De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia: pode ter certeza, a Lei Geral de Proteção de Dados Pessoais (LGPD) afeta diferentes setores e serviços, e a todos nós brasileiras e brasileiros, seja no papel de indivíduo, empresa ou governo. Aqui, a gente te ajuda a entender os seus direitos como cidadão, ou suas obrigações, caso você seja responsável por bases de dados de pessoas.

E damos, é claro, as boas-vindas a você que quer entender mais a LGPD, contribuir com ela, e buscar suporte. Vamos nessa?

Para começar
Já que você topou, então vamos dar um “giro” pela LGPD e conhecer os principais pontos da lei

LGPDFinalidades e necessidadesUma regra para todosMais para o cidadão

Para continuar
Agora que você deu um giro, leia a seguir mais detalhes sobre os principais pontos apresentados na imagem acima

A LGPD é a lei nº 13.709, aprovada em agosto de 2018 e com vigência a partir de agosto de 2020. Para entender a importância do assunto, é necessário saber que a nova lei quer criar um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária e dentro do país e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil. E, para que não haja confusão, a lei traz logo de cara o que são dados pessoais, define que há alguns desses dados sujeitos a cuidados ainda mais específicos, como os sensíveis e os sobre crianças e adolescentes, e que dados tratados tanto nos meios físicos como nos digitais estão sujeitos à regulação.

A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.

Consentimento
Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

Automatização com autorização
Por falar em direitos, é essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo  deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.

ANPD e agentes de tratamento
E tem mais. Para a lei a “pegar”, o país contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações poderão colaborar com a autoridade.

Mas não basta a ANPD – que está em formação – e é por isso que a Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).

Gestão em foco
Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha. E enviará, é claro, alertas e orientações antes de aplicar sanções às organizações.

Lei de acesso à informação. Publicado originalmente em 03/09/2020 18h24 Atualizado em 12/04/2021 10h55

Proteção de Dados Pessoais – LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Conforme o art. 5º da LGPD, dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável.

Direitos dos titulares de dados pessoais

Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da LGPD (artigo 17 da LGPD).

O titular dos dados pessoais tem direitos, que podem ser exercidos mediante requerimento expresso ao Ministério da Defesa.

Os direitos do titular são: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; eliminação dos dados pessoais, entre outros.

Para apresentar requerimento expresso ao Ministério da Defesa, com fundamento na LGPD, utilize a Plataforma Fala.br.

Encarregada pelo Tratamento de Dados Pessoais

Márcia Soares da Cunha

  • E-mail para orientações e esclarecimentos de dúvidas: encarregado@defesa.gov.br
  • Correspondência: Ministério da Defesa. Esplanada dos Ministérios, Bloco Q – Zona CívicoAdministrativa Brasília/DF – CEP 70 049-900

O encarregado pelo tratamento de dados pessoais atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (Lei nº 13.709/2018, art. 5º, VIII).

São atribuições do encarregado pelo tratamento de dados pessoais (LGPD, art. 41, §2º):
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

O Ministério da Defesa, em cumprimento ao art. 41 da LGPD, nomeou sua Encarregada pelo tratamento de dados pessoais por meio da Portaria GM-MD n° 1.648/2021.

Clique aqui e acesse a Autoridade Nacional de Proteção de Dados (ANPD)

Esta auditoria foi elaborada para ser utilizada como um mecanismo para analisar o grau de conformidade dos métodos aplicados por uma empresa na busca da adequação a LGPD – Lei Geral de Proteção de Dados.

As questões apresentadas são aderentes aos requisitos que são exigidos no exame  “EXIN Privacy & Data Protection Practitioner”, e representam o modelo que confere um dos passos para a certificação de um DPO – Data Protection Officer para a GDPR e a LGPD.

Este modelo utilizado para adequação não é único e exclusivo, e poderá ser modificado a qualquer momento para melhor representar os requisitos de adequação à LGPD, considerando:

a) alteração da LGPD – Lei Geral de Proteção de Dados (lei 13.709/2018);

b) novo parecer técnico complementar emitido pela ANPD – Autoridade Nacional de Proteção de Dados, para garantir o cumprimento desta Lei;

c) aperfeiçoamento natural das boas práticas de Segurança da Informação e da Proteção de Dados e Privacidade.

A obtenção do certificado de conformidade com a LGPD não significa que a empresa ora auditada está livre de ameaças de Segurança da Informação – como ataques hacker, espionagem industrial, sequestro de seus dados, ou qualquer outro incidente semelhante, ou mesmo, não significa que ela está livre de ameaças de incidentes de Proteção de Dados e Privacidade. Incidentes de qualquer uma destas naturezas podem acarretar dados diversos aos titulares cujos estão sob a custódia da empresa, bem como da perdas materiais para a própria empresa, financeiras, exposição negativa da imagem, e ainda gerar passivos como multas e indenizações.

A auditoria, e o certificado de conformidade com a LGPD, buscam identificar o quanto a empresa auditada se preparou para atender a legislação e o quanto de medidas e planos de ação, dentro do contexto de melhoria contínua, fazem parte do dia a dia, buscando mitigar ou reduzir o risco de incidentes de dados pessoais e que possam trazer prejuízos aos titulares de dados pessoais, representados pelos seus clientes, funcionários, visitantes e usuários.

Sugere-se para o ciclo desta auditoria o prazo de 1 ano a contar da data da emissão do certificado de conformidade.