LGPD: manter, processar, compartilhar dados

No (longo) post passado, falamos sobre os requisitos da LGPD para coleta e processamento de dados. São 10 hipóteses de autorização, sendo uma o consentimento do titular e nove a dispensa desse consentimento. Ainda analisamos os interlaces dos artigos e parágrafos, analisando como o consentimento deve ser dado, quando é nulo, quando é anulável, os cuidados com consentimento para processar os dados, as comunicações por troca de finalidade e assim por diante.

Nesse post, iremos abordar os quesitos específicos sobre guardar os dados, processá-los, sobre o término do tratamento, descarte dos dados, anonimização, dos direitos do titular, da responsabilidade, da segurança e decifrar a intricada teia legal que a LGPD tece.

Lembrando nosso roadmap dessa série de posts:

  1. Contexto e origem;
  2. Princípios da nova lei;
  3. Coleta de dados;
  4. Manter e processar dados;
  5. Dados sensíveis;
  6. Atores da nova lei;
  7. BigData, Data Science, Machine Learning, AI: um approach jurídico;

Os artigos 7º a 10 tratam do processamento dos dados pessoais, mas com foco maior na coleta: consentimento, como deve ser esse consentimento, dispensa do consentimento, condições de processamento, finalidade, comunicação ao titular, entre outros. A partir do artigo 11 até o 14, a lei trata dos dados sensíveis, que vamos abordar no próximo post. Vamos pular, então, para o artigo 15, que trata do término do tratamento dos dados. Além de todos os quesitos legais para o armazenamento de dados durante o tratamento, temos mais uma série de recomendações sobre governança de dados, treinamento, regras para transferência internacional de dados, responsabilidade civil dos controladores, entre outras.

O término do tratamento dos dados é o evento que determina o encerramento do tratamento e o descarte dos dados utilizados. As hipóteses de encerramento são tratadas nos incisos I a IV do art. 15. A regra geral é que os dados devem ser excluídos pelos controladores. Essa regra, admite quatro exceções, reguladas no art. 16. A primeira exceção se dá por cumprimento legal ou regulatório. Os dados de cidadãos reunidos em censo nacional, por exemplo, devem ser mantidos, por obrigação legal. Nesse caso, mesmo havendo o término do tratamento, os dados não serão descartados. A segunda exceção é dirigida aos órgãos de pesquisa, como o IBGE, FEE, FIPE, entre outros, e determina que os dados podem ser retidos, desde que se garanta (quando possível, dada a natureza dos dados) a anonimização. Mas o que é isso? A lei define a anonimização no inciso XI, art. 5º, LGPD: “utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;”. O dado que tenha sido tratado desse modo, passa a ser classificado como dado anonimizado, condição imposta pela LGPD em vários artigos, principalmente no tocante aos dados sensíveis. O dado anonimizado também é definido na lei pelo inciso III, art.15, LGPD: “dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;” Aqui, é importante salientar alguns termos, tais como “meios técnicos razoáveis”, “possibilidade de associação direta ou indireta” e “que não possa ser identificado”. Vejamos um exemplo: um controlador de dados possui dados sobre média salarial de gerentes de uma empresa. Foram eliminados os nomes e CPFs, mas mantiveram-se dados como cargo, área, gênero e valor do salário. Esse dado é anonimizado ou não? Depende. Se na amostra houver 10 indivíduos, sendo dois mulheres, uma na área Jurídica e outra na Engenharia, o dado não é anonimizado, pois são facilmente identificáveis as gerentes mulheres em cada área, criando uma associação direta entre o dado e a pessoa. Nesse caso, como anonimizar o dado? Vejamos, a sensibilidade da informação não está no gênero ou no cargo, ou na área, mas no valor salarial. Se realizarmos uma média salarial, sem indicar o dado individual (diminuindo a sua granularidade), ou indicando diferenças percentuais relativas de diferença salarial – uma mulher ganha X% menos que um homem em cargo igual – a finalidade de proteção do dado do titular é atingida. É preciso, então, a cada caso, analisar se a anonimização pretendida será efetiva ou não. Aqui surge o conceito de Privacy by Design (PbD), ou na tradução, Privacidade desde a concepção. Esse princípio é consagrado no art. 46, §2º, que trata da segurança e sigilo dos dados (1)[1]. A terceira exceção é quando há transferência dos dados a terceiro, desde que os requisitos do tratamento de dados (consentimento, sigilo, segurança, boa-fé, finalidade etc.) tenham sido cumpridos. E por último, a quarta exceção, que permite manter os dados para uso exclusivo do controlador, vedado qualquer acesso de terceiro e somente se os dados forem anonimizados. Novamente, é possível identificar uma futura controvérsia quanto a essa exceção. Primeiro, porque como já vimos, o conceito de anonimização é complexo e deverá ser analisado caso a caso, considerando o PbD. Segundo, porque uso exclusivo não estabelece limites muito claros, quanto ao uso do dado. Uso exclusivo é ter os dados e usá-los para estratégias comerciais da empresa? E se essa estratégia for vendida para outra empresa – apenas a estratégia, sem o How to Do – ainda é uso exclusivo? Essas respostas surgirão ao longo de 2020 e anos seguintes, na medida que as ações administrativas e judiciais avançarem.

Vejamos, agora, os eventos que determinam o término do tratamento de dados.

No primeiro caso, o encerramento se dá pelo atingimento da finalidade proposta, ou quando os dados deixem de ser necessários ou pertinentes para o atingimento dessa finalidade. Por exemplo, dados utilizados para a concessão de financiamento de imóvel. Assim que a finalidade for atingida – a concessão ou não do financiamento –, os dados devem ser eliminados pelo controlador. O segundo caso é o fim do período de tratamento. Se uma coleta de dados é realizada durante o período do Carnaval para verificar dados sobre compra de preservativos, com o término do Carnaval, há o término do tratamento de dados. O terceiro caso é a comunicação do titular dos dados que deseja revogar seu consentimento, ou solicitar a exclusão de seus dados, nos termos do §5º do art. 8º e do art. 18, LGPD. Nesse caso, a lei ainda ressalva que o interesse público deve ser resguardado, complementando o art. 8º e 18. O quarto caso se dá por determinação da Autoridade Nacional, quando houver violação ao disposto na LGPD.

Os direitos do titular estão dispostos do art. 17 ao art. 22 – Capítulo III da LGPD. O art. 17 define que qualquer pessoa natural é titular de dados pessoais – e assim podem exercer diretamente seus direitos – e tem garantidos os direitos de privacidade, liberdade e intimidade. Ao avançar ao art. 18, a LGPD materializa essa titularidade. O caput do artigo determina o tempo de exercício do direito (a qualquer momento) e por qual forma processual (mediante requisição). Também limita o titular a exercer direito sobre seus dados e só sobre eles.

Vejamos os incisos do art. 18, já que a maioria é auto-explicativa:

I - confirmação da existência de tratamento; o titular dos dados pode requerer do controlador a confirmação de que o tratamento de dados existe. Em termos processuais, é uma importante preparação de uma ação de dano e responsabilidade civil.

II - acesso aos dados; ao titular dos dados deverá ser oferecido acesso aos dados coletados, para que o mesmo possa verificar quais são as informações pessoais coletadas e processadas. Desse modo, cada titular poderá verificar se a finalidade apontada pelo controlador é verdadeira, ou se houve violação do princípio da boa-fé.

III - correção de dados incompletos, inexatos ou desatualizados; é direito de qualquer titular solicitar a correção de seus dados. Combinado com o inciso III, leia-se o §6º do art.18 (1)[2], que determina que o controlador deverá informar os outros agentes com os quais compartilhou os dados para que eles também procedam as alterações, anonimizações, eliminação ou bloqueio de dados. Isso significa que os sistemas de processamento e armazenamento de dados das empresas deverão ter procedimentos rastreabilidade para os dados – na verdade, para cada campo do dado – para saber como foi usado, em que data, compartilhado com quem, com que finalidade, se houve término, se está guardado nas hipóteses de término de dados, se os campos sensíveis estão disponíveis – se estiverem, apenas nas hipóteses da lei – e assim por diante. Recomenda-se um trabalho de planejamento de Privacy by Design forte.

