lei geral de proteÇÃo de dados pessoais. · vice presidente da comissão de compliance oab/sjc...
Post on 27-Dec-2019
2 Views
Preview:
TRANSCRIPT
CONTEÚDO
• Dados pessoais. O que é dado pessoal?
• Quem atua na LGPD?
• Qual a importância de conhecer as regras LGPD?
• O que precisa mudar no escritório de contabilidade?
Sobre o que trata a Lei :13.709/2018?
• Essa Lei traz regras para disciplinar a forma como os
dados pessoais dos indivíduos podem ser armazenadospor empresas ou mesmo por outras pessoas físicas.
• O objetivo da Lei é proteger os direitos fundamentais de
liberdade e de privacidade e o livre desenvolvimento dapersonalidade da pessoa natural.
O que é considerado “dado pessoal” para os fins dessa Lei?
• Dado pessoal é a informação relacionada a uma pessoanatural.
• Exs: seu nome, RG, CPF, profissão, estado civil, grau deescolaridade etc.
A Lei nº 13.709/2018 utiliza, em diversos momentos, a expressão “tratamento de dados pessoais”.
O que quer dizer essa expressão?
• Tratamento de dados pessoais é toda “operação” realizada com dados pessoais.
A quem se aplica a Lei nº13.709/2018?
• Esta Lei se aplica a qualquer operação de tratamento dedados pessoais.
• - realizada por pessoa natural ou por pessoa jurídicade direito público ou privado
• - independentemente do meio, do país de sua sede oudo país onde estejam localizados os dados.
Situações nas quais NÃO se aplica a Lei nº 13.709/2018.
• A Lei não se aplica ao tratamento de dados pessoais:
• I - realizado por pessoa natural para fins exclusivamente particulares enão econômicos;
• II - realizado para fins exclusivamente:
• a) jornalístico e artísticos; ou
• b) acadêmicos (em caso de fins acadêmicos não se aplica a lei toda,mas apenas os arts.7º e 11);
• III - realizado para fins exclusivos de:
• a) segurança pública;
• b) defesa nacional;
• c) segurança do Estado; ou
• d) atividades de investigação e repressão de infrações penais;
Princípios que devem ser aplicados no tratamento de dados pessoais.
• As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
• I - finalidade:
• II - adequação:
• III - necessidade:
• IV - livre acesso:
• V - qualidade dos dados:
• VI - transparência:
• VII - segurança:
• VIII - prevenção:
• IX - não discriminação:
• X - responsabilização e prestação de contas:
REQUISITOS para o tratamento de dados pessoais.• O tratamento de dados pessoais somente poderá ser
realizado nas seguintes hipóteses:
• I - mediante o fornecimento de consentimento pelo titular.
É a manifestação livre, informada e inequívoca pela qual otitular concorda com o tratamento de seus dados pessoaispara uma finalidade determinada.
• Quando a Lei fala em “titular”, significa a pessoa natural aquem se referem os dados pessoais que são objeto detratamento.
• Eu sou titular dos dados pessoais que se referem a mim. Vocêé titular dos dados pessoais que se referem a você e assim pordiante.
Quem são os agentes de tratamento dos dados pessoais ?• O controlador e o operador.
• Controlador é a pessoa natural ou jurídica, de direito públicoou privado, a quem competem as decisões referentes aotratamento de dados pessoais.
• Operador é a pessoa natural ou jurídica, de direito públicoou privado, que realiza o tratamento de dados pessoais emnome do controlador.
Se houver dúvida se foi ou não concedidoo consentimento?
• Vício de consentimento:
• É vedado o tratamento de dados pessoais mediante vício de consentimento. Ex:o titular foi induzido em erro para fornecer seus dados pessoais.
• Consentimento deve ser específico.
• O consentimento deverá referir-se a finalidades determinadas.• As autorizações genéricas para o tratamento de dados pessoais serão nulas.
Como ocorrerá a revogação do consentimento do uso de dados ?
• O consentimento pode ser revogado a
qualquer momento mediante manifestação expressa dotitular.
• O procedimento para a revogação doconsentimento deve ser gratuito e facilitado.
Desnecessidade de consentimento não isenta do cumprimento da lei.
• A eventual dispensa da exigência do consentimentonão desobriga os agentes de tratamento das demaisobrigações previstas na Lei nº 13.709/2018, especialmenteda observância dos princípios gerais e da garantia dosdireitos do titular.
