LEI GERAL DE PROTEÇÃO DE DADOS (LGPD) Aspectos Federais
admin@dpg
ASSUNTOS DIVERSOS
Boletim Imposto de Renda n° 23 – 1ª Quinzena. Publicado em: 02/12/2020
Matéria elaborada conforme a legislação vigente à época de sua publicação, sujeita a mudanças em decorrência das alterações legais.
Índice
LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
Aspectos Federais
Roteiro
1. Introdução
A Lei Geral de Proteção de Dados (LGPD), instituída por meio da Lei n° 13.709/2018, tem como objetivo a proteção dos dados de pessoa natural, ou seja, dados das pessoas físicas, como, por exemplo, nome, registro geral (RG), cadastro de pessoa física (CPF), imagem, entre outros.
Esta lei é de esfera multidisciplinar, o que significa que envolve várias áreas de atuação, como direito, tecnologia e processos, o que a torna complexa em um primeiro momento.
Observa-se que para alguns pontos da lei ainda haverá uma regulamentação específica por parte da Autoridade Nacional de Proteção de Dados (ANPD).
Isto posto, esclarece-se que esta matéria tem por objetivo auxiliar no entendimento geral da lei, quanto aos impactos em âmbito federal.
2. Conceito
A lei da LGPD menciona várias figuras envolvidas nos processos de tratamentos de dados, que são:
Controlador
Pessoa física ou jurídica que é o responsável pelas decisões pertinentes ao tratamento de dados pessoais de pessoas físicas, como, por exemplo, dados de seus clientes, funcionários, ócios, dirigentes, prestadores serviços (Lei n° 13.709/2018, artigo 5°, inciso VI)
Operador
Pessoa física ou jurídica, que realiza o tratamento de dados em nome do controlador, como, por exemplo, funcionário dos seus clientes, do tomador do serviço do cliente, dentre outros dados utilizados para cumprimento de obrigações acessórias (Lei n° 13.709/2018, artigo 5°, inciso VII)
Pessoa que ficará responsável pela comunicação entre o controlador, os titulares dos dados e a ANPD, sendo está indicada pelo controlador e operador (Lei n° 13.709/2018, artigo 5°, inciso VIII)
Dados de pessoa natural que se referem-se a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico (Lei n° 13.709/2018, artigo 5°, inciso II)
Dado anonimizado
Informação de titular não identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento (Lei n° 13.709/2018, artigo 5°, inciso III)
Operações como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, de dados pessoais (Lei n° 13.709/2018, artigo 5°, inciso X)
Anonimização
Refere-se ao dado que perde a possibilidade de associação, direta ou indireta, há uma pessoa natural, quando do tratamento dos dados por meios técnicos e razoáveis (Lei n° 13.709/2018, artigo 5°, inciso XI)
Consentimento
Manifestação por parte do titular, que concorda com o tratamento dos seus dados para uma certa finalidade (Lei n° 13.709/2018, artigo 5°, inciso XII)
Autoridade nacional
Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional (Lei n° 13.709/2018, artigo 5°, inciso XIX)
3. Aplicação
Conforme dispõe o artigo 1° da Lei n° 13.709/2018, o objetivo da LGPD é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, ou seja, a proteção das informações de pessoa física.
Desta forma, deverá observar esta lei qualquer pessoa que trate dados de pessoas naturais, podendo ser física ou jurídica, neste último caso, independente de regime tributário ou natureza jurídica.
3.1. Pessoa Física
Quando se tratar de um controlador de dados de pessoas físicas, também se aplica a LGPD, exceto, quando utilizado exclusivamente para fins particulares e não econômicos (Lei n° 13.709/2018, artigo 4°, inciso I).
Portanto, um profissional autônomo que utiliza os dados de pessoas naturais para fins econômicos deverá observar a LGPD, diferente de uma pessoa física que cria conteúdos como hobbies visto que estas não estão sujeitas a referida norma.
Podemos ainda citar como exemplo, uma pessoa física a qual faz uma lista de convidados para uma festa, com os dados pessoais como: Nome, CPF, Telefone, Endereço. Este anfitrião não estaria sujeito a LGPD.
