A LGPD foi criada com o objetivo de proporcionar ao cidadão um controle maior sobre o tratamento de seus dados pessoais. Para isso, a LGPD estabelece princípios e cria regras que devem ser observados tanto por organizações privadas quanto públicas, além de criar entidade reguladora específica para o tema.

A fiscalização referente à LGPD será primariamente realizada pela Autoridade Nacional de Proteção de Dados (ANPD). Este órgão da administração pública federal com autonomia técnica e decisória, foi criado para fiscalizar o cumprimento da lei, zelar pela proteção de dados pessoais, elaborar diretrizes e aplicar as sanções em casos de irregularidade.

A ANPD ainda guiará a interpretação da Lei e regulamentará padrões e técnicas aplicáveis às questões de segurança da informação, interoperabilidade e processos de anonimização, além de poder requisitar informações sobre tratamentos de dados pessoais para agentes de tratamento, editar normas e orientações.

O Ministério Público continua competente para lidar com a questão no que tange os direitos dos cidadãos.

É a pessoa natural (física) a quem se referem os dados pessoais que são objetos de coleta e tratamento.

De acordo com a lei, um dado pessoal é informação relacionada à pessoa natural identificada ou identificável. Como exemplos: número do CPF, data de nascimento, endereço residencial e e-mail.

O tratamento de dados é um conceito abrangente, que inclui qualquer tipo de manipulação realizada com informações pessoais. Processos comuns a diversos tipos de empresas incluem, geralmente, a coleta, a reprodução, o acesso, o armazenamento e a distribuição de dados pessoais. A exemplo, a criação de uma lista de e-mails.

De acordo com a lei, é considerado compartilhamento de dados toda comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados,

reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

De acordo com a LGPD, o compartilhamento de dados pessoais pode ocorrer em caso de consentimento expresso e específico do titular dos dados e pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.

É qualquer dado pessoal, conforme estabelecido na lei, sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à orientação sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

A LGPD já determina que o compartilhamento de dados sensíveis com o objetivo de obter vantagem econômica poderá ser vedado ou regulamentado pelas autoridades, e no caso específico de dados de saúde, determina a vedação, exceto nos casos de consentimento expresso ou para a adequada prestação de serviços de saúde suplementar, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia.

O tratamento de dados pessoais sensíveis somente poderá ocorrer com consentimento do titular ou seu responsável legal, de forma específica e destacada, para finalidades específicas.

Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

• Cumprimento de obrigação legal ou regulatória pelo controlador;
• Pela administração pública, de políticas públicas previstas em leis ou regulamentos;
• Estudos por órgão oficial de pesquisa autorizado pela administração pública;
• Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
• Proteção da vida;
• Tutela da saúde;
• Garantia da prevenção à fraude e à segurança do titular;
• Legítimo Interesse (nos casos de prevenção de fraude ou autenticação da pessoa do titular, como por exemplo, biometria para ingresso em local controlado).

É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. O consentimento e sua finalidade devem estar claros e destacados.

O termo de consentimento, como consta no Art. 8º, pode ser adquirido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

Sim, a LGPD estabelece que o titular dos dados poderá, a qualquer momento, revogar seu consentimento.

São três: o controlador, o operador e o encarregado.

O controlador é pessoa natural ou jurídica de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.

O operador é pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

O encarregado é a pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

DPO (Data Protection Officer) ou Encarregado de Proteção de Dados Pessoais é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação aos titulares dos dados, ANPD e demais autoridades.

O responsável de Privacidade da Abendi poderá ser acessado através do e-mail privacidade@abendi.org.br.

Dado anônimo ou anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível.

A lei se aplica a qualquer operação que envolve a coleta e o tratamento de dados pessoais de titulares que se encontrem no território nacional ou realizada em território brasileiro.

A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.

Dados pessoais coletados off-line são obtidos sem a utilização de ferramentas informatizadas, como por exemplo, a lista de presença em eventos. Os dados pessoais coletados online são os que utilizam ferramentas informatizadas e/ou automatizadas para serem obtidos, tais como os cadastros de candidatos para vagas de emprego.

A LGPD traz alguns princípios que devem ser respeitados no tratamento de dados pessoais: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização.

O tratamento de dados pessoais somente poderá ser realizado:

• Com consentimento do titular;
• Para cumprimento de obrigação legal ou regulatória;
• Pela Administração Pública;
• Para estudos por órgão oficial de pesquisa autorizado pela administração pública;
• Para execução de contratos, a pedido do titular;
• Em processos judiciais, administrativos ou arbitrais;
• Para proteção da vida;
• Para tutela da saúde;
• Em legítimo interesse do Controlador ou de terceiros;
• Para proteção do crédito.

A penalidade imposta irá depender da avaliação da ANPD, mas pode ser uma advertência, a determinação da publicação e divulgação da infração cometida, o bloqueio ou eliminação dos dados que sofreram violações e multas simples e/ou diárias.

A transferência internacional de dados pessoais pode ser feita:

• Para países ou organizações internacionais proporcionem grau adequado de proteção de dados pessoais;
• Quando o controlador oferecer e comprovar que está cumprindo com o disposto na LGPD, por meio de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais, selos, certificados ou códigos de conduta regularmente emitidos;
• Quando necessário para cumprimento de acordos da cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e persecução, de acordo com os instrumentos de direito internacional;
• Para proteção da vida do titular ou de terceiros;
• Quando autorizada pela ANPD;
• Quando resultar em compromisso assumido em acordo de cooperação internacional;
• Para a execução de política pública;
• Quando o titular fornecer seu consentimento de forma específica e em destaque para a transferência;
• Para o cumprimento de obrigação legal ou regulatória pelo controlador;
• Quando necessário para a execução de contrato do qual seja parte o titular;

Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

Não, desde que não haja dados de pessoas naturais vinculados ao cadastro da Pessoa Jurídica, pois a LGPD regulamenta apenas o tratamento de dados pessoais.