Lei Geral de Proteção
de Dados Pessoais

A Lei Geral de Proteção de Dados Pessoais – LGPD tem o objetivo de proteger os dados das pessoas físicas, bem como os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Vale ressaltar que o conceito de pessoa natural está contido no Código Civil brasileiro em seu artigo 6º, da seguinte forma: "A existência da pessoa natural termina com a morte; presume-se esta, quanto aos ausentes, nos casos em que a lei autoriza a abertura de sucessão definitiva". Isso significa que a LGPD protege dados de pessoas vivas.

A Lei Geral de Proteção de Dados Pessoais visa à proteção de dados pessoais e tem como fundamentos: 1) o respeito à privacidade; 2) a autodeterminação informativa; 3) a liberdade de expressão, de informação, de comunicação e de opinião; 4) a inviolabilidade da intimidade, da honra e da imagem; 5) o desenvolvimento econômico e tecnológico e a inovação; 6) a livre iniciativa, a livre concorrência e a defesa do consumidor; e 7) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Para o tratamento de dados pessoais devem ser observados os requisitos consubstanciados na norma para o devido enquadramento em uma das bases legais nela definidas, de acordo com os princípios para o tratamento de dados pessoais, tais como boa-fé, finalidade, adequação e necessidade, entre outras.

A atividade predominante da Cemig Saúde tem como base o tratamento de dados pessoais sensíveis e devido a isso é necessário aplicar uma camada adicional de segurança, a fim de evitar acessos indevidos ou vazamento desses dados, o que acarretaria um prejuízo maior aos titulares desses dados.

Dessa forma, os agentes de tratamento (controlador e operador) devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito nos termos do artigo 46 da LGPD.

A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei n. 13.709, de 2018) dispõe sobre o tratamento de dados pessoais das pessoas naturais, definindo as hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e estabelecendo mecanismos para proteger os titulares dos dados contra usos inadequados.

A Lei é aplicável ao tratamento de dados realizado por pessoas naturais ou por pessoas jurídicas de direito público ou privado, e tem, conforme o art 1º, o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A Lei entrou em vigor de maneira escalonada:

Em 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam da constituição da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPD;

Em 18 de setembro de 2020, quanto aos demais artigos da Lei, com exceção dos dispositivos que tratam da aplicação de sanções administrativas; e

Em 1º de agosto de 2021, quanto aos arts. 52, 53 e 54, que tratam das sanções administrativas.

A LGPD tem por objetivo proteger os direitos fundamentais relacionados à esfera informacional do cidadão. Assim, a Lei introduz uma série de novos direitos que asseguram maior transparência quanto ao tratamento dos dados e conferem protagonismo ao titular quanto ao seu uso.

A aprovação da LGPD e a criação da Autoridade Nacional de Proteção de Dados – ANPD representam também importantes passos para colocar o Brasil no mesmo patamar de muitos outros países que já aprovaram leis e estruturas institucionais dessa natureza. A constituição de um ambiente jurídico voltado à proteção de dados pessoais corresponde também ao alinhamento com diretrizes da Organização para a Cooperação e Desenvolvimento Econômico – OCDE, que há décadas vem desempenhando um relevante papel na promoção do respeito à privacidade como um valor fundamental e como um pressuposto para o livre fluxo de dados.

Do ponto de vista dos agentes de tratamento de dados, sejam empresas ou o próprio poder público, a LGPD traz a oportunidade de aperfeiçoamento das políticas de governança de dados, com adoção de regras de boas práticas e incorporação de medidas técnicas e administrativas que mitiguem os riscos e aumentem a confiança dos titulares dos dados na organização.

Com isso, a LGPD pretende aumentar o controle do cidadão quanto aos seus dados pessoais, a transparência e a segurança jurídica, além de elevar o nível de maturidade, ética e competitividade de nossas organizações.

A LGPD adota, no art. 5º, inciso I, um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável.

Assim, além de informações básicas de identificação, a exemplo de nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que estejam relacionados com uma pessoa natural, tais como seus hábitos de consumo, sua aparência e aspectos de sua personalidade.

Segundo art. 12, § 2º, da LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionados aos aspectos mais íntimos da personalidade de um indivíduo. Assim, de acordo com o art 5º, II, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei.

Segundo a LGPD, no art. 5º, X, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

De acordo com a LGPD, o tratamento de dados pessoais pode ser realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas na Lei, como aquelas constantes em seu artigo 7o ou, no caso de dados pessoais sensíveis, as hipóteses previstas no artigo 11.
Vale notar, conforme o art. 7º, § 4º, que a LGPD é aplicável também aos dados cujo acesso é público e àqueles tornados manifestamente públicos pelos titulares, resguardando-se a observância dos princípios gerais e dos direitos dos titulares previstos na Lei.

O tratamento de dados pessoais poderá ser realizado em qualquer uma das seguintes hipóteses indicadas na LGPD, como é o caso das previstas no art 7º:

• Mediante o fornecimento de consentimento pelo titular;
• Para o cumprimento de obrigação legal ou regulatória pelo controlador;
• Para a execução de políticas públicas, pela administração pública;
• Para a realização de estudos por órgão de pesquisa;
• Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• Para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; e
• Para a proteção do crédito.

As bases legais para o tratamento de dados pessoais sensíveis estão previstas no art. 11 da LGPD. Já no caso de transferência internacional de dados pessoais, é necessário atender às hipóteses legais indicadas no art. 33.

A LGPD não especifica um prazo durante o qual pode haver o tratamento dos dados pessoais, o que dependerá da circunstância e da finalidade do tratamento.

Nos termos do art. 15 da LGPD, o término do tratamento de dados pessoais deve ocorrer nas seguintes hipóteses:
• verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

• fim do período de tratamento;
• comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público; ou
• determinação da ANPD, quando houver violação ao disposto na LGPD.

Na incidência de qualquer uma das hipóteses acima, a Lei determina que os dados pessoais sejam eliminados, conforme consta em seu art. 16, mas autoriza a conservação para as seguintes finalidades:

• cumprimento de obrigação legal ou regulatória pelo controlador;
• estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou
• uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Assim, se na situação concreta não houver a incidência de uma das finalidades autorizadas pela LGPD, os dados devem ser eliminados após o término do tratamento.

A ANPD é uma autarquia de natureza especial, vinculada ao Ministério da Justiça e Segurança Pública, responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil.

A missão institucional da ANPD é assegurar a mais ampla e correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos.

O art. 55-J da LGPD estabelece as principais competências da ANPD, dentre as quais se destacam as seguintes:

• Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;
• Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
• Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
• Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis;
• Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
• Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD;
• Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento;
• Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à Lei;
• Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos;
• Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
• Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD.

Cabe lembrar, em primeiro lugar, que os dispositivos da LGPD que tratam de sanções administrativas somente entraram em vigor em 1º de agosto de 2021. A ANPD pode aplicar, segundo o art. 52, após procedimento administrativo que possibilite a ampla defesa, as seguintes sanções administrativas:

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• Multa diária, observado o limite total a que se refere o inciso II;
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração;
• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

O Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados foi aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, e estabelece os procedimentos de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador pela ANPD.
A LGPD determina, ainda, que a ANPD deverá editar regulamento próprio sobre sanções administrativas, que deverá ser objeto de consulta pública, contendo as metodologias que orientarão o cálculo do valor-base das sanções de multa. Tais metodologias devem ser previamente publicadas e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na LGPD.
Nos termos da Lei, a aplicação de sanções requer, ainda, criteriosa apreciação e ponderação de inúmeras circunstâncias, dentre as quais a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, o grau do dano, a cooperação do infrator, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas.

A LGPD prevê, nos art. 18 e 20, uma ampla gama de direitos dos titulares de dados, dentre os quais podem ser destacados os seguintes:

• acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva;
• confirmação da existência de tratamento;
• acesso aos dados;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
• portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
• eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
• informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado;
• peticionamento em relação aos seus dados contra o controlador, perante a ANPD e perante os organismos de defesa do consumidor;
• oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD;
• solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade; e
• fornecimento, mediante solicitação, de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.

A LGPD prevê que os direitos dos titulares indicados no art. 18 sejam exercidos por meio de requerimento expresso diretamente perante o agente de tratamento (art. 18, §3°).

A Lei também estabelece que os requerimentos do titular devem ser atendidos de imediato pelo controlador. Caso não seja possível, conforme art. 18, § 4º, o controlador deve enviar resposta ao titular em que poderá (i) comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou (ii) indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
Ainda no art. 18, §5º, a Lei estabelece que os requerimentos de titulares serão atendidos sem custos para o titular, nos prazos e nos termos previstos em regulamento, indicando que cabe à ANPD dispor sobre esses prazos em normativo específico.