• Para o cumprimento de obrigação legal ou regulatóriapelo controlador,vale ressaltar que, mesmo neste caso, otitular deverá ser informado que será feito o tratamentode seus dados
(coleta, armazenamento, classificação etc).
Acesso às informações sobreo tratamento de seus dados.
O titular tem direito ao acesso facilitado às informações sobre o tratamentode seus dados, que deverão ser disponibilizadas de forma clara, adequadae ostensiva acerca.
Trata-se do “princípio do livre acesso”.
O titular deverá ter direito às seguintes informações:
• I - finalidade específica do tratamento;
• II - forma e duração do tratamento, observados os segredos comercial eindustrial;
• III - identificação do controlador;
• IV - informações de contato do controlador;
• V - informações acerca do uso compartilhado de dados pelo controlador ea finalidade;
• VI - responsabilidades dos agentes que realizarão o tratamento; e
• VII - direitos do titular.
Tratamento de dados pessoais com base no legítimo interesse do controlador.
• O legítimo interesse do controlador somente poderáfundamentar tratamento de dados pessoais para finalidadeslegítimas, consideradas a partir de situações concretas,que incluem, mas não se limitam a:
• I - apoio e promoção de atividades do controlador; e
• II - proteção, em relação ao titular, do exercício regular deseus direitos ou prestação de serviços que o beneficiem,respeitadas as legítimas expectativas dele e os direitos eliberdades fundamentais.
O que é dado pessoal sensível?
• Dado pessoal sensível :
É o dado pessoal sobre origem racial ou étnica,convicção religiosa, opinião política, filiação a sindicato oua organização de caráter religioso, filosófico ou político,dado referente à saúde ou à vida sexual, dado genéticoou biométrico, quando vinculado a uma pessoa natural.
Término do tratamento de dados.
O término do tratamento de dados pessoais ocorrerá nasseguintes hipóteses:
• I - verificação de que a finalidade foi alcançada ou de que osdados deixaram de ser necessários ou pertinentes ao alcanceda finalidade específica almejada;
• II - fim do período de tratamento;
• III - comunicação do titular, inclusive no exercício de seudireito de revogação do consentimento, resguardado ointeresse público; ou
• IV - determinação da autoridade nacional, quando houverviolação ao disposto na Lei.
Eliminação dos dados pessoais após o término do tratamento.• Os dados pessoais serão eliminados após o término de
seu tratamento, no âmbito e nos limites técnicos dasatividades, autorizada a conservação para as seguintesfinalidades:
• I - cumprimento de obrigação legal ou regulatória pelocontrolador;
• II - estudo por órgão de pesquisa, garantida, sempre quepossível, a anonimização dos dados pessoais;
• III - transferência a terceiro, desde que respeitados osrequisitos de tratamento de dados;
• IV - uso exclusivo do controlador, vedado seu acesso porterceiro, e desde que anonimizados os dados.
DIREITOS DO TITULAR.
Titularidade dos dados pessoais.
• Toda pessoa natural tem assegurada a titularidade
de seus dados pessoais e garantidos os
direitos fundamentais de liberdade, de intimidade ede privacidade.
• O titular dos dados pessoais tem o direito de
peticionar em relação aos seus dados contra ocontrolador perante a autoridade nacional.
Direito de obter do controlador.• O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do
titular por ele tratados, a qualquer momento e mediante requisição:
• I - confirmação da existência de tratamento;
• II - acesso aos dados;
• III - correção de dados incompletos, inexatos ou desatualizados;
• IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
• V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial;
• VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da Lei;
• VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as
• consequências da negativa;
• IX - revogação do consentimento.
Confirmação dos dados pessoais.
A confirmação de existência ou o acesso a dados pessoaisserão providenciados,mediante requisição do titular:
• I - em formato simplificado, imediatamente; ou
• II - por meio de declaração clara e completa, que indiquea origem dos dados, a inexistência de registro, os critérios utilizadose a finalidade do tratamento, observados os segredos comerciale industrial, fornecida no prazo de até 15 dias, contado da datado requerimento do titular.
Encarregado pelo tratamento de dados pessoais.
• as empresas que trabalham com dados pessoais deverão ter um “encarregado”, que é um indivíduo que irá ser o responsável por cuidar dos assuntos relacionados com esses dados pessoais.
