Unknown

[Música] [Música] Fala, pessoal! Sejam todos bem-vindos a mais uma aula aqui do Estratégia Concursos. O meu nome é Herbert Almeida e hoje nós vamos para a aula da Lei Geral de Proteção de Dados Pessoais, a nossa Aula 2. Fizemos a primeira na segunda-feira e hoje é a segunda aula desse tema, que tem sido um dos assuntos mais importantes e relevantes no mundo dos concursos públicos. Estou fazendo essa aula pensando principalmente no concurso da Receita Federal, mas é óbvio que está servindo também para diversos outros concursos. Hoje, enquanto eu separava e dava mais uma estudada

nas questões, vi o quanto está caindo a questão de tribunal, né? Questão de TRT, TJDFT, um monte de questões sobre a LGPD. Então, ela está caindo tudo e não só no Direito Administrativo; questões da FGV, por exemplo, sempre estão no edital. A FGV cobra pelo menos uma da LGPD, tá quase no nível da Lei de Licitações, assim, não está muito longe disso. É claro que nós vamos ter muito mais questões da Lei de Licitações porque ela está em tudo que é edital, mas os que estão pedindo a LGPD e estão cobrando a LGPD, esse é

o ponto. E também não está caindo só no Direito Administrativo; está caindo às vezes nessas outras matérias, tipo, às vezes em banco de dados, análise de dados. Eu não sei se no edital da Receita Federal será exigido dados, poderia aparecer também aí nesse ponto, eu já fico devendo para vocês, mas está aparecendo para a galera específica de TI. Está caindo, todo mundo quer, está caindo a nossa LGPD! Pessoal, vamos chegando aqui, estamos ao vivo agora, sete horas e dois minutos exatamente. Deixa eu dar boa noite para vocês. [Aplausos] [Música] Maurício, David, Carmem, Rodolfo, Lucas, oi,

Daniela, oi, Ana, oi para todo mundo aí que está nos acompanhando nessa véspera de carnaval. Eu queria até passar uma mensagem para vocês. Vou dar duas mensagens antes de começar a aula. A mensagem número 1 é sobre essa questão que o pessoal fala aí de estudar no carnaval. Eu vejo, às vezes, uma polilização/romantização desse negócio. Cara, assim, eu fiz um post hoje lá no Instagram falando isso. Cara, é auto responsabilidade: cada um sabe onde aperta o seu calo, cada um sabe o que faz da sua vida. Mas o outro lado é: se você resolver estudar,

cara, estuda sem sofrimento nenhum. Não existe razão para você ficar em casa estudando e estar sofrendo, cara. Não faz o menor sentido isso. Se você resolveu ficar em casa para estudar, cara, agradeça a Deus que você tem essa oportunidade. Tem muita gente que queria ter essa oportunidade de poder estar em casa estudando e não vai ter. Então, quem pode, cara, aproveita para estudar e seja feliz; e quem pode pular, aproveita pulando e seja feliz. E ponto final! O que não pode acontecer é o vice-versa: é o cara que fica estudando e tá chorando porque queria

estar curtindo, ou que tá chorando porque queria estar estudando. Vamos ter auto responsabilidade e entender cada um quais são as suas necessidades. Segundo informação: eu não consegui postar o vídeo. Você sabe que eu quase sempre posto vídeos de comentários de jurisprudência, decisões. Eu não consegui gravar o vídeo comentando a versão do STF a respeito do negócio de que quem está com o nome sujo não pode ir para concurso público. Mais uma vez, o pessoal fazendo aquele clickbait, tentando jogar para todo mundo clicar ali na sua matéria e tal, e, cara, é muito longe de ser

isso. Bem, na verdade, assim, rápido e rasteira para poder ir para a aula: é só a gente pensar, o STF declarou a regra inconstitucional, ou seja, até então essa regra já era aplicada. Se o STF declarou inconstitucional, então não mudou nada! A única coisa que ele fala é assim: "Ó, quem estava aplicando isso é inconstitucional, mas não mudou nada. Já era assim, ele só disse que o que está acontecendo é possível". Ponto final! Eu pergunto para vocês: quantos concurseiros que deixaram de tomar posse em cargo público por causa de dívida? Eu desconheço! Pode ter sido

