Resumo LGPD

Lei Geral de Proteção de Dados (LGPD)     - 10 capítulos, 65 artigos     - 8 anos de discussão     - Resultado do PLC 53/2018     - Passa a vigorar 24 meses após a publicação, isto é, agosto 2020.     - Multa de até R$50mi por infração     - Aplica-se também para empresas fora do território nacional. Art. 3     - Regras específicas para tratar dados de crianças e adolescentes - Art. 11 e 14     - Regras específicas para envio internacional dos dados - Art. 11 e 33     - Requer realizar um Assessment de impacto (DPIA) - Art. 38     - Atividades de tratamento devem ser registradas em relatório - Art. 37     - Definição de um Encarregado da Proteção dos Dados Pessoais (DPO) - Art. 41 A quem se aplica? Qualquer pessoa (natural ou jurídica, de direito público ou privado) que realize tratamento de dados pessoais (coleta, armazena, compartilha, exclui), inclusive em meios digitais. Quais exemplos onde a lei pode se aplicar? Relações trabalhistas, relação consumerista (inclusive Offline), B2B, etc. O que é o dado pessoal? Qualquer informação que possa levar a identificação de um indivíduo (direta ou indiretamente). Filiação a organização de caráter religioso, filosófico ou político; Opinião política; Origem racial ou étnica; Dado referente à saúde ou à vida sexual; Dado genético ou biométrico; Filiação a sindicato; Convicção religiosa.   Se aplica às empresas:     - Que tenham estabelecimento no Brasil;     - Oferece serviços para os brasileiros;     - Coleta e trata dados de pessoas localizadas no Brasil. Não importa:     - Qual meio de operação de tratamento de dados (online, offline, dispositivos móveis);     - Em que país fica a sede da empresa;     - A localidade física dos dados;     - Nacionalidade dos titulares de dados. Quais as 10 possibilidades que legitimam o tratamento de dados pessoais? Consentimento Cumprimento de Obrigação Legal Execução de Políticas Públicas Estudos por Órgãos de Pesquisa Execução de Contrato / Diligências Pré-contratuais Exercício Regular de Direitos Proteção da Vida Tutela da Saúde Interesses Legítimos do Controlador / Terceiro Proteção ao Crédito Quais os 10 princípios das atividades de tratamento de dados pessoais?     - Finalidade: Propósitos legítimos, específicos, explícitos e informados     - Adequação: Compatível com as finalidades     - Necessidade: Utilização (apenas) de dados estritamente necessários     - Livre acesso: Acesso ao tratamento e à integralidade dos dados.     - Qualidade dos Dados: Dados exatos, claros, relevantes e atualizados     - Transparência: Informações claras e precisas aos titulares     - Segurança: Medidas técnicas e administrativas aptas a proteger os dados pessoais     - Prevenção: Adoção de medidas para evitar danos aos titulares     - Não discriminação: Não utilização para fins discriminatórios, ilícitos ou abusivos     - Responsabilização e prestação de contas: Demonstração de adoção de medidas eficazes ao cumprimento de normas. Quais os direitos dos titulares dos dados? Toda pessoa natural já tem assegurado o direito a liberdade, intimidade e privacidade; Confirmação da existência de tratamento; Acesso aos dados; Correção de dados incompletos; Anonimização, bloqueio ou eliminação dos dados desnecessários, excessivos ou tratados ilicitamente; Eliminação dos dados pessoais; Portabilidade dos dados a outro fornecedor de serviço ou produto; Informação das entidades com as quais o controlador realizou uso compartilhado de dados; Informação sobre a possibilidade de não fornecer consentimento; Revogação do consentimento; Reclamação à autoridade nacional; Oposição ao tratamento, se irregular. Quais as áreas podem ser envolvidas dentro da empresa? Análise de dados Marketing Desenvolvimento de softwares Gerenciamento de Produtos Jurídico Compliance RH Serviços e Logística TI/Segurança da Informação Quais as características do Encarregado pelo Tratamento de Dados Pessoais e quais suas funções? Características: Se reporta diretamente ao mais alto nível de direção; Deve ser dotado de autonomia e estabilidade; Orçamento independente; Obrigatório para empresas que tratam dados como controladoras; Pode ser uma pessoa física (empresas com operações mais simples e menores) ou um corpo técnico multidisciplinar interno ou externo (para empresas com operações mais complexas). Pode ser criado um comitê específico ou aproveitar o comitê de segurança da informação e incluir questões relativas a proteção de dados. Funções: Recepcionar e atender demandas dos titulares dos dados; Interagir com a ANPD; Orientar funcionários e contratados quantos às práticas de proteção de dados; Cria procedimentos e protocolos internos para que empresas desenvolvam produtos que coletem dados de maneira lícita; Casos em que é possível a transferência internacional dos dados: Cooperação jurídica internacional para fins de investigação; Para proteção da vida ou incolumidade física do titular ou de terceiro Mediante acordo de cooperação internacional Quando autorizada pela ANPD; País de destino com grau de proteção adequada à LGPD; Mediante consentimento específico e em destaque do titular; Mediante garantias oferecidas pelo controlador: Cláusulas contratuais específicas; Normas corporativas globais; Cláusulas-padrão contratuais; Selos, certificados e códigos de conduta. Quais as sações administrativas previstas na Lei? Eliminação de dados pessoais; Bloqueio do tratamento de dados; Multa de até 2% do faturamento do grupo no Brasil (teto de R$50 milhões); Multas diárias, respeitando o teto de R$50 milhões); Advertência; Publicização da infração. A ANPD deve levar em conta para aplicar as sanções: Reincidência; Boa-fé; Condição econômica; Proporcionalidade; Pronta adoção de medidas corretivas; Mecanismos e procedimentos internos de proteção de dados; Políticas de boas práticas e governança; Cooperação do infrator; Grau do dano, gravidade; Vantagem obtida ou pretendida. Interessante:     - A LGPD não protege apenas os dados dos cidadãos brasileiros, mas sim os dados de qualquer pessoa que esteja em território nacional no momento da coleta.