De acordo com a ANPD, existem muitos temas e questões a serem esclarecidas sobre a LGPD.
Neste post, repercutiremos sobre as questões básicas da LGPD, descritas no site da ANPD (https://www.gov.br/anpd/pt-br/acesso-a-informacao/perguntas-frequentes-2013-anpd), e comentaremos os aspectos principais de cada tópico.
1. SOBRE A LGPD
1. Lei Geral de Proteção de Dados Pessoais (LGPD)
1.1 - Do que trata a Lei Geral de Proteção de Dados pessoais – LGPD?
A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n. 13.709, de 2018) dispõe sobre o tratamento de dados pessoais das pessoas naturais, definindo as hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e estabelecendo mecanismos para proteger os titulares dos dados contra usos inadequados.A Lei é aplicável ao tratamento de dados realizado por pessoas naturais ou por pessoas jurídicas de direito público ou privado, e tem, conforme o art 1º, o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
1.2 - Como a legislação de proteção de dados pessoais pode ajudar o Brasil?
A LGPD tem por objetivo proteger os direitos fundamentais relacionados à esfera informacional do cidadão. Assim, a Lei introduz uma série de novos direitos que asseguram maior transparência quanto ao tratamento dos dados e conferem protagonismo ao titular quanto ao seu uso.A aprovação da LGPD e a criação da Autoridade Nacional de Proteção de Dados – ANPD representam também importantes passos para colocar o Brasil no mesmo patamar de muitos outros países que já aprovaram leis e estruturas institucionais dessa natureza. A constituição de um ambiente jurídico voltado à proteção de dados pessoais corresponde também ao alinhamento com diretrizes da Organização para a Cooperação e Desenvolvimento Econômico – OCDE, que há décadas vem desempenhando um relevante papel na promoção do respeito à privacidade como um valor fundamental e como um pressuposto para o livre fluxo de dados.Do ponto de vista dos agentes de tratamento de dados, sejam empresas ou o próprio poder público, a LGPD traz a oportunidade de aperfeiçoamento das políticas de governança de dados, com adoção de regras de boas práticas e incorporação de medidas técnicas e administrativas que mitiguem os riscos e aumentem a confiança dos titulares dos dados na organização.Com isso, a LGPD pretende aumentar o controle do cidadão quanto aos seus dados pessoais, a transparência e a segurança jurídica, além de elevar o nível de maturidade, ética e competitividade de nossas organizações.
1.3 - Quando a LGPD entrou em vigor?
A Lei entrou em vigor de maneira escalonada:
Em 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam da constituição da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPD;
Em 18 de setembro de 2020, quanto aos demais artigos da Lei, com exceção dos dispositivos que tratam da aplicação de sanções administrativas; e
Em 1º de agosto de 2021, quanto aos arts. 52, 53 e 54, que tratam das sanções administrativas.
2. Dados pessoais
2.1 - O que são dados pessoais?
A LGPD adota, no art. 5º, inciso I, um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável.
Assim, além de informações básicas de identificação, a exemplo de nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que estejam relacionados com uma pessoa natural, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade.
Segundo art. 12, § 2º, da LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
2.2 - O que são dados pessoais sensíveis?
Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionados aos aspectos mais íntimos da personalidade de um indivíduo. Assim, de acordo com o art 5º, II, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
2.3 - Quais dados são protegidos pela LGPD?
A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei.
2.4 - O que é tratamento de dados pessoais, de acordo com a LGPD?
Segundo a LGPD, no art. 5º, X, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
2.5 - Em que hipóteses pode ser realizado o tratamento de dados pessoais?
De acordo com a LGPD, o tratamento de dados pessoais pode ser realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas na Lei, como aquelas constantes em seu artigo 7o ou, no caso de dados pessoais sensíveis, as hipóteses previstas no artigo 11.
Vale notar, conforme o art. 7º, § 4º, que a LGPD é aplicável também aos dados cujo acesso é público e àqueles tornados manifestamente públicos pelos titulares, resguardando-se a observância dos princípios gerais e dos direitos dos titulares previstos na Lei.
2.6 - Quais são as bases legais para o tratamento de dados pessoais?