Por outro lado, a casos que mesmo sem fins econômicos podem estar sujeitos a LGPD, como as imagens da câmera de segurança de sua residência, em virtude de possuir imagens massivas de terceiros que podem pôr em risco a privacidade e os direitos da personalidade dos titulares pois, aqui estamos diante de um conteúdo que não se enquadra em uma atividade puramente pessoal ou familiar. (Maldonado, Viviane N.; Blum, Renato O; LGPD comentada, editora Thomson Reuters Brasil, 2019. pág. 67)
3.2. Pessoa Jurídica
Em relação aos controladores, pessoas jurídicas, aplica-se a LGPD a todas as empresas previstas no artigo 44 da Lei n° 10.406/2002 (Código Civil), sendo assim, é irrelevante se a PJ é com ou sem fins lucrativos, ou se o tratamento de dados pessoas terá relação, ou não com seu objetivo social.
Ressalta-se, que de acordo com o § 4° do artigo 23 da Lei n° 13.709/2018, os serviços notariais e de registro (cartórios) terão o mesmo tratamento dispensado aos órgãos do poder público.
4. Exceções
A LGPD não se aplica nos seguintes casos de tratamento de dados:
Exemplo: coleta de dados de pessoa física para uma entrevista jornalística, ou para elaboração de trabalho de conclusão de curso da faculdade
c) para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (Lei n° 13.709/2018, artigo 4°, inciso III);
Exemplo: coleta de dados de uma pessoa física em um depoimento prestado a polícia
d) dados pessoais oriundos de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei (Lei n° 13.709/2018, artigo 4°, inciso IV).
Exemplo: Dados de clientes (pessoas físicas) do exterior
5. Dados Tratados
Aplica-se a LGPD no tratamento de dados de pessoa natural, como: Nome, CPF, RG, Registro Profissional, CNH, CTPS, Certidão de Nascimento, Casamento, Diplomas, Fotos e Imagens Pessoais, Endereço, e-mail, Telefone, Atestados, Histórico Médico, Religião, Ideologia Política, Filiação Sindical, Histórico Financeiro, Histórico de Consumos, Gostos e Preferências Pessoais, entre outros.
O tratamento de dados deverá ocorrer como base nesta norma, quando:
a) o tratamento seja realizado no território nacional, ou seja, dados pessoais cujo titular se encontre no país no momento da coleta (Lei n° 13.709/2018, artigo 3°, inciso I e § 1°);
b) quando o tratamento de dados tenha por objetivo a oferta ou o fornecimento de bens, ou serviços, ou o tratamento de dados de indivíduos localizados no território nacional (Lei n° 13.709/2018, artigo 3°, inciso II);
Art. 7° O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – Mediante o fornecimento de consentimento pelo titular;
II – Para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei n° 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
VIII – Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
IX -Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Neste caso, cabe observar que quando os dados forem utilizados nas condições mencionadas do inciso II ao X não há necessidade de consentimento.
Entretanto, caso o controlador utilize as informações para outras finalidades como, por exemplo, envio de promoções, propagandas, ofertas, cessão de informações a terceiros, haverá a necessidade da solicitação do consentimento do titular dos dados.
Ainda cabe ressaltar que, mesmo que seja dispensado o consentimento, compete ao operador e o controlador de dados observarem as demais regras mencionadas na LGPD (Lei n° 13.709/2018, artigo 7°, § 6°).
7. Guarda de Documentos
Os dados deverão ser eliminados após o encerramento do seu tratamento, entretanto, é permitida a sua manutenção, quando utilizado para cumprimento de obrigação legal ou regulatória, estudo por órgão de pesquisa, transferência a terceiro desde que observado a normas da LGPD e para uso exclusivo do controlador (Lei n° 13.709/2018, artigo 16).
Em relação à parte societária, destaca-se que os dados utilizados pela empresa devem ser mantidos pelo prazo legal, em regra cinco anos, independentemente do consentimento do titular (Lei n° 5.172/66-CTN, artigos 150, § 4°, 173 e 195).
