LEI Nº 13.709, DE 14 DE AGOSTO DE 2018 - Lei Geral de Proteção de Dados Pessoais-LGPD

CAPÍTULO I -DISPOSIÇÕES PRELIMINARES (abrangência/glossário)

CAPÍTULO II - DO TRATAMENTO DE DADOS PESSOAIS (restrições de acesso)

Seção I - Dos Requisitos para o Tratamento de Dados Pessoais

Seção II - Do Tratamento de Dados Pessoais Sensíveis

Seção III - Do Tratamento de Dados Pessoais de Crianças e de Adolescentes

Seção IV - Do Término do Tratamento de Dados

CAPÍTULO III - DOS DIREITOS DO TITULAR (restrições de acesso)

CAPÍTULO IV - DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO (restrições de acesso)

Seção I - Das Regras

Seção II - Da Responsabilidade

CAPÍTULO V - DA TRANSFERÊNCIA INTERNACIONAL DE DADOS (restrições de acesso)

CAPÍTULO VI -DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS (responsabilidades)

Seção I - Do Controlador e do Operador

Seção II - Do Encarregado pelo Tratamento de Dados Pessoais

Seção III - Da Responsabilidade e do Ressarcimento de Danos

CAPÍTULO VII - DA SEGURANÇA E DAS BOAS PRÁTICAS (vazamento de dados pessoais)

Seção I - Da Segurança e do Sigilo de Dados

Seção II - Das Boas Práticas e da Governança

CAPÍTULO VIII - DA FISCALIZAÇÃO (penalidades)

Seção I - Das Sanções Administrativas

CAPÍTULO IX - DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE (autoridades)

Seção I - Da Autoridade Nacional de Proteção de Dados (ANPD)

Seção II - Do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade

CAPÍTULO X - DISPOSIÇÕES FINAIS E TRANSITÓRIAS (regulamentação)

Lei Geral de Proteção de Dados Pessoais-LGPD

"A LGPD apresenta diretrizes para todo e qualquer tratamento de dados pessoais, sensíveis ou não, efetuado em decorrência de oferta ou fornecimento de bens ou serviços por parte de pessoa natural ou jurídica, seja de direito público ou privado. A lei não é aplicável quando o tratamento objetiva a segurança pública, a defesa nacional, a segurança do Estado, a investigação ou a repressão à infração penal. Também não é cabível quando o tratamento possui finalidade artística, jornalística ou acadêmica, quando não há caráter econômico ou se o dado não puder ser identificado após o uso de meios técnicos razoáveis e disponíveis no momento de seu tratamento". (SCHWAITZER, 2021)

"A lei define como dados pessoais aqueles que estão relacionados a toda e qualquer informação sobre pessoa natural, identificada ou identificável; e como dados sensíveis todos os que se referem à origem racial ou étnica, convicção religiosa, opinião política, filiação profissional ou entidade religiosa, filosófica ou política. Diz que são dados pessoais sensíveis aqueles, vinculados ao indivíduo, relativos à sua saúde ou vida sexual, genéticos ou biométricos e os utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada". (SCHWAITZER, 2021)

"A LGPD enumera um amplo rol de ações como tratamento de dados pessoais, entre elas a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração".(SCHWAITZER, 2021)

"O titular dos dados, segundo a LGPD, é o indivíduo ou pessoa natural a quem eles se referem. Este indivíduo possui, além dos direitos já mencionados, o de confirmar a existência de tratamento, de anonimização, de portabilidade ou de eliminação dos dados". (SCHWAITZER, 2021)

"Agente de tratamento é a forma como a LGPD designa aqueles que efetuam o tratamento de dados. O agente pode ser tanto o controlador, que é aquele a quem competem as decisões referentes ao tratamento de dados pessoais, como o operador, que efetua o tratamento em nome do controlador". (SCHWAITZER, 2021)

"Quando o tratamento é realizado por entidade de direito público, a lei prevê que se deve observar a finalidade e o interesse público".(SCHWAITZER, 2021)

"Ainda segundo a LGPD, um ente público deve manter os dados em formato interoperável e estruturado, visando o uso compartilhado, a execução de políticas públicas, a prestação de serviços públicos, a disseminação e o acesso às informações ao público em geral". (SCHWAITZER, 2021)

"No caso do controlador ser enquadrado como órgão de pesquisa, a lei estabelece que o tratamento de dados pessoais, inclusive quando se tratar de dados sensíveis, pode ser realizado, recomendando-se sua anonimização sempre que for possível". (SCHWAITZER, 2021)

