4. Lei Geral de Proteção de Dados

#tokenização #blockchains #exchanges #marketplaces #wallets

A LGPD aplica-se a qualquer operação de tratamento de dados realizada no território nacional, direcionada a indivíduos no território nacional, ou com dados que tenham sido coletados em território nacional, por pessoa natural ou pessoa jurídica de direito público ou privado.

A lei não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos, assim como para qualquer operação realizada para fins exclusivamente jornalísticos, artísticos, acadêmicos, de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

Definições:

  • Dado Pessoal: informação relacionada a pessoa natural;

  • Dado Pessoal Sensível: de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, genético ou biométrico;

  • Dado Anonimizado: relativo a titular que não possa ser identificado;

  • Controlador: pessoa natural ou jurídica a quem competem as decisões referentes a tratamento de dados pessoais;

  • Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador;

  • Encarregado: pessoa que atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

  • Agentes de Tratamento: o controlador e o operador;

  • Tratamento: toda operação realizada com dados pessoais;

  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular do dado concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

  • Bloqueio: suspensão temporária de qualquer operação de tratamento;

  • Eliminação: exclusão de dado ou conjunto de dados; e

  • Relatório de Impacto à Proteção de Dados Pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos, bem como medidas, salvaguardas e mecanismos de mitigação de riscos.

O consentimento do titular para o tratamento de dados é um dos pilares mais importantes da lei. No entanto, caso o titular disponibilize seus dados de forma pública, a exigência de consentimento prévio estará dispensada.

O controlador que precisar compartilhar dados com outros controladores deverá obter novo consentimento específico para tanto.

As autorizações genéricas para o tratamento de dados pessoais são consideradas nulas.

Além disso, se houver mudanças de finalidade para o tratamento de dados pessoais não compatíveis com o consentimento inicial, o controlador deverá informar previamente o titular, que poderá revogar o consentimento caso discorde das alterações, em observância ao direito de revogação do consentimento.

Os dados anonimizados não serão considerados dados pessoais, salvo quando o processo de anonimização for revertido ou puder ser revertido.

Princípios:

  • Finalidade: tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

  • Adequação: compatibilidade do tratamento com as finalidades;

  • Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades;

  • Livre Acesso: garantia de consulta facilitada e gratuita sobre a forma e a duração do tratamento de dados pessoais;

  • Qualidade dos Dados: garantia de exatidão, clareza, relevância e atualização dos dados;

  • Transparência: garantia de informações claras, precisas e facilmente acessíveis sobre o tratamento e sobre os agentes de tratamento;

  • Responsabilização e Prestação de Contas: demonstração da adoção de medidas eficazes para comprovar a observância e o cumprimento das normas de proteção de dados pessoais.

Obrigações:

  • comunicar à ANPD e ao titular sobre a ocorrência de incidentes de segurança em prazo razoável;

  • formular regras de boas práticas e de governança em privacidade;

  • formular ações educativas;

  • fornecer mecanismos internos e externos de supervisão e mitigação de riscos;

  • formular planos de resposta a incidentes e remediação;

  • realizar processos de avaliação sistemática de impactos e riscos à privacidade e monitoramento contínuo.

Para projetos que realizem transferência internacional de dados, esta só será permitida se:

  • para países ou organismos internacionais que proporcionem o mesmo grau de proteção de dados pessoais da lei brasileira;

  • o controlador oferecer garantias contratuais, normas corporativas globais, selos, certificados e códigos de conduta de proteção de dados;

  • o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação.

Penalidades:

  • advertência;

  • multa diária;

  • multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica, excluídos os tributos, limitada no total a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

  • publicização da infração;

  • bloqueio dos dados pessoais a que se refere a infração;

  • eliminação dos dados pessoais a que se refere a infração;

  • suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Anterior3. Marco Civil da InternetPróximo5. Lei de Valores Mobiliários

Atualizado

Isto foi útil?