Author name: Admin

A Autoridade Nacional de Proteção de Dados (ANPD) publicou em 23 de agosto de 2024 a Resolução CD/ANPD n° 19/2024, que disciplina a Transferência Internacional de Dados e o conteúdo das cláusulas-padrão contratuais. A nova norma tem como objetivo regulamentar as diretrizes gerais que autorizam a transferência de dados pessoais para países ou organismos internacionais, estabelecidas nos artigos 33 a 36 da Lei Geral de Proteção de Dados (LGPD). A nova Resolução impacta diretamente as organizações que realizam transferências internacionais de dados, exigindo maior transparência e responsabilidade no tratamento desses dados. A norma determina: (i) a atualização de contratos para incorporar os mecanismos válidos de transferência em contratos; (ii) a divulgação das transferências internacionais de dados na Política de Privacidade ou outro documento equivalente; e (iii) o fornecimento das informações aos titulares sobre o tema, quando houver solicitação. Preliminarmente, destaca-se que as disposições sobre transferências internacionais de dados se aplicam a todos os tratamentos de dados pessoais realizados em território nacional, bem como aqueles que tenham como objetivo oferecer bens ou serviços a indivíduos no Brasil, ou que envolvam dados de indivíduos localizados no território nacional, salvo as exceções previstas em lei. Hipóteses legais  Para que a transferência internacional de dados seja considerada válida, é preciso que ela tenha um propósito legítimo, específico e informado ao titular, sem possibilidade de uso posterior para fins diferentes. Essa transferência também deve estar fundamentada em uma das hipóteses legais previstas na LGPD (art. 7º ou 11) e estar associada a um dos mecanismos de transferência internacional válidos. Mecanismos para transferência internacional A transferência internacional de dados, além de cumprir a LGPD, deve ser proporcional e adequada à finalidade a ser alcançada. Ou seja, somente os dados estritamente necessários devem ser transferidos, e essa transferência deve estar respaldada por um dos mecanismos de proteção estabelecidos pela ANPD. De acordo com a  Resolução CD/ANPD n° 19,  de 23/08/2024, as transferências internacionais de dados devem observar um dos seguintes mecanismos: Decisão de adequação da ANPD: A transferência de dados pessoais e sensíveis poderá ser realizada para países e organismos que oferecerem proteção equivalente à da LGPD. A ANPD é responsável por reconhecer quais países e organizações atendem a esses requisitos. Normas corporativas globais: transferências internacionais dentro do mesmo grupo ou conglomerado de empresa, podem seguir normas corporativas globais. As normas deverão ser submetidas à aprovação da ANPD; Cláusulas-padrão contratual: A transferência internacional de dados, quando fundamentada em cláusulas-padrão contratuais, somente será válida se houver a adoção integral e sem qualquer modificação do texto padrão disponibilizado pela ANPD (Anexo II da Resolução); Cláusulas-padrão Contratuais Equivalentes: A ANPD pode reconhecer a equivalência das cláusulas-padrão contratuais de outros países ou organismos internacionais com as cláusulas-padrão estabelecidas no Anexo II da Resolução; Cláusulas-padrão específicas para determinadas transações: Cláusulas elaboradas individualmente por controladores que precisam ser submetidas à aprovação da ANPD. Prazos para Adoção de Cláusulas-Padrão As empresas que realizam transferências internacionais de dados devem, até 23 de agosto de 2025, incorporar as cláusulas-padrão da ANPD aos seus contratos, garantindo assim a conformidade com a legislação. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

     A Lei Geral de Proteção de Dados Pessoais (LGPD) impõe uma série de requisitos para promover a segurança e a privacidade dos dados pessoais e sensíveis dos indivíduos.        A adequação à LGPD exige que o controlador e o operador de dados elaborem documentos, que abrangem mais do que apenas políticas de cookies e privacidade. O documento mais complexo para elaborar é o Relatório de Impacto à Proteção de Dados (RIPD). As disposições da lei e as primeiras penalidades aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) por falta de apresentação de RIPD no prazo estabelecido pela Autoridade apontam a sua relevância para efetiva adequação à LGPD.     Embora a ANPD ainda não tenha regulamentado regras específicas para o RIPD, a LGPD e as orientações da autoridade oferecem uma visão clara dos itens básicos que devem ser incluídos no relatório, este obrigatório.      O RIPD descreve os processos de tratamento de dados pessoais que podem representar alto risco à proteção dos princípios gerais estabelecidos pela LGPD, assim como às liberdades civis e aos direitos fundamentais dos titulares dos dados.   O RIPD ainda é expressamente obrigatório para os tratamentos realizados com base no legítimo interesse do controlador. Esse documento também deve  expor as medidas de segurança e os mecanismos implementados para mitigar os riscos identificados.  Quem é responsável pela elaboração do RIPD?     