1LEI GERAL DE PROTEÇÃODE DADOS PESSOAIS.

Lei 13.709/2018

CONTEÚDO

• Dados pessoais. O que é dado pessoal?

• Quem atua na LGPD?

• Qual a importância de conhecer as regras LGPD?

• O que precisa mudar no escritório de contabilidade?

Sobre o que trata a Lei :13.709/2018?

• Essa Lei traz regras para disciplinar a forma como os

dados pessoais dos indivíduos podem ser armazenadospor empresas ou mesmo por outras pessoas físicas.

• O objetivo da Lei é proteger os direitos fundamentais de

liberdade e de privacidade e o livre desenvolvimento dapersonalidade da pessoa natural.

O que é considerado “dado pessoal” para os fins dessa Lei?

• Dado pessoal é a informação relacionada a uma pessoanatural.

• Exs: seu nome, RG, CPF, profissão, estado civil, grau deescolaridade etc.

A Lei nº 13.709/2018 utiliza, em diversos momentos, a expressão “tratamento de dados pessoais”.

O que quer dizer essa expressão?

• Tratamento de dados pessoais é toda “operação” realizada com dados pessoais.

A quem se aplica a Lei nº13.709/2018?

• Esta Lei se aplica a qualquer operação de tratamento dedados pessoais.

• - realizada por pessoa natural ou por pessoa jurídicade direito público ou privado

• - independentemente do meio, do país de sua sede oudo país onde estejam localizados os dados.

Situações nas quais NÃO se aplica a Lei nº 13.709/2018.

• A Lei não se aplica ao tratamento de dados pessoais:

• I - realizado por pessoa natural para fins exclusivamente particulares enão econômicos;

• II - realizado para fins exclusivamente:

• a) jornalístico e artísticos; ou

• b) acadêmicos (em caso de fins acadêmicos não se aplica a lei toda,mas apenas os arts.7º e 11);

• III - realizado para fins exclusivos de:

• a) segurança pública;

• b) defesa nacional;

• c) segurança do Estado; ou

• d) atividades de investigação e repressão de infrações penais;

Princípios que devem ser aplicados no tratamento de dados pessoais.

• As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

• I - finalidade:

• II - adequação:

• III - necessidade:

• IV - livre acesso:

• V - qualidade dos dados:

• VI - transparência:

• VII - segurança:

• VIII - prevenção:

• IX - não discriminação:

• X - responsabilização e prestação de contas:

REQUISITOS para o tratamento de dados pessoais.• O tratamento de dados pessoais somente poderá ser

realizado nas seguintes hipóteses:

• I - mediante o fornecimento de consentimento pelo titular.

É a manifestação livre, informada e inequívoca pela qual otitular concorda com o tratamento de seus dados pessoaispara uma finalidade determinada.

• Quando a Lei fala em “titular”, significa a pessoa natural aquem se referem os dados pessoais que são objeto detratamento.

• Eu sou titular dos dados pessoais que se referem a mim. Vocêé titular dos dados pessoais que se referem a você e assim pordiante.

Quem são os agentes de tratamento dos dados pessoais ?• O controlador e o operador.

• Controlador é a pessoa natural ou jurídica, de direito públicoou privado, a quem competem as decisões referentes aotratamento de dados pessoais.

• Operador é a pessoa natural ou jurídica, de direito públicoou privado, que realiza o tratamento de dados pessoais emnome do controlador.

Se houver dúvida se foi ou não concedidoo consentimento?

• Vício de consentimento:

• É vedado o tratamento de dados pessoais mediante vício de consentimento. Ex:o titular foi induzido em erro para fornecer seus dados pessoais.

• Consentimento deve ser específico.

• O consentimento deverá referir-se a finalidades determinadas.• As autorizações genéricas para o tratamento de dados pessoais serão nulas.

Como ocorrerá a revogação do consentimento do uso de dados ?

• O consentimento pode ser revogado a

qualquer momento mediante manifestação expressa dotitular.

• O procedimento para a revogação doconsentimento deve ser gratuito e facilitado.

Desnecessidade de consentimento não isenta do cumprimento da lei.

• A eventual dispensa da exigência do consentimentonão desobriga os agentes de tratamento das demaisobrigações previstas na Lei nº 13.709/2018, especialmenteda observância dos princípios gerais e da garantia dosdireitos do titular.

• Para o cumprimento de obrigação legal ou regulatóriapelo controlador,vale ressaltar que, mesmo neste caso, otitular deverá ser informado que será feito o tratamentode seus dados

(coleta, armazenamento, classificação etc).

Acesso às informações sobreo tratamento de seus dados.

O titular tem direito ao acesso facilitado às informações sobre o tratamentode seus dados, que deverão ser disponibilizadas de forma clara, adequadae ostensiva acerca.

Trata-se do “princípio do livre acesso”.

O titular deverá ter direito às seguintes informações:

• I - finalidade específica do tratamento;

• II - forma e duração do tratamento, observados os segredos comercial eindustrial;

• III - identificação do controlador;

• IV - informações de contato do controlador;

• V - informações acerca do uso compartilhado de dados pelo controlador ea finalidade;

• VI - responsabilidades dos agentes que realizarão o tratamento; e

• VII - direitos do titular.

Tratamento de dados pessoais com base no legítimo interesse do controlador.

• O legítimo interesse do controlador somente poderáfundamentar tratamento de dados pessoais para finalidadeslegítimas, consideradas a partir de situações concretas,que incluem, mas não se limitam a:

• I - apoio e promoção de atividades do controlador; e

• II - proteção, em relação ao titular, do exercício regular deseus direitos ou prestação de serviços que o beneficiem,respeitadas as legítimas expectativas dele e os direitos eliberdades fundamentais.

O que é dado pessoal sensível?

• Dado pessoal sensível :

É o dado pessoal sobre origem racial ou étnica,convicção religiosa, opinião política, filiação a sindicato oua organização de caráter religioso, filosófico ou político,dado referente à saúde ou à vida sexual, dado genéticoou biométrico, quando vinculado a uma pessoa natural.

Término do tratamento de dados.

O término do tratamento de dados pessoais ocorrerá nasseguintes hipóteses:

• I - verificação de que a finalidade foi alcançada ou de que osdados deixaram de ser necessários ou pertinentes ao alcanceda finalidade específica almejada;

• II - fim do período de tratamento;

• III - comunicação do titular, inclusive no exercício de seudireito de revogação do consentimento, resguardado ointeresse público; ou

• IV - determinação da autoridade nacional, quando houverviolação ao disposto na Lei.

Eliminação dos dados pessoais após o término do tratamento.• Os dados pessoais serão eliminados após o término de

seu tratamento, no âmbito e nos limites técnicos dasatividades, autorizada a conservação para as seguintesfinalidades:

• I - cumprimento de obrigação legal ou regulatória pelocontrolador;

• II - estudo por órgão de pesquisa, garantida, sempre quepossível, a anonimização dos dados pessoais;

• III - transferência a terceiro, desde que respeitados osrequisitos de tratamento de dados;

• IV - uso exclusivo do controlador, vedado seu acesso porterceiro, e desde que anonimizados os dados.

DIREITOS DO TITULAR.

Titularidade dos dados pessoais.

• Toda pessoa natural tem assegurada a titularidade

de seus dados pessoais e garantidos os

direitos fundamentais de liberdade, de intimidade ede privacidade.

• O titular dos dados pessoais tem o direito de

peticionar em relação aos seus dados contra ocontrolador perante a autoridade nacional.

Direito de obter do controlador.• O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do

titular por ele tratados, a qualquer momento e mediante requisição:

• I - confirmação da existência de tratamento;

• II - acesso aos dados;

• III - correção de dados incompletos, inexatos ou desatualizados;

• IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;

• V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial;

• VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da Lei;

• VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

• VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as

• consequências da negativa;

• IX - revogação do consentimento.

Confirmação dos dados pessoais.

A confirmação de existência ou o acesso a dados pessoaisserão providenciados,mediante requisição do titular:

• I - em formato simplificado, imediatamente; ou

• II - por meio de declaração clara e completa, que indiquea origem dos dados, a inexistência de registro, os critérios utilizadose a finalidade do tratamento, observados os segredos comerciale industrial, fornecida no prazo de até 15 dias, contado da datado requerimento do titular.

Encarregado pelo tratamento de dados pessoais.

• as empresas que trabalham com dados pessoais deverão ter um “encarregado”, que é um indivíduo que irá ser o responsável por cuidar dos assuntos relacionados com esses dados pessoais.

