A fiscalização referente à LGPD será primariamente realizada pela Autoridade Nacional de Proteção de Dados (ANPD). Este órgão foi criado para fiscalizar o cumprimento da lei, zelar pela proteção de dados pessoais, elaborar diretrizes e também aplicar as sanções em casos de irregularidade. Ademais o Ministério Público continua competente para lidar com a questão no que tange os direitos difusos dos cidadãos.

É a pessoa natural a quem se referem os dados pessoais que são objetos de coleta e tratamento.

De acordo com a lei, um dado pessoal é informação relacionada à pessoa natural identificada ou identificável. Como exemplos: número do CPF, data de nascimento, endereço residencial e e-mail.

É qualquer dado pessoal, conforme estabelecido na lei, sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

O tratamento de dados é um conceito abrangente, que inclui qualquer tipo de manipulação realizada com informações pessoais. Processos comuns a diversos tipos de empresas incluem, geralmente, a coleta, a reprodução, o acesso, o armazenamento e a distribuição de dados pessoais. Um exemplo simples? A criação de uma lista de e-mails.

A lei se aplica a qualquer operação que envolve a coleta e o tratamento de dados pessoais e que seja realizada em território brasileiro.

A LGPD é aplicável a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.

Dados pessoais coletados off-line são obtidos sem a utilização de ferramentas informatizadas, como por exemplo, a lista de presença em eventos. Os dados pessoais coletados online são os que utilizam ferramentas informatizadas e/ou automatizados para serem obtidos, tais como os cadastros de candidatos para vagas de emprego.

São três: o controlador, o operador e o encarregado.

O controlador é pessoa natural ou jurídica de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.

O operador é pessoa natural ou jurídica de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

O encarregado é a pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

São os casos em que o tratamento de dados pessoais for feito por uma pessoa física, para fins particulares, e não comerciais, por exemplo, coleta de dados pessoais dos integrantes da família para a montagem de uma árvore genealógica; para fins exclusivamente jornalísticos, artísticos e acadêmicos; ou pelo Poder Público – no caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais.

Dado anônimo ou anonimizado é qualquer dado pessoal que, submetido a meios técnicos razoáveis, passe a não mais identificar ou a proporcionar a identificação de uma pessoa natural, direta ou indiretamente, de maneira definitiva e irreversível.

O tratamento de dados pessoais sensíveis somente poderá ocorrer com consentimento do titular ou seu responsável legal, de forma destacada e para finalidades específicas.

Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

• Cumprimento de obrigação legal ou regulatória pelo controlador;

• Pela administração pública, de políticas públicas previstas em leis ou regulamentos;

• Estudos por órgão de pesquisa;

• Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

• Proteção da vida;

• Tutela da saúde;

• Garantia da prevenção à fraude e à segurança do titular.

O tratamento de dados pessoais somente poderá ser realizado:

• Com consentimento do titular;

• Para cumprimento de obrigação legal ou regulatória;

• Pela Administração Pública;

• Para realização de estudos por órgãos de pesquisa;

• Para execução de contratos, a pedido do titular;

• Em processos judiciais, administrativos ou arbitrais;

• Para proteção da vida;

• Para tutela da saúde;

• Em legítimo interesse do Controlador;

• Para proteção do crédito.

É a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. O consentimento e sua finalidade devem estar claros e destacados.

Se a empresa precisa de um dado pessoal já coletado com o consentimento do titular para outra finalidade de uso, é necessário informá-lo sobre este novo intuito. Importante ressaltar que, além de informar é preciso atualizar o consentimento do titular.

O termo de consentimento, como consta no Art. 8, pode ser adquirido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

Sim, a LGPD estabelece que o titular dos dados poderá, a qualquer momento, revogar seu consentimento.

Não. O consentimento para dados sensíveis deve sempre explicitar a finalidade de seu uso, de forma destacada. Se houver alteração na finalidade, é preciso renovar o consentimento de forma expressa.

A LGPD estabelece, no artigo 14, que o tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse. Para tratamento de dados de crianças até 12 anos de idade, é necessário consentimento específico e em destaque, dado por, pelo menos, um dos pais ou pelo responsável legal.

Os dados de crianças e adolescentes poderão ser coletados sem o consentimento, quando for necessário para sua proteção ou para contatar os pais ou o responsável legal, sendo utilizados uma única vez e sem armazenamento. Sem consentimento, em nenhum caso, poderão ser repassados a terceiros.

Se o tratamento de dados não acontecer como previsto na lei, os controladores serão responsabilizados. Caso o operador não tenha cumprido ordens passadas pelo controlador ou falhe na segurança dos dados, este também pode ser penalizado.

A penalidade imposta irá depender da avaliação da ANPD, mas pode ser uma advertência, a determinação da publicação e divulgação da infração cometida, o bloqueio ou eliminação dos dados que sofreram violações e também multas simples e/ou diárias.

As multas são de até 2% do faturamento da empresa, limitados a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, além da possibilidade de suspenção das atividades de coleta e tratamento, sem prejuízo da indenização pelos danos que causarem aos titulares dos dados.

A LGPD determina que o controlador deverá comunicar tanto ao titular quanto à ANPD sobre a ocorrência de qualquer incidente de segurança que possa causar risco ou dano ao titular.

De acordo com a lei é considerado compartilhamento de dados toda comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

De acordo com a LGPD, o compartilhamento de dados pessoais pode ocorrer em caso de consentimento expresso e específico do titular dos dados e pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.

A LGPD já determina que o compartilhamento de dados sensíveis com o objetivo de obter vantagem econômica poderá ser vedado ou regulamentado pelas autoridades, e no caso específico de dados de saúde determina a vedação, exceto nos em casos de consentimento expresso ou para a adequada prestação de serviços de saúde suplementar, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia.

O uso de algoritmos não é vedado pela LGPD. No entanto, o artigo 20, que aborda decisões tomadas exclusivamente por meio de automação, ou seja, sem participação de seres humanos, determina que o titular dos dados pode, sempre que desejar, requerer a revisão de decisão automatizada que afete seus interesses.

ANPD é um órgão da administração pública federal com autonomia técnica e decisória, vinculado à Presidência da República, responsável por fiscalizar e garantir o cumprimento da lei, bem como aplicar sanções administrativas em caso de descumprimento. A ANPD guiará a interpretação da Lei e regulamentará padrões e técnicas aplicáveis às questões de segurança da informação, interoperabilidade e processos de anonimização, além poder requisitar informações sobre tratamentos de dados pessoais para agentes de tratamento, editar normas e orientações.

Será necessária revisão dos contratos e procedimentos, com a inclusão de cláusulas específicas sobre proteção de dados com clientes e fornecedores em que possa ocorrer o compartilhamento de dados pessoais de terceiros. Será necessária também a adoção de procedimentos e ferramentas capazes de certificar a segurança dos dados compartilhados.

Em caso de incidentes o Controlador, através deverá comunicar à autoridade nacional e ao(s) titular(es) dos dados comprometidos, além de executar as medidas para reverter ou mitigar os efeitos do incidente, conforme plano previamente estabelecido de resposta a incidentes e remediação da empresa.