Tendo como exemplo, os dados utilizados para entrega de obrigações acessórias:
a) dados pessoais (CPF e nome do beneficiário; CPF, nome e data de nascimento do alimentando) de funcionários e de prestadores de serviços, locadores de imóveis, sócios, dentre outros, para os quais se tenha um relacionamento, são utilizados para entrega da DIRF;
b) dados pessoais (CPF e nome) de pessoas físicas que realizem consultas médicas, devem ser informados na DMED;
c) dados pessoais (CPF e nome) de pessoas físicas que realizem operações imobiliárias (compra, venda, locação), por intermédio de uma imobiliária ou com outra pessoa jurídica, devem ser informados na DIMOB;
d) dados pessoais (CPF, nome, endereço) de pessoas físicas que prestam ou tomam serviços, realizam a compra ou venda de mercadorias, devem ser informadas do EFD-Contribuições.
Primeiramente, cabe observar que a aplicação da LGPD, quanto ao processamento de dados é complexa e envolve principalmente a área de tecnologia, sendo assim, para cada modelo de negócios há um estudo a ser desenvolvido, ao passo que não há um modelo pronto de adequação.
Entretanto, é possível elencar algumas medidas que a pessoa jurídica deve adotar para dar início a adequação de processamento de dados:
LEI GERAL DE PROTEÇÃO DE DADOS (LGPD)
Aspectos Federais
Roteiro
1. Introdução
A Lei Geral de Proteção de Dados (LGPD), instituída por meio da Lei n° 13.709/2018, tem como objetivo a proteção dos dados de pessoa natural, ou seja, dados das pessoas físicas, como, por exemplo, nome, registro geral (RG), cadastro de pessoa física (CPF), imagem, entre outros.
Esta lei é de esfera multidisciplinar, o que significa que envolve várias áreas de atuação, como direito, tecnologia e processos, o que a torna complexa em um primeiro momento.
Observa-se que para alguns pontos da lei ainda haverá uma regulamentação específica por parte da Autoridade Nacional de Proteção de Dados (ANPD).
Isto posto, esclarece-se que esta matéria tem por objetivo auxiliar no entendimento geral da lei, quanto aos impactos em âmbito federal.
2. Conceito
A lei da LGPD menciona várias figuras envolvidas nos processos de tratamentos de dados, que são:
Controlador
Pessoa física ou jurídica que é o responsável pelas decisões pertinentes ao tratamento de dados pessoais de pessoas físicas, como, por exemplo, dados de seus clientes, funcionários, ócios, dirigentes, prestadores serviços (Lei n° 13.709/2018, artigo 5°, inciso VI)
Operador
Pessoa física ou jurídica, que realiza o tratamento de dados em nome do controlador, como, por exemplo, funcionário dos seus clientes, do tomador do serviço do cliente, dentre outros dados utilizados para cumprimento de obrigações acessórias (Lei n° 13.709/2018, artigo 5°, inciso VII)
Pessoa que ficará responsável pela comunicação entre o controlador, os titulares dos dados e a ANPD, sendo está indicada pelo controlador e operador (Lei n° 13.709/2018, artigo 5°, inciso VIII)
Dados de pessoa natural que se referem-se a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico (Lei n° 13.709/2018, artigo 5°, inciso II)
Dado anonimizado
Informação de titular não identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento (Lei n° 13.709/2018, artigo 5°, inciso III)
Operações como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, de dados pessoais (Lei n° 13.709/2018, artigo 5°, inciso X)
Anonimização
Refere-se ao dado que perde a possibilidade de associação, direta ou indireta, há uma pessoa natural, quando do tratamento dos dados por meios técnicos e razoáveis (Lei n° 13.709/2018, artigo 5°, inciso XI)
Consentimento
Manifestação por parte do titular, que concorda com o tratamento dos seus dados para uma certa finalidade (Lei n° 13.709/2018, artigo 5°, inciso XII)
Autoridade nacional
Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional (Lei n° 13.709/2018, artigo 5°, inciso XIX)
3. Aplicação
Conforme dispõe o artigo 1° da Lei n° 13.709/2018, o objetivo da LGPD é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, ou seja, a proteção das informações de pessoa física.
Desta forma, deverá observar esta lei qualquer pessoa que trate dados de pessoas naturais, podendo ser física ou jurídica, neste último caso, independente de regime tributário ou natureza jurídica.
3.1. Pessoa Física
Quando se tratar de um controlador de dados de pessoas físicas, também se aplica a LGPD, exceto, quando utilizado exclusivamente para fins particulares e não econômicos (Lei n° 13.709/2018, artigo 4°, inciso I).
Portanto, um profissional autônomo que utiliza os dados de pessoas naturais para fins econômicos deverá observar a LGPD, diferente de uma pessoa física que cria conteúdos como hobbies visto que estas não estão sujeitas a referida norma.
Podemos ainda citar como exemplo, uma pessoa física a qual faz uma lista de convidados para uma festa, com os dados pessoais como: Nome, CPF, Telefone, Endereço. Este anfitrião não estaria sujeito a LGPD.
Por outro lado, a casos que mesmo sem fins econômicos podem estar sujeitos a LGPD, como as imagens da câmera de segurança de sua residência, em virtude de possuir imagens massivas de terceiros que podem pôr em risco a privacidade e os direitos da personalidade dos titulares pois, aqui estamos diante de um conteúdo que não se enquadra em uma atividade puramente pessoal ou familiar. (Maldonado, Viviane N.; Blum, Renato O; LGPD comentada, editora Thomson Reuters Brasil, 2019. pág. 67)
3.2. Pessoa Jurídica
Em relação aos controladores, pessoas jurídicas, aplica-se a LGPD a todas as empresas previstas no artigo 44 da Lei n° 10.406/2002 (Código Civil), sendo assim, é irrelevante se a PJ é com ou sem fins lucrativos, ou se o tratamento de dados pessoas terá relação, ou não com seu objetivo social.
Ressalta-se, que de acordo com o § 4° do artigo 23 da Lei n° 13.709/2018, os serviços notariais e de registro (cartórios) terão o mesmo tratamento dispensado aos órgãos do poder público.
4. Exceções
A LGPD não se aplica nos seguintes casos de tratamento de dados:
Exemplo: coleta de dados de pessoa física para uma entrevista jornalística, ou para elaboração de trabalho de conclusão de curso da faculdade
c) para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (Lei n° 13.709/2018, artigo 4°, inciso III);
Exemplo: coleta de dados de uma pessoa física em um depoimento prestado a polícia
d) dados pessoais oriundos de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei (Lei n° 13.709/2018, artigo 4°, inciso IV).
Exemplo: Dados de clientes (pessoas físicas) do exterior
5. Dados Tratados
Aplica-se a LGPD no tratamento de dados de pessoa natural, como: Nome, CPF, RG, Registro Profissional, CNH, CTPS, Certidão de Nascimento, Casamento, Diplomas, Fotos e Imagens Pessoais, Endereço, e-mail, Telefone, Atestados, Histórico Médico, Religião, Ideologia Política, Filiação Sindical, Histórico Financeiro, Histórico de Consumos, Gostos e Preferências Pessoais, entre outros.
O tratamento de dados deverá ocorrer como base nesta norma, quando:
a) o tratamento seja realizado no território nacional, ou seja, dados pessoais cujo titular se encontre no país no momento da coleta (Lei n° 13.709/2018, artigo 3°, inciso I e § 1°);
b) quando o tratamento de dados tenha por objetivo a oferta ou o fornecimento de bens, ou serviços, ou o tratamento de dados de indivíduos localizados no território nacional (Lei n° 13.709/2018, artigo 3°, inciso II);
Art. 7° O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – Mediante o fornecimento de consentimento pelo titular;
II – Para o cumprimento de obrigação legal ou regulatória pelo controlador;
III – Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV – Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI – Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei n° 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII – Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
VIII – Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
IX -Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X – Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Neste caso, cabe observar que quando os dados forem utilizados nas condições mencionadas do inciso II ao X não há necessidade de consentimento.