Responsabilidade e ressarcimento de danos.O controlador ou o operador que, em razão do exercício de atividade detratamento de dados pessoais, causar a outrem dano patrimonial, moral,individual ou coletivo, em violação à legislação de proteção de dadospessoais, é obrigado a repará-lo.
• A fim de assegurar a efetiva indenização ao titular dos dados:
• I - o operador responde solidariamente pelos danos causadospelo tratamento quando descumprir as obrigações da legislação deproteção de dados ou quando não tiver seguido as instruções lícitasdo controlador, hipótese em que o operador equipara-seao controlador, salvo nos casos de exclusão previstos no art. 43 da Lei nº13.709/2018;
• II - os controladores que estiverem diretamente envolvidos notratamento do qual decorreram danos ao titular dos dadosrespondem solidariamente, salvo nos casos de exclusão previstos no art.43 da Lei nº 13.709/2018.
Boas práticas e governança.
• Os controladores e operadores, no âmbito de suascompetências, pelo tratamento de dados pessoais,individualmente ou por meio de associações, poderão formularregras de boas práticas e de governança que estabeleçam ascondições de organização, o regime de funcionamento, osprocedimentos, incluindo reclamações e petições de titulares, asnormas de segurança, os padrões técnicos, as obrigaçõesespecíficas para os diversos envolvidos no tratamento, as açõeseducativas, os mecanismos internos de supervisão e de mitigaçãode riscos e outros aspectos relacionados ao tratamento de dadospessoais.
MUITO
OBRIGADO!Irati Santos ,advogada militante há 8 anos na área do Direito Tributário, sócia do Escritorio SantoseCalegao( escritorio especializado Direito Digital e Compliance).
www.santosecalegao.adv.br
Presidente da Comissão de Direito Digital OAB/SJCVice Presidente da Comissão de Compliance OAB/SJC
Pos-Graduada Lato Sensu pela Faculdade Damásio-SP ,com especialização em :
Direito Processual Civil 2013,Direito Penal e Processo Penal 2014,Direitodo Consumidor 2015,Direito Tributário 2016,Direito Registral e Notarial 2017, Direito Digital eCompliance 2018.
Fluencia idiomas: Japonês, Frances e Inglês.
CONTEÚDO
• Dados pessoais. O que é dado pessoal?
• Quem atua na LGPD?
• Qual a importância de conhecer as regras LGPD?
• O que precisa mudar no escritório de contabilidade?
Sobre o que trata a Lei :13.709/2018?
• Essa Lei traz regras para disciplinar a forma como os
dados pessoais dos indivíduos podem ser armazenadospor empresas ou mesmo por outras pessoas físicas.
• O objetivo da Lei é proteger os direitos fundamentais de
liberdade e de privacidade e o livre desenvolvimento dapersonalidade da pessoa natural.
O que é considerado “dado pessoal” para os fins dessa Lei?
• Dado pessoal é a informação relacionada a uma pessoanatural.
• Exs: seu nome, RG, CPF, profissão, estado civil, grau deescolaridade etc.
A Lei nº 13.709/2018 utiliza, em diversos momentos, a expressão “tratamento de dados pessoais”.
O que quer dizer essa expressão?
• Tratamento de dados pessoais é toda “operação” realizada com dados pessoais.
A quem se aplica a Lei nº13.709/2018?
• Esta Lei se aplica a qualquer operação de tratamento dedados pessoais.
• - realizada por pessoa natural ou por pessoa jurídicade direito público ou privado
• - independentemente do meio, do país de sua sede oudo país onde estejam localizados os dados.
Situações nas quais NÃO se aplica a Lei nº 13.709/2018.
• A Lei não se aplica ao tratamento de dados pessoais:
• I - realizado por pessoa natural para fins exclusivamente particulares enão econômicos;
• II - realizado para fins exclusivamente:
• a) jornalístico e artísticos; ou
• b) acadêmicos (em caso de fins acadêmicos não se aplica a lei toda,mas apenas os arts.7º e 11);
• III - realizado para fins exclusivos de:
• a) segurança pública;
• b) defesa nacional;
• c) segurança do Estado; ou
• d) atividades de investigação e repressão de infrações penais;
Princípios que devem ser aplicados no tratamento de dados pessoais.