"As sanções variam desde advertência, com prazo para adoção de medidas corretivas, passando pela aplicação de multa simples e diária, que pode chegar a 2% do faturamento até o total de cinquenta milhões de reais". (SCHWAITZER, 2021)

"Por conta de todos esses aspectos é que concluímos que, apesar de o mercado brasileiro estar sendo dominado por profissionais da área de tecnologia da informação e do direito, quando se trata de auxiliar os agentes na identificação, classificação, avaliação e delimitação de tempo de tratamento e hipóteses de guarda conforme previsto em lei, o arquivista, por meio da adoção de um programa de GD, é um dos profissionais mais bem preparados para enfrentar o desafio atual de implantação e adequação à LGPD. Sendo assim, se o arquivista possui as competências para o desenvolvimento da GD, ele está apto, consequentemente, a coordenar programas de adequação à LGPD, preservando os interesses organizacionais e protegendo o direito dos titulares dos dados."  (SCHWAITZER, 2021)

Alguns desafios da LGPD

1. Dominar novo vocabulário

CAPÍTULO I -DISPOSIÇÕES PRELIMINARES 

Art. 5º  - Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

IX - agentes de tratamento: o controlador e o operador;

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco

2. Dominar conceitos jurídicos

CAPÍTULO III -DOS DIREITOS DO TITULAR 

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I - confirmação da existência de tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (Redação dada pela Lei nº 13.853, de 2019) Vigência

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

3. Conhecer novas instituições

CAPÍTULO VI - DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS 

Seção I - Do Controlador e do Operador

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

CAPÍTULO VII - DA SEGURANÇA E DAS BOAS PRÁTICAS 

Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;

II - as informações sobre os titulares envolvidos;

III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - os riscos relacionados ao incidente;

V - os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

CAPÍTULO VIII - DA FISCALIZAÇÃO 

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:    (Vigência)

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  (Incluído pela Lei nº 13.853, de 2019)  

XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  (Incluído pela Lei nº 13.853, de 2019) 

XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Exemplos de Instrumentos

Fonte:MINISTÉRIO DA GESTÃO E DA INOVAÇÃO EM SERVIÇOS PÚBLICOS  Disponível em:  https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/ppsi/guia_inventario_dados_pessoais.pdf Acesso em: 09 mai 2023

Fonte: APESP. Disponível em: https://www.estadao.com.br/blogs/blog/wp-content/uploads/sites/41/2016/02/1.pdf Acesso em: 09 mai 2023

Fonte:  Governo do Estado de São Paulo. Disponível em: http://ric.cps.sp.gov.br/bitstream/123456789/5258/1/09_Baitz_20200630.pdf Acesso em: 09 mai 2023

Atenção

A LGPD é de abrangência nacional está sendo regulamentada por decretos estaduais, como no caso de Minas Gerais: DECRETO Nº 48.237, DE 22 DE JULHO DE 2021. - Dispõe sobre a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais – LGPD, no âmbito da Administração Pública direta e indireta do Poder Executivo 

O arquivista será o quê?

O Controlador: pessoa jurídica

É responsável pela governança da proteção dos dados pessoais

É responsável civilmente no caso da violação da LGPD

Deve comunicar a ANPD (Autoridade Nacional de Proteção de Dados) e ao titular sobre a ocorrência de incidente de segurança

É responsável pela eliminação de dados

É responsável por relatório de impacto de proteção dos dados

É responsável por indicar o Operador

p. 5 - Ao controlador cabe “a obrigação de orientar o operador acerca das hipóteses, critérios e medidas para tratamento e proteção de dados”.

O Operador é quem realiza o tratamento de dados pessoais em nome do controlador:

Implementa a governança da proteção dos dados pessoais

Manter registros dos procedimentos de tratamento dos dados

Também pode responder civilmente em caso de violação da LGPD

Presta contas a respeito da LGPD

Presta informações à ANPD, quando solicitado

P. 5 “A função do encarregado é orientar os funcionários e contratados a respeito das práticas de proteção de dados”

O Encarregado atua como um canal de comunicação entre o controlador, o operador e os titulares dos dados:

Realiza operações de tratamento de dados pessoais

Presta esclarecimentos aos titulares dos dados

Adota providências para orientar os funcionários

Receber comunicações da autoridade nacional e adotar providências;

Referências

SCHWAITZER, Lenora et al. Reflexões sobre a contribuição da gestão de documentos para programas de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD). Acervo, v. 34, n. 3, p. 1-17, 31 ago. 2021. Disponível em: http://revista.arquivonacional.gov.br/index.php/revistaacervo/article/view/1732  Acesso em: 18 fev. 2023.