O controlador (agente de tratamento que toma as decisões relativas ao tratamento de dados pessoais) é o responsável pela elaboração do RIPD. Sua responsabilidade está em garantir que o RIPD seja elaborado de forma completa e precisa, identificando e avaliando os riscos associados ao tratamento de dados pessoais e implementando medidas adequadas para mitigar esses riscos.     Recomenda-se elaborar o RIPD antes do início do tratamento de dados pessoais para antecipar e avaliar os riscos potenciais, e implementar medidas e salvaguardas adequadas para mitigar esses riscos.       Se não for possível elaborar o RIPD antes do início do tratamento, deve-se fazê-lo assim que se identificar um tratamento com alto risco aos princípios de proteção de dados da LGPD e aos direitos fundamentais dos titulares, conforme exigido pela ANPD. Conteúdo      O relatório deve ser detalhado o suficiente para que a ANPD e o controlador compreendam completamente o tratamento de dados pessoais e os riscos associados. Isso inclui: Descrição dos tipos de dados tratados, operações de tratamento, finalidades e hipóteses legais; Avaliação da necessidade e a proporcionalidade das operações e riscos para os direitos e liberdades dos titulares; Identificação dos agentes de tratamento e encarregado; Análise da hipótese legal escolhida para cada finalidade de tratamento; Inclusão dos sistemas de informação relacionados ao projeto.      No mais, embora a divulgação do RIPD não seja obrigatória para entidades privadas, a ANPD sugere que torná-lo acessível ao público pode demonstrar o compromisso do controlador com a segurança dos dados e a transparência, conforme os princípios da LGPD. O controlador pode disponibilizar o RIPD em seu site, garantindo que a versão pública seja clara e acessível, mas distinta da versão interna para proteger segredos comerciais e informações confidenciais. Sanções administrativas        A LGPD não exige, como regra geral, que o RIPD seja enviado à ANPD. No entanto, a autoridade pode solicitar o relatório e outros documentos relevantes para a fiscalização. O controlador deve enviar o RIPD quando requisitado pela ANPD e pode ser submetido a medidas de fiscalização em caso de não cumprimento.      A não conformidade com essas exigências pode resultar em sanções incluindo advertências, multas e outras penalidades previstas pela legislação, além de comprometer a reputação da organização.        Considerando a complexidade para confecção do RIPD, é necessário elaborá-lo tão logo o alto risco aos titulares seja identificado e mantê-lo atualizado. Dessa forma, o controlador terá tempo hábil para apresentá-lo à ANPD, outra autoridade ou parceiros de negócio, quando necessário. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

     Os cookies são pequenos arquivos de texto que permitem identificar, coletar e armazenar diferentes informações sobre uma pessoa e o seu comportamento em websites da internet. Além disso, os cookies possuem fundamental importância na medição do desempenho de uma página e na apresentação de anúncios personalizados.       O início da vigência da Lei Geral de Proteção de Dados (LGPD) impactou a forma de utilização de cookies e proteção de dados, uma vez  que, a depender dos cookies, o usuário estará sujeito a ter sua atividade online rastreada. Desse modo, por meio das informações coletadas e armazenadas pelos cookies, é possível identificar um usuário e obter o perfil comportamental deste. Tais informações são consideradas dados pessoais e, portanto, estão submetidas à regulação pela LGPD.       Nesse cenário, caso a coleta não seja realizada seguindo as diretrizes e princípios dispostos no dispositivo, os direitos e a privacidade de titulares de dados pessoais poderão estar em risco e o controlador dos dados poderá sofrer sanções.        A Autoridade Nacional de Proteção de Dados (ANPD) elaborou o Guia Orientativo de Cookies e Proteção de Dados Pessoais com o objetivo de explorar as hipóteses legais aplicáveis na sua utilização e requisitos necessários a serem observados. Requisitos necessários Com base nos princípios da finalidade, necessidade e adequação, estabelecidos no art. 6º da LGPD, a coleta de dados pessoais usando cookies deve se ater às informações essenciais para alcançar propósitos válidos, claros e específicos. Isso significa que não é admitido a indicação de finalidades genéricas e nem o tratamento de dados excessivos.  O titular tem direito a ter acesso a informações claras e facilmente acessíveis sobre a forma do tratamento e o período de retenção que justificam a coleta de seus dados por meio de cookies.  Mediante procedimento gratuito e facilitado, o titular dos dados pessoais poderá requerer a eliminação de dados ou até mesmo se opor ao tratamento. Vale ressaltar que o período de retenção de cookies deve ser sempre compatível com as finalidades do tratamento. A utilização de cookies deve respeitar as hipóteses legais definidas no art. 7º e 11º da LGPD. –            Saiba mais sobre em Bases legais e dados sensíveis na Lei Geral de Proteção de Dados Políticas de cookies        Todo website que utiliza cookies com coleta de dados pessoais deve ter uma Política de Cookies. Esse documento consolida as informações sobre o uso de cookies, que deve ser disponibilizada de maneira facilitada e clara ao usuário do site ou aplicativo.        