O tratamento de dados pessoais poderá ser realizado em qualquer uma das seguintes hipóteses indicadas na LGPD, como é o caso das previstas no art 7º:
Mediante o fornecimento de consentimento pelo titular;
Para o cumprimento de obrigação legal ou regulatória pelo controlador;
Para a execução de políticas públicas, pela administração pública;
Para a realização de estudos por órgão de pesquisa;
Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; e
Para a proteção do crédito.
As bases legais para o tratamento de dados pessoais sensíveis estão previstas no art. 11 da LGPD. Já no caso de transferência internacional de dados pessoais, é necessário atender às hipóteses legais indicadas no art. 33.
3. Autoridade Nacional de Proteção de Dados (ANPD)
3.1 - O que é a Autoridade Nacional de Proteção de Dados Pessoais - ANPD?
A ANPD é uma autarquia de natureza especial, vinculada ao Ministério da Justiça e Segurança Pública, responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil.
3.2 - Qual é o papel da Autoridade Nacional de Proteção de Dados – ANPD?
A missão institucional da ANPD é assegurar a mais ampla e correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos.O art. 55-J da LGPD estabelece as principais competências da ANPD, dentre as quais se destacam as seguintes:
Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD;
Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à Lei;
Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;
Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD.
3.3 - Quando a ANPD foi criada?
A ANPD foi criada pela Medida Provisória n. 869, de 27 de dezembro de 2018, posteriormente convertida na Lei n. 13.853, de 14 de agosto de 2019.Por sua vez, o Decreto 10.474, de 26 de agosto de 2020, aprovou a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da ANPD, com entrada em vigor na data de publicação da nomeação do Diretor-Presidente da ANPD no Diário Oficial da União, ocorrida em 06 de novembro de 2020, quando, então, a ANPD efetivamente iniciou suas atividades.
3.4. - Qual é a estrutura da ANPD?
Nos termos do art. 55-C da LGPD e do art. 3º do Anexo I do Decreto nº 10.474/2020, a ANPD possui a seguinte composição:
I - Órgão máximo de Direção: Conselho Diretor;
II - Órgão consultivo: Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
III - Órgãos de assistência direta e imediata ao Conselho Diretor:
a) Secretaria-Geral;
b) Coordenação-Geral de Relações Institucionais e Internacionais;
IV - Órgãos seccionais:
a) Corregedoria;
b) Ouvidoria;
c) Procuradoria-Federal Especializada;
d) Coordenação-Geral de Administração; e,
e) Coordenação Geral de Tecnologia da Informação;
V - Órgãos específicos singulares:
a) Coordenação-Geral de Normatização;
b) Coordenação-Geral de Fiscalização; e,
c) Coordenação-Geral de Tecnologia e Pesquisa.
3.5- A ANPD é uma autoridade independente?
A ANPD possui algumas características institucionais que lhe conferem maior independência, tais como a autonomia técnica e decisória e o mandato fixo dos Diretores.
Importante destacar que a ANPD foi criada como um órgão da administração pública federal direta. Entretanto, já se previa que sua natureza jurídica seria transitória e que poderia ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial, o que ocorreu em 2022, por meio da Medida Provisória nº 1.134, convertida na Lei nº 14.460, de 25 de outubro de 2022.
3.6 - A ANPD pode aplicar sanções pelo descumprimento da Lei?
Cabe lembrar, em primeiro lugar, que os dispositivos da LGPD que tratam de sanções administrativas somente entraram em vigor em 1º de agosto de 2021. A ANPD pode aplicar, segundo o art. 52, após procedimento administrativo que possibilite a ampla defesa, as seguintes sanções administrativas:
Advertência, com indicação de prazo para adoção de medidas corretivas;
Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
Multa diária, observado o limite total a que se refere o inciso II;
Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
Eliminação dos dados pessoais a que se refere a infração;
Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
O Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados foi aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, e estabelece os procedimentos de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador pela ANPD.A LGPD determina, ainda, que a ANPD deverá editar regulamento próprio sobre sanções administrativas, que deverá ser objeto de consulta pública, contendo as metodologias que orientarão o cálculo do valor-base das sanções de multa. Tais metodologias devem ser previamente publicadas e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na LGPD.Nos termos da Lei, a aplicação de sanções requer, ainda, criteriosa apreciação e ponderação de inúmeras circunstâncias, dentre as quais a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, o grau do dano, a cooperação do infrator, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas.
3.7 - A Autoridade Nacional de Proteção de Dados Pessoais se articula com outras entidades e órgãos públicos no exercício das suas competências?
Sim. A ANPD deve se articular com outras entidades e órgãos públicos a fim de garantir o cumprimento de sua missão institucional, atuando como órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para a sua implementação. A LGPD determina, por exemplo, no art. 55-J, XXIII, que a ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com maior eficiência e promover o adequado funcionamento dos setores regulados. Da mesma forma, no art. 55-J, XXI, a LGPD determina que a ANPD deve comunicar às autoridades competentes as infrações penais das quais tiver conhecimento.
Nesse sentido, a ANPD já celebrou acordos de cooperação técnica com a Secretaria Nacional do Consumidor do Ministério da Justiça e da Segurança Pública, com o Conselho Administrativo de Defesa Econômica - CADE, com o Tribunal Superior Eleitoral – TSE, com a Agência Espanhola de Proteção de Dados e com o NIC.br. Clique aqui para consultar a íntegra dos acordos de cooperação técnica celebrados. A ANPD também desenvolve ações em cooperação com outros órgãos públicos com vistas à proteção dos dados pessoais dos titulares.
É importante observar que a aplicação das sanções previstas na LGPD compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública, conforme o art. 55-K.
3.8 - Qual é o perfil dos Diretores da ANPD? Como eles são escolhidos?
A LGPD determina, no art. 55-D, § 1º e § 2º, que o Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente. Os membros são escolhidos pelo Presidente da República e por ele nomeados, após aprovação pelo Senado Federal, e devem ser escolhidos dentre brasileiros que tenham reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados.
O mandato dos membros do conselho diretor será de 4 (quatro) anos. Para assegurar uma renovação gradual, apenas os mandatos da primeira diretoria terão durações diferentes, de 2 (dois), 3 (três), 4 (quatro), 5 (cinco) e 6 (seis) anos.
3.9 - Para que serve o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade - CNPD?
O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade é órgão de natureza consultiva que viabiliza a participação dos diferentes segmentos da sociedade na conformação do ambiente regulatório de proteção de dados pessoais. Suas principais atribuições, conforme o art. 58-B, são:
Propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
Elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
Sugerir ações a serem realizadas pela ANPD;
Elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade;
Disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população.
A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada, conforme o art. 58-A, § 4º.
3.10 - Como são escolhidos os membros do CNPD?
De acordo com o art. 58-A, o CNPD é composto por vinte e três representantes, titulares e suplentes, dos seguintes órgãos e entidades:5 (cinco) do Poder Executivo federal;1 (um) do Senado Federal;1 (um) da Câmara dos Deputados;1 (um) do Conselho Nacional de Justiça;1 (um) do Conselho Nacional do Ministério Público;1 (um) do Comitê Gestor da Internet no Brasil;3 (três) de entidades da sociedade civil com atuação relacionada a proteção de dados pessoais;3 (três) de instituições científicas, tecnológicas e de inovação; 3 (três) de confederações sindicais representativas das categorias econômicas do setor produtivo;2 (dois) de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais; e2 (dois) de entidades representativas do setor laboral. Os membros do CNPD e respectivos suplentes são designados pelo Presidente da República.As indicações dos membros representantes dos órgãos do Poder Executivo, do Poder Legislativo, do Conselho Nacional de Justiça, do Conselho Nacional do Ministério Público e do Comitê Gestor da Internet no Brasil devem ser submetidas pelos titulares dos órgãos ao Ministro de Estado Chefe da Casa Civil da Presidência da República.As demais indicações podem ser livremente apresentadas ao Conselho Diretor da ANPD pelas entidades representativas dos diferentes segmentos, no prazo de trinta dias, contado da data de publicação do edital de convocação no Diário Oficial da União. Após o recebimento das indicações, o Conselho Diretor constitui lista tríplice de titulares e suplentes para cada vaga, que é encaminhada ao Ministro de Estado Chefe da Casa Civil da Presidência da República para nomeação pelo Presidente da República.Os membros indicados por meio dessa sistemática possuem mandato de 2 (dois) anos, permitida 1 (uma) recondução.
