Lei Geral de Proteção de Dados Pessoais - LGPD

Os personagens principais são o titular (ou seja, você, dono dos seus dados), o controlador (quem decide como os dados serão usados), o operador (quem processa os dados a mando do controlador), o encarregado (uma espécie de intermediário entre você, os agentes de tratamento e a Autoridade Nacional de Proteção de Dados) e a Autoridade Nacional de Proteção de Dados (ANPD), que é a responsável por regular todo o processo.

O controlador é quem toma as decisões sobre como os dados serão usados, enquanto o operador é quem executa essas decisões. Em outras palavras, o controlador manda e o operador faz.

Sim, tem regras especiais. A LGPD diz que o tratamento dos dados de crianças só pode rolar com consentimento dos pais ou responsável legal. Além disso, as informações sobre esse tratamento têm que ser apresentadas de forma simples e fácil de entender, tanto para os pais quanto para as próprias crianças.

A LGPD vale para qualquer operação com dados pessoais feita no Brasil. E se uma empresa de fora do país oferecer serviços para brasileiros e coletar dados deles, também precisa seguir a LGPD.

Esta Lei não se aplica ao tratamento de dados pessoais:
  I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
  II – realizado para fins exclusivamente:
  a) jornalístico e artísticos; ou
  b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 da Lei nº 13.709;
  III – realizado para fins exclusivos de:
  a) segurança pública;
  b) defesa nacional;
  c) segurança do Estado; ou
  d) atividades de investigação e repressão de infrações penais; ou
  IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
  Os dados anonimizados não serão considerados dados pessoais para os fins da Lei 13.709, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
  § 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
  § 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
  § 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.

O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
  I – mediante o fornecimento de consentimento pelo titular;
  II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
  III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da LGPD;
  IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

A LGPD estabelece um rol taxativo das hipóteses que autorizam o tratamento de dados pessoais sensíveis, quais sejam:
  I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
  II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
  a) cumprimento de obrigação legal ou regulatória pelo controlador;
  b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  e) proteção da vida ou da incolumidade física do titular ou de terceiro;
  f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
  g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

A LGPD permite que qualquer pessoa questione como suas informações estão sendo usadas por quem controla ou opera seus dados pessoais. Isso inclui dados como nome completo, endereço, número de telefone, dados bancários, orientação sexual, preferência política, entre outros. A Lei também estabelece por que motivo e por quanto tempo essas informações são mantidas e permite que você peça a exclusão delas dos servidores.

A LGPD estabelece alguns princípios importantes que devem ser seguidos no tratamento de dados pessoais, como: finalidade, necessidade, não discriminação e segurança. Em resumo, os dados pessoais só podem ser coletados com o consentimento do titular, que precisa ser informado sobre o propósito da coleta. O titular tem o direito de acessar seus dados, corrigi-los, excluí-los, transferi-los ou revogar o consentimento.

O consentimento do titular é a permissão expressa para que uma empresa possa coletar e usar dados específicos para uma finalidade determinada e claramente explicada. Ou seja, é importante que seja claro sobre como os dados serão utilizados e que isso esteja de acordo com a finalidade previamente informada.