Skip to content

Dados Pessoais: Entenda seus direitos sobre seus dados

A LGPD estabelece no seu Capítulo III a sistematização dos direitos dos titulares dos dados, que podem ser exercidos a qualquer momento e mediante pedido expresso do titular dos dados, ou do seu representante legalmente constituído. O agente de processamento solicitado deverá atender gratuitamente ao titular dos dados, nos prazos e nos termos previstos na regulamentação, pelo art. 18, § 5º, da LGPD. Entre outras coisas, o LGPD fornece os seguintes direitos:

a. confirmação da existência do processamento;

b. acesso aos dados e informações relativos ao tratamento dos titulares dos dados, os quais devem ser disponibilizados de forma clara, adequada e ostensiva;

c. correção de dados incompletos, imprecisos ou desatualizados;

d. anonimização, bloqueio ou apagamento de dados desnecessários ou excessivos ou dados processados em não conformidade com as disposições da LGPD;

e. portabilidade dos dados para outro prestador de serviços ou produtos, mediante solicitação expressa e sujeita ao sigilo comercial e industrial;

f. apagamento dos dados pessoais tratados com o consentimento do titular dos dados, quando permitido; e

g. acesso a informações sobre entidades públicas e privadas com as quais o controlador compartilhou dados.

Embora os direitos acima estejam expressamente declarados na LGPD, vários deles carecem de regulamentação, como o direito de acesso (Artigo 9), o direito à portabilidade (Artigo 18, V) ou mesmo o direito de revisão de decisões automatizadas (Artigo 20, V). Para suprir essas lacunas regulatórias, a ANPD determinou em sua agenda regulatória que tratará dos direitos dos titulares dos dados no primeiro semestre de 2022 por meio de uma resolução.

Áreas regulatórias específicas

Além da LGPD, o Brasil possui outras regulamentações e leis que tratam da questão da proteção de dados em setores específicos.

No setor financeiro, a Resolução nº 4.658 / 2018 do Banco Central do Brasil (BACEN) dispõe que as instituições financeiras devem adotar procedimentos que levem em consideração a qualidade dos controles de acesso destinados a proteger os dados e informações dos clientes da instituição. , emitindo requisitos para a contratação de serviços de processamento e armazenamento de dados.

A Superintendência de Seguros Privados editou a Resolução nº 382 em março de 2020, relacionando a proteção de dados pessoais como um dos princípios a serem adotados pelas seguradoras, sociedades de capitalização, entidades abertas de previdência complementar e seus intermediários.

A Agência Nacional de Saúde Suplementar editou a Lei nº 443/19, que dispõe sobre a adoção de práticas mínimas de governança corporativa, com ênfase nos controles internos e gestão de riscos, para efeito de solvência das operadoras de planos de saúde.

Além disso, o Conselho Administrativo de Defesa Econômica (CADE) e a ANPD firmaram acordo de cooperação técnica em maio de 2021 com o objetivo de combater atividades que possam ser prejudiciais à economia e promover e disseminar a cultura da livre concorrência nos serviços de processamento de dados pessoais. .

Inovação tecnológica

Os desenvolvedores de novas tecnologias devem incorporar privacidade e proteção de dados em seu design. O conceito de privacidade desde a concepção baseia-se nos princípios da LGPD que asseguram medidas técnicas, administrativas e de segurança de proteção de dados pessoais, bem como a eficácia dessas medidas no cumprimento das regras de proteção de dados pessoais.

Publicidade comportamental

Embora não haja legislação específica, o Código de Defesa do Consumidor contém disposições que garantem a proteção geral do consumidor contra publicidade fraudulenta e abusiva e métodos comerciais coercitivos ou desleais, bem como contra práticas e condições desleais ou impostas no fornecimento de produtos e serviços. Além disso, o Comitê Gestor da Internet no Brasil ( CGI.br ) desenvolveu um site que contém diretrizes de boas práticas para informar o usuário e administrador de rede sobre spam, suas implicações e formas de protegê-lo e combatê-lo. Além disso, o Código Brasileiro de Autorregulamentação Publicitária regula as regras éticas aplicáveis à propaganda e propaganda.

Reconhecimento facial e biometria

Em relação às tecnologias de reconhecimento facial, embora não haja regulamentação específica para tais tecnologias, há uma série de projetos de lei em tramitação em casas legislativas, como o Projeto de Lei nº 4.612 de 2019, que dispõe sobre o desenvolvimento, aplicação e uso de tecnologias de reconhecimento facial e emocional , bem como outras tecnologias digitais destinadas a identificar indivíduos e prever ou analisar comportamentos.

Inteligência Artificial

No início de 2020, o pedido de audiência pública sobre inteligência artificial foi aprovado pela Comissão de Ciência, Tecnologia, Inovação, Comunicação e Informática. O objetivo é instruir dois projetos de lei: um deles apresenta a Política Nacional de Inteligência Artificial (Projeto de Lei nº 5.691 / 2019) e o outro estabelece os princípios para o uso da inteligência artificial no Brasil (Projeto de Lei nº 5.051 / 2019) . Além disso, Projeto de Lei nº 21/20 visa estabelecer o quadro jurídico para o desenvolvimento e utilização da inteligência artificial por autoridades públicas, empresas privadas, entidades e pessoas singulares. O Projeto de Lei determina que o respeito aos direitos humanos e aos valores democráticos, a igualdade, a não discriminação, a pluralidade, a livre iniciativa e a privacidade dos dados devem ser fundamentais no uso da inteligência artificial.

Figura 2: Tablet com dados digitais.

Transferência internacional de dados e localização de dados

A Lei da Internet brasileira, em seu artigo 11, dispõe que em qualquer operação de coleta, armazenamento, retenção e processamento de dados pessoais ou de comunicações por provedores de conexão e provedores de aplicativos de internet, quando pelo menos um desses atos ocorrer no âmbito nacional território, a legislação brasileira deve ser obrigatoriamente respeitada, inclusive no que diz respeito ao direito à privacidade, à proteção de dados pessoais e ao sigilo das comunicações e registros privados.

Os parágrafos 1º e 2º do artigo 11 estabelecem que a disposição se aplica aos dados coletados em território nacional e ao conteúdo das comunicações em que pelo menos um dos terminais esteja localizado no Brasil, ainda que as atividades sejam realizadas por pessoa jurídica localizada no exterior, desde que ofereça serviços ao público brasileiro, ou que pelo menos um membro do mesmo grupo econômico esteja estabelecido no Brasil.

Da mesma forma, a LGPD aplica-se a quaisquer operações de tratamento realizadas por pessoa física ou jurídica de direito público ou privado, independentemente do meio, do país em que se encontra a sua sede ou do país onde se encontram os dados. , providenciou que:

a. a operação de beneficiamento é realizada em território nacional;

b. o objetivo da atividade de processamento é a oferta ou prestação de bens ou serviços ou o tratamento de dados de pessoas físicas localizadas em território nacional; ou

c. os dados pessoais em tratamento foram recolhidos em território nacional.

O Artigo 33 da LGPD estabelece que a transferência internacional de dados pessoais para países estrangeiros ou organizações internacionais das quais o país é membro só é permitida quando:

a. é para países ou organizações internacionais que fornecem um nível de proteção de dados pessoais que é adequado às disposições da LGPD;

b. o responsável pelo tratamento oferece e comprova garantias de cumprimento dos princípios e direitos do titular dos dados e do regime de proteção de dados previsto pela LGPD, sob a forma de:

• cláusulas contratuais específicas para uma determinada transferência;

• cláusulas contratuais padrão;