A primeira composição do CNPD foi designada em 10 de agosto de 2021, e a lista dos respectivos membros encontra-se divulgada no site da ANPD. Clique aqui para consultá-la.
3.11 - Como ocorrerá a participação da sociedade nos trabalhos da ANPD?
Nos termos da LGPD, no art. 55-J, XIV, cabe à ANPD ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento. Ademais, os regulamentos e as normas editados pela ANPD devem ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório (art. 55-J, § 2º).
As ações realizadas até o momento estão disponíveis na página de Participação Social da ANPD.
Por fim, cabe recordar que o CNPD é a forma de participação institucionalizada dos diferentes grupos sociais na ANPD.
3.12- Como as ações de fiscalização da ANPD são definidas?
Conforme estabelecido na Resolução CD/ANPD Nº 1, emitida em 28 de outubro de 2021, a atividade de fiscalização terá por finalidade orientar, prevenir e reprimir as infrações à LGPD (art. 2º, §2º).
Nos termos do art. 17, o processo de fiscalização da ANPD deve observar, entre outras, as seguintes premissas:
priorização da atuação baseada em evidências e riscos regulatórios, com foco e orientação para o resultado;
atuação integrada e coordenada com órgãos e entidades da administração pública;
atuação de forma responsiva, com a adoção de medidas proporcionais ao risco identificado e à postura dos agentes regulados;
estímulo à conciliação direta entre as partes e priorização da resolução do problema e da reparação de danos pelo controlador, observados os princípios e os direitos do titular previstos na LGPD;
exigência de mínima intervenção na imposição de condicionantes administrativas ao tratamento de dados pessoais.
A atividade de fiscalização será organizada e planejada por meio de ciclos de monitoramento anuais e pela definição de temas prioritários a serem considerados pela ANPD por um período de dois anos, conforme previsto nos arts. 19 a 23 da Resolução CD/ANPD nº 1/2021. As conclusões obtidas nessa atividade direcionarão a estratégia de atuação orientativa, preventiva e repressiva, inclusive ao longo dos ciclos seguintes.
4. Regulamentação da LGPD
4.1 - Quando a ANPD editará os regulamentos previstos na LGPD?
De modo a planejar as ações regulatórias a partir da sua atual capacidade operacional (conforme estrutura aprovada por meio do Decreto nº 10.474, de 26 de agosto de 2020), bem como em atenção à regulação responsiva e ao aumento da participação social, a ANPD estabeleceu e publicou uma Agenda Regulatória para o biênio 2021-2022.
O documento, que apresenta a previsão de início do processo de regulamentação de vários temas, foi aprovado pela Portaria nº 11, de 27 de janeiro de 2021.
A Portaria mencionada prevê a possibilidade de alteração dos prazos previstos mediante deliberação do Conselho Diretor, conforme a conveniência e a oportunidade da ANPD.
Os normativos editados até o momento estão disponíveis na página de Documentos e Publicações da ANPD.
4.2 - Podem ser apresentados à ANPD propostas para estabelecimento de regulamento para setores ou atividades específicos?
A Agenda Regulatória elaborada pela ANPD não prevê a elaboração de normativos que tratem das particularidades de determinados setores ou atividades no primeiro biênio, o que não impede o recebimento de proposta neste sentido, que pode ser enviada por meio dos nossos canais de atendimento, ou a elaboração futura de guias e orientações.
As respectivas informações sobre os processos de regulamentação em curso serão devidamente disponibilizadas no sítio eletrônico da ANPD.
5. Adequação à LGPD
5.1. O que as empresas e o setor público precisam fazer para se adequar?
A LGPD estabelece uma série de providências que devem ser adotadas pelos agentes de tratamento, que incluem o mapeamento e o registro das operações de tratamento de dados pessoais que realizarem, incluindo a identificação das respectivas bases legais e finalidades; a adoção de medidas técnicas e administrativas e de processos e políticas internas que assegurem o cumprimento das normas de proteção de dados pessoais; e o estabelecimento de um canal de contato com os titulares de dados pessoais.