• As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
• I - finalidade:
• II - adequação:
• III - necessidade:
• IV - livre acesso:
• V - qualidade dos dados:
• VI - transparência:
• VII - segurança:
• VIII - prevenção:
• IX - não discriminação:
• X - responsabilização e prestação de contas:
REQUISITOS para o tratamento de dados pessoais.• O tratamento de dados pessoais somente poderá ser
realizado nas seguintes hipóteses:
• I - mediante o fornecimento de consentimento pelo titular.
É a manifestação livre, informada e inequívoca pela qual otitular concorda com o tratamento de seus dados pessoaispara uma finalidade determinada.
• Quando a Lei fala em “titular”, significa a pessoa natural aquem se referem os dados pessoais que são objeto detratamento.
• Eu sou titular dos dados pessoais que se referem a mim. Vocêé titular dos dados pessoais que se referem a você e assim pordiante.
Quem são os agentes de tratamento dos dados pessoais ?• O controlador e o operador.
• Controlador é a pessoa natural ou jurídica, de direito públicoou privado, a quem competem as decisões referentes aotratamento de dados pessoais.
• Operador é a pessoa natural ou jurídica, de direito públicoou privado, que realiza o tratamento de dados pessoais emnome do controlador.
Se houver dúvida se foi ou não concedidoo consentimento?
• Vício de consentimento:
• É vedado o tratamento de dados pessoais mediante vício de consentimento. Ex:o titular foi induzido em erro para fornecer seus dados pessoais.
• Consentimento deve ser específico.
• O consentimento deverá referir-se a finalidades determinadas.• As autorizações genéricas para o tratamento de dados pessoais serão nulas.
Como ocorrerá a revogação do consentimento do uso de dados ?
• O consentimento pode ser revogado a
qualquer momento mediante manifestação expressa dotitular.
• O procedimento para a revogação doconsentimento deve ser gratuito e facilitado.
Desnecessidade de consentimento não isenta do cumprimento da lei.
• A eventual dispensa da exigência do consentimentonão desobriga os agentes de tratamento das demaisobrigações previstas na Lei nº 13.709/2018, especialmenteda observância dos princípios gerais e da garantia dosdireitos do titular.
• Para o cumprimento de obrigação legal ou regulatóriapelo controlador,vale ressaltar que, mesmo neste caso, otitular deverá ser informado que será feito o tratamentode seus dados
(coleta, armazenamento, classificação etc).
Acesso às informações sobreo tratamento de seus dados.
O titular tem direito ao acesso facilitado às informações sobre o tratamentode seus dados, que deverão ser disponibilizadas de forma clara, adequadae ostensiva acerca.
Trata-se do “princípio do livre acesso”.
O titular deverá ter direito às seguintes informações:
• I - finalidade específica do tratamento;
• II - forma e duração do tratamento, observados os segredos comercial eindustrial;
• III - identificação do controlador;
• IV - informações de contato do controlador;
• V - informações acerca do uso compartilhado de dados pelo controlador ea finalidade;
• VI - responsabilidades dos agentes que realizarão o tratamento; e
• VII - direitos do titular.
Tratamento de dados pessoais com base no legítimo interesse do controlador.
• O legítimo interesse do controlador somente poderáfundamentar tratamento de dados pessoais para finalidadeslegítimas, consideradas a partir de situações concretas,que incluem, mas não se limitam a:
• I - apoio e promoção de atividades do controlador; e
• II - proteção, em relação ao titular, do exercício regular deseus direitos ou prestação de serviços que o beneficiem,respeitadas as legítimas expectativas dele e os direitos eliberdades fundamentais.
O que é dado pessoal sensível?
• Dado pessoal sensível :
É o dado pessoal sobre origem racial ou étnica,convicção religiosa, opinião política, filiação a sindicato oua organização de caráter religioso, filosófico ou político,dado referente à saúde ou à vida sexual, dado genéticoou biométrico, quando vinculado a uma pessoa natural.
Término do tratamento de dados.
O término do tratamento de dados pessoais ocorrerá nasseguintes hipóteses:
• I - verificação de que a finalidade foi alcançada ou de que osdados deixaram de ser necessários ou pertinentes ao alcanceda finalidade específica almejada;
• II - fim do período de tratamento;
• III - comunicação do titular, inclusive no exercício de seudireito de revogação do consentimento, resguardado ointeresse público; ou
• IV - determinação da autoridade nacional, quando houverviolação ao disposto na Lei.
