Lei Geral de Proteção de Dados Pessoais (LGPD)
A lei tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A lei se aplica a qualquer pessoa - natural ou jurídica de direito público ou privado - que realize tratamento de dados pessoais, ou seja, exerça atividade em que se utilizem dados pessoais (coleta, armazenamento, exclusão etc.), seja por meio digital (on-line) ou físico (presencial). Toda operação de tratamento de dados realizada em território nacional ou de pessoa localizada no Brasil deve observar as regras da LGPD.
É a pessoa natural a quem se referem os dados pessoais que são objetos de coleta e tratamento.
De acordo com a lei, um dado pessoal é informação relacionada à pessoa natural identificada ou identificável. Como exemplos: número do CPF, data de nascimento, endereço residencial e e-mail.
É qualquer dado pessoal, conforme estabelecido na lei, sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Dados relativos ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. São dados que não permitem identificar uma pessoa, pois passaram por técnica de tratamento em que são removidas ou modificadas as informações que possam fazer a identificação direta ou indireta do indivíduo.
Sim, os dados pessoais tratados pelo Poder Público também estarão sujeitos à LGPD. Porém, o Poder Público pode tratar dados pessoais sem pedir o consentimento do titular sempre que for necessário para a execução de políticas públicas. O Poder Público também poderá tratar dados pessoais, fora do escopo da lei, no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais, que serão tratados de acordo com legislação específica, que contenha medidas proporcionais e necessárias para que o tratamento de dados pessoais atenda ao interesse público. Para a criação das normas específicas para esses casos, a Autoridade Nacional de Proteção de Dados Pessoais - ANPD emitirá recomendações e opiniões técnicas.
Qualquer tipo de manipulação realizada com informações pessoais. Processos comuns a diversos tipos de empresas incluem, geralmente, a coleta, a reprodução, o acesso, o armazenamento e a distribuição de dados pessoais.
FINALIDADE: Tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
ADEQUAÇÃO: Compatibilidade do tratamento com as finalidades informadas ao titular;
NECESSIDADE: Limitação do tratamento ao mínimo necessário para a realização de suas finalidades;
LIVRE ACESSO: Consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
QUALIDADE DOS DADOS: Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
TRANSPARÊNCIA: Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre o tratamento dos dados;
SEGURANÇA: Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais;
PREVENÇÃO: Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
NÃO DISCRIMINAÇÃO: Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: demonstração, pelo agente, da adoção de medidas eficaz\es e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.
A LGPD não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, bem como realizados para fins exclusivamente:
São eles o controlador, o operador, o encarregado e a Autoridade Nacional de Proteção de Dados.
O controlador é pessoa natural ou jurídica de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.
O operador é pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
O encarregado é a pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
DPO, ou Data Protection Officer, é o encarregado, aquele que atuará como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
De acordo com a lei é considerado compartilhamento de dados toda comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
Compete à Autoridade Nacional de Proteção de Dados, além de outras, zelar pela proteção dos dados pessoais, nos termos da legislação, fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação.
A ANPD é responsável, entre outros pontos, por elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade; fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação; promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança; e promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.
Segundo a LGPD, o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública e na busca do interesse público.
Com base nesse pressuposto, a lei estabelece que os órgãos públicos devem informar as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.
Pautado pela transparência e pela segurança nas informações, o CRF-PR tem adotado diversas iniciativas para garantir o pleno cumprimento das disposições da Lei Geral de Proteção de Dados Pessoais.