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; Se o controlador não o fizer, é direito do titular dos dados exigir a anonimização de suas informações, bem como o bloqueio ou a eliminação de dados. O §1º [3] garante ao titular dos dados o direito de peticionar à Autoridade Nacional pelos seus dados, contra o controlador. Isso significa que qualquer cidadão, sem a necessidade de um advogado, poderá dirigir-se diretamente à Autoridade Nacional de Proteção de Dados contra o controlador (ou controladores) pelo uso indevido de seus dados, sem prejuízo de ações cíveis de responsabilidade e danos – patrimoniais ou morais, individuais ou coletivos.

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador; uma das inovações da LGPD é a portabilidade dos dados entre controladores, a pedido do titular. Vale para dados médicos, de educação, de crédito, entre outros. Vale lembrar que o § 5º determina que o atendimento do requerimento do titular – ou seja, consultar os dados, alterá-los, bloqueá-los, comunicar outros controladores etc. – será gratuito[4]. O controlador não poderá cobrar por nenhum desses procedimentos.

VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; A pedido do titular, o controlador deverá eliminar os dados do titular. No entanto, nas quatro exceções previstas no art. 16, o controlador poderá manter os dados. É uma brecha grande na lei, no sentido de permitir que os dados sejam mantidos, mesmo contra a vontade do titular. Prevemos que esse será um dos pontos de atrito judicial, com titulares requerendo destruição dos dados e empresas resistindo a isso, dada a importância comercial e política desses dados.

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; Esse inciso determina que o controlador requerido responda ao titular com quais empresas, públicas ou privadas, autarquias, fundações, institutos etc. compartilhou os dados. Novamente, ter um sistema de tracking dos dados passa a ser essencial para estar de acordo com a lei e evitar os ilícitos, multas e processos administrativos e cíveis.

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; o titular tem o direito de saber quais as consequências de não informar ou permitir o uso de seus dados e se há essa possibilidade. Muitas vezes, por força de lei, o titular é obrigado a fornecer informações pessoais – como em hotéis e pousadas, por exemplo. Se o procedimento de coleta pode ser negado, no entanto, é dever legal do controlador informar o titular e quais as consequências dessa negativa.

IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. A revogação se dará a qualquer momento, mediante manifestação do titular, através de procedimento facilitado – criado pelo controlador – e gratuito, observando o inciso VI do art. 18 – esse mesmo que acabamos de ver. Lembre que o inciso VI aponta as hipóteses de exceção do art. 16.

O art. 18 possui ainda oito parágrafos. Alguns deles nós já vimos, mas vamos repeti-los abaixo.

  • 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional. Ou seja, não é necessário constituir advogado para peticionar à ANPD.
  • 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei. Das 10 hipóteses de autorização de coleta e processamento de dados, nove são situações que dispensam o consentimento. Nesses nove casos, o titular poderá se opor, se demonstrar que houve descumprimento da LGPD. Lembrem da interpretação do §6º, art. 8, LGPD: alteração na finalidade do processamento dos dados gera dever de comunicar ao titular, com destaque do teor da alteração, podendo o titular revogar o consentimento. No caso da dispensa do consentimento, o titular poderá se opor ao tratamento, por força deste §2º, art. 18.
  • 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento. O parágrafo estabelece que o direito de peticionar pode ser exercido pelo titular ou por representante legal. Novamente, há dispensa do advogado para lidar com o tema no âmbito extra-judicial.
  • 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:

I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou

II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

Bem, o §4º aceita duas exceções para o não cumprimento do pedido do titular. Ou o controlador não é o agente de tratamento daqueles dados e deve indicar quem é (sempre que possível), ou existem razões de fato ou de direito que o impedem. As razões de direito são as previstas na LGPD, ou em lei superior, como a Constituição Federal, ou jurisprudência em súmula vinculante do STF, por exemplo. As razões de fato, por outro lado, podem ser várias, como a perda dos dados por algum motivo – pelo que o controlador responderá civilmente.

