<h2>LGPD — Fundamentos e Princípios</h2> <p>A <strong>Lei Geral de Proteção de Dados Pessoais (LGPD)</strong>, Lei nº <strong>13.709/2018</strong> (com alterações da Lei 13.853/2019), é o marco regulatório brasileiro de proteção de dados pessoais. Entrou em vigor em <strong>setembro de 2020</strong> (sanções a partir de agosto de 2021). Foi inspirada no GDPR europeu (General Data Protection Regulation, Regulamento 2016/679) e no marco legislativo de países como Alemanha e França, mas adaptada à realidade brasileira.</p> <h3>Objeto e âmbito de aplicação</h3> <p>Nos termos do <strong>art. 1º</strong>, a LGPD "dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural". São três hipóteses de incidência (art. 3º):</p> <ul> <li>Operação de tratamento realizada em território nacional;</li> <li>Atividade de tratamento com finalidade de oferta de bens ou serviços ou tratamento de dados de indivíduos localizados no território nacional;</li> <li>Dados pessoais coletados no território nacional.</li> </ul> <p>A lei <strong>não se aplica</strong> (art. 4º) ao tratamento realizado por pessoa natural para fins exclusivamente particulares e não econômicos; para fins jornalísticos, artísticos ou acadêmicos (com ressalvas); para fins de segurança pública, defesa nacional, segurança do Estado ou investigação e repressão de infrações penais.</p> <h3>Conceitos fundamentais (art. 5º)</h3> <ul> <li><strong>Dado pessoal</strong> — informação relacionada a pessoa natural identificada ou identificável;</li> <li><strong>Dado pessoal sensível</strong> — dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical/partido político, dado referente à saúde ou à vida sexual, dado genético ou biométrico vinculado a pessoa natural;</li> <li><strong>Dado anonimizado</strong> — dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis;</li> <li><strong>Banco de dados</strong> — conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;</li> <li><strong>Titular</strong> — pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;</li> <li><strong>Controlador</strong> — pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;</li> <li><strong>Operador</strong> — pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;</li> <li><strong>Encarregado (DPO)</strong> — pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD;</li> <li><strong>Tratamento</strong> — toda operação realizada com dados pessoais, incluindo coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.</li> </ul> <h3>Os dez princípios da LGPD (art. 6º)</h3> <p>As atividades de tratamento de dados pessoais devem observar a boa-fé e os seguintes princípios:</p> <ol> <li><strong>Finalidade</strong> — realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;</li> <li><strong>Adequação</strong> — compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;</li> <li><strong>Necessidade</strong> — limitação do tratamento ao mínimo necessário para a realização de suas finalidades (minimização de dados);</li> <li><strong>Livre acesso</strong> — garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;</li> <li><strong>Qualidade dos dados</strong> — garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;</li> <li><strong>Transparência</strong> — garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento;</li> <li><strong>Segurança</strong> — utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas;</li> <li><strong>Prevenção</strong> — adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;</li> <li><strong>Não discriminação</strong> — impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;</li> <li><strong>Responsabilização e prestação de contas</strong> — demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.</li> </ol> <h3>Para a prova</h3> <ul> <li><strong>LGPD = Lei 13.709/2018</strong>; sanções a partir de agosto de 2021.</li> <li><strong>Dado sensível</strong>: abrange dados de saúde, origem racial, religião, opinião política, dado genético e biométrico.</li> <li><strong>Controlador</strong> decide; <strong>operador</strong> executa; <strong>encarregado (DPO)</strong> é canal de comunicação.</li> <li><strong>10 princípios</strong>: finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação, responsabilização.</li> <li>Armadilha: dados anonimizados <strong>não são dados pessoais</strong> (art. 12), salvo quando o processo de anonimização puder ser revertido.</li> </ul>