Implementação da LGPD

1. fundamentos

1.1. respeito à privacidade

1.2. autodeterminação informativa

1.3. liberdade de expressão

1.4. inviolabilidade da intimidade, honra e imagem

1.5. desenvolvimento econômico, tecnológico e inovação

1.6. livre iniciativa, livre concorrência e defesa do consumidor

1.7. direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais.

2. bases legais

2.1. consentimento

2.2. cumprimento de obrigação legal ou regulatória pelo controlador

2.3. administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas

2.4. realização de estudos por órgão de pesquisa

2.5. execução de contrato ou de procedimentos preliminares relacionados a contrato

2.6. exercício regular de direitos em processo judicial, administrativo ou arbitral

2.7. proteção da vida ou da incolumidade física do titular ou de terceiro

2.8. tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária

2.9. interesses legítimos do controlador ou de terceiro

2.10. proteção do crédito

3. bases legais - dados sensíveis

3.1. titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas

3.2. sem fornecimento de consentimento do titular

3.2.1. cumprimento de obrigação legal ou regulatória pelo controlador

3.2.2. tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos

3.2.3. realização de estudos por órgão de pesquisa

3.2.4. exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral

3.2.5. proteção da vida ou da incolumidade física do titular ou de terceiro

3.2.6. tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária

3.2.7. garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos

4. tratamento dados - crianças e adolescentes

4.1. deverá ser realizado em seu melhor interesse

4.2. deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal

4.3. os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos

4.4. sem o consentimento

4.4.1. quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento dos pais ou responsável legal

4.5. deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.

4.6. as informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível

5. princípios

5.1. finalidade

5.2. adequação

5.3. necessidade

5.4. livre acesso

5.5. qualidade dos dados

5.6. transparência

5.7. segurança

5.8. prevenção

5.9. não discriminação

5.10. responsabilização e prestação de contas

6. definições

6.1. dado pessoal

6.1.1. informação relacionada a pessoa natural identificada ou identificável

6.2. dado pessoal sensível

6.2.1. dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural

6.3. dado anonimizado

6.3.1. dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento

6.4. banco de dados

6.4.1. conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico

6.5. titular

6.5.1. pessoa natural a quem se referem os dados pessoais que são objeto de tratamento

6.6. controlador

6.6.1. pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais

6.7. operador

6.7.1. pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador

6.8. encarregado

6.8.1. pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)

6.9. agentes de tratamento

6.9.1. o controlador e o operador

6.10. tratamento

6.10.1. toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração

6.11. anonimização

6.11.1. utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo

6.12. consentimento

6.12.1. manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada

6.13. bloqueio

6.13.1. suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados

6.14. eliminação

6.14.1. exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado

6.15. transferência internacional de dados

6.15.1. transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro

6.16. uso compartilhado de dados

6.16.1. comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados

6.17. relatório de impacto à proteção de dados pessoais

6.17.1. documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco

6.18. órgão de pesquisa

6.18.1. órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico

6.19. autoridade nacional:

6.19.1. órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional

7. direitos do titular

7.1. confirmação da existência de tratamento

7.2. acesso aos dados

7.3. correção de dados incompletos, inexatos ou desatualizados

7.4. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD

7.5. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial

7.6. eliminação dos dados pessoais tratados com o consentimento do titular

7.7. informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados

7.8. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa

7.9. revogação do consentimento

8. sanções administrativas

8.1. advertência, com indicação de prazo para adoção de medidas corretivas

8.2. multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração

8.3. multa diária, observado o limite total de R$ 50 milhões por infração

8.4. publicização da infração após devidamente apurada e confirmada a sua ocorrência

8.5. bloqueio dos dados pessoais a que se refere a infração até a sua regularização

8.6. eliminação dos dados pessoais a que se refere a infração

8.7. suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador

8.8. suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período

8.9. proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados