4. Lei Geral de Proteção de Dados

#tokenização #blockchains #exchanges #marketplaces #wallets

A LGPD aplica-se a qualquer operação de tratamento de dados realizada no território nacional, direcionada a indivíduos no território nacional, ou com dados que tenham sido coletados em território nacional, por pessoa natural ou pessoa jurídica de direito público ou privado.

A lei não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, assim como para qualquer operação realizada para fins exclusivamente jornalísticos, artísticos, acadêmicos, de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

Definições:

Dado Pessoal: informação relacionada a pessoa natural;
Dado Pessoal Sensível: de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, genético ou biométrico;
Dado Anonimizado: relativo a titular que não possa ser identificado;
Controlador: pessoa natural ou jurídica a quem competem as decisões referentes a tratamento de dados pessoais;
Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado: pessoa que atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Agentes de Tratamento: o controlador e o operador;
Tratamento: toda operação realizada com dados pessoais;
Consentimento: manifestação livre, informada e inequívoca pela qual o titular do dado concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Bloqueio: suspensão temporária de qualquer operação de tratamento;
Eliminação: exclusão de dado ou conjunto de dados; e
Relatório de Impacto à Proteção de Dados Pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos, bem como medidas, salvaguardas e mecanismos de mitigação de riscos.

O consentimento do titular para o tratamento de dados é um dos pilares mais importantes da lei. No entanto, caso o titular disponibilize seus dados de forma pública, a exigência de consentimento prévio estará dispensada.

O controlador que precisar compartilhar dados com outros controladores deverá obter novo consentimento específico para tanto.

As autorizações genéricas para o tratamento de dados pessoais são consideradas nulas.

Além disso, se houver mudanças de finalidade para o tratamento de dados pessoais não compatíveis com o consentimento inicial, o controlador deverá informar previamente o titular, que poderá revogar o consentimento caso discorde das alterações, em observância ao direito de revogação do consentimento.

Os dados anonimizados não serão considerados dados pessoais, salvo quando o processo de anonimização for revertido ou puder ser revertido.

Princípios:

Finalidade: tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
Adequação: compatibilidade do tratamento com as finalidades;
Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades;
Livre Acesso: garantia de consulta facilitada e gratuita sobre a forma e a duração do tratamento de dados pessoais;
Qualidade dos Dados: garantia de exatidão, clareza, relevância e atualização dos dados;
Transparência: garantia de informações claras, precisas e facilmente acessíveis sobre o tratamento e sobre os agentes de tratamento;
Responsabilização e Prestação de Contas: demonstração da adoção de medidas eficazes para comprovar a observância e o cumprimento das normas de proteção de dados pessoais.

Obrigações:

comunicar à ANPD e ao titular sobre a ocorrência de incidentes de segurança em prazo razoável;
formular regras de boas práticas e de governança em privacidade;
formular ações educativas;
fornecer mecanismos internos e externos de supervisão e mitigação de riscos;
formular planos de resposta a incidentes e remediação;
realizar processos de avaliação sistemática de impactos e riscos à privacidade e monitoramento contínuo.

Para projetos que realizem transferência internacional de dados, esta só será permitida se:

para países ou organismos internacionais que proporcionem o mesmo grau de proteção de dados pessoais da lei brasileira;
o controlador oferecer garantias contratuais, normas corporativas globais, selos, certificados e códigos de conduta de proteção de dados;
o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação.

Penalidades:

advertência;
multa diária;
multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica, excluídos os tributos, limitada no total a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
publicização da infração;
bloqueio dos dados pessoais a que se refere a infração;
eliminação dos dados pessoais a que se refere a infração;
suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Anterior3. Marco Civil da Internet Próximo5. Lei de Valores Mobiliários

Atualizado há 1 ano

Isto foi útil?

Definições:

Dado Pessoal: informação relacionada a pessoa natural;

Dado Pessoal Sensível: de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, genético ou biométrico;

Dado Anonimizado: relativo a titular que não possa ser identificado;

Controlador: pessoa natural ou jurídica a quem competem as decisões referentes a tratamento de dados pessoais;

Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador;

Encarregado: pessoa que atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

Agentes de Tratamento: o controlador e o operador;

Tratamento: toda operação realizada com dados pessoais;

Consentimento: manifestação livre, informada e inequívoca pela qual o titular do dado concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Bloqueio: suspensão temporária de qualquer operação de tratamento;

Eliminação: exclusão de dado ou conjunto de dados; e

Relatório de Impacto à Proteção de Dados Pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos, bem como medidas, salvaguardas e mecanismos de mitigação de riscos.

O controlador que precisar compartilhar dados com outros controladores deverá obter novo consentimento específico para tanto.

As autorizações genéricas para o tratamento de dados pessoais são consideradas nulas.

Os dados anonimizados não serão considerados dados pessoais, salvo quando o processo de anonimização for revertido ou puder ser revertido.

Princípios:

Finalidade: tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

Adequação: compatibilidade do tratamento com as finalidades;

Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades;

Livre Acesso: garantia de consulta facilitada e gratuita sobre a forma e a duração do tratamento de dados pessoais;

Qualidade dos Dados: garantia de exatidão, clareza, relevância e atualização dos dados;

Transparência: garantia de informações claras, precisas e facilmente acessíveis sobre o tratamento e sobre os agentes de tratamento;

Responsabilização e Prestação de Contas: demonstração da adoção de medidas eficazes para comprovar a observância e o cumprimento das normas de proteção de dados pessoais.

Obrigações:

comunicar à ANPD e ao titular sobre a ocorrência de incidentes de segurança em prazo razoável;

formular regras de boas práticas e de governança em privacidade;

formular ações educativas;

fornecer mecanismos internos e externos de supervisão e mitigação de riscos;

formular planos de resposta a incidentes e remediação;

realizar processos de avaliação sistemática de impactos e riscos à privacidade e monitoramento contínuo.

Para projetos que realizem transferência internacional de dados, esta só será permitida se:

para países ou organismos internacionais que proporcionem o mesmo grau de proteção de dados pessoais da lei brasileira;

o controlador oferecer garantias contratuais, normas corporativas globais, selos, certificados e códigos de conduta de proteção de dados;

o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação.

Penalidades:

advertência;

multa diária;

multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica, excluídos os tributos, limitada no total a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

publicização da infração;

bloqueio dos dados pessoais a que se refere a infração;

eliminação dos dados pessoais a que se refere a infração;

suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.