phone_Mocarzel

FALE CONOSCO
(11) 3121-8050 | (11) 3259-3599

Mocarzel-Endereco

ENDEREÇO
Rua Barão de Itapetininga, 50, 8º Andar República, São Paulo – SP

Horario-Funcionamento-Mocarzel
FUNCIONAMENTO SEG À SEX |
08:30H – 17:30H

LEI GERAL DE PROTEÇÃO DE DADOS

EM AGOSTO DE 2020, ENTRA EM VIGOR A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

Você está preparado para recebe-la?

A Lei 13.709/2018, de Proteção de Dados tem a finalidade de resguardar a privacidade dos dados pessoais e implementar o poder de fiscalização.

É hora do empresariado adequar suas rotinas.

O descumprimento da lei pode ensejar, desde uma advertência a aplicação de multa simples de até 2% sobre o faturamento do último exercício da empresa; multa diária, publicização da infração, bloqueio de dados, eliminação de dados, suspensão do funcionamento do banco de dados, do exercício da atividade de tratamento, proibição do exercício parcial ou total da atividade relacionada ao tratamento de dados; tudo isso, sem excluir as sanções civis e penais.

Além disso, aquele que causar dano a outrem responde pela reparação dos danos patrimonial, moral, individual ou coletivo.

O objetivo da lei, de interesse nacional, é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Seus fundamentos são: I – o respeito à privacidade; II – a autodeterminação informativa; III – a liberdade de expressão, de informação, de comunicação e de opinião; IV – a inviolabilidade da intimidade, da honra e da imagem; V – o desenvolvimento econômico e tecnológico e a inovação; VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Mas, o que é tratamento de dados pessoais?

Refere-se a qualquer operação ou ato que implique no uso ou manejo de dados pessoais.

Vivemos uma realidade conectada, sistemas interagindo, operações “on line”, mídias sociais, globalização.

Com isso, tornou-se imprescindível definir a forma correta de lidar com os dados pessoais de pessoas físicas ou jurídicas, privadas ou públicas, estabelecendo normas para a obtenção, tratamento, uso, proteção e análise.

Apesar da pandemia, não se pode esquecer que a lei entra em vigor, estabelece direitos e deveres; então, os processos devem estar adequados para lidar com essa nova realidade.

Na definição da lei, tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A lei se aplica a: I – a operação de tratamento realizada no território nacional; II – a atividade de tratamento que tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou   III – aos dados pessoais objeto do tratamento que tenham sido coletados no território nacional.

Quando a lei não se aplica?

A lei não se aplica ao tratamento de dados pessoais: I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos; II – realizado para fins exclusivamente: a) jornalístico e artísticos; ou b) acadêmicos, nos termos da lei; III – realizado para fins exclusivos de: a) segurança pública; b) defesa nacional; c) segurança do Estado; ou d) atividades de investigação e repressão de infrações penais; ou IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

Afinal, de que dados estamos tratando?

Vejamos como se classificam:

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

Que princípios o tratamento de dados deve observar?

Primeiramente o da boa-fé. Seguido pelos princípios da:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Quando as operações de tratamento de dados pessoais estão autorizadas?

  1. Mediante o fornecimento de consentimento pelo titular.
  2. para o cumprimento de obrigação legal ou regulatória pelo controlador;
  3. para execução de políticas públicas pela administração pública, como definido em lei;
  4. realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  5. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  6. para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  7. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  8. para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; 
  9. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  10. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

 

Quando as operações de tratamento de dados pessoais sensíveis estão autorizadas?

O tratamento de dados pessoais sensíveis somente poderá ocorrer:

  1. quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
  2. sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo controlador; b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

 

E os dados anonimizados, como ficam?

Os dados anonimizados não serão considerados dados pessoais para os fins da Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

Quais são os direitos do titular dos dados?

O primeiro é exatamente o da titularidade dos dados, observando as garantias fundamentais de liberdade, de intimidade e de privacidade.

Ele tem o direito a qualquer momento e mediante requisição a:

I – confirmação da existência de tratamento;

II – acesso aos dados;

III – correção de dados incompletos, inexatos ou desatualizados;

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;   

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas na lei;

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX – revogação do consentimento;

X – direito de petição em relação aos seus dados contra o controlador perante a autoridade nacional;

XI – direito de oposição a tratamento que dispensava consentimento, em caso de descumprimento das disposições legais.

Para finalizar, é importante atenção especial aos mecanismos de segurança e de sigilo de dados impostos pela lei.