LGPD 2021 Mod2

De MediaWiki do Campus São José
Revisão de 11h01min de 20 de janeiro de 2022 por Douglas (discussão | contribs) (→‎Compartilhamento e transferência de dados)
(dif) ← Edição anterior | Revisão atual (dif) | Versão posterior → (dif)
Ir para navegação Ir para pesquisar

Processos de tratamento

Retomando o conceito apresentado no primeiro módulo, tratamento é toda operação realizada com dados pessoais, como as que se referem a:

  • Acesso - possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo, ou outros, visando receber, fornecer, ou eliminar dados;
  • Armazenamento - ação ou resultado de manter ou conservar em repositório um dado;
  • Arquivamento - ato ou efeito de manter registrado um dado, embora já tenha perdido a validade ou esgotada a sua vigência;
  • Avaliação - ato ou efeito de calcular valor sobre um ou mais dados;
  • Classificação - maneira de ordenar os dados conforme algum critério estabelecido;
  • Coleta - recolhimento de dados com finalidade específica;
  • Compartilhamento - comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
  • Comunicação - transmitir informações pertinentes às políticas de ação sobre os dados;
  • Controle - ação ou poder de regular, determinar ou monitorar as ações sobre o dado;
  • Difusão - ato ou efeito de divulgação, propagação, multiplicação dos dados;
  • Distribuição - ato ou efeito de dispor de dados de acordo com algum critério estabelecido;
  • Eliminação - ato ou efeito de excluir ou destruir dado do repositório;
  • Extração - ato de copiar ou retirar dados do repositório em que se encontrava;
  • Modificação - ato ou efeito de alteração do dado;
  • Processamento - ato ou efeito de processar dados;
  • Produção - criação de bens e de serviços a partir do tratamento de dados;
  • Recepção - ato de receber os dados ao final da transmissão;
  • Reprodução - cópia de dado preexistente obtido por meio de qualquer processo;
  • Transferência - mudança de dados de uma área de armazenamento para outra, ou para terceiro;
  • Transmissão - movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.;
  • Utilização - ato ou efeito do aproveitamento dos dados, entre outras.
Saiba mais

As atividades de tratamento de dados pessoais também devem observar os seguintes princípios (Art. 6º):

Finalidade: o tratamento deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular.

Adequação: o tratamento deve ser compatível com as finalidades informadas ao titular.

Necessidade: o tratamento deve estar limitado ao mínimo necessário para a realização das finalidades a que se destina.

Livre acesso: garantir aos titulares, a consulta facilitada e gratuita sobre a forma e a duração do tratamento e à integralidade de seus dados pessoais.

Qualidade dos dados: garantir aos titulares, exatidão, clareza, relevância e atualização dos dados.

Transparência: garantir aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento.

Segurança: utilizar medidas técnicas e administrativas para proteção dos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas que resultem na sua destruição, perda, alteração, comunicação ou difusão.

Prevenção: adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Não discriminação: impossibilitar a realização do tratamento de dados para fins discriminatórios, ilícitos ou abusivos.

Responsabilização e prestação de contas: o agente de tratamento deve demonstrar que adotou medidas eficazes e capazes de cumprir as normas de proteção de dados pessoais.

Situações previstas na lei

A LGPD estabelece que os Agentes de Tratamento só podem realizar o tratamento dos dados pessoais em determinadas situações ou "hipóteses". Nesse caso, são dez hipóteses permitidas pela Lei, e não há entre elas hierarquia ou maior grau de importância.

O que a Lei garante, em qualquer dessas hipóteses, é o equilíbrio entre a proteção de dados e a privacidade: seu objetivo é proteger a privacidade e, ao mesmo tempo, garantir o adequado fluxo de dados e informações, em proveito tanto do titular quanto do mercado e da economia digital.

Cada base legal de tratamento de dados pessoais será identificada pelo Controlador de acordo com a conveniência e a conformidade entre a finalidade do tratamento e os princípios gerais da Lei presentes em cada uma das hipóteses nela prescritas, apresentadas a seguir.

