ITEMM

Faq LGPD

DÚVIDAS FREQUENTES SOBRE A LGPD

Veja aqui as perguntas mais frequentes selecionadas pelo ITEMM sobre a Lei Geral de Proteção de Dados (LGPD)

Desde a vigência da Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD) o INSTITUTO TÉCNICO EDUCACIONAL MIRIAN MENCHINI (ITEMM) vem realizando sua jornada contínua de adequação e conformidade, com a adoção de novos processos internos, políticas e boas práticas.  Essas medidas refletem a preocupação do ITEMM com a privacidade dos dados e segurança da informação que são importantes pilares para nessa jornada de adequação. Dessa forma, disponibilizamos aos titulares uma compilação das perguntas mais frequentes sobre a Lei Geral de Proteção de Dados para que possa entender de forma simples todos os principais conceitos importantes da LGPD:

FAQ LGPD

A Lei Geral de Proteção de Dados, também conhecida como LGPD, é a Lei nº. 13.709, de 2018, que dispõe sobre o tratamento de dados pessoais das pessoas naturais, definindo as hipóteses em que tais dados podem legitimamente ser utilizados por Empresas e Organizações, sejam elas públicas, privadas ou Instituições do Terceiro Setor, estabelecendo mecanismos para proteger os titulares dos dados contra usos inadequados e criando uma série de obrigações para as empresas. A LGPD é aplicável aos dados de pessoas naturais e deve ser cumprida por pessoa natural e entidades públicas ou privadas, independentemente do país de sua sede ou de onde os dados estejam localizados, que realizem qualquer operação de tratamento de dados pessoais, tais como a coleta, armazenamento e compartilhamento de dados com terceiros, desde que esse tratamento (i) seja realizado no território nacional, (ii) tenha por objeto a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional, ou, ainda, (iii) quando os dados pessoais tiverem sido coletados em território nacional.

A LGPD tem por objetivo proteger os direitos fundamentais relacionados à esfera informacional do cidadão. Assim, a Lei introduz uma série de novos direitos que asseguram maior transparência quanto ao tratamento dos dados e confere protagonismo ao titular quanto ao seu uso. Do ponto de vista dos agentes de tratamento de dados, sejam empresas ou o próprio poder público, a LGPD traz a oportunidade de aperfeiçoamento das políticas de governança de dados, com adoção de regras de boas práticas e incorporação de medidas técnicas e administrativas que mitiguem os riscos e aumentem a confiança dos titulares dos dados na organização.

A lei entrou em vigor de maneira escalonada:

  •   Em 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam da constituição da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD).
  •   Em 18 de setembro de 2020, quanto aos demais artigos da lei, com exceção dos dispositivos que tratam da aplicação de sanções administrativas;
  •   Em 1º  de agosto de 2021, quanto aos arts. 52. 53 e 54, que tratam das sanções administrativas.

Hoje a LGPD já está plenamente em vigor e suas sanções administrativas já são passíveis de aplicação.

É a pessoa natural a quem se referem os dados pessoais que são objetos de coleta e tratamento.  

 

  •  

Para a LGPD, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A LGPD adota um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável. Assim, além das informações básicas relativas ao nome, número de inscrição no RG ou no CPF e endereço residencial, são também considerados dados pessoais outros dados que permitam a identificação de um indivíduo, tais como a orientação sexual, a filiação político-partidária, o histórico médico e também aqueles referentes aos aspectos biométricos do indivíduo.

Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionados aos aspectos mais íntimos da personalidade de um indivíduo. Assim, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a um indivíduo.

A LGPD classifica os dados biométricos como dados pessoais sensíveis, prevendo ainda mais rigor nos critérios aplicáveis ao seu tratamento. Nesses casos o tratamento poderá ser realizado sem o consentimento do titular quando se tratar de hipóteses que abrangem o cumprimento de obrigação legal ou regulatória e a prevenção à fraude e à segurança do titular, dentre outras.

A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados das pessoas jurídicas, visto que esses dados não são considerados dados pessoais para os efeitos da Lei.

