Parte 2
Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos:
I - o respeito à privacidade;
II - a autodeterminação informativa;
III - a liberdade de expressão, de informação, de comunicação e de opinião;
IV - a inviolabilidade da intimidade, da honra e da imagem;
V - o desenvolvimento econômico e tecnológico e a inovação;
VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Art. 3º Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
III - os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei.
Art. 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II - realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III - realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV - provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
§ 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.
§ 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste artigo.
§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.
§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público.
Ao tratamento realizado por pessoa natural para fins exclusivamente particulares e não econômicos: O tratamento de dados pessoais em âmbito pessoal e sem finalidade comercial está fora do escopo da lei.
Ao tratamento realizado para fins exclusivamente jornalísticos, artísticos ou acadêmicos: A liberdade de expressão e o desenvolvimento científico são protegidos, e o tratamento de dados para esses fins possui algumas particularidades.
Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD); (Redação dada pela Lei nº 13.853, de 2019) Vigência
IX - agentes de tratamento: o controlador e o operador;
X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI - uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII - relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII - órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
O artigo 5º da Lei Geral de Proteção de Dados (LGPD) é um dos pilares fundamentais da legislação, pois estabelece as definições dos termos-chave que são utilizados ao longo da lei. Essas definições são essenciais para garantir a clareza, consistência e aplicabilidade das normas de proteção de dados pessoais no Brasil. Abaixo, faço uma análise detalhada de cada um dos incisos desse artigo, destacando sua importância e implicações.
A LGPD define “dado pessoal” como qualquer informação relacionada a uma pessoa natural identificada ou identificável. Essa definição é ampla e abrange uma vasta gama de informações, desde nomes e números de identificação, até dados mais sensíveis como endereços IP e geolocalização. A amplitude dessa definição reflete a complexidade do ambiente digital contemporâneo, onde diversas informações podem ser usadas, isoladamente ou em conjunto, para identificar indivíduos.
Dados pessoais sensíveis são uma categoria especial de dados pessoais, que incluem informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos. Estes dados merecem um nível de proteção ainda maior devido ao potencial de causar discriminação ou outros danos aos indivíduos.
Dado anonimizado é aquele que não pode ser associado, direta ou indiretamente, a um indivíduo. A anonimização é uma técnica que, se aplicada corretamente, permite que dados sejam utilizados sem infringir a privacidade dos titulares. No entanto, a eficácia da anonimização depende de diversas variáveis, como a possibilidade de reidentificação, especialmente em conjuntos de dados ricos e dinâmicos.
O banco de dados é definido como o conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Essa definição é importante porque evidencia que a proteção de dados pessoais se aplica tanto a sistemas digitais quanto a registros físicos, abrangendo, por exemplo, arquivos em papel que contenham informações pessoais.
O titular é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Essa definição é central para a LGPD, pois todas as regras de proteção de dados são desenhadas para proteger os direitos dos titulares, garantindo que suas informações sejam tratadas com segurança e transparência.
O controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. O controlador tem uma responsabilidade significativa no cumprimento da LGPD, uma vez que é ele quem define as finalidades e os meios do tratamento de dados, e é, portanto, o principal responsável por garantir o cumprimento das normas de proteção de dados.
O operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Embora o operador esteja subordinado às decisões do controlador, ele também tem responsabilidades importantes, especialmente no que tange à segurança dos dados e ao cumprimento das instruções fornecidas pelo controlador.
O encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O encarregado tem um papel crucial na conformidade com a LGPD, sendo responsável por orientar a organização em questões de proteção de dados e responder às solicitações dos titulares.
Agentes de tratamento são tanto o controlador quanto o operador, responsáveis pelo tratamento de dados pessoais. Essa definição abrange as duas figuras principais que lidam diretamente com o tratamento de dados, reconhecendo suas respectivas responsabilidades e a necessidade de cooperação entre eles para garantir a proteção dos dados.
Tratamento é qualquer operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Essa definição é abrangente e reflete a multiplicidade de ações que podem envolver dados pessoais, demonstrando a complexidade da gestão desses dados em qualquer organização.
Anonimização é o uso de meios técnicos razoáveis e disponíveis no momento do tratamento, através dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. A anonimização é fundamental para o uso seguro de dados, especialmente em análises estatísticas e pesquisas, onde a privacidade dos indivíduos deve ser preservada.
Consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. O consentimento é um dos pilares da LGPD, pois assegura que os titulares tenham controle sobre suas informações e estejam cientes de como seus dados serão utilizados.
Bloqueio é a suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados. O bloqueio pode ser uma medida necessária em casos onde a legalidade do tratamento é contestada ou quando é necessário interromper o uso dos dados para averiguações.
Eliminação é a exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. A eliminação é uma prática fundamental para garantir que os dados pessoais não sejam mantidos por tempo indeterminado sem justificativa, respeitando o princípio da necessidade e da minimização dos dados.
A transferência internacional de dados pessoais ocorre quando esses dados são enviados a outro país ou organismo internacional. A LGPD estabelece regras rigorosas para essa transferência, visando garantir que os dados pessoais dos brasileiros sejam protegidos mesmo quando transferidos para fora do país.
Uso compartilhado de dados é a comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre privados. Esse conceito é importante para garantir que o compartilhamento de dados entre diferentes entidades respeite os direitos dos titulares e esteja de acordo com a legislação.
O relatório de impacto é a documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos à liberdade civil e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Esse documento é essencial para a transparência e para a gestão de riscos no tratamento de dados pessoais, especialmente em atividades de tratamento mais complexas ou sensíveis.
Órgão de pesquisa é a entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos, legalmente constituída sob as leis brasileiras, com sede e foro no país, que inclua na sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico. Esse inciso destaca a importância de promover a pesquisa científica e tecnológica, ao mesmo tempo em que se protege os dados pessoais envolvidos nessas atividades.
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional. A ANPD tem um papel fundamental na regulação e supervisão da aplicação da LGPD, sendo a entidade responsável por emitir diretrizes e regulamentos complementares, além de fiscalizar e aplicar sanções.
São os órgãos de controle interno e externo, que têm como função fiscalizar, controlar e monitorar as atividades de tratamento de dados pessoais realizadas pelos agentes de tratamento, especialmente em relação ao cumprimento da LGPD. Esses órgãos têm um papel importante na garantia da conformidade com a legislação e na proteção dos direitos dos titulares de dados.
O artigo 5º da LGPD é essencial para a compreensão e aplicação da lei, pois define de forma clara os conceitos e termos técnicos que sustentam toda a legislação. Essas definições garantem que todos os envolvidos no tratamento de dados pessoais – desde controladores e operadores até os próprios titulares – entendam suas obrigações, direitos e as nuances do tratamento de dados. Além disso, estabelecem as bases para que a Autoridade Nacional de Proteção de Dados (ANPD) possa regular e fiscalizar o cumprimento da lei de forma eficaz, promovendo uma cultura de proteção de dados no Brasil.