LGPD Flashcards
(57 cards)
Qual o objetivo principal da Lei Geral de Proteção de Dados Pessoais (LGPD)?
A LGPD (Lei nº 13.709/2018) tem como objetivo principal proteger os direitos fundamentais de liberdade e privacidade, e o livre desenvolvimento da personalidade da pessoa natural, em relação ao tratamento de dados pessoais, inclusive em meios digitais.
Quais são os fundamentos da disciplina de proteção de dados pessoais, conforme a LGPD?
Os fundamentos da proteção de dados pessoais, que serviram de base para as regras da LGPD, são:
* Respeito à privacidade.
* Autodeterminação informativa (poder de decisão do titular sobre o fluxo de seus dados).
* Liberdade de expressão, de informação, de comunicação e de opinião.
* Inviolabilidade da intimidade, da honra e da imagem.
* Desenvolvimento econômico e tecnológico e a inovação.
* Livre iniciativa, livre concorrência e defesa do consumidor.
* Direitos humanos, livre desenvolvimento da personalidade, dignidade e o exercício da cidadania pelas pessoas naturais.
A LGPD se aplica a dados de pessoas jurídicas?
Não, a LGPD dispõe exclusivamente sobre o tratamento de dados pessoais relacionados a pessoas naturais (físicas) ou identificáveis. Documentos de pessoas jurídicas somente terão proteção pela LGPD se contiverem dados pessoais.
Quais são as condições para a aplicabilidade da LGPD, independentemente do meio, país de sede ou localização dos dados?
A LGPD aplica-se a qualquer operação de tratamento realizada por pessoa natural ou jurídica de direito público ou privado, desde que:
* A operação de tratamento seja realizada no território nacional.
* A atividade de tratamento tenha como objetivo a oferta ou o fornecimento de bens ou serviços, ou o tratamento de dados de indivíduos localizados no território nacional.
* Os dados pessoais objeto do tratamento tenham sido coletados no território nacional (considera-se coletado no Brasil se o titular estava no país no momento da coleta).
A LGPD se aplica ao tratamento de dados realizado por uma pessoa natural para fins profissionais ou comerciais?
Sim, a Lei também se aplica a pessoa natural quando esta de alguma forma realizar o tratamento de dados pessoais para fins profissionais ou comerciais (econômicos).
Em que hipóteses a LGPD NÃO se aplica ao tratamento de dados pessoais?
A LGPD não se aplica ao tratamento de dados pessoais nas seguintes hipóteses:
* Realizado por pessoa natural para fins exclusivamente particulares e não econômicos.
* Realizado para fins exclusivamente jornalísticos e artísticos.
* Realizado para fins exclusivamente acadêmicos (aplicam-se a essa hipótese os arts. 7º e 11 da LGPD).
* Realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
* Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros, ou de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.
Mnemônico para as exceções que não se aplica a LGPD: “AJA SeDe, FI”.
Qual o conceito de “Dado Pessoal” na LGPD?
Dado Pessoal é a informação relacionada a uma pessoa natural identificada ou identificável. Isso inclui não apenas dados diretos, mas também qualquer informação que tenha o potencial de tornar uma pessoa identificável, mesmo que indiretamente (ex: nome, número de identificação, dados de localização, identificadores eletrônicos, elementos de identidade física, fisiológica, genética, mental, econômica, cultural ou social).
O que é considerado “Dado Pessoal Sensível” pela LGPD?
Dado Pessoal Sensível é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. O tratamento desses dados pode gerar discriminação.
O número do CPF (Cadastro de Pessoa Física) é considerado um dado pessoal sensível?
Não, a LGPD não lista o número do CPF da pessoa natural como um dado pessoal sensível.
Defina “Dado Anonimizado” e “Anonimização” conforme a LGPD.
- Dado Anonimizado: Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
- Anonimização: Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. A LGPD não considera dado anonimizado como dado pessoal, não aplicando suas regras ao tratamento de dados que passam por esse processo.
Qual a definição de “Controlador” e “Operador” na LGPD?
- Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. O controlador tem maiores obrigações, definindo a base legal, acompanhando o ciclo de vida dos dados, registrando operações, descartando, indicando encarregado, elaborando relatórios de impacto, e mais.
- Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. O operador deve respeitar as determinações do controlador e as regras da legislação, mantendo registros e adotando medidas de proteção.
O que é o “Encarregado” pelo tratamento de dados pessoais, e quais suas funções?
O Encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Suas atividades incluem:
* Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências.
* Receber comunicações da autoridade nacional e adotar providências.
* Orientar funcionários e contratados sobre as práticas de proteção de dados pessoais.
* Executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares. É obrigatório que todos os controladores de dados pessoais nomeiem um Encarregado, independente do porte ou volume das operações.
Qual o conceito de “Tratamento” de dados pessoais na LGPD?
Tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. O conceito é abrangente, indo da coleta ao descarte.
O que é “Consentimento” para o tratamento de dados pessoais e quais seus requisitos?
Consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Seus requisitos são:
* Livre: O titular deve ter a oportunidade de consentir ou não, sem pressão ou consequências negativas pela recusa. Deve ser granular, permitindo autorizar o uso para cada finalidade separadamente.
* Informado: O titular deve ser munido de informações claras sobre as consequências da autorização ou recusa do tratamento.