  • 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento. Como vimos, esse parágrafo garante a gratuidade de todos os procedimentos, desde o processo de requerimento até as comunicações e devolutiva de dados.
  • 6º O responsável deverá informar de maneira imediata aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento. Estabelece a obrigação do controlador requerido de avisar a todos com quem compartilhou os dados das mudanças ou eliminação requeridas, para que as façam também. Na seção das Responsabilidades, veremos que os controladores respondem solidariamente ao titular. Isso significa, em Direito, que o titular pode processar qualquer um do conjunto, ou todos, que responderá integralmente pelo valor ajuizado. Depois, aquele que arcou com todo o valor terá direito de regresso sobre os outros, na medida da responsabilidade de cada um [5].
  • 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador. Este parágrafo tem a função de proteger o sigilo comercial e industrial das empresas, já que muitas vezes são aplicados algoritmos e metodologias exclusivas no tratamento, agregando real valor ao resultado do tratamento. Por exemplo, as séries históricas de renda da população submetem os dados a processamento e metodologia específicos, sem os quais os dados em si não teriam tanto valor, ou não teriam sentido. É o tratamento que tem o condão de organizar, dar sentido, extrair ordem dos dados. Não seria justo que o investimento de empresas que se dedicam a esse trabalho fosse entregue a título gratuito para um terceiro. É possível imaginar alguém solicitando os dados processados, aplicando engenharia reversa e recriando metodologia exclusiva e algoritmos matemáticos complexos, adquirindo gratuitamente esforço dispendido por anos às vezes por um concorrente. Do mesmo modo, se o dado já foi anonimizado, não havendo mais vínculo dos dados com o titular, a portabilidade permite que esse pack de informações fique com a empresa que o processou. Isso não fere o direito do titular de dados, pois a anonimização transforma o dado pessoal em dado genérico, não-identificável, que não pode ser atribuído a um indivíduo especificamente.
  • 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor. Esse parágrafo prevê que há possibilidade de o titular de dados peticionar diretamente – sem a necessidade de um advogado – nos órgãos de defesa do consumidor, naquilo que for relativo aos seus dados e na previsão do §1º. Mas note que o parágrafo é claro no estabelecimento dos limites da sua aplicabilidade: apenas em relação aos seus dados. Não há permissão tácita ou explícita para, por exemplo, o titular postular direito de indenização por dano moral por fato do produto ou serviço (2)[6] no Judiciário. É preciso que um advogado patrocine a causa, pois apenas o profissional do Direito, com inscrição regular na OAB, pode postular em juízo.

O art. 19 da LGPD regula a confirmação da existência e a entrega dos dados do titular. Há duas hipóteses: entrega imediata dos dados, em formato simplificado; ou entrega em até 15 dias, contados da data do requerimento do titular, de declaração clara e completa. Os 15 dias são contados corridos, não em dias úteis. A declaração completa deverá conter: a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento (resguardados os segredos comercial e industrial). O §1º traz uma determinação importante: o formato dos dados no armazenamento. Esse formato deve facilitar o direito de acesso. Ou seja, não será aceita a entrega de dados em algum formato proprietário, que dependa de aquisição de software para sua leitura, pois isso limita o direito de acesso, condicionando-o à condição financeira – apenas quem tiver condições econômicas de adquirir um software poderá exercer o direito de acesso aos seus dados, criando duas categorias de titulares: os com dinheiro e os sem dinheiro, fato inadmissível na ordem constitucional e repudiado pelo Direito de forma irrestrita. Formatos abertos, como o CSV (arquivo separado por vírgulas), por exemplo, devem tornar-se padrão rapidamente, por atenderem os quesitos da lei e por serem formatos facilmente tratáveis em diferentes softwares. Obviamente, o formato de armazenagem poderá ser aquele que a empresa quiser, desde que o formato para interoperabilidade seja um padrão aberto e livre. O §2º determina o formato de entrega: eletrônico ou impresso. O direito de escolha é do titular de dados. Então, se o titular desejar ter seus dados de forma impressa, a LGPD determina que o Controlador imprima e despache pelo Correio ou outra empresa de entrega, a suas custas, já que a lei determina a gratuidade dos procedimentos e do exercício dos direitos do titular. O §3º trata da entrega dos dados oriundos de coleta sob consentimento (hipótese do inciso I do art. 7º), determinando entrega de cópia integral – observados o segredo comercial e industrial – inclusive em formato que permita posterior tratamento – ou seja, dados editáveis, o que veda a entrega, por exemplo, em arquivo de imagem ou PDF que não permita copiar os dados e editá-los. Por fim, o §4º permite que a ANPD (quando criada) altere os prazos previstos nos incisos I e II do caput: entrega imediata dos dados em formato simplificado ou em 15 dias de forma completa.