A Lei determina, no art. 41, que os controladores de dados devem indicar um Encarregado para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Em determinadas circunstâncias, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, a ANPD poderá estabelecer hipóteses de dispensa da necessidade de sua indicação (art. 41, § 3º).
A indicação do encarregado foi dispensada para agentes de tratamento de pequeno porte, hipótese na qual deve ser disponibilizado um canal de comunicação com o titular dos dados. Mais detalhes sobre essa dispensa podem ser conferidos na Resolução CD/ANPD nº 2, de 27 de janeiro de 2022.
5.2 - As pessoas físicas e jurídicas, públicas ou privadas, que realizam atividades de tratamento de dados pessoais terão de transferir para a ANPD seus bancos de dados?
Não será exigido que pessoas físicas ou jurídicas que realizam tratamento de dados transfiram para a ANPD seus bancos de dados. Cabe à ANPD fiscalizar e aplicar sanções quando o tratamento de dados ocorrer em desconformidade com a legislação de proteção de dados, mediante processo administrativo, com contraditório e ampla defesa.
5.3 - Como deve ser feita a indicação do encarregado pelo tratamento de dados pessoais?
Segundo o artigo 5º, inciso VIII, o encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
Nos termos no art. 41, o encarregado deve ser indicado pelo controlador e suas informações de contato deverão ser divulgadas publicamente de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
Não há, até o momento, previsão legal para que os dados do encarregado sejam encaminhados à ANPD. Também não consta na legislação, nem em orientações da ANPD, exigência para que o encarregado possua algum tipo de certificação profissional.
5.4 - Podem ser encaminhados à ANPD documentos a serem revisados e aprovados pela Autoridade?
Conforme suas atribuições legais, a ANPD poderá reconhecer e divulgar regras de boas práticas, o que não se confunde com validação individual de material informativo. Assim, documentos orientativos, tais como guias e manuais, elaborados por controladores ou operadores, individualmente ou por meio de associações não necessitam ser avaliados previamente pela ANPD.Quanto aos documentos com previsão legal de verificação por parte da ANPD, como, por exemplo, os mencionados no art. 35 da LGPD, importa mencionar que ainda não se encontram regulamentados os procedimentos que orientarão a atuação da Autoridade nesse tocante, motivo pelo qual ainda não estão sendo realizadas atividades nesse sentido.
5.5 - Por quanto tempo os dados pessoais podem ser tratados?
A LGPD não especifica um prazo durante o qual pode haver o tratamento dos dados pessoais, o que dependerá da circunstância e da finalidade do tratamento.
Nos termos do art. 15 da LGPD, o término do tratamento de dados pessoais deve ocorrer nas seguintes hipóteses:
verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
fim do período de tratamento;
comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público; ou
determinação da ANPD, quando houver violação ao disposto na LGPD.
Na incidência de qualquer uma das hipóteses acima, a Lei determina que os dados pessoais sejam eliminados, conforme consta em seu art. 16, mas autoriza a conservação para as seguintes finalidades:
cumprimento de obrigação legal ou regulatória pelo controlador;
estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou
uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Assim, se na situação concreta não houver a incidência de uma das finalidades autorizadas pela LGPD, os dados devem ser eliminados após o término do tratamento.
5.6 - Estão disponíveis Guias e outros materiais de referência elaborados pela ANPD para estudo e implementação da LGPD?
Até o momento, a ANPD publicou os seguintes documentos:
Guia Orientativo sobre Agentes de Tratamento e Encarregado, que busca estabelecer diretrizes não-vinculantes aos agentes de tratamento e explicar quem pode exercer a função do controlador, do operador e do encarregado; as definições legais; os respectivos regimes de responsabilidade; casos concretos que exemplificam as explicações da ANPD e as perguntas frequentes sobre o assunto;
Guia Orientativo sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte, para auxiliar os agentes de tratamento de pequeno porte a implementarem medidas de segurança da informação para a proteção dos dados pessoais tratados;
Guia Orientativo sobre a Aplicação da Lei Geral de Proteção de Dados Pessoais por agentes de tratamento no contexto eleitoral, elaborado em conjunto com o Tribunal Superior Eleitoral (TSE)., que apresenta uma série de orientações práticas sobre a aplicação da LGPD nas eleições de 2022, além de explicar e esclarecer sobre os aspectos obrigatórios da Lei no contexto eleitoral; e,
Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público, que busca delinear parâmetros para auxiliar entidades e órgãos públicos nas atividades de adequação e de implementação da LGPD.
