Princípios e Conceitos

Existe uma versão mais nova desse curso. Nós recomendamos que você faça o novo curso LGPD.

Conceitos 

O art. 5º da LGPD nos traz alguns conceitos fundamentais no que diz respeito à privacidade e proteção de dados. São eles: a) o dado pessoal, que é a informação relacionada a pessoa natural identificada ou identificável; b) o dado pessoal sensívell, que é o dado pessoal acerca de origem étnico-racial, convicção religiosa, opinião política, filiação sindical ou a organização de caráter religioso/filosófico/político, dado referente à saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; c) o dado anonimizado, que é aquele relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento – isto é, o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Juntamente disso, a LGPD também define quem são os agentes de tratamento, pessoas naturais ou jurídicas, de direito público ou privado, que devem obedecer às normas de segurança e sigilo e que podem formular regras de boas práticas e governança. São eles: a) o controlador, que é a pessoa que tem competência para tomar decisões referentes ao tratamento de dados pessoais. Ele deve indicar um carregado pelo tratamento, sendo pessoa de fácil acesso, cujas identidade e informações de contato precisam de ser divulgadas. A função do encarregado é de ser um canal de comunicação entre o controlar, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); b) o operador, que é a pessoa que realiza o tratamento de dados pessoais em nome do controlador. Vale ressaltar que a Autoridade Nacional, conforme redação dada pela Lei nº 13.853, de 2019, consiste no órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional (art. 5º, XIX).

Art. 5º Para os fins desta Lei, considera-se:

I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);    (Redação dada pela Lei nº 13.853, de 2019)     Vigência

IX - agentes de tratamento: o controlador e o operador;

X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.   

Princípios da atividade de tratamento de dados

De acordo com o art. 6º da LGPD, as atividades de tratamento de dados pessoais deverão observar alguns princípios. O primeiro deles é a finalidade, o qual prescreve que toda coleta e tratamento de dados deve ter um propósito. Assim, a pessoa que está realizando esse processo não pode se utilizar desses dados para fins que sejam estranhos à sua atividade. Esse princípio se coaduna com o da adequação, que determina a compatibilização do tratamento de dados com as finalidades informadas ao usuário. Além disso, existe o princípio da necessidade, de forma que os dados coletados sejam apenas aqueles estritamente necessários à consecução das finalidades do serviço. Também se fala no livre acesso, uma garantia dos usuários de consultarem seus dados de forma integral e gratuita. É possível falar, ainda, na qualidade dos dados, exigindo que as informações sejam prestadas de forma clara, precisa e atualizada. A atividade do tratamento também deve ser transparente, permitindo que o usuário tenha fácil acesso aos seus dados; segura, de forma que sejam utilizadas medidas técnicas e administrativas para proteger dados em hipóteses de acesso não autorizado ou vazamento, sendo necessário tomar medidas de contenção dos danos caso isso ocorra; e preventiva, ou seja, devem ser adotadas medidas para prevenção desses danos, e não apenas de remediação deles. Outro princípio relevante é o da não discriminação, que se relaciona aos dados sensíveis e veda a possibilidade de tratamento para fins discriminatórios ilícitos ou abusivos. Por fim, existe a responsabilização e prestação de contas, pois os agentes de tratamento devem adotar medidas que sejam capazes de comprovar o estrito cumprimento das normas e a promoção de segurança no tratamento dos dados. 

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Encontrou um erro?