Dados pessoais são informações que, relacionadas ou não a outras, permitem identificar, direta ou indiretamente, uma pessoa natural, como por exemplo, nome, CPF, endereço, foto…

Dados Pessoais sensíveis, distingue os dados pessoais que podem ser usados de forma preconceituosa ou gravosa, como origem racial, convicção religiosa, dado de saúde, dado genético, etc. Os dados sensíveis merecem uma proteção maior e só podem ser tratados com o consentimento do titular ou em situações específicas previstas em lei.

É toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização,  acesso, reprodução, transmissão,  distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Para conformidade com a lei, o tratamento de Dados Pessoais poderá ser realizado nas seguintes hipóteses: (art. 7°)
– mediante o fornecimento de consentimento pelo Titular;
– para o cumprimento de obrigação legal ou regulatória pelo Controlador;
– pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas
públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do capítulo IV desta Lei;
– para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados
pessoais;
– quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja  parte o Titular, a pedido do Titular dos dados;
– para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307/ 96 (Lei de Arbitragem);
– para a proteção da vida ou da incolumidade física do titular ou de terceiro;
– para a tutela da saúde, exclusivamente, em procedimento  realizado por profissionais de saúde, serviços de saúde ou  autoridade sanitária;
– quando necessário para atender aos interesses legítimos do Controlador ou de Terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do Titular que exijam a proteção dos dados pessoais;
– ou para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Para conformidade com a lei o Tratamento de Dados Pessoais sensíveis poderá ser realizado nas seguintes hipóteses (art. 11):
– quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
– sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

A anonimização de dados é um processo que visa proteger a privacidade e a identidade das pessoas naturais que são titulares de Dados Pessoais. Ela consiste em utilizar meios técnicos razoáveis e disponíveis para fazer com que um dado pessoal perca a possibilidade de associação, direta ou indireta, a um indivíduo. Um dado anonimizado é aquele que não pode mais ser vinculado a uma pessoa.

A lei 13.709/2018 define Titular de Dados como sendo pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; ou seja, somente goza da proteção da lei os  dados referentes a pessoas físicas, não tendo a tutela da lei os dados de pessoas jurídicas.

O Titular dos Dados Pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição (art. 18):
– titularidade de seus dados;
– confirmação da existência de tratamento;
– acesso aos dados;
– correção de dados incompletos, inexatos ou desatualizados;
– anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
– portabilidade dos dados a outro fornecedor de serviço ou produto (não inclui dados que já tenham sido anonimizados pelo controlador;
– eliminação dos dados pessoais tratados com o consentimento do titular;
– informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
– informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
– revogação do consentimento;
– peticionar em relação aos seus dados contra o controlador perante a autoridade nacional;
– opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento desta da LGPD;
– os dados pessoais referentes ao exercício regular de direitos pelo Titular não podem ser utilizados em seu prejuízo;

A lei define os Agentes de Tratamento dos dados pessoais como: o Controlador e o Operador.
CONTROLADOR: é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados pessoais.
OPERADOR: é a pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados pessoais em nome do Controlador.

Controlador tem a obrigação primária de garantir que o tratamento de dados se dê conforme a lei 13.709/2018 (LGPD). E além disso, lhe corresponde:
1. Obter o consentimento do titular quando necessário (art. 7°, §5°; art. 8°, §6.);
2. Informar e prestar contas aos titulares e a ANPD, além de garantir a portabilidade dos dados (art. 9°;
art. 18, art. 20);
3. Garantir a transparência no tratamento dos dados com fundamento no justo interesse (art. 10, §2°);
4. Manter o registro das operações de tratamento de dados, especialmente quando baseado no justo interesse (art. 37);
5. Elaborar o Relatório de Impacto de Proteção de Dados  referente ao tratamento de dados efetuados, incluindo os sensíveis, com observância aos sigilos comercial e industrial (art. 10, §3° e art. 38);
6. Indicar o Encarregado pelo Tratamento de dados (art. 41);
7. Reparar os danos patrimoniais, morais, individuais ou coletivos, causados pela violação da legislação de proteção de dados pessoais (art. 42);
8. Comunicar a Autoridade Nacional de Proteção de Dados e ao Titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (art. 48);
9. Salvaguardar os direitos dos titulares mediante a adoção de medidas de proteção, buscando reverter ou mitigar as
consequências do incidente, além de divulgar o fato nos meios de comunicação (art. 48, §2°);
10. Observar as boas práticas e padrões e governança (art. 50);

De acordo com a norma, o Encarregado de dados é a pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

São funções do Encarregado:
– aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
– receber comunicações da autoridade nacional e adotar providências;
– orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
– executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

A ANPD é a sigla para Autoridade Nacional de Proteção de Dados, órgão federal responsável por fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil. A ANPD foi criada em 2019 pela lei 13.853 e está prevista no artigo 55-A da LGPD. A ANPD tem como objetivo zelar pela proteção dos dados pessoais dos cidadãos brasileiros e tem funções de natureza normativa, deliberativa, educativa e sancionatória, podendo estabelecer normas, diretrizes, orientações e sanções para o uso dos dados pessoais. A ANPD é um órgão independente e autônomo, vinculado à Presidência da República, e possui autonomia técnica e decisória assegurada por lei.

Conforme o art. 46 da lei, os Agentes de Tratamento (Controlador e Operadores) devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado, não autorizado ou ilícito.

As Atividades de Tratamento de Dados Pessoais deverão observar a boa-fé e os seguintes princípios:
– finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
– adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
– necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
– livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
– qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
– transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
– segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
– prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
– não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
– responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Essa lei tem como fundamento:
– o respeito à privacidade;
– a autodeterminação informativa;
– a liberdade de expressão, de informação, de comunicação e de opinião;
– a inviolabilidade da intimidade, da honra e da imagem;
– o desenvolvimento econômico e tecnológico e a inovação;
– a livre iniciativa, a livre concorrência e a defesa do consumidor; e
– os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.