Responsabilidade e ressarcimento de danos.O controlador ou o operador que, em razão do exercício de atividade detratamento de dados pessoais, causar a outrem dano patrimonial, moral,individual ou coletivo, em violação à legislação de proteção de dadospessoais, é obrigado a repará-lo.

• A fim de assegurar a efetiva indenização ao titular dos dados:

• I - o operador responde solidariamente pelos danos causadospelo tratamento quando descumprir as obrigações da legislação deproteção de dados ou quando não tiver seguido as instruções lícitasdo controlador, hipótese em que o operador equipara-seao controlador, salvo nos casos de exclusão previstos no art. 43 da Lei nº13.709/2018;

• II - os controladores que estiverem diretamente envolvidos notratamento do qual decorreram danos ao titular dos dadosrespondem solidariamente, salvo nos casos de exclusão previstos no art.43 da Lei nº 13.709/2018.

Boas práticas e governança.

• Os controladores e operadores, no âmbito de suascompetências, pelo tratamento de dados pessoais,individualmente ou por meio de associações, poderão formularregras de boas práticas e de governança que estabeleçam ascondições de organização, o regime de funcionamento, osprocedimentos, incluindo reclamações e petições de titulares, asnormas de segurança, os padrões técnicos, as obrigaçõesespecíficas para os diversos envolvidos no tratamento, as açõeseducativas, os mecanismos internos de supervisão e de mitigaçãode riscos e outros aspectos relacionados ao tratamento de dadospessoais.

MUITO

OBRIGADO!Irati Santos ,advogada militante há 8 anos na área do Direito Tributário, sócia do Escritorio SantoseCalegao( escritorio especializado Direito Digital e Compliance).

www.santosecalegao.adv.br

Presidente da Comissão de Direito Digital OAB/SJCVice Presidente da Comissão de Compliance OAB/SJC

Pos-Graduada Lato Sensu pela Faculdade Damásio-SP ,com especialização em :

Direito Processual Civil 2013,Direito Penal e Processo Penal 2014,Direitodo Consumidor 2015,Direito Tributário 2016,Direito Registral e Notarial 2017, Direito Digital eCompliance 2018.

Fluencia idiomas: Japonês, Frances e Inglês.

1LEI GERAL DE PROTEÇÃODE DADOS PESSOAIS.

Lei 13.709/2018

CONTEÚDO

• Dados pessoais. O que é dado pessoal?

• Quem atua na LGPD?

• Qual a importância de conhecer as regras LGPD?

• O que precisa mudar no escritório de contabilidade?

Sobre o que trata a Lei :13.709/2018?

• Essa Lei traz regras para disciplinar a forma como os

dados pessoais dos indivíduos podem ser armazenadospor empresas ou mesmo por outras pessoas físicas.

• O objetivo da Lei é proteger os direitos fundamentais de

liberdade e de privacidade e o livre desenvolvimento dapersonalidade da pessoa natural.

O que é considerado “dado pessoal” para os fins dessa Lei?

• Dado pessoal é a informação relacionada a uma pessoanatural.

• Exs: seu nome, RG, CPF, profissão, estado civil, grau deescolaridade etc.

A Lei nº 13.709/2018 utiliza, em diversos momentos, a expressão “tratamento de dados pessoais”.

O que quer dizer essa expressão?

• Tratamento de dados pessoais é toda “operação” realizada com dados pessoais.

A quem se aplica a Lei nº13.709/2018?

• Esta Lei se aplica a qualquer operação de tratamento dedados pessoais.

• - realizada por pessoa natural ou por pessoa jurídicade direito público ou privado

• - independentemente do meio, do país de sua sede oudo país onde estejam localizados os dados.

Situações nas quais NÃO se aplica a Lei nº 13.709/2018.

• A Lei não se aplica ao tratamento de dados pessoais:

• I - realizado por pessoa natural para fins exclusivamente particulares enão econômicos;

• II - realizado para fins exclusivamente:

• a) jornalístico e artísticos; ou

• b) acadêmicos (em caso de fins acadêmicos não se aplica a lei toda,mas apenas os arts.7º e 11);

• III - realizado para fins exclusivos de:

• a) segurança pública;

• b) defesa nacional;

• c) segurança do Estado; ou

• d) atividades de investigação e repressão de infrações penais;

Princípios que devem ser aplicados no tratamento de dados pessoais.

• As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

• I - finalidade:

• II - adequação:

• III - necessidade:

• IV - livre acesso:

• V - qualidade dos dados:

• VI - transparência:

• VII - segurança:

• VIII - prevenção:

• IX - não discriminação:

• X - responsabilização e prestação de contas:

REQUISITOS para o tratamento de dados pessoais.• O tratamento de dados pessoais somente poderá ser

realizado nas seguintes hipóteses:

• I - mediante o fornecimento de consentimento pelo titular.

É a manifestação livre, informada e inequívoca pela qual otitular concorda com o tratamento de seus dados pessoaispara uma finalidade determinada.

• Quando a Lei fala em “titular”, significa a pessoa natural aquem se referem os dados pessoais que são objeto detratamento.

• Eu sou titular dos dados pessoais que se referem a mim. Vocêé titular dos dados pessoais que se referem a você e assim pordiante.

Quem são os agentes de tratamento dos dados pessoais ?• O controlador e o operador.

• Controlador é a pessoa natural ou jurídica, de direito públicoou privado, a quem competem as decisões referentes aotratamento de dados pessoais.

• Operador é a pessoa natural ou jurídica, de direito públicoou privado, que realiza o tratamento de dados pessoais emnome do controlador.

Se houver dúvida se foi ou não concedidoo consentimento?

• Vício de consentimento:

• É vedado o tratamento de dados pessoais mediante vício de consentimento. Ex:o titular foi induzido em erro para fornecer seus dados pessoais.

• Consentimento deve ser específico.

• O consentimento deverá referir-se a finalidades determinadas.• As autorizações genéricas para o tratamento de dados pessoais serão nulas.

Como ocorrerá a revogação do consentimento do uso de dados ?

• O consentimento pode ser revogado a

qualquer momento mediante manifestação expressa dotitular.

• O procedimento para a revogação doconsentimento deve ser gratuito e facilitado.

Desnecessidade de consentimento não isenta do cumprimento da lei.

• A eventual dispensa da exigência do consentimentonão desobriga os agentes de tratamento das demaisobrigações previstas na Lei nº 13.709/2018, especialmenteda observância dos princípios gerais e da garantia dosdireitos do titular.

• Para o cumprimento de obrigação legal ou regulatóriapelo controlador,vale ressaltar que, mesmo neste caso, otitular deverá ser informado que será feito o tratamentode seus dados

(coleta, armazenamento, classificação etc).

Acesso às informações sobreo tratamento de seus dados.

O titular tem direito ao acesso facilitado às informações sobre o tratamentode seus dados, que deverão ser disponibilizadas de forma clara, adequadae ostensiva acerca.

Trata-se do “princípio do livre acesso”.

O titular deverá ter direito às seguintes informações:

• I - finalidade específica do tratamento;

• II - forma e duração do tratamento, observados os segredos comercial eindustrial;

• III - identificação do controlador;

• IV - informações de contato do controlador;

• V - informações acerca do uso compartilhado de dados pelo controlador ea finalidade;

• VI - responsabilidades dos agentes que realizarão o tratamento; e

• VII - direitos do titular.

Tratamento de dados pessoais com base no legítimo interesse do controlador.

• O legítimo interesse do controlador somente poderáfundamentar tratamento de dados pessoais para finalidadeslegítimas, consideradas a partir de situações concretas,que incluem, mas não se limitam a:

• I - apoio e promoção de atividades do controlador; e

• II - proteção, em relação ao titular, do exercício regular deseus direitos ou prestação de serviços que o beneficiem,respeitadas as legítimas expectativas dele e os direitos eliberdades fundamentais.

O que é dado pessoal sensível?

• Dado pessoal sensível :

É o dado pessoal sobre origem racial ou étnica,convicção religiosa, opinião política, filiação a sindicato oua organização de caráter religioso, filosófico ou político,dado referente à saúde ou à vida sexual, dado genéticoou biométrico, quando vinculado a uma pessoa natural.

Término do tratamento de dados.

O término do tratamento de dados pessoais ocorrerá nasseguintes hipóteses:

• I - verificação de que a finalidade foi alcançada ou de que osdados deixaram de ser necessários ou pertinentes ao alcanceda finalidade específica almejada;

• II - fim do período de tratamento;

• III - comunicação do titular, inclusive no exercício de seudireito de revogação do consentimento, resguardado ointeresse público; ou

• IV - determinação da autoridade nacional, quando houverviolação ao disposto na Lei.

Eliminação dos dados pessoais após o término do tratamento.• Os dados pessoais serão eliminados após o término de

seu tratamento, no âmbito e nos limites técnicos dasatividades, autorizada a conservação para as seguintesfinalidades:

• I - cumprimento de obrigação legal ou regulatória pelocontrolador;

• II - estudo por órgão de pesquisa, garantida, sempre quepossível, a anonimização dos dados pessoais;

• III - transferência a terceiro, desde que respeitados osrequisitos de tratamento de dados;

• IV - uso exclusivo do controlador, vedado seu acesso porterceiro, e desde que anonimizados os dados.

DIREITOS DO TITULAR.

Titularidade dos dados pessoais.

• Toda pessoa natural tem assegurada a titularidade

de seus dados pessoais e garantidos os

direitos fundamentais de liberdade, de intimidade ede privacidade.

• O titular dos dados pessoais tem o direito de

peticionar em relação aos seus dados contra ocontrolador perante a autoridade nacional.

Direito de obter do controlador.• O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do

titular por ele tratados, a qualquer momento e mediante requisição:

• I - confirmação da existência de tratamento;

• II - acesso aos dados;

• III - correção de dados incompletos, inexatos ou desatualizados;

• IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;

• V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial;

• VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da Lei;

• VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

• VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as

• consequências da negativa;

• IX - revogação do consentimento.

Confirmação dos dados pessoais.

A confirmação de existência ou o acesso a dados pessoaisserão providenciados,mediante requisição do titular:

• I - em formato simplificado, imediatamente; ou

• II - por meio de declaração clara e completa, que indiquea origem dos dados, a inexistência de registro, os critérios utilizadose a finalidade do tratamento, observados os segredos comerciale industrial, fornecida no prazo de até 15 dias, contado da datado requerimento do titular.

Encarregado pelo tratamento de dados pessoais.

• as empresas que trabalham com dados pessoais deverão ter um “encarregado”, que é um indivíduo que irá ser o responsável por cuidar dos assuntos relacionados com esses dados pessoais.

Responsabilidade e ressarcimento de danos.O controlador ou o operador que, em razão do exercício de atividade detratamento de dados pessoais, causar a outrem dano patrimonial, moral,individual ou coletivo, em violação à legislação de proteção de dadospessoais, é obrigado a repará-lo.

• A fim de assegurar a efetiva indenização ao titular dos dados:

• I - o operador responde solidariamente pelos danos causadospelo tratamento quando descumprir as obrigações da legislação deproteção de dados ou quando não tiver seguido as instruções lícitasdo controlador, hipótese em que o operador equipara-seao controlador, salvo nos casos de exclusão previstos no art. 43 da Lei nº13.709/2018;

• II - os controladores que estiverem diretamente envolvidos notratamento do qual decorreram danos ao titular dos dadosrespondem solidariamente, salvo nos casos de exclusão previstos no art.43 da Lei nº 13.709/2018.

Boas práticas e governança.

• Os controladores e operadores, no âmbito de suascompetências, pelo tratamento de dados pessoais,individualmente ou por meio de associações, poderão formularregras de boas práticas e de governança que estabeleçam ascondições de organização, o regime de funcionamento, osprocedimentos, incluindo reclamações e petições de titulares, asnormas de segurança, os padrões técnicos, as obrigaçõesespecíficas para os diversos envolvidos no tratamento, as açõeseducativas, os mecanismos internos de supervisão e de mitigaçãode riscos e outros aspectos relacionados ao tratamento de dadospessoais.

MUITO

OBRIGADO!Irati Santos ,advogada militante há 8 anos na área do Direito Tributário, sócia do Escritorio SantoseCalegao( escritorio especializado Direito Digital e Compliance).

www.santosecalegao.adv.br

Presidente da Comissão de Direito Digital OAB/SJCVice Presidente da Comissão de Compliance OAB/SJC

Pos-Graduada Lato Sensu pela Faculdade Damásio-SP ,com especialização em :

Direito Processual Civil 2013,Direito Penal e Processo Penal 2014,Direitodo Consumidor 2015,Direito Tributário 2016,Direito Registral e Notarial 2017, Direito Digital eCompliance 2018.

Fluencia idiomas: Japonês, Frances e Inglês.