O documento deverá apresentar informações sobre as finalidades específicas que justificam a coleta de dados pessoais por meio de cookies, o período de retenção, se há compartilhamento com terceiros e ter elencado todos cookies que poderão ser utilizados durante a execução do site/aplicativo.  Banner de Cookies        O banner de cookies se diferencia da Política de cookies, uma vez que se refere a um recurso visual com o objetivo de informar ao titular de dados, de forma resumida, simples e direta, sobre a utilização de cookies no website.  Seu principal objetivo é que o usuário possa ter controle sobre o tratamento dos seus dados, podendo escolher suas preferências.        Para facilitar a visualização pelo titular de dados pessoais, o banner de cookies de primeiro nível deve possibilitar que o usuário rejeite todos os cookies não necessários, além de oferecer link para que se obtenha mais detalhes sobre a utilização desses dados, sobre como seus dados são utilizados e sobre o período de retenção, por exemplo. O banner de segundo nível é aquele que apresenta maiores informações sobre o uso de cookies, geralmente. Dessa forma, é necessário categorizar os cookies com base em suas funções e objetivos, além de possibilitar a obtenção de consentimento para cada objetivo específico.        É fundamental que as empresas estejam atentas às boas práticas relacionadas ao tratamento de dados pessoais decorrente da coleta de cookies, buscando sempre se adequar às diretrizes da Lei Geral de Proteção de Dados e orientações da Autoridade Nacional de Proteção de Dados. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

     Acompanhando a lógica protetiva do Estatuto da Criança e do Adolescente às crianças e adolescentes (ECA), a  proteção dos dados pessoais de crianças e adolescentes é uma preocupação especial na Lei Geral de Proteção de Dados (LGPD). Estas faixas etárias são mais vulneráveis e não compreendem, geralmente, as implicações do tratamento de dados pessoais. Diante disso, a referida lei estabelece alguns requisitos específicos para esse tratamento de dados. Requisitos específicos para o tratamento de dados         Crianças e adolescentes possuem os mesmos direitos que os adultos em relação aos seus dados pessoais, podendo, por exemplo, retificá-los, solicitar a exclusão e acessá-los. Entretanto, o tratamento destes dados envolvem algumas peculiaridades previstas pela lei. Um ponto essencial estabelecido pelo art. 14 da LGPD, para o tratamento de tais dados é que eles estejam sempre relacionados ao melhor interesse do menor. Isso significa que para que o tratamento seja considerado legal é preciso que ele promova a garantia dos direitos e da dignidade da criança e do adolescente.        Outro requisito fundamental estabelecido pela lei, é o consentimento manifestado de forma específica e em destaque de um dos pais ou do responsável legal para o tratamento de dados pessoais de crianças, previsto no art. 14, § 1º. Em relação aos adolescentes entre 12 e 18 anos, a lei presume que eles têm a capacidade de dar seu próprio consentimento. Para que as organizações tratem dados sensíveis dessas faixas etárias, ou seja, dados relacionados à saúde, orientação sexual, opiniões políticas, origem racial, dentre outros, estas devem ter um motivo legítimo para coletar e processar esses tipos de dados, atendendo pelo menos a uma das bases legais dispostas na lei.  Fiscalização      A Autoridade Nacional de Proteção de Dados (ANPD) tem desempenhado um papel ativo na fiscalização e orientação sobre a proteção de dados pessoais, incluindo os dados de menores. Em ações recentes, a ANPD emitiu orientações e recomendações para plataformas digitais e empresas, como o Tik Tok, solicitando que implementem medidas adequadas para a proteção dos dados de crianças e adolescentes.       Para evitar sanções e penalidades que podem incluir multas de até 2% do faturamento anual da empresa, limitadas a cinquenta milhões de reais por infração, conforme estabelecido pela LGPD, empresas e organizações devem adotar uma série de medidas preventivas e corretivas, que incluem: Implementação de medidas de segurança: adotar medidas técnicas eficazes contra acessos não autorizados, vazamentos e outras formas de comprometimento, que incluem práticas seguras de armazenamento de dados. Realização de treinamentos e conscientização: treinamento contínuo para funcionários sobre a LGPD e melhores práticas de proteção de dados. Auditorias e avaliações de conformidade: auditorias e avaliações são fundamentais  para identificar e corrigir eventuais lacunas nas práticas de proteção de dados e garantir que as políticas e práticas estejam alinhadas com os requisitos da LGPD.   Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes para o tratamento de dados pessoais para garantir o uso responsável dos dados pessoais, prevendo princípios e critérios para realização desse tratamento pelos agentes de tratamento. Ainda no âmbito dos princípios e direitos dos titulares, vale ressaltar que dados pessoais são todas as informações que estão relacionadas a uma pessoa identificada ou identificável. O conceito abrange dados como: nome, endereço, número de telefone, endereço de e-mail, dados de navegação, cookies, geolocalização. O tratamento abrange diferentes tipos de utilização de dados pessoais, como coleta, acesso, distribuição, armazenamento e eliminação destes. Diante disso, a LGPD estabelece em seu art. 7º as bases legais que legitimam o tratamento dos dados pessoais.  Fornecimento de consentimento pelo titular A primeira delas é o consentimento do titular, ou seja, a manifestação inequívoca, livre e informada do titular para que seja realizado o tratamento dos seus dados pessoais. É ônus do controlador demonstrar que obteve o consentimento do titular na forma prevista na LGPD. Cumprimento de obrigação legal ou regulatória pelo controlador A legislação vigente muitas vezes impõe o tratamento de dados pessoais, como, por exemplo, a qualificação, dados de saúde e outras informações de empregados. Neste caso, o tratamento é realizado para atender uma obrigação legal ou regulatória imposta ao controlador. Pela administração pública O dispositivo também assegura o tratamento de dados pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.  O tratamento poderá ocorrer desde que se tenha como único objetivo a execução de políticas públicas, devendo ser observada os artigos 23 a 32 da legislação, os quais estabelecem as diretrizes para o tratamento de dados pessoais pelas pessoas jurídicas de direito público. Para a realização de estudos por órgão de pesquisa Como quarta base legal tem-se a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. Aqui, o dispositivo refere-se ao uso de dados pessoais por entidades de pesquisa reconhecidas com o objetivo de realizar pesquisas no âmbito histórico. Execução de contrato Dados pessoais poderão ser usados quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados. Por exemplo, caso o usuário de um e-commerce adquira produtos, o fornecimento de tais dados será imprescindível para a execução do contrato. Exercício regular de direitos em processo judicial, administrativo ou arbitral  Há casos em que determinados dados poderão ser fundamentais para exercícios de direitos em processos em geral, nesse caso, será possível armazenar tais dados pelo prazo necessário para demanda. Proteção da vida ou da incolumidade física do titular ou de terceiro  O tratamento de dados pode ser essencial para a sobrevivência ou integridade física do titular ou de terceiro. Por exemplo, quando for necessário tratar dados referentes à geolocalização de dispositivo de telefone celular para localizar alguém correndo algum risco. Para tutela da saúde O dispositivo também possibilita a utilização de dados pessoais para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Para atender aos interesses legítimos do controlador ou de terceiro O legítimo interesse se caracteriza para apoio e promoção de atividades do controlador, ou para proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.  Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. É importante observar o guia orientativo da ANPD, que estabelece diretrizes sobre as medidas necessárias para realização do teste de legítimo interesse e elaboração dos relatórios obrigatórios. Para proteção do crédito  Essa hipótese é muito utilizada para decidir se determinada pessoa terá concessão ou não de crédito, sendo utilizados, portanto, dados sobre a adimplência ou inadimplência. Nota-se que cada base legal tem critérios específicos e é aplicada de acordo com o contexto do tratamento de dados. Dados pessoais sensíveis A LGPD define de forma taxativa o conceito de dados pessoais sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Tem-se portanto, que as operações envolvendo tais informações devem ser realizadas com a maior cautela possível da empresa. Um incidente de segurança que envolva esses tipos de informações pode resultar em consequências mais sérias para os direitos e liberdades das pessoas envolvidas. O art. 11 é responsável por prever as hipóteses legais possíveis para o tratamento dos dados pessoais sensíveis, vale ressaltar, que estes somente poderão ocorrer com consentimento do titular ou seu responsável legal, de forma destacada e para finalidades específicas ou  nas hipóteses em que for indispensável para: Cumprimento de obrigação legal ou regulatória pelo controlador; A administração pública, de políticas públicas previstas em leis ou regulamentos; Estudos por órgão de pesquisa, desde que garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; Proteção da vida ou da incolumidade física do titular ou de terceiro; Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. A LGPD prevê a vedação da comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, ressalvada as hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde. Neste sentido, a lei é clara ao vedar o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. Garantia da prevenção à fraude e à segurança do titular, que deve ser