Eliminação dos dados pessoais após o término do tratamento.• Os dados pessoais serão eliminados após o término de
seu tratamento, no âmbito e nos limites técnicos dasatividades, autorizada a conservação para as seguintesfinalidades:
• I - cumprimento de obrigação legal ou regulatória pelocontrolador;
• II - estudo por órgão de pesquisa, garantida, sempre quepossível, a anonimização dos dados pessoais;
• III - transferência a terceiro, desde que respeitados osrequisitos de tratamento de dados;
• IV - uso exclusivo do controlador, vedado seu acesso porterceiro, e desde que anonimizados os dados.
DIREITOS DO TITULAR.
Titularidade dos dados pessoais.
• Toda pessoa natural tem assegurada a titularidade
de seus dados pessoais e garantidos os
direitos fundamentais de liberdade, de intimidade ede privacidade.
• O titular dos dados pessoais tem o direito de
peticionar em relação aos seus dados contra ocontrolador perante a autoridade nacional.
Direito de obter do controlador.• O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do
titular por ele tratados, a qualquer momento e mediante requisição:
• I - confirmação da existência de tratamento;
• II - acesso aos dados;
• III - correção de dados incompletos, inexatos ou desatualizados;
• IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
• V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial;
• VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da Lei;
• VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as
• consequências da negativa;
• IX - revogação do consentimento.
Confirmação dos dados pessoais.
A confirmação de existência ou o acesso a dados pessoaisserão providenciados,mediante requisição do titular:
• I - em formato simplificado, imediatamente; ou
• II - por meio de declaração clara e completa, que indiquea origem dos dados, a inexistência de registro, os critérios utilizadose a finalidade do tratamento, observados os segredos comerciale industrial, fornecida no prazo de até 15 dias, contado da datado requerimento do titular.
Encarregado pelo tratamento de dados pessoais.
• as empresas que trabalham com dados pessoais deverão ter um “encarregado”, que é um indivíduo que irá ser o responsável por cuidar dos assuntos relacionados com esses dados pessoais.
Responsabilidade e ressarcimento de danos.O controlador ou o operador que, em razão do exercício de atividade detratamento de dados pessoais, causar a outrem dano patrimonial, moral,individual ou coletivo, em violação à legislação de proteção de dadospessoais, é obrigado a repará-lo.
• A fim de assegurar a efetiva indenização ao titular dos dados:
• I - o operador responde solidariamente pelos danos causadospelo tratamento quando descumprir as obrigações da legislação deproteção de dados ou quando não tiver seguido as instruções lícitasdo controlador, hipótese em que o operador equipara-seao controlador, salvo nos casos de exclusão previstos no art. 43 da Lei nº13.709/2018;
• II - os controladores que estiverem diretamente envolvidos notratamento do qual decorreram danos ao titular dos dadosrespondem solidariamente, salvo nos casos de exclusão previstos no art.43 da Lei nº 13.709/2018.
Boas práticas e governança.
• Os controladores e operadores, no âmbito de suascompetências, pelo tratamento de dados pessoais,individualmente ou por meio de associações, poderão formularregras de boas práticas e de governança que estabeleçam ascondições de organização, o regime de funcionamento, osprocedimentos, incluindo reclamações e petições de titulares, asnormas de segurança, os padrões técnicos, as obrigaçõesespecíficas para os diversos envolvidos no tratamento, as açõeseducativas, os mecanismos internos de supervisão e de mitigaçãode riscos e outros aspectos relacionados ao tratamento de dadospessoais.
MUITO
OBRIGADO!Irati Santos ,advogada militante há 8 anos na área do Direito Tributário, sócia do Escritorio SantoseCalegao( escritorio especializado Direito Digital e Compliance).
www.santosecalegao.adv.br
Presidente da Comissão de Direito Digital OAB/SJCVice Presidente da Comissão de Compliance OAB/SJC
Pos-Graduada Lato Sensu pela Faculdade Damásio-SP ,com especialização em :
Direito Processual Civil 2013,Direito Penal e Processo Penal 2014,Direitodo Consumidor 2015,Direito Tributário 2016,Direito Registral e Notarial 2017, Direito Digital eCompliance 2018.
Fluencia idiomas: Japonês, Frances e Inglês.
top related