Clique nos itens a seguir e entenda as hipóteses de tratamento permitidas:

Cumprimento de Obrigação Legal

Se há uma previsão legal ou regulamentar no sentido de que os dados sejam tratados, essa base legal é bastante para que o Controlador esteja coberto na execução do tratamento.

Exemplos

  • Entrega anual da Declaração IRPF
  • Recadastramento eleitoral com biometria
  • Informação de doença infecto-contagiosa
Execução de Políticas Públicas

O gestor público pode tratar e fazer uso compartilhado de Dados Pessoais para execução de Políticas Públicas. A execução dessas políticas em prol do bem comum exige, frequentemente, o tratamento compartilhado de dados pessoais.

Exemplos

  • Tratamento de dados para execução de política de distribuição de renda (bolsa família)
  • Tratamento de dados para erradicação do analfabetismo
  • Tratamento de dados para aumento da segurança alimentar
  • Tratamento de dados para melhoria do ambiente de negócios
Realização de Estudos por Órgãos de Pesquisa

Esses estudos, como censo populacional, PIB, renda per capita, nível de distribuição de renda, mapa da fome, nível de alfabetização e comportamento do sistema educacional são fundamentais para o crescimento do país. E deve ser garantido, sempre que possível, que os dados pessoais permaneçam anônimos.

Exemplos

  • Censo realizado pelo IBGE (Instituto Brasileiro de Geografia e Estatística)
  • Informações ao IPEA (Instituto de Pesquisa Econômica Aplicada)
  • Saúde pública e doenças tropicais
Execução de Contrato

O simples ato de contratar já traz em si a vontade de materializar o registro dos dados das partes no instrumento contratual, para o conhecimento recíproco, pelo menos. E se o objeto do contrato for o tratamento de dados do Titular, ou tiver esse tratamento como consequência do objeto, a evidente manifestação de vontade que existe se materializa neste instrumento particular válido firmado entre duas pessoas, e é a base legal para o tratamento de dados pessoais.

Exemplos

  • Contrato de aluguel
  • Locação de veículo
Exercício Regular de Direitos

Essa hipótese legal confere legitimidade ao uso que os agentes de tratamento façam dos dados tratados para atuação em defesa de seus interesses perante autoridades em processos administrativos ou judiciais. A finalidade original do tratamento é uma (garantir a entrega e a contraprestação em um contrato, por exemplo). O uso para esta outra finalidade (defesa) encontra respaldo nessa base legal.

Exemplos

  • Um Controlador utiliza os dados pessoais dos titulares para contestar uma ação judicial por violação, em caso de não integridade dos dados
  • Um Operador se utiliza dos dados para fazer prova em ação de reparação de danos por vazamento de informação pessoal
Proteção da Vida

A base legal para o tratamento aqui é a proteção da vida do titular ou de terceiros. A privacidade de uma pessoa jamais será considerada um bem maior que a vida humana, sua ou de terceiros. Por essa razão, se alguém informa seus dados e circunstâncias (como tipo sanguíneo, numa circunstância de acidente), não está havendo "violação de dados".

Exemplos

  • Um médico manipula dados ou informações de um paciente para controle de quadro emergencial grave
  • Alguém repassa o endereço de um suicida
  • Alguém checa o histórico de vida pregressa de passageiros para identificar um terrorista em ataque
Tutela da Saúde

Essa hipótese trata dos procedimentos para proteção da saúde executados por profissionais do setor ou entidades sanitárias.

Exemplos

  • Tratamento de dados relacionado a lista de pessoas que tiveram contato com alguma infecção, com a finalidade de controle de pandemia
  • Levantamento socioambiental de zonas afetadas por epidemia
  • Perfil de habitantes de dada comunidade para fins de planejamento sanitário
Interesse Legítimo

Esta base legal dá suporte ao tratamento executado com legitimidade de interesse do Agente de Tratamento, do Titular ou de terceiros. A prestação de um serviço que dependa do tratamento de dados torna legítimo ao Agente de Tratamento tratar os dados pessoais. Mas a legitimidade desse interesse só prospera se ele se faz coerente com a legítima expectativa do titular ou de terceiro em relação à finalidade e aos modos de tratamento.

Exemplos

  • O endocrinologista depende dos dados pessoais (inclusive sensíveis) do paciente para tratá-lo. O uso desses dados para promover mail marketing de produtos de emagrecimento extrapola a legítima expectativa do Titular
  • O serviço de helpdesk depende dos dados do titular para lhe prestar atendimento e facilitar futuras demandas. O uso desses dados para comercializar cadastros a terceiros viola a legítima expectativa do Titular
  • O Cibercafé guarda os dados de seus usuários inclusive para segurança do interesse de terceiros, pelo prazo de um ano. A transferência dos registros de conexão a terceiros viola a legítima expectativa do Titular
Proteção ao Crédito

O tratamento de dados para proteção ao crédito é escudado por esta base legal. As pendências obrigacionais, inadimplências e a má-conduta de pessoas naturais e jurídicas na praça são circunstâncias lesivas a toda a cadeia creditícia e contrárias aos interesses da sociedade como um todo.

Exemplos

  • O SERASA bloqueia usuários no uso de suas ferramentas de crédito
  • Quando o Controlador se vale do cadastro positivo
  • Quando alguém contrata o serviço DataValid
  • Quando alguém usa o aplicativo VIO
Consentimento

O Agente (Controlador ou Operador) pode tratar a informação de uma pessoa se tiver seu consentimento para tanto. O Consentimento, para o Agente de Tratamento, é uma base legal precária: pode ser revogado a qualquer momento, sendo garantido ao usuário o direito de ver seus dados eliminados, bloqueados, além do direito à portabilidade, que muito se ajusta a essa base legal.

Exemplos

  • Uma pessoa autoriza o uso do seu CPF numa rede de farmácias para fins exclusivos de concessão de desconto na compra de um medicamento
  • Alguém preenche um cadastro numa loja para ter acesso a promoções


Fig10 LGPD2021.png Ouça o Episódio 4 do Podcast LGPD Serpro!

Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre a diferença entre consenso e consentimento; a importância do consenso para a viabilidade dos contratos e do comércio; e o interesse legítimo do controlador ou de terceiros.

Dados pessoais sensíveis

Dados Pessoais Sensíveis são dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde, à vida ou orientação sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

Enfim, são aqueles que, se expostos ou compartilhados, podem causar impacto na vida pessoal ou profissional de alguém. A sensibilidade reside tanto no enorme potencial de lesividade desses dados, quanto no interesse que suscitam para os negócios.

Por isso mesmo, não apenas merecem uma maior proteção de seu tratamento para resguardar a privacidade do Titular, mas também precisam ser tratados levando em conta o forte interesse do mercado no controle dessas informações.

São oito hipóteses previstas na Lei.
  1. Mediante Consentimento para finalidades específicas.
  2. Cumprimento de Obrigação Legal ou regulatória pelo Controlador.
  3. Compartilhamento de dados necessários à execução de Políticas Públicas.
  4. Realização de Estudos por Órgão de Pesquisa, garantida, sempre que possível, que os dados pessoais permaneçam anônimos.
  5. Exercício Regular de Direitos.
  6. Proteção da Vida ou da integridade física do Titular ou de terceiros.
  7. Tutela da Saúde.
  8. Garantia da Prevenção à Fraude e à Segurança do Titular.

As hipóteses de tratamento de Dados Sensíveis são mais restritas que a de Dados Pessoais, sendo excluídos "Execução de Contrato", "Interesse Legítimo" e "Proteção ao Crédito".

A Lei também veda às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

É expressamente vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares dos dados, e para permitir:

I. a portabilidade de dados, quando solicitada pelo titular
II. as transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.


Fig10 LGPD2021.png Ouça o Episódio 5 do Podcast LGPD Serpro!

Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre dados pessoais sensíveis e a relevância do consentimento no tratamento desses dados.

Dados de crianças e adolescentes

O tratamento de dados pessoais de crianças e adolescentes deve ser realizado no seu melhor interesse, prevendo, contudo, regimes diversos para crianças e adolescentes.

Criança é a pessoa com idade de até doze anos incompletos, e adolescente é aquela entre doze e dezoito anos de idade (Estatuto da Criança e Adolescente, Art. 2º).

