Lei Geral de Proteção de Dados (LGPD) na Alego

A Lei Geral de Proteção de Dados (LGPD) – Lei Federal nº 13.709, publicada em 4 de agosto de 2018, entrou parcialmente em vigor em 18 de setembro de 2020. Sua completa vigência se deu em 1º de agosto de 2021, quando passaram a vigorar as sanções administrativas, a serem aplicadas, no caso de descumprimento da Lei, pela Autoridade Nacional de Proteção de Dados – ANPD.
A LGPD tem por objetivo proteger a privacidade dos dados pessoais e garantir a transparência em sua utilização por empresas privadas ou por órgãos públicos. Portanto, a LGPD disciplina o tratamento dos dados pessoais, definindo, em síntese, seu âmbito de aplicação, fundamentos, princípios, hipóteses em que o tratamento dos dados pessoais pode ser realizado, formas de manuseio, direitos do titular de dados pessoais, agentes de tratamento de dados pessoais e, ainda, as sanções administrativas a serem aplicadas em caso de descumprimento.
A proteção de dados pessoais é algo que se exige na sociedade contemporânea, e sua importância é tal que passou a ser assegurada pela Constituição Federal, à medida que foi incluída entre os direitos e garantias fundamentais, via Emenda Constitucional nº 115, de 10 de fevereiro de 2022

De acordo com o art. 5º, X, da LGPD, tratamento de dados pessoais é “toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

O art. 7º, da LGPD, define as hipóteses em que poderá ser realizado o tratamento de dados pessoais, isto é:
mediante o fornecimento de consentimento pelo titular; para o cumprimento de obrigação legal ou regulatória pelo controlador; pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da LGPD; para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; para a proteção da vida ou da incolumidade física do titular ou de terceiro; para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. Por sua vez, o art. 11 da LGPD define as hipóteses de tratamento de dados pessoais sensíveis, ou seja: quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º da LGPD e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

O art. 5º, VI e VII, da LGPD, define controlador e operador.
Assim, controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.A Assembleia Legislativa do Estado de Goiás é a controladora dos dados pessoais por ela recebidos.
Já o operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, como exemplo, as “pessoas jurídicas diversas daquela representada pelo controlador, que exerçam atividade de tratamento no âmbito de contrato ou instrumento congênere”.

Renis Rangel Cavalcante Faleiros
Telefone: (62) 3221-3010

Para o cumprimento de obrigação legal ou regulatória pelo controlador; para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; para a proteção da vida ou da incolumidade física do titular ou de terceiro; quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º da LGPD e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais (na hipótese de dados pessoais sensíveis).

Segundo o art. 15, da LGPD, o término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; fim do período de tratamento; comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, conforme disposto no § 5º do art. 8º da LGPD, resguardado o interesse público; ou determinação da autoridade nacional, quando houver violação ao disposto na LGPD. Após o término do tratamento dos dados pessoais, sua conservação será autorizada nos seguintes casos:
cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

O art. 18, da LGPD, define os direitos do titular dos dados pessoais em relação ao controlador e aos dados do titular por ele tratados, isto é:
• confirmação da existência de tratamento;
• acesso aos dados;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
• portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
• eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
• informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• revogação do consentimento, nos termos do § 5º do art. 8º da LGPD.

O art. 6º da LGPD define os seguintes princípios que norteiam as atividades de tratamento de dados pessoais:
Finalidade: a realização do tratamento deve ocorrer para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
Adequação: a compatibilidade do tratamento deve ocorrer conforme as finalidades informadas ao titular, de acordo com o contexto do tratamento;
Necessidade: o tratamento deve se limitar à realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Livre acesso: é a garantia dada aos titulares de consulta livre, de forma facilitada e gratuita, à forma e à duração do tratamento, bem como à integralidade de seus dados pessoais;
Qualidade dos dados: é a garantia dada aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Transparência: é a garantia dada aos titulares de que terão informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Segurança: trata-se da utilização de medidas técnicas e administrativas qualificadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Prevenção: compreende a adoção de medidas para prevenir a ocorrência de danos por causa do tratamento de dados pessoais;
Não discriminação: sustenta que o tratamento dos dados não pode ser realizado para fins discriminatórios, ilícitos ou abusivos;
Responsabilização e prestação de contas: demonstração, pelo Controlador ou pelo Operador, de todas as medidas eficazes e capazes de comprovar o cumprimento da lei e a eficácia das medidas aplicadas.