 

  1. Quais são os principais atores no tratamento de dados pessoais de acordo com a LGPD?

São três: o controlador, o operador e o encarregado de proteção de dados/DPO

  • O controlador é pessoa natural ou jurídica de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;
  • O operador é pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • O encarregado de proteção de dados/DPO é a pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

Com a entrada em vigor da LGPD, o tratamento de dados pessoais pode ser realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas em seu artigo 7º ou, no caso de dados pessoais sensíveis, de uma das hipóteses previstas no artigo 11. Existem dez bases legais distintas para o tratamento de dados pessoais e oito bases legais que legitimam o tratamento de dados pessoais sensíveis. A LGPD é aplicável também aos dados cujo acesso é público e àqueles tornados manifestamente públicos pelos titulares, resguardando-se a observância dos princípios gerais e dos direitos dos titulares previstos na Lei.

O tratamento de dados pessoais (não sensíveis) poderá ser realizado em qualquer uma das seguintes hipóteses, previstas no art. 7º da LGPD:

Mediante o fornecimento de consentimento pelo titular;
Para o cumprimento de obrigação legal ou regulatória pelo controlador;
Para a execução de políticas públicas, pela administração pública;
Para a realização de estudos por órgão de pesquisa;
Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
Para a proteção do crédito.

A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados das pessoas jurídicas, visto que esses dados não são considerados dados pessoais para os efeitos da Lei.

 

  1. Quais são os principais atores no tratamento de dados pessoais de acordo com a LGPD?

São três: o controlador, o operador e o encarregado de proteção de dados/DPO

  • O controlador é pessoa natural ou jurídica de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais;
  • O operador é pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • O encarregado de proteção de dados/DPO é a pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

A LGPD prevê uma ampla gama de direitos dos titulares de dados, dentre os quais podem ser destacados os seguintes:

  • acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva;
  • confirmação da existência de tratamento;
  • acesso aos dados;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
  • portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
  • informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  •  revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado;
  • peticionamento em relação aos seus dados contra o controlador, perante a autoridade nacional e perante os organismos de defesa do consumidor;
  • oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD;
  • solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e fornecimento, mediante solicitação, de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

A LGPD traz alguns princípios que devem ser respeitados no tratamento de dados pessoais: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

De acordo com a lei é considerado compartilhamento de dados toda comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

Se o tratamento de dados não acontecer como previsto na lei, os controladores serão responsabilizados. Caso o operador não tenha cumprido ordens passadas pelo controlador ou falhe na segurança dos dados, este também pode ser penalizado.

A fiscalização referente à LGPD será realizada primariamente pela Autoridade Nacional de Proteção de Dados (ANPD). Este órgão foi criado para fiscalizar o cumprimento da lei, zelar pela proteção de dados pessoais, elaborar diretrizes e também aplicar as sanções em casos de irregularidades.  Ademais, o Ministério Público continua competente para lidar com a questão no que tange os direitos difusos dos cidadãos. A Instituição também poderá receber requerimentos e solicitações dos titulares de dados e de outros órgãos fiscalizadores, tais como PROCON, SENACON e dos entes parceiros.

A penalidade imposta irá depender da avaliação da ANPD, mas pode ser uma advertência, a determinação da publicação e divulgação da infração cometida, o bloqueio ou eliminação dos dados que sofreram violações e também multas simples e/ou diárias.

Em caso de incidentes o Controlador, através deverá comunicar à autoridade nacional e ao(s) titular(es) dos dados comprometidos, além de executar as medidas para reverter ou mitigar os efeitos do incidente, conforme plano previamente estabelecido de resposta a incidentes e remediação da Instituição.

A LGPD estabelece uma série de medidas que devem ser adotadas pelos agentes de tratamento, que incluem a identificação das bases legais que justificam as atividades de tratamento de dados; a adoção de processos e políticas internas que assegurem o cumprimento das normas de proteção de dados pessoais; e o estabelecimento de um canal de contato com os titulares de dados pessoais. A Lei determina que os controladores de dados devem indicar um Encarregado de Proteção de Dados para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.  Todas essas medidas e políticas já foram implementadas pelo INSTITUTO TÉCNICO EDUCACIONAL MIRIAN MENCHINI (ITEMM)  para proteção dos dados pessoais dos titulares. Caso tenha alguma dúvida que não esteja presente nesta FAQ, entre em contato com nosso Encarregado de Proteção de Dados/DPO através do e-mail dpo@itemm.com.br, ou para saber mais como o ITEMM realiza o tratamento de seus dados pessoais, consulte nossa Política de Privacidade, através do link: https://itemm.com.br/politica-de-privacidade