Lei Geral de Proteção

de Dados: o que você

1
precisa saber
Prof. Dr. Karin Klempp Franco
 • O que é LGPD
• Relevância prática
• Dados pessoais
CONTEÚDO • Tratamento
• Mapeamento
• Relatório de Impacto
 Lei Geral de Proteção de Dados:
o que você precisa saber

Fundamentos da proteção de dados pessoais

❖ Privacidade

❖ Autodeterminação informativa

❖ Livre desenvolvimento da personalidade

❖ Livre iniciativa e concorrência

❖ Desenvolvimento econômico

❖ Desenvolvimento tecnológico e inovação

 Lei Geral de Proteção de Dados:
o que você precisa saber
Multiplicidade de normas sobre dados

Lei da Propriedade
Industrial Marco Civil da
Internet
Lei de Acesso
à Informação
Código de Defesa
LGPD do Consumidor

Ética profissional
Lei do Cadastro
Positivo

Normas setoriais Leis estaduais e

municipais
 Lei Geral de Proteção de Dados:
o que você precisa saber

O que são dados pessoais?

❖Dado pessoal

• Informação relacionada a pessoa natural identificada ou identificável.

• Dado para formação de perfil comportamental de pessoa natural
identificada.

❖Dado pessoal sensível

• Dado pessoal que possa levar à discriminação de alguma pessoa.

• Lista de exemplos na LGPD: origem racial ou étnica, convicção
religiosa, opinião política, filiação a organização de classe, religiosa,
filosófica ou política, dado referente à saúde ou sexualidade, dado
genético ou biométrico...
 Lei Geral de Proteção de Dados:
o que você precisa saber

O que não são dados pessoais?

❖Dados de empresas e instituições

• Informação relacionada a pessoa jurídica não é dado pessoal

❖Segredos de negócio

• Dados pessoais podem ser segredo de negócio.

• Nem todo segredo de negócio é um dado pessoal .

❖Dados anonimizados

• Informação relacionada a pessoa natural cuja identificação é inviável

 Lei Geral de Proteção de Dados:
o que você precisa saber

As informações contábeis são dados pessoais?

❖ Os dados dizem algo sobre uma pessoa física ou jurídica?

❖ Os dados dizem algo sobre algum indivíduo em especial?

❖ Tal indivíduo pode ser identificado?

❖ Os dados podem ser cruzados para obter informações

sobre um indivíduo ou identificar um indivíduo?

Independentemente da LGPD, essas informações estão sob sigilo profissional

do art. 2º, II do Código de Ética Profissional do Contabilista.
 Lei Geral de Proteção de Dados:
o que você precisa saber
Quem está sujeito à lei?

❖ Qualquer pessoa, empresa ou órgão público que realiza que realiza tratamento de
dados pessoais...

• ... em território brasileiro; ou

• ... para oferecer ou fornecer bens ou serviços a indivíduos situados no Brasil; ou
• ... se os dados pessoais foram coletados em território brasileiro

❖ Mas há exceções:

• Tratamento por um indivíduo para fins pessoais e não econômicos

• Tratamento por órgãos públicos para segurança pública, defesa e investigação
• Tratamento para fins exclusivamente jornalísticos, artísticos ou acadêmicos
 Lei Geral de Proteção de Dados:
o que você precisa saber

Tratamento de dados pessoais

❖ Definição legal:

“toda operação realizada com dados pessoais, como as que se referem a coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração”

❖ Toda e qualquer etapa do ciclo de vida do dado pessoal é sujeita à nova lei

❖ Cada categoria de colaboradores deve ter acesso a apenas alguns tipos de dados –
não todos eles – conforme seja necessário e adequado.
 Lei Geral de Proteção de Dados:
o que você precisa saber

Ciclo de vida do dado pessoal

Coleta Armazenamento


Recepção
Produção
Arquivamento


Difusão
Distribuição

 Acesso


Compartilhamento Extração
Processamento Utilização
Transferência


Reprodução
Transmissão Classificação
Avaliação


Controle

Eliminação
 Lei Geral de Proteção de Dados:
As 10 bases legais presentes na LGPD o que você precisa saber

I. Mediante consentimento livre, informado e inequívoco;

II. Cumprimento de dever legal ou regulatório;
III. Execução de políticas públicas pela administração pública e concessionárias;
IV. Estudos por instituições de pesquisa sem fins lucrativos;
V. Cumprimento de contrato entre controlador e titular;
VI. Exercício regular de direitos em processo judicial, administrativo ou arbitral;
VI. Proteção da vida ou da incolumidade física de qualquer indivíduo;
VII. Tutela da saúde por profissionais e entidades da área;
VIII. Atendimento aos interesses legítimos do controlador ou de terceiro; e
IX. Proteção do crédito.

É necessária uma finalidade adequada, a garantia de transparência e dos direitos

do titular, a minimização do tratamento, e a atenção às demais regras e
princípios legais da proteção de dados
 Lei Geral de Proteção de Dados:
o que você precisa saber
Atendimento a interesses legítimos

❖ Avaliação da legitimidade do interesse:

• Finalidade que não seja ilegal nem prejudicial ao titular do dado.

• Estrita necessidade.
• Impossibilidade de usar outras bases legais.

❖ Avaliação da legitimidade do tratamento de dados para atender ao interesse:

• O tratamento deve ser compatível com a finalidade na situação concreta.