O art 20, em sua nova redação dada pela MP 869/2018, aborda o processamento automatizado de dados, permitindo que o titular solicite uma revisão nos critérios e no procedimento do tratamento. O artigo estabelece os requisitos para o exercício desse direito: i) tratamento automatizado; ii) afetem os interesses do titular; iii) definem perfil pessoal, profissional, de consumo, de crédito, aspectos de sua personalidade. O §1º determina que o controlador deve fornecer, desde que solicitado a tanto, informações sobre o processo e os critérios de processamento automatizado de decisão. Isso significa que o titular dos dados, no caso de decisões automatizadas, tem direito de conhecer o processo, os critérios e como se dá o processamento. Novamente, o segredo comercial e industrial estão protegidos, permitindo que a empresa os invoque para se negar a fornecer as informações requeridas. No caso de recusa, o §2º determina que a ANPD poderá auditar o processo em disputa, para verificar se há aspectos discriminatórios e para garantir que a alegação de segredo comercial ou industrial não seja atitude de proteção por parte do controlador de dados.

Os artigos 21 e 22 tratam de questões processuais, como a impossibilidade de uso dos dados para exercício regular de direito do titular contra o mesmo e a disposição de uso de ações individuais ou coletivas para o exercício dos direitos previstos na LGPD.

O último assunto que abordaremos neste post é a transferência internacional de dados, assunto de especial relevância para todas as empresas que usam serviços Cloud Based, como Amazon, Google, Microsoft e outros, com servidores fora do Brasil.

O caput do artigo 33 da LGPD expõe as hipóteses que permitem a transferência internacional de dados. Essa lista é numerus clausus; ou seja, só se admitem as hipóteses listadas. São elas:

  1. Transferência para países ou organismos internacionais (como a ONU, UNESCO, OIT etc.) que demonstrem que possuem grau de proteção de dados compatíveis aos previstos na LGPD;
  2. Quando o controlador provar garantias de cumprimentos dos princípios jurídicos previstos na lei, garantir os direitos do titular e do regime de proteção de dados. Para isso, ele deve ter:
    • Cláusulas contratuais específicas para transferências;
    • Cláusulas-padrão contratuais;
    • Normas corporativas globais;
    • Selos, certificados e códigos de conduta regularmente emitidos; já existem certificações disponíveis no mercado para profissionais e processos de proteção de dados. A maioria ainda com foco na GDPR europeia. Durante o ano de 2019, mais e mais certificações sobre a LGPD estão surgindo, com a proximidade da entrada em vigor do marco legal.
  3. Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional; a LGPD determina que para haver o intercâmbio dos dados é preciso que existam tratados, ou convenções, ou acordos internacionais regulando a movimentação desses dados, principalmente por se tratarem de dados sensíveis, ligados a zonas de pouca definição, com limites fluidos[7].
  4. Quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  5. Quando a autoridade nacional autorizar a transferência; esse deve ser o ponto mais polêmico para a transferência de dados, pois a LGPD autoriza que a ANPD tenha poder discricionário sobre a autorização. Ou seja, dados os critérios da ANPD, o servidor público encarregado poderá tomar uma decisão no melhor interesse público, observando os requisitos e os limites legais. Na prática, a LGPD abre uma lacuna de interpretação necessária – pois a lei não é capaz prever tudo, e a sociedade não pode ficar paralisada, porque a lei não autoriza ou deixa de autorizar alguma coisa. Desse modo, aberturas para interpretação, extensão ou restrição do conceito legal são necessárias. Em técnica jurídica, podemos utilizar cláusulas gerais ou conceitos jurídicos indeterminados (3–6).
  6. Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
  7. Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
  8. Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
  9. quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.

O parágrafo único do art. 33 determina que os entes de direito público, quando da hipótese do inciso I – garantia de que o país ou organismo internacional destinatária possua garantias compatíveis com a LGPD – podem requerer à ANPD uma avaliação do nível de proteção do destinatário. Essa alternativa está expressa no artigo 34 da LGPD para os entes de direito privado. Certamente, um aval da ANPD sobre o destinatário será uma peça de segurança importante para que as empresas se protejam juridicamente de eventos futuros, gerados por terceiros. Vale lembrar que a LGPD determina que as empresas são juridicamente solidárias entre si, em face dos processos por danos, individuais ou coletivos, patrimoniais ou morais, decorrentes do descumprimento da lei. O art. 34 ainda especifica os quesitos que serão avaliados:

  1. as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;
  2. a natureza dos dados;
  • a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;
  1. a adoção de medidas de segurança previstas em regulamento;
  2. a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
  3. outras circunstâncias específicas relativas à transferência.

O artigo 35 trata de uma série de definições gerais, agrupadas em um mesmo lugar, mas não necessariamente conectadas. O caput determina que os selos e certificações, bem como a redação de cláusulas-padrão contratuais de que trata a LGPD serão definidos e auditados pela ANPD. O §1º fala dos requisitos e condições mínimas de transferência; no §2º, é dada a possibilidade de a ANPD solicitar informações complementares sobre a análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à sua aprovação; os §§ 3º e 4º tratam da possibilidade de a ANPD designar organismos de certificação para emissão de selos e certificações, mantendo o poder de a Autoridade Nacional rever ou anular essas emissões em caso de desconformidade. Por último, o §5º determina que as garantias suficientes para a transferência também serão analisadas, à partir das medidas técnicas e organizacionais adotadas pelo Operador de Dados. O artigo 36, que encerra o capítulo V, determina que caso haja mudanças nas garantias apresentadas pelo Controlador ou Operador, estas devem ser comunicadas à ANPD.

No próximo post, vamos falar sobre dados sensíveis, seu tratamento e uso.

Até lá!

 

REFERÊNCIAS

  1. Lei Geral de Proteção de Dados BR [Internet]. 13.709/2018 Aug 14, 2018. Available from: http://www.planalto.gov.br/ccivil_03/_Ato2015-2018/2018/Lei/L13709.htm
  2. Código de Defesa do Consumidor [Internet]. 8.078/1990 Sep 11, 1990. Available from: http://www.planalto.gov.br/ccivil_03/leis/L8078.htm
  3. Tourinho R. A discricionariedade administrativa perante os conceitos jurídicos indeterminados. Rev Direito Adm. 2015 Jan 29;237:317.
  4. Martins-Costa J. As cláusulas gerais como fatores de mobilidade do sistema jurídico. Rev Informação Legis. 1991 Dec;28(112):13–32.
  5. Freitas Fazoli CE de. Princípios Jurídicos. Rev Bras Multidiscip. 2007 Jan 7;11(1):13.
  6. Martins-Costa J. O Direito Privado como um “Sistema em Construção.” Rev Fac Direito UFRGS. 1998;15:129–54.

 

[1] Art. 46.  Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

(…)

  • 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

[2] § 6º  O responsável deverá informar de maneira imediata aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento.

[3] § 1º  O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.

[4] § 5º  O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.

  • 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.

[5] Artigo 42, incisos I e II do §1º, combinado com § 4º do mesmo artigo.

[6] Nos termos do art. 12, Código de Defesa do Consumidor. 8.078/1990. . 11 set. 1990.

[7] Dados de serviços de inteligência, especialmente, são informações que podem causar danos extensos. Sua coleta e armazenagem são alvo de controvérsia, e sua regulação legal limitada por questões de segurança nacional.

Daniel Martins Vidor é jornalista formado pela UFRGS (1998)
e bacharel em Direito (Uniritter, 2007). 
Pós-graduando em European
Business Law e Human Rights for Open Societies.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *