Cyber Law

Lei nº 13.709 de 14 de agosto de 2018: Lei Geral de Proteção de Dados Pessoais. A Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

O que são dados pessoais?

Qualquer informação que identifique (CPF, RG, passaporte, etc.) ou que possa tornar identificável uma pessoa natural (soma de informações - profissão e local de trabalho, endereço IP-Protocolo de Internet, por exemplo).

E dados pessoais sensíveis?

Dado pessoal sensível é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Em resumo, pode se dizer que são dados cujo tratamento pode ensejar a discriminação do seu titular.

Dos agentes de tratamento? Quem é o controlador e quem é o operador?

Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Para facilitar: a empresa que possui funcionários é a controladora dos dados pessoais desses funcionários, pois é ela quem vai tomar as decisões com relação a esses dados.

Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Para facilitar: uma empresa terceiriza a folha de pagamentos de seus funcionários (é a controladora dos dados pessoais conforme dito acima), para um escritório de contabilidade. Esse escritório, portanto, será o operador dos dados, pois vai tratá-los de acordo com as orientações da controladora.

Do encarregado de dados:

É também chamado DPO (Data Protection Officer). É a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. O DPO é quem ficará encarregado de supervisionar a conformidade da empresa com as leis de proteção de dados pessoais, orientar colaboradores da empresa acerca das práticas de proteção de dados e prestar esclarecimentos aos titulares de dados. Pode ser pessoa natural ou jurídica. A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, preferencialmente no sítio eletrônico do controlador (art. 41, §1º da LGPD).

Das Bases Legais de Tratamento - ART. 7° da Lei.

O tratamento de dados pessoais somente poderá ser realizado nas 10 hipóteses descritas nesse artigo destacando-se:

a) CONSENTIMENTO: deve ser livre, inequívoco e para fim específico. Ou seja, o consentimento deve ser para finalidades determinadas, autorização genérica será considerada nula.

b) Para o cumprimento de obrigação legal ou regulatória pelo controlador;

c) Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

d) Para o exercício regular de direitos em processo judicial, administrativo ou arbitral (Como exemplo, em necessidade de litígios após a entrega do produto ou serviço - histórico de compras, dados de endereço, etc.).

e) Quando necessário para atender aos interesses legítimos do controlador de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Como proceder com dados de menores de 18 anos?

Para menores de 12 anos, os dados podem ser coletados somente mediante consentimento específico dos pais ou responsável legal. Para menores entre 12 e 18 anos, pode ser pelo consentimento ou demais bases legais dispostas na lei, observando-se que adolescentes entre 12 e 16 anos só podem consentir se representados por um dos seus pais ou responsável legal, e adolescentes entre 16 e 18 anos precisam estar assistidos por um de seus pais ou responsável legal.

Dos cuidados básicos:

Em observância ao princípio da necessidade, no contexto da LGPD, a empresa deve ter um controle de acesso as informações. Ou seja, deve ser permitido o acesso aos arquivos e dados da organização àqueles colaboradores que tenham a necessidade para tanto, de forma a cumprir as suas tarefas.