• O tratamento deve ser compatível com as expectativas e direitos do titular.
• Transparência quanto ao tratamento.
• Minimização do tratamento e aplicação de salvaguardas ao titular.
 Lei Geral de Proteção de Dados:
o que você precisa saber
Compartilhamento de dados entre entes privados
❖ Livre desde que haja consentimento específico do titular.
❖ Excepcionalmente os dados sensíveis só podem ser compartilhados a fim de
obter vantagem econômica conforme regulamento da ANPD.
❖ Dados sensíveis sobre saúde com o fim de obter vantagem econômica foi desde
logo proibido pela lei.
❖ Responsabilidade solidária entre os controladores em caso de infração.

Compartilhamento de dados entre

órgãos públicos

❖ Compartilhamento é autorizado apenas para execução de política pública ou

cumprimento das atribuições legais do órgão.
❖ Consentimento específico do titular dos dados é dispensado.
❖ Deve ser dada a devida publicidade do compartilhamento aos cidadãos.
 Lei Geral de Proteção de Dados:
o que você precisa saber

Compartilhamento de dados entre

entidades públicas e privadas

❖ Compartilhamento é autorizado apenas para execução de política pública ou

cumprimento das atribuições legais do órgão.

❖ Consentimento específico do titular dos dados é necessário.

❖ Consentimento específico do titular dos dados é dispensado apenas se a

entidade privada realiza atividade pública descentralizada ou usa dados
publicamente disponíveis.

❖ Deve ser dada a devida publicidade do compartilhamento aos cidadãos.

 Lei Geral de Proteção de Dados:
o que você precisa saber

Agentes do tratamento de dados

❖ O Controlador toma decisões sobre o tratamento dos dados pessoais:

• Responsável pelo tratamento dos dados e por garantir a segurança dos dados.
• Deve efetivar e garantir os direitos dos titulares.
• Responde pela segurança e pelo tratamento perante o titular e a ANPD.

❖ O Operador apenas obedece às decisões do controlador:

• Responsável por garantir a segurança dos dados.

• Responde pelo cumprimento da lei e das ordens do controlador.
• Responde pela segurança perante o titular e a ANPD.
• Responde pelo tratamento se desobedece às ordens do operador.
 Lei Geral de Proteção de Dados:
o que você precisa saber
Segurança

❖Medidas técnicas e administrativas de proteção:

• Evitar acesso, destruição, perda, adulteração, comunicação ou

difusão de dados.
• Registro obrigatório das operações de tratamento, programas de
governança e regras de boas práticas corporativas.
• Nomeação de um DPO.

❖Nível de segurança adequado considerando:

• Expectativas do titular;
• Tipo de dado e processos de tratamento;
• Resultados esperados e riscos envolvidos; e
• Tecnologia disponível na época.
 Lei Geral de Proteção de Dados:
o que você precisa saber

❖ Autoridade Nacional de Proteção de Dados - ANPD

• Agência vinculada diretamente à Presidência da república .

• Regulamenta e define padrões técnicos para viabilizar o cumprimento da lei.
• Aprova de regulamentos de governança e regras de boas práticas corporativas.
• Requisita e avalia Relatórios de Impacto à Proteção de Dados – RIPD.
• Aprova cláusulas e contratos relativos a tratamento de dados.
• Decide sobre adequação de direito estrangeiro.
• Recebe e processa comunicações de incidentes de segurança.
• Atua preventivamente e repressivamente, com a aplicação de penalidades.

• O Conselho Diretor é o órgão decisório com membros indicados pelo Presidente da

República para mandatos fixos de 4 anos.
• O Conselho Nacional da Proteção de Dados Pessoais e da Privacidade é um órgão
consultivo multissetorial: governo + academia + indústria + sociedade civil.
 Lei Geral de Proteção de Dados:
o que você precisa saber

Mapeamento

❖ Identificação de categorias de dados pessoais tratados, seu fluxo e todos os atos de

tratamento durante seu ciclo de vida

❖ Requer uma força-tarefa composta por pessoal que entenda das atividades do dia-a-
dia, dos negócios e dos sistemas do agente de tratamento.

❖ Primeiro passo para identificar inadequações à legislação – “gap analysis”

❖ Abordagens:
“top-down” – identificação dos fluxos e definição de categorias
“bottom-up” – identificação dos dados e construção de fluxos
 Lei Geral de Proteção de Dados:
o que você precisa saber

Relatório de impacto à proteção dos dados pessoais – RIPD

❖ Mapear os dados, avaliar e descrever os processos de tratamento, bem como

identificar e os minimizar riscos.

❖ Facultativo, a menos que seja requisitado pela ANPD.

❖ Importante ferramenta para avaliar conformidade.

❖ Conteúdo: tipos de dados coletados, metodologias de coleta de dados, medidas

técnicas e administrativas de garantia de segurança dos dados, descrição de
processos de tratamento de dados, indicação de finalidades do tratamento, análise
e conclusões do controlador quanto à legalidade e garantia da segurança dos
dados, além de medidas de salvaguarda e mitigação de riscos.
 Lei Geral de Proteção de Dados:
o que você precisa saber
Penalidades administrativas

❖ Penalidades aplicáveis individualmente ou cumulativamente

• Advertência;
• Publicidade da infração;
• Bloqueio ou eliminação dos dados pessoais tratados de forma ilegal ou insegura;
• Multa simples por infração; e
• Multa diária até o limite máximo.

❖ As multas podem chegar a até 2% do faturamento do grupo econômico no

Brasil no último exercício, limitadas a R$ 50.000.000,00.

❖ Além das penas, há responsabilidade civil: indenização por perdas e danos.

MUITO

OBRIGADA!
Karin Klempp Franco
kklempp@btlaw.com.br
(11) 3069-9080