Assim, o controlador deve adotar providência imediata para atendimento ao requerimento do titular, mas cabe à ANPD estabelecer, em norma própria, o prazo para resposta quando não houver possibilidade de atendimento imediato.

É necessário considerar ainda o disposto no art. 19 da LGPD, que menciona, particularmente, dois direitos: a confirmação de existência e o acesso a dados pessoais. Para esses direitos, a Lei estabelece duas possíveis formas de resposta ao titular: a primeira, por declaração em formato simplificado, com resposta imediata; e a segunda, por declaração completa, que deve ser fornecida em até 15 (quinze) dias.

Ao elaborar a norma que disporá sobre os prazos de resposta ao titular, a ANPD deverá considerar tanto as disposições do art. 18, quanto as do art. 19. Ainda, a Autoridade poderá dispor de forma diferenciada acerca dos prazos previstos no art. 19 para setores específicos, conforme previsto no art. 19, §4º, da LGPD.

Em caso de violação a direito do titular ou de infração à LGPD, a ANPD poderá ser comunicada por meio de petição de titular ou de denúncia.

A petição de titular é a comunicação feita à ANPD pelo próprio titular de dados pessoais da ocorrência de violação de seus direitos por um controlador específico.

A petição de titular deve ser acompanhada de comprovação de que foi previamente submetida ao controlador e não solucionada no prazo estabelecido em regulamentação, admitida a autodeclaração do titular quando não for possível apresentar outro meio de prova.
Como exemplo de situação que pode ser objeto de petição de titular, pode ser mencionada a hipótese de não atendimento pelo controlador de solicitação apresentada pelo titular para correção e eliminação de dados pessoais ou para revogação do consentimento.
Por sua vez, as denúncias são as comunicações feitas à ANPD por qualquer pessoa, natural ou jurídica, de suposta infração cometida contra a legislação de proteção de dados pessoais do País, que não seja uma petição de titular.

Assim, as denúncias de descumprimento da LGPD possuem a característica de não se relacionarem necessariamente a uma situação específica de determinado titular de dados pessoais.

Como exemplos de situações que podem ser denunciadas, podem ser mencionados o repasse indevido de dados pessoais de clientes a terceiros; a realização de acessos não autorizados a dados pessoais; e a ausência de comunicação à ANPD, por parte do controlador, quanto à ocorrência de incidente de segurança que envolva dados pessoais que possa acarretar risco ou dano relevante aos titulares.

Para o envio à ANPD de requerimentos que se enquadrem nas situações mencionadas acima, deve ser utilizado o Peticionamento Eletrônico do Sistema SUPER, seguindo as informações disponíveis em Peticionamento Eletrônico. Utilizar os tipos de processo "ANPD - Petição de titular" ou "ANPD - Denúncia LGPD".

Seus direitos poderão ser exercidos por meio do Encarregado de Dados, que é a pessoa nomeada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados - ANPD, nos termos do artigo 41 da LGPD.

A Diretoria da Cemig Saúde nomeou Zenaide Bambirra como a DPO e o canal definido para contato é por meio do e-mail dpo@cemigsaude.org.br disponibilizado no https://www.cemigsaude.org.br/site/pagina/detalhe/22840

Segundo disposto na Resolução nº 15 da ANPD: É qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais.

Os incidentes de segurança não se restringem às violações da confidencialidade, abrangem também eventos de perda ou indisponibilidade dados pessoais. São exemplos de incidentes de segurança o sequestro de dados (ransomware), o acesso não autorizado a dados armazenados em sistemas de informação e a publicação não intencional de dados dos titulares.

A comunicação de incidente de segurança à ANPD deverá ser realizada pelo controlador no prazo de três dias úteis, ressalvada a existência de prazo para comunicação previsto em legislação específica. O prazo será contado do conhecimento pelo controlador de que o incidente afetou dados pessoais.

Não. Deverá ser comunicado à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

O incidente de segurança pode acarretar risco ou dano relevante aos titulares quando puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, envolver, pelo menos, um dos seguintes critérios:

I - dados pessoais sensíveis;
II - dados de crianças, de adolescentes ou de idosos;
III - dados financeiros;
IV - dados de autenticação em sistemas;
V - dados protegidos por sigilo legal, judicial ou profissional; ou
VI - dados em larga escala.

A comunicação é realizada por meio de um registro no site disponibilizado pela própria ANPD.

Não. A ANPD poderá avaliar as comunicações de forma agregada e propor eventuais medidas ou poderá abrir processo administrativo sancionador para apurar algum descumprimento legal.