Em nosso último artigo, discutimos a “General Data Protection Regulation”, conhecida como GDPR, no contexto da União Europeia. Nos próximos, abordaremos a Lei 13.709 de 14 de agosto de 2018 que dispõe sobre a Lei Proteção de Dados Pessoais (LPDP), a qual tomou como base para sua criação a GDPR.

 

O alcance da LPDP; a LPDP define como principais fundamentos da proteção de dados:

 

 

• o respeito à privacidade;
• a autodeterminação informativa;
• a liberdade de expressão, de informação, de comunicação e de opinião;
• a inviolabilidade da intimidade, da honra e da imagem;
• o desenvolvimento econômico e tecnológico e a inovação;
• a livre iniciativa, a livre concorrência e a defesa do consumidor;
• os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

A LPDP se aplica a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado quando:

• a operação de tratamento é realizada no território nacional;
• a atividade de tratamento tem por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
• os dados pessoais objetos do tratamento sejam coletados no território nacional.

Existem algumas situações que não são impactadas pela LPDP, por exemplo, se o tratamento de dados é realizado:

• por pessoa natural para fins exclusivamente particulares e não econômicos;
• para fins exclusivamente jornalístico e artístico ou acadêmico;
• para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, atividades de investigação e repressão de infrações penais;
• proveniente de fora do território nacional e que não seja objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência.

Entre os princípios considerados pela LPDP, para questões de criticidade, impacto e riscos se destacam os seguintes:

• finalidade;
• adequação;
• necessidade;
• livre acesso;
• qualidade dos dados;
• transparência;
• segurança;
• prevenção;
• não discriminação;
• responsabilização e prestação de contas.

Tratamento dos dados pessoais e acesso pelo titular; a LPDP estabelece algumas condições para a realização do processamento de dados de pessoais, que são as seguintes:

1. o fornecimento de consentimento escrito ou por outro meio que demonstre a manifestação de vontade pelo titular dos dados;
2. para o cumprimento de obrigação legal ou regulatória pelo controlador;
3. pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
4. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
5. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
6. para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
7. para a proteção da vida ou da incolumidade física do titular ou de terceiro;
8. para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
9. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
10. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Quanto ao acesso das informações processadas pelo controlador, é importante ressaltar que estas informações deverão ser disponibilizadas ao titular sempre que este solicitar. As informações deverão ser fornecidas, de forma clara, adequada e ostensiva, para o atendimento entre outros do princípio do livre acesso.

Tratamento de dados pessoais sensíveis; a LPDP define duas condições possíveis para o tratamento de dados pessoais sensíveis:

1. quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
2. sem fornecimento de consentimento do titular, nas hipóteses em que o dado for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

Tratamento de dados pessoais de crianças e adolescentes: o tratamento de dados pessoais de crianças e de adolescentes é possível somente em condições especiais, tais como:

1. com o consentimento específico e em destaque dado por, pelo menos, um dos pais ou pelo responsável legal;
2. Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o item acima quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento referido acima;
3. O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento referido acima foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis;
4. As informações sobre o tratamento de dados deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Término de tratamento de dados pessoais; existem quatro situações definidas na LPDP para o término de tratamento de dados:

1. verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
2. fim do período de tratamento;
3. comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme descrito anteriormente, resguardado o interesse público;
4. por determinação da autoridade nacional, quando houver violação ao disposto nesta lei.

Por outro lado, a LPDP estabelece algumas situações onde os dados poderão ser mantidos bem como suas finalidades:

1. cumprimento de obrigação legal ou regulatória pelo controlador;
2. estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
3. transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta lei; –
4. uso exclusivo do controlador, vedado seu acesso por terceiros, e desde que anonimizados os dados.

Em nossos próximos artigos vamos continuar a falar sobre a Lei 13.709 que trata da proteção de dados pessoais e seus direitos garantidos.

José Ricardo Formagio Bueno – engenheiro e consultor especialista em gestão de Arquitetura Empresarial, Automação e Robotização de processos. CEO e Fundador da Automatum Soluções Empresariais – Automatum