Artigo LGPD
Artigo LGPD
Artigo LGPD
Ricardo Zimmermann
Whatsapp e Celular: (45) 9.9992-8663
Telegram e instagram: @zmnricardo
Não se esqueça de encerrar o pedido e me avaliar
Seu Nome
INTRODUÇÃO
1
PINHEIRO, Patricia Peck. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD).
– São Paulo : Saraiva Educação, 2018, p. 13
Regulamento Geral de Proteção de Dados Pessoais Europeu nº 679 (GDPR),
aprovado no ano de 20162.
Esse regulamento, que na época trouxe uma previsão de dois anos de prazo
para adequação (isto é, até maio de 2018) tem por objetivo abordar a proteção das
pessoas físicas no que diz respeito ao tratamento de dados pessoais e à livre
circulação destes (free data flow)3.
O ineditismo europeu acabou por incentivar demais países e empresas que
buscassem manter relações comerciais com a União Europeia também deveria ter
uma legislação de mesmo nível que o GDPR – quase “obrigar”, de um ponto de vista
comercial, dado que a ausência de legislação nesse sentido poderia implicar em
barreiras econômicas ou dificuldade de fazer negócio com países membro da União
Europeia –, entre elas, a própria Lei Geral de Proteção de Dados (LGPD)
promulgada no Brasil4.
2
Ibidem
3
PINHEIRO, op. cit.,, p. 14
4
PINHEIRO, op. cit., p. 14
5
GARCIA, Lara Rocha; AGUILERA-FERNANDES, Edson; GONÇALVES, Rafael Augusto Moreno;
PEREIRA-BARRETO, Marcos Ribeiro. Lei Geral de Proteção de Dados Pessoais (LGPD): guia de
implantação. – 1. Ed – São Paulo: Blucher, 2019, p.10.
6
Ibidem
A Serpro (Serviço Federal de Processamento de Dados) publicou informe 7
intitulado “Como Cumprir a LGPD”, quase como em um resumo da lei e dos
principais cuidados que a pessoa física ou jurídica deve observar
Dado que não cabe a este sucinto projeto analisar exaustivamente tão
importante e complexa lei, entende-se como suficiente o guia da Serpro, servindo de
pauta para o decorrer deste projeto.
7
SERPRO. Como Cumprir A LGPD? Disponível em: https://www.serpro.gov.br/lgpd/empresa/como-
cumprir-a-lgpd Acesso em: 25 mai. 2022
8
VAINZOF, Rony. LGPD – Capítulo I, Disposições Preliminares. In: LGPD: Lei Geral de Proteção de
Dados comentada [livro eletrônico] / coordenadores Viviane Nóbrega Maldonado e Renato Opice
Blum. – 2. ed. rev., atual. e ampl. – São Paulo: Thomson Reuters Brasil, 2020, p. 50
A LGPD também se aplica a pessoa de direito público, prevendo, entre outras
questões, que o tratamento deverá ser realizado para o atendimento de sua
finalidade pública, na persecução do interesse público, valendo a citação de que
para as empresas públicas e as sociedades de economia mista, quando estiverem
operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo
tratamento dispensado aos órgãos e às entidades do Poder Público 9.
Por fim, a LGPD se baseou na GDPR no que tange a sua aplicação que
também independe do país da sede ou do país da localização dos dados tratados,
divergindo um pouco de diplomas tradicionais do direito baseado em fronteiras
territoriais geográficas e físicas bem delimitadas, até porque faria pouco sentido algo
estanque no cuidado de um assunto em que se parte de uma premissa de
pulverização das fronteiras territoriais em razão da internet, que viabilizou o fluxo
internacional de dados10.
PRINCÍPIOS DA LGPD
9
VAINZOF, op. cit., p. 51
10
VAINZOF, op. cit., p. 51
11
CAVALCANTI, Natália Peppi; SANTOS, Luiza Mendonça da Silva Belo. A Lei Geral de Proteção de
Dados no Brasil na Era do Big Data. In: FERNANDES, Ricardo Vieira de Carvalho; CARVALHO,
Angelo Gamba Prata de (Coord.). Tecnologia jurídica & direito digital: II Congresso Internacional
de Direito, Governo e Tecnologia – 2018. Belo Horizonte: Fórum, 2018. 488p. ISBN 978-85-450-0584-
1, p. 357
12
Ibidem
13
CAVALCANTI; SANTOS, op. cit., p. 358
O princípio da necessidade é uma diretriz vinculada à ideia de data
minimization, isto é, o preceito sobre o tratamento dever se valer apenas de dados
estritamente necessários para realizar com êxito a ideia proposta, implicando na
restrição da coleta, armazenamento e análise de dados pessoais relevantes e
apropriados14.
O princípio da transparência, unido com o princípio do livre acesso, visam
garantir que o titular dos dados consiga consultar a informações claras, precisas e
acessíveis quanto ao tratamento, duração e respectivos agentes de tratamento, bem
como sobre a integralidade de seus dados, devendo se observar os segredos
comercial e industrial – na mesma esteira vem o princípio da qualidade dos dados,
posto que essas informações podem se tornar ultrapassadas com o passar do
tempo, se assegurando a retificação de incorreções ou até que os dados
ultrapassados sejam excluídos15
O princípio da não discriminação veda o uso dos dados coletados para fins no
sentido de afetar na seleção indivíduos e suas classificações, atrapalhando nas
possíveis oportunidades, como na busca de emprego 16
Por fim, os princípios da responsabilização e prestação de contas impõem
deveres aos agentes de tratamento como a medidas de segurança, técnicas e
administrativas que possa proteger os dados pessoais de acessos não autorizados e
de circunstâncias impróprias17.
14
Ibidem
15
CAVALCANTI; SANTOS, op. cit., p. 358
16
Ibidem
17
CAVALCANTI; SANTOS, op. cit., p. 359
O controlador é o maior “alvo” da LGPD, algo natural, dado que este é o
responsável pelas decisões sobre o tratamento de dados pessoais e, portanto,
recebendo maior peso da legislação.
Sendo assim, a definição de quem é o controlador em cada caso concreto é
essencial para o cumprimento da LGPD, pois é nesta figura que se concentra, entre
outras funções: avaliar o enquadramento de ao menos uma das bases uma das
bases legais para a realização de cada tratamento de dados pessoais; acompanhar
o ciclo de vida completo dos dados, descartando-os ou determinado o descarte
quando do término do tratamento; indicar o encarregado; elaborar relatório de
impacto à proteção de dados pessoais; se encarregar do ônus da prova sobre o
consentimento do titular; cumprir os direitos dos titulares; manter registro das
operações de tratamento de dados pessoais; responder civilmente, no caso de
violação à LGPD; responder administrativamente em razão de infrações cometidas
às normas previstas na LGPD; comunicar a ANPD e ao titular sobre a ocorrência de
incidente de segurança que possa acarretar risco ou dano relevante aos titulares 18.
O operador é quem realiza o tratamento de dados pessoais em nome do
controlador, quase como uma extensão do controlar. Portanto, este não poderá
tratar dados pessoais senão por determinação do controlador ou de previsão legal 19.
A definição de quem é o controlador e o operador em cada caso é
imprescindível, no entanto, pode ser muito complexo devido a evolução da
tecnologia da informação e a tendência cada vez maior de entidades proverem
serviços multidisciplinares e, portanto, se confundindo facilmente as figuras do
operador e controlador.
O encarregado, por sua vez, é a versão da LGPD da figura do Data Protection
Officer (DPO), sendo seu papel, inicialmente, atuar como canal de comunicação
entre controlador ou o operador e a Autoridade Nacional de Proteção de dados
(ANPD), mas é responsável, também por aceitar reclamações e comunicações dos
titulares, prestar esclarecimentos e adotar providências; receber comunicações da
ANPD e adotar providências; orientar os funcionários e os contratados da entidade a
18
VAINZOF, Rony. LGPD – Capítulo I, Disposições Preliminares. In: LGPD: Lei Geral de Proteção
de Dados comentada [livro eletrônico] / coordenadores Viviane Nóbrega Maldonado e Renato Opice
Blum. – 2. ed. rev., atual. e ampl. – São Paulo: Thomson Reuters Brasil, 2020, p. 96
19
Ibidem
respeito das práticas a serem tomadas em relação à proteção de dados pessoais,
entre outras funções20.
CONSENTIMENTO DO TITULAR
20
Ibidem
21
Art. 5º Para os fins desta Lei, considera-se: [...] X - tratamento: toda operação realizada com dados
pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
22
Art. 5º [...] XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
23
CAVALCANTI SANTOS, op. cit, p. 360
24
ibidem
Sendo o consentimento a regra e linha geral de conduta da qual devem se
pautar os agentes de tratamento, no entanto, há exceções em que o tratamento de
dados pessoais pode acontecer sem a necessidade consentimento expresso: para o
cumprimento de obrigação legal ou regulatória pelo controlador; quando necessário
à execução de contrato ou de procedimentos preliminares relacionados a contrato
do qual seja parte o titular, a pedido do titular dos dados; para o exercício regular de
direitos em processo judicial, administrativo ou arbitral; para a proteção da vida do
titular ou de terceiro; quando necessário para atender aos interesses legítimos do
controlador ou de terceiro; para a proteção do crédito, inclusive quanto ao disposto
na legislação pertinente25.
25
VAINZOF, op. cit, 2018 p.25
26
Art. 7º [...] XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador
que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às
liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de
mitigação de risco;
27
VAINZOF, op. cit, p. 117
comunicação ou difusão e; a prevenção com a adoção de medidas para prevenir a
ocorrência de danos em virtude do tratamento de dados pessoais 28.
Sendo um instrumento preponderantemente de governança e de diminuição
de riscos, o RIPD deve ser realizado antes do início do tratamento, mas com uma
visão completa de todo o ciclo de vida dos dados, de forma que possibilite que o
controlador enxergue claramente quais serão os principais fatores que poderão
influenciar na tomada de decisão29.
O RIPD deverá conter a descrição dos tipos de dados coletados, a
metodologia utilizada para a coleta e para a garantia da segurança das informações
e a análise do controlador com relação a medidas, salvaguardas e mecanismos de
mitigação de risco adotados30.
28
Ibid, p. 118
29
Ibidem
30
VAINZOF, op. cit, p. 118
31
LIMA, Lindamaria. Importância do ciclo de vida do dado pessoal na LGPD. Disponível em:
https://tripla.com.br/importancia-do-ciclo-de-vida-do-dado-pessoal-na-lgpd/ Acesso em: 25 mai. 2022
32
Ibidem
33
Ibidem
Adiante, o armazenamento, fase em que se guardam os dados em local que
possa ser resgatado ou futuramente usado pelo agente de tratamento, sendo a partir
daqui que se traça como será feito o uso e compartilhamento 34.
Nas etapas do uso e compartilhamento ocorre o efetivo uso do coletado, para
a finalidade previamente colocada e exibida ao titular dos dados 35.
A penúltima fase seria o do arquivamento, isto é, guardar o dado que já fora
utilizada para a finalidade delimitada, de forma a ser facilmente resgatada
futuramente, até caso vir a surgir nova finalidade 36.
Por fim, contando que o dado não tenha sido reutilizado, ele se torna obsoleto
quando a finalidade foi alcançada ou os dados não são mais necessários pra essa
mesma finalidade e, portando, devendo ser destruído – destruição aqui
compreendida, conforme versa o art. 15 da LGPD 37, não só no descarte, mas
também da desvinculação da informação da origem da coleta, ou mesmo de quando
o agente de tratamento tiver violado disposto na LGPD e ter recebido ordem da
ANPD para a destruição38.
34
Ibidem
35
Ibidem
36
Ibidem
37
Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses: I - verificação
de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao
alcance da finalidade específica almejada; II - fim do período de tratamento; III - comunicação do
titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º
do art. 8º desta Lei, resguardado o interesse público; ou IV - determinação da autoridade nacional,
quando houver violação ao disposto nesta Lei.
38
LIMA, op. cit., p. 119
Um dos motivos do veto do texto original e adiando a criação da ANPD foi por
motivação orçamentária, algo facilmente perceptível no contexto político, dada a
crise econômica que passava o país no ano de 2018 40, além de se perceber na MP e
posterior Lei a inserção dos termos “sem aumento de despesa” no artigo 55-A 41 e
pelo rol de formas de constituição de receitas do artigo 55-L 42.
Entre as principais competências da ANPD citam-se: a) fiscalização e
aplicação de sanções caso verificado o tratamento em discordância dos ditames da
LGPD, através de processo administrativo; b) apreciar petições de titular de dados
em face do controlador; c) promoção do conhecimento das diretrizes da LGPD e de
impulsionar políticas públicas sobre proteção de dados pessoais e demais medidas
de segurança; d) incentivar a criação de padrões para serviços e produtos que
facilitem o exercício de controle dos titulares sobre seus dados pessoais; e) edição
de regulamentos sobre proteção de dados, e sobre relatórios de impacto à proteção
de dados pessoais para os casos em que o tratamento significar elevado risco à
garantia dos princípios da LGPD; f) deliberação, na seara administrativa, sobre a
interpretação da LGPD; g) dialogar com outros órgãos da Administração pública
para exercer suas competências em áreas específicas de atividades econômicas
governamentais sujeitas à regulação e; h) implementação de ferramentas
simplificadas para o registro de eventuais reclamações por parte de agentes de
tratamento (pessoa pública ou privada) que atue em divergência dos ditames da
LGPD43.
Conforme versa o artigo 55-C, a ANPD é composta por um Conselho Diretor,
formada por cinco diretores; órgão consultivo, que é o Conselho Nacional de
Proteção de Dados Pessoais e da Privacidade, composto por 23 representantes,
39
GUTIERREZ, Andriei. LGPD – Capítulo IX - Da Autoridade Nacional de Proteção de Dados (ANPD)
e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade In: LGPD: Lei Geral de
Proteção de Dados comentada [livro eletrônico] / coordenadores Viviane Nóbrega Maldonado e
Renato Opice Blum. – 2. ed. rev., atual. e ampl. – São Paulo: Thomson Reuters Brasil, 2020, p. 444
40
GUTIERREZ, op. cit, p. 445
41
Art. 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados
(ANPD), órgão da administração pública federal, integrante da Presidência da República
42
Art. 55-L. Constituem receitas da ANPD: I - as dotações, consignadas no orçamento geral da
União, os créditos especiais, os créditos adicionais, as transferências e os repasses que lhe forem
conferidos; II - as doações, os legados, as subvenções e outros recursos que lhe forem destinados; III
- os valores apurados na venda ou aluguel de bens móveis e imóveis de sua propriedade; IV - os
valores apurados em aplicações no mercado financeiro das receitas previstas neste artigo; [...] VI - os
recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou
empresas, públicos ou privados, nacionais ou internacionais; VII - o produto da venda de publicações,
material técnico, dados e informações, inclusive para fins de licitação pública
43
PORTAL GET PRIVACY. O que é a ANPD e quais são as suas funções. Disponível em:
https://getprivacy.com.br/anpd-o-que-e Acesso em: 25 mai. 2022.
incluindo membros da sociedade civil; órgãos de assistência direta e imediata ao
conselho diretor, que são a Secretaria-Geral, Coordenação-Geral de Administração
e a Coordenação-Geral de Relações Institucionais e Internacionais; órgãos
seccionais, formado por corregedoria, ouvidoria e assessoria jurídica e; os órgãos
específicos singulares, formado pela coordenação-geral de normatização,
coordenação-geral de fiscalização e a coordenação-geral de tecnologia e pesquisa 44.
Enfim, as sanções administrativas estão dispostas no art. 52 da LGPD 45, tanto
na forma de sanção pecuniária quanto de caráter disciplinar, ou mesmo para cercear
o funcionamento do agente de tratamento que violar as diretrizes da LGPD.
As sanções só podem ser imputadas após processo administrativo regular,
com ampla defesa e contraditório, e quando o processo mostrar o ato passível de
sanção, está se dará tendo por base critérios previstos na LGPD, como a
cooperação do infrator e a velocidade no cumprimento de medidas corretivas e de
implementação de mecanismos internos para o regular tratamento dos dados 46.
CONCLUSÃO
44
Ibidem
45
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas
nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I -
advertência, com indicação de prazo para adoção de medidas corretivas; II - multa simples, de até 2%
(dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no
Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta
milhões de reais) por infração; III - multa diária, observado o limite total a que se refere o inciso II; IV -
publicização da infração após devidamente apurada e confirmada a sua ocorrência; V - bloqueio dos
dados pessoais a que se refere a infração até a sua regularização; VI - eliminação dos dados
pessoais a que se refere a infração; [...]X - suspensão parcial do funcionamento do banco de dados a
que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a
regularização da atividade de tratamento pelo controlador [...]XI - suspensão do exercício da atividade
de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses,
prorrogável por igual período; [...]XII - proibição parcial ou total do exercício de atividades
relacionadas a tratamento de dados
46
PORTAL GET PRIVACY. Op. cit.
Lei que buscou se preparar para a regulação de assunto cada vez mais sensível que
é o tratamento de dados, mas também pelas próprias respostas do mercado.
Isto é, vê-se a resposta do mercado tanto na forma de cursos, workshops,
entre outros, para que as empresas se adequem à nova Lei, como também, em
estágio posterior, no fato das empresas preparadas fazerem disso um diferencial de
marketing, geralmente promovendo o fato de que os dados do cliente estarão sob
boas mãos e que sua privacidade será respeitada.
REFERÊNCIAS
CAVALCANTI, Natália Peppi; SANTOS, Luiza Mendonça da Silva Belo. A Lei Geral
de Proteção de Dados no Brasil na Era do Big Data. In: FERNANDES, Ricardo
Vieira de Carvalho; CARVALHO, Angelo Gamba Prata de (Coord.). Tecnologia
jurídica & direito digital: II Congresso Internacional de Direito, Governo e
Tecnologia – 2018. Belo Horizonte: Fórum, 2018. 488p. ISBN 978-85-450-0584-1
VAINZOF, Rony. LGPD – Capítulo I, Disposições Preliminares. In: LGPD: Lei Geral
de Proteção de Dados comentada [livro eletrônico] / coordenadores Viviane
Nóbrega Maldonado e Renato Opice Blum. – 2. ed. rev., atual. e ampl. – São Paulo:
Thomson Reuters Brasil, 2020, p. 50