LGPD

lei geral de proteção de dados pessoais

LEI 13.709

A Lei nº 13.709, de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados Pessoais – LGPD, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Estão expressamente estabelecidos na LGPD os seguintes fundamentos:
  1. O respeito à privacidade;
  2. A autodeterminação informativa;
  3. A liberdade de expressão, de informação, de comunicação e de opinião;
  4. A inviolabilidade da intimidade, da honra e da imagem;
  5. O desenvolvimento econômico e tecnológico e a inovação;
  6. A livre iniciativa, a livre concorrência e a defesa do consumidor; e
  7. Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Leia mais

Fundamentos

O tema proteção de dados pessoais, na LGPD, tem como fundamentos (art. 2º, LGPD):

  • respeito à privacidade, ao assegurar os direitos fundamentais de inviolabilidade da intimidade, da honra, da imagem e da vida privada;
  • a autodeterminação informativa, ao expressar o direito do cidadão ao controle, e assim, à proteção de seus dados pessoais e íntimos;
  • a liberdade de expressão, de informação, de comunicação e de opinião, que são direitos previstos na Constituição brasileira;
  • desenvolvimento econômico e tecnológico e a inovação, a partir da criação de um cenário de segurança jurídica em todo o país;
  • a livre iniciativa, a livre concorrência e a defesa do consumidor, por meio de regras claras e válidas para todo o setor privado; e
  • os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas.

Princípios

A LGPD prevê, nos art. 18 e 20, uma ampla gama de direitos dos titulares de dados, dentre os quais podem ser destacados os seguintes:

  • acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva;
  • confirmação da existência de tratamento;
  • acesso aos dados;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
  • portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
  • informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado;
  • peticionamento em relação aos seus dados contra o controlador, perante a ANPD e perante os organismos de defesa do consumidor;
  • oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD;
  • solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e
  • fornecimento, mediante solicitação, de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

Encontra-se abaixo um formulário eletrônico para o titular de dados cadastrar sua manifestação e exercer os seus direitos.

GLOSSÁRIO LGPD

Check1 Agentes de tratamento: o controlador e o operador

Check cor 3 Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo

Check cor 2 Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional

Check1 Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico

Check cor 3 Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados

Check cor 2 Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada

Check1 Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais

Check cor 3 Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento

Check cor 2 Dado pessoal: informação relacionada à pessoa natural identificada ou identificável

Check cor 3 Dado pessoal de criança e de adolescente: o Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança

Check1 Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural

Check cor 3 Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado

Check cor 2 Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)

Check1 Garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da administração pública federal em seu âmbito de atuação

Check cor 3 Garantia da segurança de dados: ver garantia da segurança da informação

Check cor 2 Interoperabilidade: capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING)

Check1 Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador

Check cor 3 Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico

Check cor 2 Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco

Check1 Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento

Check cor 3 Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro

Check cor 2 Tratamento: toda operação realizada com dados pessoais; como as que se referem a:

  • acesso – possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados
  • armazenamento – ação ou resultado de manter ou conservar em repositório um dado
  • arquivamento – ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência
  • avaliação – ato ou efeito de calcular valor sobre um ou mais dados
  • classificação – maneira de ordenar os dados conforme algum critério estabelecido
  • coleta – recolhimento de dados com finalidade específica
  • comunicação – transmitir informações pertinentes a políticas de ação sobre os dados
  • controle – ação ou poder de regular, determinar ou monitorar as ações sobre o dado
  • difusão – ato ou efeito de divulgação, propagação, multiplicação dos dados
  • distribuição – ato ou efeito de dispor de dados de acordo com algum critério estabelecido
  • eliminação – ato ou efeito de excluir ou destruir dado do repositório
  • extração – ato de copiar ou retirar dados do repositório em que se encontrava
  • modificação – ato ou efeito de alteração do dado
  • processamento – ato ou efeito de processar dados
  • produção – criação de bens e de serviços a partir do tratamento de dados
  • recepção – ato de receber os dados ao final da transmissão
  • reprodução – cópia de dado preexistente obtido por meio de qualquer processo
  • transferência – mudança de dados de uma área de armazenamento para outra, ou para terceiro
  • transmissão – movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.
  • utilização – ato ou efeito do aproveitamento dos dados

Check1 Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados

FONTE: SERPRO

Glossário elaborado pela ANPD: glossario-anpd-protecao-de-dados-pessoais-e-privacidade

Perguntas frequentes (FAQ)

sobre a Lei Geral de Proteção de Dados Pessoais

1. Qual é o objetivo da LGPD?

Proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural (art. 1º).

2. A quem se aplica a LGPD?

Aplica-se a pessoas físicas e jurídicas de direito público ou privado, em operações realizadas no território nacional. A lei não se aplica quando o tratamento é feito por pessoa física para fins particulares e não econômicos (ex.: agendas telefônicas, e-mails, etc.), para fins exclusivamente jornalísticos, artísticos ou acadêmicos, e quando visem à segurança pública, defesa nacional e segurança do Estado ou atividades de prevenção e repressão criminal (arts. 3º e 4º, da LGPD).

3. O que são dados pessoais e dados pessoais sensíveis?

Dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável como, por exemplo, CPF, RG, endereço residencial, e-mail etc (art. 5º, I, da LGPD). Por sua vez, os dados pessoais sensíveis dizem respeito a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5º, II, da LGPD).

4. A LGPD abrange dados que já estão em domínio público?

Qualquer informação sobre uma pessoa natural é um dado pessoal, mesmo que em domínio público. A LGPD possui regras mais brandas para tratamento de informações que já são públicas (art. 7º, §§3º e 4º).

5. A LGPD impede a divulgação de dados pessoais?

A Lei não veda a divulgação de dados pessoais, apenas estabelece algumas regras para isso. Em geral, se a finalidade é legítima e justificada, basta definir quais dados são necessários para alcançá-la, diante das circunstâncias do caso.

6. A LGPD sempre exige o consentimento do titular?

É possível usar a informação sem o consentimento – ou mesmo contra a vontade expressa do titular – se há boas razões para isso (bases legais). A chave é agir de forma responsável e proporcional, evitando causar danos injustificados ao titular.

7. Qual é a diferença entre dados anonimizados e os pseudonimizados?

Com a anonimização, os dados relativos ao Titular não podem ser identificados, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento (art. 5º, III). Neste caso, não se aplica a LGPD. Já na pseudonimização, o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro (art. 13, § 4º). Como é possível a identificação do titular, aplica-se a LGPD.

8. O que é tratamento de dados pessoais?

É toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (art. 5º, X, da LGPD).

9. Quem fiscaliza o cumprimento da LGPD?

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão criado para fiscalizar o cumprimento da lei, zelar pela proteção de dados pessoais, elaborar diretrizes e aplicar as sanções em casos de irregularidade.

10. A LGPD também se aplica ao Poder Público?

Sim. O tratamento de dados pessoais pelas pessoas jurídicas de direito público deve ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público. É preciso que sejam fornecidas informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos (art. 23, da LGPD).