGPD é aplicável?
Abrangência
Princípios
Base legal
O QUE VOCÊ
PRECISA SABER
Direitos do titular
Obrigações
Regula o tratamento de Teve vetados os dispositivos que
Transferência internacional
dados relacionados a pessoas criavam a Autoridade Nacional de
Segurança e notificações físicas apenas. Proteção de Dados, o que deverá
Sanções ser feito posteriormente pelo Poder
Aplica-se independentemente Executivo (via medida provisória
do meio e/ou forma de tratamento ou projeto de lei).
dos dados; ou seja, impõe regras ao
tratamento de dados realizado dentro
ou fora da internet, utilizando ou
não meios digitais. QUE PROVIDÊNCIAS
VOCÊ DEVE TOMAR?
Aplica-se a operações de
tratamento que ocorrem no território Organizações que realizam o
brasileiro, mas também a operações tratamento de dados pessoais no
de tratamento que ocorrem fora território brasileiro ou oferecem
do país, quando: produtos ou serviços a indivíduos
localizados no Brasil devem buscar
• os dados pessoais forem entender o impacto da LGPD em suas
coletados no Brasil; atividades e como se adequar às suas
regras. A contratação de consultoria
• os dados sejam relacionados técnica e jurídica especializada
a indivíduos localizados no para realizar o diagnóstico é uma
território brasileiro; medida aconselhável.
9
Abrangência
SAIBA MAIS
10
PRINCÍPIOS
Quais são e o que dizem os princípios da LGPD?
Abrangência
Princípios
Base legal
O QUE VOCÊ QUAIS PROVIDÊNCIAS
PRECISA SABER VOCÊ DEVE TOMAR?
Direitos do titular
Obrigações
Os princípios estabelecidos na LGPD Revisar e adequar as políticas
Transferência internacional
impõem novas diretrizes e limitações (internas e em relação a terceiros),
Segurança e notificações sobre como os dados pessoais contratos, procedimentos e demais
Sanções poderão ser tratados. São eles: atividades que envolvam tratamento
de dados pessoais (tanto de clientes
quanto de empregados) aos princípios
estabelecidos na LGPD.
Princípios
ONDE POSSO
ENCONTRAR
ESTE TEMA
NA LGPD?
Artigo 6º
11
Princípios
SAIBA MAIS
12
BASE LEGAL
Em quais situações o tratamento de dados pessoais
é considerado legal?
Abrangência
Princípios
Base legal
O QUE VOCÊ QUAIS PROVIDÊNCIAS
PRECISA SABER VOCÊ DEVE TOMAR?
Direitos do titular
Obrigações
Enquanto o Marco Civil da Internet Avaliar cuidadosamente qual base
Transferência internacional
apenas permite o tratamento legal para tratamento de dados pode
Segurança e notificações de dados pessoais mediante a ser utilizada no caso concreto.
Sanções obtenção de consentimento do
titular dos dados, a LGPD estabelece
dez hipóteses para o tratamento Quando o tratamento de
de dados, incluindo, além do dados pessoais for baseado no
consentimento, o interesse legítimo consentimento, o controlador deve
do controlador ou de terceiro, a manter documentação comprobatória
necessidade de cumprimento de da sua obtenção em conformidade
contrato ou de obrigação legal com a legislação.
ou regulatória.
13
Base legal
SAIBA MAIS
• Para a tutela da saúde, em o consentimento originalmente
A LGPD estabelece um rol taxativo procedimento realizado por dado, o controlador deverá informar
de hipóteses que justificam o profissionais da área da saúde previamente o titular sobre
tratamento de dados pessoais: ou por entidades sanitárias; tal mudança.
14
Base Legal
• Proteção, em relação ao titular dos quando for indispensável para o Término do tratamento:
dados, do exercício regular dos cumprimento de obrigação legal O término do tratamento de dados
direitos ou prestação de serviços ou regulatória pelo controlador pessoais ocorrerá quando:
que beneficiem o titular, desde dos dados, para o exercício regular
que respeitadas as legítimas de direitos em processo judicial, • For verificado que a finalidade para
expectativas do titular dos dados. administrativo ou arbitral ou a qual o consentimento foi obtido
necessário para a execução foi alcançada ou que os dados
No caso de tratamento de dados de contrato. pessoais coletados deixaram de
pessoais com fundamento no ser necessários ou pertinentes
interesse legítimo do controlador, ao alcance da finalidade
somente os dados estritamente Tratamento de Dados Pessoais específica almejada;
necessários, considerando a de Crianças e de Adolescentes:
finalidade pretendida, poderão O tratamento de dados pessoais de • Decorrer o fim do período
ser utilizados. crianças e de adolescentes deverá de tratamento;
ser realizado em seu melhor interesse.
O tratamento de dados pessoais • Ocorrer uma manifestação do
Tratamento de Dados de crianças deve ser realizado com titular dos dados pessoais
Pessoais Sensíveis: o consentimento específico e em nesse sentido;
Considerando a natureza de dados destaque dado por pelo menos um
pessoais sensíveis, a LGPD se dos pais ou pelo responsável legal. Os • Houver uma determinação legal.
preocupou em diminuir as hipóteses controladores deverão realizar todos
para tratamento desses dados e os esforços razoáveis para verificar Nos casos de término de tratamento
impor um consentimento que o consentimento foi realmente de dados pessoais, os dados
mais rigoroso. fornecido pelo responsável pessoais devem ser eliminados, salvo
pela criança. se de outra forma a sua guarda for
O consentimento para o tratamento autorizada pela LGPD, tal como o
de dados pessoais sensíveis deve A única hipótese em que a LGPD emprego de anonimização.
ser fornecido de forma específica permite a coleta de dados pessoais
e destacada. Isto é, o agente de sem o consentimento de pais ou
tratamento responsável por obter o responsável legal é no caso da coleta
consentimento deve se preocupar necessária para realizar contato com
em obter uma autorização especial os pais ou responsável legal. Neste
para o tratamento de dados caso, os dados pessoais coletados
pessoais sensíveis. sem o consentimento somente
poderão ser utilizados uma vez e
Além disso, a LGPD não permite não poderão ser armazenados em
o tratamento de dados pessoais hipótese alguma, dado que sua única
sensíveis para atender ao interesse finalidade é a realização do
legítimo do controlador ou de referido contato.
terceiros ou proteção do crédito. Por
outro lado, permanece a possibilidade
de tratar os dados pessoais sensíveis
15
DIREITOS DO TITULAR
Quais os direitos que o titular dos dados
pode exigir dos agentes de tratamento?
Abrangência
Princípios
Base legal
O QUE VOCÊ QUAIS PROVIDÊNCIAS
PRECISA SABER VOCÊ DEVE TOMAR?
Direitos do titular
Obrigações
O titular dos dados tem direito Adequar a estrutura operacional e
Transferência internacional
ao acesso facilitado a informações técnica da sua organização para
Segurança e notificações sobre o tratamento de seus dados viabilizar e cumprir com todos os
Sanções pessoais e a exigir correção de direitos que a lei garante ao
dados incompletos, inexatos titular dos dados.
ou desatualizados.
ONDE POSSO
ENCONTRAR
ESTE TEMA
NA LGPD?
Arts. 8º, § 5º; 9º,
caput; e §3º; art.
14, § 6º e 17 a 22
16
Direitos do titular
SAIBA MAIS
17
Direitos do titular
As informações deverão ser para cumprimento de obrigação legal Portabilidade dos dados pessoais:
fornecidas por meio eletrônico ou pelo controlador ou para uso exclusivo A LGPD instituiu o direito de
de forma impressa, de acordo com a do controlador, sendo que, neste portabilidade, pelo qual o titular dos
solicitação do titular. último caso, os dados deverão dados poderá, mediante requisição
ser anonimizados. expressa, solicitar a transferência
Adicionalmente, quando o tratamento de seus dados pessoais a outro
de dados tiver fundamento no Caso a empresa tenha realizado uso fornecedor de serviço ou produto.
consentimento ou em contrato, compartilhado de dados cuja correção,
o titular poderá solicitar cópia anonimização, bloqueio ou eliminação
eletrônica integral dos seus fora requisitado pelo titular dos dados, Revisão de decisão automatizada:
dados pessoais. a empresa deverá informar de maneira O titular dos dados poderá requisitar
imediata tal providência aos demais a revisão, por pessoa natural, de
agentes de tratamento de modo que decisões tomadas unicamente com
Correção, anonimização, repitam o procedimento. base em tratamento automatizado,
pseudonimização, bloqueio ou inclusive decisões destinadas à
eliminação de dados pessoais: Na realização de estudos em saúde formação de perfis. O titular dos
O titular dos dados poderá pública, os órgãos de pesquisa dados ainda poderá solicitar a
requerer a correção de dados que poderão ter acesso a bases de disponibilização de informações
considere incompletos, inexatos ou dados pessoais, que serão tratados claras e adequadas a respeito
desatualizados, bem como solicitar a exclusivamente dentro do órgão e dos critérios e dos procedimentos
anonimização, bloqueio ou eliminação estritamente para a finalidade de utilizados para formação da
de dados pessoais considerados realização de estudos e pesquisas decisão automatizada.
como desnecessários, excessivos e mantidos em ambiente controlado
ou tratados em desconformidade e seguro, conforme práticas de
com a LGPD. segurança previstas em regulamento E em caso de impossibilidade de
específico e que incluam, sempre cumprimento imediato?
Para fins da LGPD, “anonimização” que possível, a anonimização ou Caso não possa cumprir de imediato a
é um procedimento por meio do pseudonimização dos dados, bem providência requerida pelo titular dos
qual um dado perde a possibilidade como considerem os devidos padrões dados, o controlador deverá enviar
de identificar um titular, enquanto éticos relacionados a estudos ao titular uma justificativa com as
“bloqueio” significa suspensão e pesquisas. razões que impediram o cumprimento
temporária de qualquer operação de imediato do direito exercido ou uma
tratamento de dados pessoais. Para fins de atendimento dessa regra, comunicação para indicar que não é
“pseudonimização” é o tratamento o agente de tratamento dos dados
Ademais, no caso de dados tratados por meio do qual um dado perde a e, caso tenha conhecimento, apontar
com fundamento no consentimento, possibilidade de associação, direta quem é o agente de fato.
o titular dos dados poderá solicitar ou indireta, a um indivíduo, senão pelo
a eliminação de quaisquer dados uso de informação adicional mantida
coletados, ressalvadas as hipóteses separadamente pelo controlador em
de guarda permitidas pela LGPD, o que ambiente controlado e seguro.
inclui a guarda de dado especialmente
18
OBRIGAÇÕES
Quais obrigações o titular dos dados
pode exigir do controlador?
Abrangência
Princípios
Base legal
O QUE VOCÊ QUAIS PROVIDÊNCIAS
PRECISA SABER VOCÊ DEVE TOMAR?
Direitos do titular
Obrigações
Dentre as obrigações previstas na Adotar medidas técnicas que
Transferência internacional
LGPD, o controlador deve: garantam o tratamento de dados
Segurança e notificações de forma segura.
Sanções
• Mediante solicitação da
autoridade nacional de proteção Nomear o encarregado pelo
de dados, elaborar relatório de tratamento dos dados pessoais.
impacto à proteção de dados;
• Responder solidariamente,
em conjunto com o operador,
se causar a terceiros danos por
violação da LGPD.
ONDE POSSO
ENCONTRAR
ESTE TEMA
NA LGPD?
Artigos 5º, 7º §5,
8º §2º, 9 a 11, 14,
16, 18, 20, 33, 37
a 42, 48, 50 e 52
19
Obrigações
SAIBA MAIS
Cabe ao controlador tomar as • Caso a autoridade faça essa O controlador também é responsável
decisões acerca do tratamento de requisição, o controlador não pode por indicar quem é o encarregado
dados pessoais, bem como zelar esquecer de inserir no relatório, no pelo tratamento dos dados pessoais,
por sua conservação e atender aos mínimo, as seguintes informações: divulgando publicamente, de forma
requisitos e exigências formulados clara e objetiva, preferencialmente
pelas autoridades. Nesse sentido, - Descrição dos tipos de no seu sítio eletrônico, a identidade
a LGPD impõe ao controlador as dados coletados; da pessoa e suas informações
seguintes responsabilidades: de contato. Em linhas gerais, as
- Metodologia utilizada para atividades do encarregado
• Provar que o consentimento foi a coleta de dados; consistem em:
obtido em conformidade com a Lei.
- Metodologia utilizada • Aceitar reclamações e
• Confirmar a existência ou para garantir a segurança comunicações dos titulares,
providenciar o acesso a dados das informações; prestar esclarecimentos e
pessoais, mediante requisição do adotar providências;
titular, em formato simplificado, - Análise do controlador com
imediatamente, ou por meio de relação a essas medidas, • Receber comunicações da
declaração clara e completa, salvaguardas e mecanismos de autoridade nacional e
que indique a origem dos dados, mitigação de riscos adotados. adotar providências;
a inexistência de registro, os
critérios utilizados e a finalidade do • Orientar os funcionários e os
tratamento, fornecida no prazo de contratados da organização a
até 15 (quinze) dias. respeito das práticas a serem
tomadas em relação à proteção
• Manter registro das operações de dados pessoais;
de tratamento de dados pessoais
que realize, podendo a autoridade • Executar as demais atribuições
nacional determinar que seja determinadas pelo controlador
elaborado relatório de impacto à ou estabelecidas em normas
proteção de dados (pessoais complementares emitidas pela
ou sensíveis) referente às autoridade nacional de proteção
suas operações. de dados.
20
Obrigações
21
TRANSFERÊNCIA
INTERNACIONAL DE DADOS
Abrangência
E se os dados forem tratados fora do Brasil?
Princípios
Base legal
O QUE VOCÊ QUAIS PROVIDÊNCIAS
Direitos do titular
PRECISA SABER VOCÊ DEVE TOMAR?
Obrigações
Transferência internacional
É permitida a transferência Adotar cautela no envio de dados
Segurança e notificações internacional de dados, desde a organizações no exterior e ter a
Sanções que as condições previstas na segurança de que elas cumprem com
LGPD sejam atendidas. Em linhas os requisitos estabelecidos
gerais, a LGPD somente permite a na LGPD.
transferência internacional se os
mesmos padrões previstos na lei
para a proteção ao titular de dados Adotar procedimentos e elaborar
forem mantidos. documentos, incluindo contratos e
regras corporativas vinculantes, que
Para receber os dados, o país documentem a adequação
ou organismo internacional deve do tratamento dos dados
oferecer um grau adequado de segundo a LGPD.
proteção de dados, o que será
avaliado pela autoridade nacional
de proteção de dados. Informar a autoridade nacional
caso haja alteração nas garantias
que tenham sido entendidas como
suficientes para a realização de
transferência internacional
de dados.
ONDE POSSO
ENCONTRAR
ESTE TEMA
NA LGPD?
Artigos 3º, 33,
34 a 36
22
Transferência internacional
SAIBA MAIS
23
SEGURANÇA E
NOTIFICAÇÕES
Abrangência
E se ocorrer algum incidente que resulte em vazamento de dados?
Princípios
Base legal
O QUE VOCÊ QUAIS PROVIDÊNCIAS
Direitos do titular
PRECISA SABER VOCÊ DEVE TOMAR?
Obrigações
Transferência internacional
Deverão ser adotadas medidas Desenvolver sistemas de
Segurança e notificações de segurança com a finalidade identificação e combate de incidentes
Sanções de garantir a proteção dos dados de segurança, bem como treinar uma
pessoais contra acessos não equipe de TI para garantir a execução
autorizados e situações acidentais destes procedimentos.
ou até mesmo ilícitas. O primeiro
passo é identificar a natureza
dos dados objeto do incidente. Revisar os acordos de seguros
Se forem dados criptografados ou para garantir cobertura em caso de
anonimizados, por exemplo, incidentes de segurança.
os riscos serão menores.
24
Segurança e notificações
SAIBA MAIS
25
SANÇÕES
E se houver descumprimento da LGPD?
Abrangência
Princípios
Base legal
O QUE VOCÊ QUAIS PROVIDÊNCIAS
PRECISA SABER VOCÊ DEVE TOMAR?
Direitos do titular
Obrigações
Além da responsabilidade de Executar uma análise de
Transferência internacional
indenizar o titular dos dados, a conformidade dos procedimentos
Segurança e notificações LGPD prevê sanções de caráter de tratamento de dados com a
Sanções administrativo na hipótese LGPD para identificar o cumprimento
de seu descumprimento. completo da norma.
ONDE POSSO
ENCONTRAR
ESTE TEMA
NA LGPD?
Art. 52 ao 54
26
Sanções
SAIBA MAIS
Em razão das infrações às normas da Todas as sanções serão precedidas No cálculo do valor da multa
LGPD, os agentes de tratamento de de um procedimento administrativo a autoridade nacional poderá
dados estão sujeitos às que garanta a ampla defesa do considerar o faturamento total da
seguintes penalidades: infrator. As sanções serão aplicadas empresa ou do grupo de empresas.
considerando as particularidades
• advertência, com indicação de cada caso e os seguintes Na aplicação da sanção de multa
de prazo para adoção de parâmetros e critérios: diária, a autoridade nacional deverá
medidas corretivas; fundamentar a aplicação da sanção
• gravidade e a natureza das observando a gravidade da
• multa de até 2% do faturamento da infrações e dos direitos falta e a extensão do dano ou
empresa ou do grupo limitada, no pessoais afetados; prejuízo causado.
total, a R$ 50 milhões por infração;
• boa-fé do infrator; Em casos de incidentes de vazamento
• publicização da infração após transnacionais, as multas aplicadas
devidamente apurada e confirmada • vantagem auferida ou pretendida em uma jurisdição não serão
a sua ocorrência; pelo infrator; compensadas ou abatidas com as
aplicadas em outra na qual também
• bloqueio dos dados pessoais • condição econômica do infrator; verificados os efeitos do evento.
correspondentes à infração até a
sua regularização; • reincidência;
• proporcionalidade entre a
gravidade da falta e a
intensidade da sanção.
27
28