* Inequívoco: O consentimento deve ser dado por um ato positivo (ex: aceite, declaração, clique), não valendo o silêncio, omissão ou opções pré-preenchidas. O consentimento será considerado nulo se as informações forem enganosas ou abusivas, ou não forem apresentadas previamente com transparência, de forma clara e inequívoca.
Quais são as dez bases legais para o tratamento de dados pessoais, além do consentimento?
O tratamento de dados pessoais pode ser realizado sem o consentimento do titular nas seguintes hipóteses (rol taxativo):
* Para cumprimento de obrigação legal ou regulatória pelo controlador.
* Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
* Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.
* Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.
* Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
* Para a proteção da vida ou da incolumidade física do titular ou de terceiro.
* Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
* Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular.
* Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Quais princípios devem ser observados nas atividades de tratamento de dados pessoais?
As atividades de tratamento de dados pessoais devem observar a boa-fé e os seguintes princípios:
* Finalidade: Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior incompatível.
* Adequação: Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
* Necessidade: Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos.
* Livre acesso: Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
* Qualidade dos dados: Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade.
* Transparência: Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
* Segurança: Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
* Prevenção: Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
* Não discriminação: Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
* Responsabilização e prestação de contas: Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.
Em quais situações os dados tornados manifestamente públicos pelo titular dispensam o consentimento para tratamento?
Nas hipóteses em que os dados se tornaram públicos por vontade do próprio titular, o agente está dispensado de coletar o consentimento para tratamento desses dados. No entanto, ainda devem ser observados os princípios da LGPD e resguardados os direitos dos titulares. O tratamento posterior desses dados para novas finalidades é permitido, desde que observe propósitos legítimos e específicos para o novo tratamento e preserve os direitos do titular.
Quando um controlador obtém consentimento para tratamento de dados e precisa compartilhá-los com outros controladores, o que é exigido?
O controlador que obteve o consentimento e realiza o tratamento com base nessa hipótese deverá informar ao titular dos dados caso haja necessidade de compartilhamento desses dados pessoais com terceiros e esse compartilhamento somente poderá ocorrer se houver consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa de consentimento previstas na Lei.
O que é o “legítimo interesse do controlador” como base legal e quais são suas exigências?
O legítimo interesse do controlador pode fundamentar o tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas. Isso inclui, mas não se limita a:
* Apoio e promoção de atividades do controlador.
* Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais. Quando o tratamento é baseado no legítimo interesse, somente os dados estritamente necessários para a finalidade pretendida podem ser tratados, e o controlador deve garantir a transparência do tratamento. A Autoridade Nacional de Proteção de Dados (ANPD) pode solicitar um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) nesses casos.
Quais são as bases legais para o tratamento de dados pessoais sensíveis?
O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
* Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas.
* Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
* Cumprimento de obrigação legal ou regulatória pelo controlador.
* Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos.
* Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis.
* Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral.
* Proteção da vida ou da incolumidade física do titular ou de terceiro.
* Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
* Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
O tratamento de dados pessoais sensíveis para fins de legítimo interesse do controlador ou para proteção ao crédito é permitido?
Não, a LGPD não permite o tratamento de dados pessoais sensíveis com base no legítimo interesse do controlador, nem para a finalidade de proteção ao crédito.
Quais são as regras para o tratamento de dados pessoais de crianças e adolescentes?
O tratamento de dados pessoais de crianças e adolescentes deve ser realizado em seu melhor interesse, conforme a LGPD e o ECA.
- Crianças (até 12 anos incompletos): O tratamento de dados pessoais de crianças deve ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
- Adolescentes (12 a 18 anos incompletos): Para adolescentes, o consentimento específico não é exigido, podendo ser obtido o consentimento ordinário.
- Os controladores devem manter públicas as informações sobre os tipos de dados coletados, a forma de utilização e os procedimentos para o exercício dos direitos.
- A coleta de dados de crianças sem consentimento é permitida apenas para contatar os pais ou responsável legal (utilizado uma única vez e sem armazenamento) ou para sua proteção, sem repasse a terceiros.
- É vedado condicionar a participação em jogos, aplicativos ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias.
- O controlador deve realizar esforços razoáveis para verificar que o consentimento foi dado pelos pais ou responsáveis, e não pela criança.
- As informações devem ser fornecidas de maneira simples, clara, acessível e adequada ao entendimento da criança e dos pais/responsáveis.
Quando ocorre o término do tratamento de dados pessoais e o que acontece com os dados após esse término?
O término do tratamento de dados pessoais ocorre nas seguintes hipóteses:
* Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade.
* Fim do período de tratamento.
* Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público.
* Determinação da autoridade nacional, quando houver violação da Lei.
Após o término, os dados pessoais devem ser eliminados, de forma automática, salvo se houver autorização para conservação para as seguintes finalidades:
* Cumprimento de obrigação legal ou regulatória pelo controlador.
* Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.
* Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados da Lei.
* Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que os dados sejam anonimizados.
Quais são os direitos do titular de dados pessoais, conforme a LGPD?
O titular dos dados pessoais tem direito a obter do controlador, a qualquer momento e mediante requisição:
* Confirmação da existência de tratamento.
* Acesso aos dados.
* Correção de dados incompletos, inexatos ou desatualizados.
* Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei.
* Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa (não inclui dados já anonimizados).
* Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da Lei.
* Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
* Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
* Revogação do consentimento.
O titular também pode peticionar contra o controlador perante a Autoridade Nacional de Proteção de Dados (ANPD) ou organismos de defesa do consumidor. O requerimento deve ser atendido sem custos e em prazo razoável.