O tratamento de dados pessoais de crianças e adolescentes, naqueles casos em que a base legal seja o consentimento, deve ser realizado com o consentimento específico e em destaque emitido por pelo menos um dos pais ou pelo responsável legal. No tratamento de dados de crianças e adolescentes com fundamento em outras bases legais, as restrições gerais do Estatuto e do Código Civil prevalecem em relação ao menor de idade. Por exemplo:

  • Na execução de contrato o menor deve ser representado por seu responsável;
  • Nos tratamentos por força de Lei devem ser respeitadas as condições específicas no tocante a menores;
  • No caso de legítimo interesse, a legítima expectativa a ser avaliada deve levar em conta o ponto de vista do representante do menor, enquanto tal.

A Lei, entretanto, traz exceção à regra acima mencionada, de forma que os dados pessoais de crianças poderão ser eventualmente tratados sem o consentimento exigido pela lei quando necessário para contatar os pais ou responsáveis legais, a fim de garantir a proteção da criança ou adolescente, desde que sejam utilizados uma única vez e sem armazenamento, e em nenhum caso poderão ser repassados a terceiros.

Importante

A participação desses Titulares (crianças e adolescentes) em jogos, aplicações de internet ou outras atividades também não deve ser condicionada ao fornecimento de informações pessoais além das estritamente necessárias à atividade.

Fig10 LGPD2021.png Ouça o Episódio 6 do Podcast LGPD Serpro!

Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre especificidades no tratamento de dados de crianças ou de idosos.


Compartilhamento e transferência de dados

Este é o momento de responder as dúvidas mais comuns sobre o compartilhamento e a transferência de dados pessoais:

Com as restrições que a LGPD impõe ao tratamento dos dados pessoais, o uso compartilhado de dados entre órgãos da Administração Pública pode ser realizado?

Fig12 LGPD2021.png

Sim...

Entretanto, o uso compartilhado de dados pessoais pelo Poder Público deve atender às finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, como por exemplo informações ao INSS, e-Social, fiscalizações, etc.

Por outro lado, todo e qualquer uso compartilhado não condizente com a finalidade original deve ser informado ao Titular, sem prejuízo de obtenção do consentimento explícito, ainda que este não tenha sido o fundamento da coleta original.

Pode haver transferência de dados entre o Poder Público e o setor privado?

Fig13 LGPD2021.png

A LGPD veda a transferência de dados entre o Poder Público e as empresas e instituições privadas, exceto nos seguintes casos:

I. aqueles em que os dados forem acessíveis publicamente
II. na execução descentralizada de atividade pública que exija essa transferência, exclusivamente para esse fim específico;
III. quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou acordos
IV. se o objetivo for a prevenção de fraudes e de proteção dos titulares dos dados.

Em quais casos os dados pessoais poderão ser transferidos para fora do Brasil?

Fig14 LGPD2021.png

A transferência internacional de dados pessoais somente será permitida para os casos em que o país ou organismo internacional proporcionarem um grau de proteção de dados adequado ao previsto na LGPD, ou quando forem oferecidas pelo Controlador garantias de cumprimento dos princípios, dos direitos e do regime da proteção da LGPD.

A transferência de dados também poderá ocorrer em outras hipóteses:

  1. para fins de cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução.
  2. para os casos em que for necessária para proteger a vida ou a integridade física do Titular dos dados pessoais ou de terceiros.
  3. quando a Autoridade Nacional autorizar a transferência.
  4. quando a transferência decorrer de acordo de cooperação internacional.
  5. quando for necessária para a execução de política pública ou atribuição legal do serviço público.
  6. quando o Titular tiver fornecido seu consentimento específico e em destaque para a transferência internacional.
  7. quando servir para o cumprimento de obrigação legal ou regulatória pelo Controlador.
  8. quando necessário para a execução de contrato.
  9. quando servir para o exercício regular de direitos em processo judicial, administrativo ou arbitral.




Icone voltar.png Icone menu.png Icone prox.png

Disponível em “https://wiki.sj.ifsc.edu.br/index.php?title=LGPD_2021_Mod2&oldid=181249