• regras corporativas globais; ou

• selos, certificados e códigos de conduta emitidos regularmente;

c. a transferência é necessária para a cooperação jurídica internacional entre as agências de inteligência pública, investigação e promotoria, de acordo com os instrumentos do direito internacional;

d. a transferência é necessária para proteger a vida ou a segurança física do titular dos dados ou de terceiros;

e. a autoridade nacional autoriza a transferência;

f. a transferência resulta em um compromisso assumido por meio da cooperação internacional;

g. a transferência for necessária para a execução de ordem pública ou atribuição legal de serviço público, a qual deverá ser publicitada;

h. o titular dos dados deu o seu consentimento específico e destacado para a transferência, com informação prévia sobre o carácter internacional da operação, sendo esta claramente distinta de outras finalidades; ou

i. é necessário que o responsável pelo tratamento cumpra uma obrigação legal ou regulamentar, para a execução de um contrato ou procedimentos preliminares relacionados com um contrato do qual o titular dos dados seja parte (a pedido do titular dos dados) ou para o exercício regular de direitos em procedimentos judiciais, administrativos ou arbitrais.

O nível de proteção de dados no país estrangeiro ou organização internacional será avaliado pela ANPD. Além disso, a definição do conteúdo das cláusulas contratuais padrão, bem como a verificação das cláusulas contratuais específicas para uma determinada transferência, regras societárias globais ou selos, certificados e códigos de conduta será realizada pela ANPD na segunda fase de seu agenda regulatória, prevista para o primeiro semestre de 2022.

Políticas e práticas da empresa

O Artigo 50 da LGPD sugere que os controladores e processadores de dados devem criar políticas e procedimentos padrão de proteção de dados para mitigar a responsabilidade. O artigo 51 da LGPD também prevê que, no futuro, a ANPD deverá estabelecer normas técnicas relativas a questões de privacidade de dados. No entanto, é considerada a melhor prática para as empresas (também para mitigar responsabilidades) ter um amplo número de políticas e procedimentos em vigor para fins de conformidade, conforme estabelecido abaixo:

a. uma política de privacidade de dados, que regulamenta o processamento de dados pela empresa. Podem existir duas políticas distintas: uma sobre a proteção de dados em geral (relativa a clientes, clientes, etc.) e outra especificamente relacionada com a proteção de dados dentro da empresa (em relação aos colaboradores da empresa, que deve prever mecanismos de formação, por exemplo). As regras estabelecidas por esta política devem obedecer a todas as regras previstas na LGPD e na Lei da Internet no Brasil, conforme aplicável;

b. uma política de segurança da informação e uma política de tecnologia da informação e comunicação, que estabelecem normas internas para o uso de dispositivos de tecnologia (computadores, celulares, etc.), normas e diretrizes de segurança cibernética, entre outras disposições;

c. políticas específicas relacionadas com áreas que normalmente tratam muitos dados pessoais (por exemplo, departamentos de recursos humanos, com orientações sobre o tratamento de dados pessoais de candidatos à pré-contratação, durante a fase de admissão e durante a relação de trabalho);

d. política de acompanhamento dos colaboradores, estabelecendo prazos, condições e limites para o acompanhamento dos colaboradores e seus instrumentos de trabalho;

e. uma política de ‘traga seu próprio aparelho’, que regulamenta os termos e condições no caso de funcionários que utilizam seus próprios aparelhos para a atividade laboral;

f. políticas de privacidade e termos de uso dos sites da empresa;

g. uma política de cookies; e

h. uma política de violação de dados e um plano de resposta para definir os procedimentos da empresa no caso de uma violação de segurança de dados, entre outras coisas.

Gostou do artigo? Deixe seu comentário, recomende e compartilhe.

Dr. Adriano Hermida Maia (LinkedIn)

Advogado e sócio do escritório Hermida Maia, Docente, especialista em Crimes Digitais, Pós-Graduado em Processo Civil, Direito do Trabalho e Processo do Trabalho, MBA em Contabilidade & Direito Tributário com ênfase em risco fiscal.

Visite nosso site: https://hermidamaia.adv.br

Comentários