Como Proteger seus Dados Pessoais

April 25, 2022

Em 14 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) – Lei 13.709 veio estabelecer regras gerais à proteção de dados pessoais de cada indivíduo – algo que, até então, carecia de salvaguardas e limites na utilização por terceiros.

Com a LGPD, nasceu também a Autoridade Nacional de Proteção de Dados (ANPD), que, desde então, ao exercer o seu papel de proteção de dados pessoais, iniciou a confecção de alguns guias com o propósito de orientar indivíduos e organizações a tratar da maneira apropriada os dados pessoais de indivíduos; afinal de contas, a LGPD não se destina em absoluto a regulamentar dados de pessoas jurídicas, com ou sem fins lucrativos.

E, dentro desse contexto, nasceu o guia intitulado “Como Proteger seus Dados Pessoais”, elaborado em parceria com a Secretaria Nacional do Consumidor (Senacon) e abordando o assunto com uma linguagem de fácil acesso a qualquer leitor.

O guia começa exemplificando situações nas quais os dados pessoais de um indivíduo podem ser tratados no dia a dia:

– Ao contratar um empréstimo no banco, dados sobre a sua capacidade de pagamento são tratados;

– Ao interagir em uma rede social, dados pessoais sobre o seu comportamento são processados;

– Ao participar de um programa de fidelidade de uma empresa, dados sobre o seu consumo podem ser coletados;

– Para um tratamento de saúde em um hospital são processados dados pessoais, incluindo dados de cadastro e de saúde.

O guia enfatiza, então, a importância da proteção de dados tanto para o cidadão como para a economia e para a sociedade, salientando que a LGPD concretizou direitos previstos da Constituição Federal de 1988, complementando a proteção conferida pelo Código de Defesa do Consumidor e pelo Marco Civil da Internet. Ela também estabeleceu regime diferenciado para as empresas de pequeno porte, como as microempresas e as startups.

Ao abordar os riscos para o consumidor quando há um tratamento ilícito de dados pessoais, o guia enumera alguns que a grande maioria possivelmente jamais teria ideia, como:

1. Monitoramento de seu comportamento e restrição a liberdades fundamentais;

2. Discriminação;

3. Prejuízos econômicos;

4. Restrição de acesso a bens e serviços;

5. Violação da intimidade;

6. Fraudes que afetam a sua identidade;

Seguindo com o seu propósito educacional, o guia passa a explicar o que é dado pessoal, deixando claro que a LGPD o define como qualquer “informação relacionada à pessoa

natural identificada ou identificável”. Na prática, isso quer dizer que são informações pessoais que podem ser associadas a uma pessoa, seja para identificá-la diretamente, seja para associar esses dados a um contexto que permita a sua identificação – por exemplo, utilizando um endereço de e-mail, um número de telefone celular ou uma postagem na internet – são consideradas dados pessoais.

Por conseguinte, o guia passa a listar os dados pessoais mais comuns de um titular, ou seja, a pessoa natural a quem se referem os dados tratados, embora essa lista não seja em absoluto exaustiva:

1. Nome e sobrenome;

2. Endereço residencial;

3. Endereço de e-mail (se ele tiver elementos que ajudem a identificar o dono, como nome e sobrenome);

4. Gênero;

5. Data de nascimento;

6. Número de documentos cadastrais, como RG, CPF e Carteira de Trabalho;

7. Dados de geolocalização de um telefone celular;

8. Número de telefone pessoal.

A seguir, o guia esclarece quem são os agentes de tratamento de dados pessoais:

Controlador

é o agente de tratamento responsável por tomar as principais decisões referentes ao tratamento de dados pessoais, bem como por definir a sua finalidade e os elementos essenciais desse tratamento.

Operador

é o agente de tratamento que atua em nome do controlador, devendo tratar os dados somente de acordo as suas instruções e em conformidade com a lei.

Além desses agentes de tratamento de dados pessoais, a LGPD também estabelece que as empresas e órgãos públicos indiquem um encarregado de dados para facilitar a comunicação entre os agentes de tratamento, os titulares de dados e a ANPD.

E o que seria tratamento de dados pessoais? Na verdade, é toda operação realizada com eles, como produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Além disso, a LGPD limita em 10 (dez) as hipóteses em que os dados pessoais podem ser tratados por um terceiro, indivíduo ou pessoa jurídica do setor público ou do setor privado:

1. Quando há o consentimento do titular dos dados pessoais;

2. Quando o controlador precisa tratar esses dados para cumprir com uma obrigação legal ou regulatória;

3. Quando a administração pública executa políticas públicas ou no desempenho de suas funções institucionais;

4. Para a realização de estudos por órgão de pesquisa;

5. Para a execução de um contrato do qual seja parte o titular, a pedido do titular dos dados;

6. Para o exercício de direitos em um processo judicial, administrativo ou arbitral;

7. Para a proteção da vida e da segurança física do titular;

8. Para a proteção da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

9. Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; e

10. Para a proteção do crédito.

Seguindo sua missão de educar o leitor, o guia passa a listar os princípios que orientam os tratamentos de dados e que serão levados em consideração pela ANPD ao analisar qualquer potencial violação à LGPD. Eis os princípios:

Finalidade

o tratamento de dados pessoais deve ter um objetivo específico, claro e ser informado ao titular. O tratamento não pode acontecer com fins genéricos;

Adequação

compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

Necessidade

limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

Livre Acesso

garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

Qualidade dos Dados

garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

Transparência

garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Segurança

utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Prevenção

adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

Não Discriminação

impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

Responsabilização e Prestação de Contas

demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.


A partir de então, o guia passa a encarar situações reais, iniciando por uma situação hipotética de uma compra na qual a loja precisa dos dados pessoais para entregar um produto comprado pela pessoa, especialmente nome, endereço e telefone. Além desses dados, na hipótese de ser necessária a emissão de nota fiscal, é preciso dispor também do CPF da pessoa.

Se for desejo da pessoa, a loja precisará dar as informações sobre o tratamento de seus dados pessoais para as respectivas finalidades e, se necessário, o compartilhamento de seus dados pessoais pela loja, o direito de saber com quem e o porquê – por exemplo, com uma transportadora. Os dados devem estar armazenados em ambiente seguro e deve ser dado à pessoa o direito de atualizá-los sempre que for necessário.

O guia, então, enfatiza os direitos do titular sobre seus dados pessoais em poder de terceiros:

1. Confirmação

2. Livre Acesso

3. Correção

4. Anonimização

5. Bloqueio

6. Exclusão

7. Portabilidade

8. Eliminação

9. Revogação do Consentimento

10. Solicitação de Informações

11. Revisão

12. Solicitação de Explicações

13. Não Ser Cobrado pelo Exercício de seus Direitos

A seguir, são dadas orientações de como as organizações públicas e privadas devem atuar ao tratar dados pessoais de alguém:

1. Garantindo que todo tratamento de dados pessoais tenha uma base legal;

2. Mantendo registro das operações de tratamento de dados;

3. Elaborando relatório de impacto à proteção de dados pessoais quando o tratamento puder gerar riscos às liberdades civis e aos direitos fundamentais dos titulares;

4. Concebendo sistemas seguros e que protejam os dados desde a sua concepção;

5. Informando ao titular dos dados e à ANPD as violações de segurança dos dados pessoais que possam causar risco ou dano relevantes, com as devidas medidas de contenção ou mitigação;

6. Informando ao titular dos dados caso haja alguma alteração na finalidade para a coleta de dados;

7. Reparando danos causados em razão do tratamento de dados pessoais, em violação à legislação;

8. Confirmando a existência ou providenciando o acesso a dados pessoais, mediante requisição do titular;

9. Divulgando os tipos de dados coletados;

10. Descrevendo a metodologia utilizada para a coleta e compartilhamento de dados;

11. Descrevendo a metodologia utilizada para garantir a segurança das informações;

12. Avaliando de forma permanente as salvaguardas e mecanismos de mitigação de riscos adotados;

13. Indicando o Encarregado de Dados Pessoais e divulgando publicamente as suas informações de contato;

14. Aceitando reclamações, comunicações e prestando esclarecimentos aos titulares de dados;

Além disso, o titular de dados também é encorajado a proteger seus dados pessoais da seguinte forma:

1. Criando backups dos dados armazenados, principalmente em nuvem;

2. Ativando a criptografia nos discos e mídias externas, como pendrives;

3. Criando senhas fortes, que contenham a combinação de caracteres especiais, letras maiúsculas, minúsculas e números, evitando utilizar dados pessoais ou palavras comuns;

4. Habilitando a verificação de senhas em duas etapas sempre que disponível, principalmente em sistemas de armazenamento em nuvem e aplicativos de mensagens;

5. Instalando somente aplicativos de fontes e lojas oficiais;

6. Atualizando sempre o sistema operacional e os aplicativos;

7. Apagando os dados armazenados antes de se desfazer dos equipamentos e das mídias;

8. Desconfiando de links recebidos por aplicativos de mensagens;

9. Limitando a divulgação ou fornecimento de dados pessoais na internet, inclusive para redes sociais ou para empresas, aos casos estritamente necessários;

Finalmente, o guia esclarece que, em se tratando de uma relação de consumo, o titular de dados, em caso de violação de seus direitos, pode registrar uma reclamação no website consumidor.gov.br ou em Procons, Defensorias Públicas, Ministérios Públicos etc., reunindo todas as evidências que comprovem a violação. Caso não se trate de uma relação de consumo, o titular de dados pode efetuar uma reclamação diretamente junto à empresa ou ainda perante à ANPD, especialmente se a empresa não resolver o seu problema. De qualquer forma, não é obrigatório que o titular de dados procure primeiramente a empresa.

O guia, que é livremente disponibilizado a qualquer um, certamente passa a ser uma importante ferramenta para melhor conhecimento dos direitos de cada um sobre os seus dados pessoais.

No items found.

RECENT POSTS

LINKEDIN FEED

Newsletter

Register your email and receive our updates

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Newsletter

Register your email and receive our updates-

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

FOLLOW US ON SOCIAL MEDIA

Licks Attorneys' Government Affairs & International Relations Blog

Doing Business in Brazil: Political and economic landscape

Licks Attorneys' COMPLIANCE Blog

Como Proteger seus Dados Pessoais

No items found.

Em 14 de agosto de 2018, a Lei Geral de Proteção de Dados (LGPD) – Lei 13.709 veio estabelecer regras gerais à proteção de dados pessoais de cada indivíduo – algo que, até então, carecia de salvaguardas e limites na utilização por terceiros.

Com a LGPD, nasceu também a Autoridade Nacional de Proteção de Dados (ANPD), que, desde então, ao exercer o seu papel de proteção de dados pessoais, iniciou a confecção de alguns guias com o propósito de orientar indivíduos e organizações a tratar da maneira apropriada os dados pessoais de indivíduos; afinal de contas, a LGPD não se destina em absoluto a regulamentar dados de pessoas jurídicas, com ou sem fins lucrativos.

E, dentro desse contexto, nasceu o guia intitulado “Como Proteger seus Dados Pessoais”, elaborado em parceria com a Secretaria Nacional do Consumidor (Senacon) e abordando o assunto com uma linguagem de fácil acesso a qualquer leitor.

O guia começa exemplificando situações nas quais os dados pessoais de um indivíduo podem ser tratados no dia a dia:

– Ao contratar um empréstimo no banco, dados sobre a sua capacidade de pagamento são tratados;

– Ao interagir em uma rede social, dados pessoais sobre o seu comportamento são processados;

– Ao participar de um programa de fidelidade de uma empresa, dados sobre o seu consumo podem ser coletados;

– Para um tratamento de saúde em um hospital são processados dados pessoais, incluindo dados de cadastro e de saúde.

O guia enfatiza, então, a importância da proteção de dados tanto para o cidadão como para a economia e para a sociedade, salientando que a LGPD concretizou direitos previstos da Constituição Federal de 1988, complementando a proteção conferida pelo Código de Defesa do Consumidor e pelo Marco Civil da Internet. Ela também estabeleceu regime diferenciado para as empresas de pequeno porte, como as microempresas e as startups.

Ao abordar os riscos para o consumidor quando há um tratamento ilícito de dados pessoais, o guia enumera alguns que a grande maioria possivelmente jamais teria ideia, como:

1. Monitoramento de seu comportamento e restrição a liberdades fundamentais;

2. Discriminação;

3. Prejuízos econômicos;

4. Restrição de acesso a bens e serviços;

5. Violação da intimidade;

6. Fraudes que afetam a sua identidade;

Seguindo com o seu propósito educacional, o guia passa a explicar o que é dado pessoal, deixando claro que a LGPD o define como qualquer “informação relacionada à pessoa

natural identificada ou identificável”. Na prática, isso quer dizer que são informações pessoais que podem ser associadas a uma pessoa, seja para identificá-la diretamente, seja para associar esses dados a um contexto que permita a sua identificação – por exemplo, utilizando um endereço de e-mail, um número de telefone celular ou uma postagem na internet – são consideradas dados pessoais.

Por conseguinte, o guia passa a listar os dados pessoais mais comuns de um titular, ou seja, a pessoa natural a quem se referem os dados tratados, embora essa lista não seja em absoluto exaustiva:

1. Nome e sobrenome;

2. Endereço residencial;

3. Endereço de e-mail (se ele tiver elementos que ajudem a identificar o dono, como nome e sobrenome);

4. Gênero;

5. Data de nascimento;

6. Número de documentos cadastrais, como RG, CPF e Carteira de Trabalho;

7. Dados de geolocalização de um telefone celular;

8. Número de telefone pessoal.

A seguir, o guia esclarece quem são os agentes de tratamento de dados pessoais:

Controlador

é o agente de tratamento responsável por tomar as principais decisões referentes ao tratamento de dados pessoais, bem como por definir a sua finalidade e os elementos essenciais desse tratamento.

Operador

é o agente de tratamento que atua em nome do controlador, devendo tratar os dados somente de acordo as suas instruções e em conformidade com a lei.

Além desses agentes de tratamento de dados pessoais, a LGPD também estabelece que as empresas e órgãos públicos indiquem um encarregado de dados para facilitar a comunicação entre os agentes de tratamento, os titulares de dados e a ANPD.

E o que seria tratamento de dados pessoais? Na verdade, é toda operação realizada com eles, como produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Além disso, a LGPD limita em 10 (dez) as hipóteses em que os dados pessoais podem ser tratados por um terceiro, indivíduo ou pessoa jurídica do setor público ou do setor privado:

1. Quando há o consentimento do titular dos dados pessoais;

2. Quando o controlador precisa tratar esses dados para cumprir com uma obrigação legal ou regulatória;

3. Quando a administração pública executa políticas públicas ou no desempenho de suas funções institucionais;

4. Para a realização de estudos por órgão de pesquisa;

5. Para a execução de um contrato do qual seja parte o titular, a pedido do titular dos dados;

6. Para o exercício de direitos em um processo judicial, administrativo ou arbitral;

7. Para a proteção da vida e da segurança física do titular;

8. Para a proteção da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

9. Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; e

10. Para a proteção do crédito.

Seguindo sua missão de educar o leitor, o guia passa a listar os princípios que orientam os tratamentos de dados e que serão levados em consideração pela ANPD ao analisar qualquer potencial violação à LGPD. Eis os princípios:

Finalidade

o tratamento de dados pessoais deve ter um objetivo específico, claro e ser informado ao titular. O tratamento não pode acontecer com fins genéricos;

Adequação

compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

Necessidade

limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

Livre Acesso

garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

Qualidade dos Dados

garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

Transparência

garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Segurança

utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Prevenção

adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

Não Discriminação

impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

Responsabilização e Prestação de Contas

demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.


A partir de então, o guia passa a encarar situações reais, iniciando por uma situação hipotética de uma compra na qual a loja precisa dos dados pessoais para entregar um produto comprado pela pessoa, especialmente nome, endereço e telefone. Além desses dados, na hipótese de ser necessária a emissão de nota fiscal, é preciso dispor também do CPF da pessoa.

Se for desejo da pessoa, a loja precisará dar as informações sobre o tratamento de seus dados pessoais para as respectivas finalidades e, se necessário, o compartilhamento de seus dados pessoais pela loja, o direito de saber com quem e o porquê – por exemplo, com uma transportadora. Os dados devem estar armazenados em ambiente seguro e deve ser dado à pessoa o direito de atualizá-los sempre que for necessário.

O guia, então, enfatiza os direitos do titular sobre seus dados pessoais em poder de terceiros:

1. Confirmação

2. Livre Acesso

3. Correção

4. Anonimização

5. Bloqueio

6. Exclusão

7. Portabilidade

8. Eliminação

9. Revogação do Consentimento

10. Solicitação de Informações

11. Revisão

12. Solicitação de Explicações

13. Não Ser Cobrado pelo Exercício de seus Direitos

A seguir, são dadas orientações de como as organizações públicas e privadas devem atuar ao tratar dados pessoais de alguém:

1. Garantindo que todo tratamento de dados pessoais tenha uma base legal;

2. Mantendo registro das operações de tratamento de dados;

3. Elaborando relatório de impacto à proteção de dados pessoais quando o tratamento puder gerar riscos às liberdades civis e aos direitos fundamentais dos titulares;

4. Concebendo sistemas seguros e que protejam os dados desde a sua concepção;

5. Informando ao titular dos dados e à ANPD as violações de segurança dos dados pessoais que possam causar risco ou dano relevantes, com as devidas medidas de contenção ou mitigação;

6. Informando ao titular dos dados caso haja alguma alteração na finalidade para a coleta de dados;

7. Reparando danos causados em razão do tratamento de dados pessoais, em violação à legislação;

8. Confirmando a existência ou providenciando o acesso a dados pessoais, mediante requisição do titular;

9. Divulgando os tipos de dados coletados;

10. Descrevendo a metodologia utilizada para a coleta e compartilhamento de dados;

11. Descrevendo a metodologia utilizada para garantir a segurança das informações;

12. Avaliando de forma permanente as salvaguardas e mecanismos de mitigação de riscos adotados;

13. Indicando o Encarregado de Dados Pessoais e divulgando publicamente as suas informações de contato;

14. Aceitando reclamações, comunicações e prestando esclarecimentos aos titulares de dados;

Além disso, o titular de dados também é encorajado a proteger seus dados pessoais da seguinte forma:

1. Criando backups dos dados armazenados, principalmente em nuvem;

2. Ativando a criptografia nos discos e mídias externas, como pendrives;

3. Criando senhas fortes, que contenham a combinação de caracteres especiais, letras maiúsculas, minúsculas e números, evitando utilizar dados pessoais ou palavras comuns;

4. Habilitando a verificação de senhas em duas etapas sempre que disponível, principalmente em sistemas de armazenamento em nuvem e aplicativos de mensagens;

5. Instalando somente aplicativos de fontes e lojas oficiais;

6. Atualizando sempre o sistema operacional e os aplicativos;

7. Apagando os dados armazenados antes de se desfazer dos equipamentos e das mídias;

8. Desconfiando de links recebidos por aplicativos de mensagens;

9. Limitando a divulgação ou fornecimento de dados pessoais na internet, inclusive para redes sociais ou para empresas, aos casos estritamente necessários;

Finalmente, o guia esclarece que, em se tratando de uma relação de consumo, o titular de dados, em caso de violação de seus direitos, pode registrar uma reclamação no website consumidor.gov.br ou em Procons, Defensorias Públicas, Ministérios Públicos etc., reunindo todas as evidências que comprovem a violação. Caso não se trate de uma relação de consumo, o titular de dados pode efetuar uma reclamação diretamente junto à empresa ou ainda perante à ANPD, especialmente se a empresa não resolver o seu problema. De qualquer forma, não é obrigatório que o titular de dados procure primeiramente a empresa.

O guia, que é livremente disponibilizado a qualquer um, certamente passa a ser uma importante ferramenta para melhor conhecimento dos direitos de cada um sobre os seus dados pessoais.

No items found.