A lei foi sancionada em cerimônia no Palácio do Planalto foi chamado pelos parlamentares de “marco legal de proteção, uso e tratamento” de informações e em referência a sua similaridade à GDPR europeia, foi apelidada pelos especialistas de LGPD – Lei Geral de Proteção de Dados .

A lei determina que o uso dos dados exige consentimento do titular, que deve ter acesso às informações mantidas por uma empresa e que as informações classificadas como pessoais requerem proteção adequada de forma a manter o sigilo e a privacidade de seu proprietário, requerendo para isto diversas medidas técnicas de proteção, mas também, como reforça Edson Fontes em seu post no linkedin, requer segundo o seu Art 6º, Art. 46º e Art 50º que seja instituído um processo organizacional efetivo e plano que envolvam a conscientização de profissionais, colaboradores e de todos os envolvidos no processo.

O texto da lei de proteção de dados pessoais tem como fundamentos:

  • I – o respeito à privacidade;
  • II – a autodeterminação informativa;
  • III – a liberdade de expressão, de informação, de comunicação e de opinião;
  • IV – a inviolabilidade da intimidade, da honra e da imagem;
  • V – o desenvolvimento econômico e tecnológico e a inovação;
  • VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e
  • VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

 

Dados privado

Para efeitos da lei no Art. 5º  considera-se:

  • I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
  • IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
  • V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • VIII – encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional;
  • IX – agentes de tratamento: o controlador e o operador;
  • X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • XI – anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
  • XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
  • XIII – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
  • XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
  • XV – transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
  • XVI – uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
  • XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
  • XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
  • XIX – autoridade nacional: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.

Requisitos para tratamento de dados

No Capítulo II Sessão I  é definido os Requisitos para o Tratamento de Dados Pessoais

  • Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
  • I – mediante o fornecimento de consentimento pelo titular;
  • II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
  • IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  • VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
  • IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Dados sensíveis

O capítulo II Sessão II é definido o Tratamento de Dados Pessoais Sensíveis

  • Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
  • I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
  • II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
  • a) cumprimento de obrigação legal ou regulatória pelo controlador;
  • b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  • c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  • d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  • e) proteção da vida ou da incolumidade física do titular ou de terceiro;
  • f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
  • g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Fontes: Linkedin & LGPD Blog Minuto da Segurança