Entretanto, caso o controlador utilize as informações para outras finalidades como, por exemplo, envio de promoções, propagandas, ofertas, cessão de informações a terceiros, haverá a necessidade da solicitação do consentimento do titular dos dados.
Ainda cabe ressaltar que, mesmo que seja dispensado o consentimento, compete ao operador e o controlador de dados observarem as demais regras mencionadas na LGPD (Lei n° 13.709/2018, artigo 7°, § 6°).
7. Guarda de Documentos
Os dados deverão ser eliminados após o encerramento do seu tratamento, entretanto, é permitida a sua manutenção, quando utilizado para cumprimento de obrigação legal ou regulatória, estudo por órgão de pesquisa, transferência a terceiro desde que observado a normas da LGPD e para uso exclusivo do controlador (Lei n° 13.709/2018, artigo 16).
Em relação à parte societária, destaca-se que os dados utilizados pela empresa devem ser mantidos pelo prazo legal, em regra cinco anos, independentemente do consentimento do titular (Lei n° 5.172/66-CTN, artigos 150, § 4°, 173 e 195).
Tendo como exemplo, os dados utilizados para entrega de obrigações acessórias:
a) dados pessoais (CPF e nome do beneficiário; CPF, nome e data de nascimento do alimentando) de funcionários e de prestadores de serviços, locadores de imóveis, sócios, dentre outros, para os quais se tenha um relacionamento, são utilizados para entrega da DIRF;
b) dados pessoais (CPF e nome) de pessoas físicas que realizem consultas médicas, devem ser informados na DMED;
c) dados pessoais (CPF e nome) de pessoas físicas que realizem operações imobiliárias (compra, venda, locação), por intermédio de uma imobiliária ou com outra pessoa jurídica, devem ser informados na DIMOB;
d) dados pessoais (CPF, nome, endereço) de pessoas físicas que prestam ou tomam serviços, realizam a compra ou venda de mercadorias, devem ser informadas do EFD-Contribuições.
Primeiramente, cabe observar que a aplicação da LGPD, quanto ao processamento de dados é complexa e envolve principalmente a área de tecnologia, sendo assim, para cada modelo de negócios há um estudo a ser desenvolvido, ao passo que não há um modelo pronto de adequação.
Entretanto, é possível elencar algumas medidas que a pessoa jurídica deve adotar para dar início a adequação de processamento de dados:
Figura elaborada com base na Cartilha De Proteção De Dados Pessoais – FIESP (Rony Vainzof, Luciana Nunes Freire, Caio Oliveira e Luciano Villela Coelho, 2018, p. 20).
8.1. Aplicabilidade em Âmbito Federal
Conforme mencionado nesta matéria, a LGPD se aplica ao tratamento de dados de pessoas físicas, sendo assim, é possível identificar algumas operações a qual deverá ser aplicada LGPD:
a) obrigações acessórias federais: a entrega de obrigações acessórias federais, como DIRF, DCTF, DIMOB, DMED e EFD-Contribuições, ao qual deve-se informar dados de pessoas físicas;
b) financeiro: cadastro de cliente para fins de cobrança e de fornecedores pessoa física para fins de pagamento;
c) e-commerce: dados de clientes pessoas físicas armazenados, quando da compra pela internet;
d) societário: dados dos sócios pessoas físicas, para a execução de contrato ou de procedimentos preliminares relacionados a contrato.
9. Vigência
A lei da LGPD passou por várias alterações em relação aos prazos de vigência, conforme demonstrado na figura abaixo:
Autor: Equipe Técnica Econet Editora
TODOS OS DIREITOS RESERVADOS
Nos termos da Lei n° 9.610, de 19 de fevereiro de 1998, que regula os direitos autorais, é proibida a reprodução total ou parcial, bem como a produção de apostilas a partir desta obra, por qualquer forma, meio eletrônico ou mecânico, inclusive através de processos reprográficos, fotocópias ou gravações – sem permissão por escrito, dos Autores. A reprodução não autorizada, além das sanções civis (apreensão e indenização), está sujeita as penalidades que trata artigo 184 do Código Penal.