Oportunamente, serão expedidos outros guias e materiais de referência sobre proteção de dados e implementação da LGPD;
As publicações, normas e outros links de interesse estão disponíveis na página de Documentos e Publicações da ANPD.
5.7 - Existem cursos ou certificações relativos à LGPD elaborados ou indicados pela ANPD?
Ainda não há capacitação formatada pela ANPD referente à aplicabilidade da LGPD, assim como não existem organizações credenciadas junto à Autoridade para oferta de cursos ou certificações.
As ações dirigidas à capacitação e à orientação dos agentes de tratamento e da sociedade quanto às normas de Proteção de Dados Pessoais encontram-se previstas no Planejamento Estratégico da ANPD.
As informações relativas às ações empreendidas e às orientações emitidas pela ANPD têm sido divulgadas no sítio eletrônico da Autoridade.
5.8 - É possível habilitar instituição para que seja reconhecida ou validada pela ANPD como prestadora de serviço sobre proteção de dados?
Não há iniciativas da ANPD destinadas ao reconhecimento ou à validação de organizações públicas ou privadas para a oferta de certificações de conformidade ou de serviços de assessoria e consultoria relativos à LGPD.
Até o momento, a ANPD também não firmou parceria nem credenciou instituições com essas finalidades.
5.9 - Qual o prazo para que o controlador atenda aos requerimentos dos titulares de dados?
A LGPD prevê que os direitos dos titulares indicados no art. 18 sejam exercidos por meio de requerimento expresso diretamente perante o agente de tratamento (art. 18, §3°).
A Lei também estabelece que os requerimentos do titular devem ser atendidos de imediato pelo controlador. Caso não seja possível, conforme art. 18, § 4º, o controlador deve enviar resposta ao titular em que poderá (i) comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou (ii) indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
Ainda no art. 18, §5º, a Lei estabelece que os requerimentos de titulares serão atendidos sem custos para o titular, nos prazos e nos termos previstos em regulamento, indicando que cabe à ANPD dispor sobre esses prazos em normativo específico.
Assim, o controlador deve adotar providência imediata para atendimento ao requerimento do titular, mas cabe à ANPD estabelecer, em norma própria, o prazo para resposta quando não houver possibilidade de atendimento imediato.
É necessário considerar ainda o disposto no art. 19 da LGPD, que menciona, particularmente, dois direitos: a confirmação de existência e o acesso a dados pessoais. Para esses direitos, a Lei estabelece duas possíveis formas de resposta ao titular: a primeira, por declaração em formato simplificado, com resposta imediata; e a segunda, por declaração completa, que deve ser fornecida em até 15 (quinze) dias.
Ao elaborar a norma que disporá sobre os prazos de resposta ao titular, a ANPD deverá considerar tanto as disposições do art. 18, quanto as do art. 19. Ainda, a Autoridade poderá dispor de forma diferenciada acerca dos prazos previstos no art. 19 para setores específicos, conforme previsto no art. 19, §4º, da LGPD.
Em relação aos agentes de tratamento de pequeno porte, a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, estabeleceu que será concedido prazo em dobro em situações específicas, inclusive no atendimento de solicitações de titulares referentes ao tratamento de seus dados pessoais, conforme disposto no art. 14.
Em relação ao poder público, a LGPD estabelece, nos termos do art. 23, §3°, que o exercício dos direitos do titular deve observar os prazos e os procedimentos estabelecidos em legislação específica, em especial as disposições constantes da Lei nº 9.507, de 12 de novembro de 1997 (Lei do Habeas Data), da Lei nº 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo), e da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).
Consulte aqui o conteúdo dos artigos 18 e 19 da LGPD.
6 - Direitos dos titulares de dados
6.1 - Quais são os direitos dos cidadãos com a entrada em vigor da LGPD?
A LGPD prevê, nos art. 18 e 20, uma ampla gama de direitos dos titulares de dados, dentre os quais podem ser destacados os seguintes:
acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva;
confirmação da existência de tratamento;
acesso aos dados;
correção de dados incompletos, inexatos ou desatualizados;
anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado;
peticionamento em relação aos seus dados contra o controlador, perante a ANPD e perante os organismos de defesa do consumidor;
oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD;
solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e
fornecimento, mediante solicitação, de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
6.2 - Como apresentar um requerimento à ANPD para reclamar da violação a direito de titular ou para denunciar infração à LGPD?
Em caso de violação a direito do titular ou de infração à LGPD, a ANPD poderá ser comunicada por meio de petição de titular ou de denúncia.
A petição de titular é a comunicação feita à ANPD pelo próprio titular de dados pessoais da ocorrência de violação de seus direitos por um controlador específico.
A petição de titular deve ser acompanhada de comprovação de que foi previamente submetida ao controlador e não solucionada no prazo estabelecido em regulamentação, admitida a autodeclaração do titular quando não for possível apresentar outro meio de prova.
Como exemplo de situação que pode ser objeto de petição de titular, pode ser mencionada a hipótese de não atendimento pelo controlador de solicitação apresentada pelo titular para correção e eliminação de dados pessoais ou para revogação do consentimento.
Por sua vez, as denúncias são as comunicações feitas à ANPD por qualquer pessoa, natural ou jurídica, de suposta infração cometida contra a legislação de proteção de dados pessoais do País, que não seja uma petição de titular.
Assim, as denúncias de descumprimento da LGPD possuem a característica de não se relacionarem necessariamente a uma situação específica de determinado titular de dados pessoais.
Como exemplos de situações que podem ser denunciadas, podem ser mencionados o repasse indevido de dados pessoais de clientes a terceiros; a realização de acessos não autorizados a dados pessoais; e a ausência de comunicação à ANPD, por parte do controlador, quanto à ocorrência de incidente de segurança que envolva dados pessoais que possa acarretar risco ou dano relevante aos titulares.
Para o envio à ANPD de requerimentos que se enquadrem nas situações mencionadas acima, deve ser utilizado o Peticionamento Eletrônico do Sistema SUPER, seguindo as informações disponíveis em Peticionamento Eletrônico. Utilizar os tipos de processo "ANPD - Petição de titular" ou "ANPD - Denúncia LGPD".
6.3 - Como ocorre o tratamento dos requerimentos recebidos pela ANPD?
Conforme definido no art. 26 da Resolução CD/ANPD Nº 1, de 2021, normalmente,as petições de titulares e as denúncias de descumprimento da LGPD recebidas pela ANPD são analisadas de forma agregada pela Coordenação-Geral de Fiscalização, e as eventuais providências delas decorrentes são adotadas de forma padronizada
Assim, não há necessariamente um tratamento individualizado desses requerimentos. Eles são considerados, contudo, para a seleção dos temas que serão selecionados nos ciclos de fiscalização.
6.4 - Quais providências podem ser adotadas pelo titular de dados no caso de recebimento de chamadas telefônicas frequentes oferecendo serviços ou produtos?
Além das ações previstas no item 6.2, sugere-se o cadastramento do número telefônico no site www.naomeperturbe.com.br, iniciativa criada a partir de uma determinação da Agência Nacional de Telecomunicações (Anatel) com o objetivo de evitar a oferta de produtos e serviços por meio de contatos telefônicos provenientes exclusivamente das Prestadoras de Serviços de Telecomunicações e de Instituições Financeiras.
6.5 – O titular de dados pode solicitar que a ANPD interfira na gestão de contas ou de perfis em redes sociais?
A gestão de contas ou de perfis em plataformas de mídias sociais, de aplicativos de mensageria ou de demais aplicações de internet segue normas do Marco Civil da Internet (Lei n° 12.965, de 23 de abril de 2014) e das Políticas de Privacidade e dos Termos de Uso de cada provedor responsável pelas aplicações.
Nesse sentido, situações que envolvem, por exemplo, decisões unilaterais dos provedores de excluir, de cancelar ou de suspender contas ou perfis de usuários se submetem às regras estabelecidas nas referências mencionadas acima.
Caso o interessado se sinta prejudicado por alguma tratativa realizada nesse contexto, recomenda-se que busque solução junto à própria empresa responsável.
As situações citadas acima como exemplo não são equivalentes às operações de tratamento de dados pessoais previstas na LGPD e, portanto, não fazem parte da esfera de atuação da ANPD. No entanto, caso haja alguma circunstância relacionada diretamente ao tratamento de dados pessoais por parte dos gestores das aplicações de internet, como por exemplo a negativa de eliminação ou de correção de dados pessoais, o titular pode apresentar uma petição à ANPD, conforme orientações constantes no item 6.2.
Em relação ao hackeamento de contas, sugere-se que seja realizada denúncia, por meio de boletim de ocorrência, perante a autoridade policial competente, para viabilizar a apuração.
6.6 – Em quais situações o direito do titular de ter os seus dados pessoais eliminados pode ser exercido?
O art. 15 da LGPD estabelece, entre outras hipóteses, que quando houver solicitação do titular, inclusive no exercício do seu direito de revogação do consentimento, deve ocorrer o término do tratamento dos seus dados pessoais. Nessa situação, a Lei também prevê que o interesse público deve ser resguardado.
Na ocorrência de qualquer uma das hipóteses previstas no art. 15, a Lei determina que os dados pessoais sejam eliminados, conforme consta em seu art. 16, mas autoriza a conservação para as seguintes finalidades:
cumprimento de obrigação legal ou regulatória pelo controlador;
estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou
uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Assim, mediante o pedido do titular, caso as hipóteses legais de conservação mencionadas acima (art. 16 da LGPD) não estejam presentes, o controlador deve realizar a eliminação dos dados pessoais.
Caso o titular verifique que o exercício do seu direito foi negado indevidamente, pode apresentar petição contra o controlador à ANPD, conforme orientações e observações constantes nos itens 6.2 e 6.3.
7. Vazamento de dados e fraudes
7.1 - Sobre vazamento de dados de brasileiros, quais as informações e orientações emitidas pela ANPD?
As considerações da ANPD a respeito do vazamento de dados dos brasileiros podem ser consultadas em notícia disponível no nosso sítio eletrônico: https://www.gov.br/anpd/pt-br/assuntos/noticias/meus-dados-vazaram-e-agora
No link indicado acima constam informações acerca das medidas que estão sendo adotadas no âmbito da ANPD sobre o assunto, bem como orientações aos titulares de dados.
A ANPD também elaborou, em parceria com o Núcleo de Informação e Coordenação do Ponto BR – NIC.br, dois fascículos da Cartilha de Segurança para Internet, destinados a orientar a população quanto à proteção de dados, aos direitos dos titulares e sobre como proceder para minimizar os riscos decorrentes de possíveis vazamentos de dados.
Os materiais podem ser acessados nos links abaixo:
7.2 - A ANPD investiga situações de possíveis fraudes com a utilização de dados pessoais?
Constituem crimes casos em que ocorrem fraudes com o propósito de prejudicar os titulares ou de obter recursos ou vantagens indevidas com a utilização de seus dados pessoais e devem ser investigados pelas autoridades policiais.
Situações comuns incluem, por exemplo, envio de boletos falsos, clonagem de cartões de crédito e de débito, realização de empréstimos e contratação de serviços. Também podem ser citadas invasões de contas privadas, tais como contas bancárias, contas de e-mails ou contas em plataformas sociais.
Nesses casos, é importante que o titular entre em contato com a instituição financeira ou a empresa prestadora do serviço para que a informe do ocorrido e, conforme o caso, para que sejam adotadas as medidas necessárias para diminuir ou eliminar os danos.
Ainda, a depender da situação, o titular deve formalizar denúncia, por meio de boletim de ocorrência, perante a autoridade policial competente para viabilizar a apuração e resguardar-se.
No que se refere à ANPD, conforme suas atribuições legais, o órgão não realiza especificamente investigação de crimes, mas de infrações administrativas, podendo aplicar aos infratores as sanções previstas na LGPD.
Comments