um outro, mas eu não lembro dessa regra. Tem jurisprudência do STF e do STJ dizendo que o simples fato de você estar com o nome sujo no Serasa ou SPC não é motivo para te eliminar de concurso público. Então, não é o simples fato de estar com o nome sujo que vai te eliminar do concurso. Não muda nada em relação a isso, porque pode acontecer de alguém que esteja sofrendo uma ação, uma das medidas coercitivas ser essa medida alternativa na proibição de participar em concurso público, mas que, assim, cara, é muito difícil de se aplicar,

até porque, na própria versão do STF, ele fala que tem que ser a partir de critérios razoáveis. Imagina se você está justamente tentando conseguir alcançar um cargo para pagar dívida. Por que o juiz vai te impedir de fazer isso? Seria, justamente, um contrassenso em relação à necessidade. Então, podem ficar muito tranquilos que isso não vai acontecer, tá, pessoal? Chega de papo! Agora vamos começar! Então, a nossa aula de fato, deixa o like aí, porque agora nós vamos trabalhar as partes mais importantes da LGPD, especialmente a parte sobre a aplicação da Lei Geral de Proteção de

Dados ao setor público. Para quem não nos viu, não acompanhou na sala na segunda, só passando aqui bem rapidamente só para ver o que vocês perderam. Na segunda-feira, nós fizemos uma introdução. Opa, deixa eu colocar aqui na tela, sobre a base constitucional. Nós também tratamos sobre a parte da competência para falar sobre proteção de dados, trouxemos o artigo primeiro da LGPD para definir o seu âmbito de aplicação. Então, nós fazemos todo... Esse esquema aqui para definir o aumento de aplicação da LGPD para quem não se aplica à Lei Geral de Proteção de Dados. Nós também

trabalhamos na segunda, trouxemos os seus fundamentos, avançamos mais um pouquinho com os princípios da LGPD e expliquei todos os principais princípios aqui ao longo da nossa aula. Depois, nós ainda trouxemos a parte conceitual. Aqui na parte de conceito tem muita informação importante. Expliquei o que é um dado pessoal, o que é um dado pessoal sensível, o que é o titular do dado pessoal. Nós, depois, trouxemos mais informações a respeito do que é o processo de anonimização, o que é pseudonização e o que é um dado anonimizado. Inclusive, desenhamos esse processo de como ele funciona. Depois,

mais adiante, falamos sobre o conceito de tratamento de dados pessoais e, aí na sequência, nós entramos, cadê aqui, no tratamento de dados pessoais propriamente dito. E aí, expliquei para vocês como é que funciona o tratamento, qual é o conceito de tratamento, como ele pode acontecer e as hipóteses de tratamento sem o consentimento. E aí, mais adiante, resolvemos um monte de questões também. Mas, adiante, eu expliquei como funciona o consentimento de dados pessoais. Inclusive, essa figura nossa ficou muito bacana para você entender como se dá e como funciona o consentimento. Nós acabamos a aula, exatamente, passando

pelo tratamento de dados pessoais sensíveis, quando que acontece com e sem o consentimento. Por fim, nós chegamos ao término do tratamento de dados pessoais. Esse foi o nosso último slide, o slide 81, e nós iremos começar aqui o tratamento, o término do tratamento de dados pessoais. O material está disponível no nosso Telegram, corre lá e baixa já no nosso Telegram. Então, vamos começar nossa aula de hoje, que já chega de assunto, tá valendo a partir de agora. Vamos lá, vamos com tudo, então, vamos nessa. Só pegar um galho de água aqui e nós vamos começar.

[Música] [Música] Fala, meu povo! Vamos continuar a estudar a Lei Geral de Proteção de Dados e agora quero conversar um pouquinho com vocês sobre o que acontece quando há o término do tratamento de dados. Porque você imagina, se fica lá dentro da pega, na sua casa, você começa a guardar algumas coisas. Você usa essas coisas por algum período, daqui a pouco você não tem mais necessidade de usar esse material. Faz sentido você ficar guardando ele indefinidamente? Não, né? E, principalmente, quando são coisas sensíveis. Você pega alguma coisa emprestada, você usa, e o quanto antes devolve

esse material. Porque se fica com você sem você estar precisando, você corre risco de estragar, de perder, de alguém roubar, coisa do tipo. Então, a mesma coisa acontece com os dados pessoais. Você pega o dado pessoal para usar para aquela finalidade e, depois disso, a consequência com o término do tratamento seria fazer a eliminação dessas informações. Então, por isso que é importante a gente entender o conceito do término do tratamento de dados. O artigo 15 da Lei Geral de Proteção de Dados fala para a gente assim: "O tratamento dos dados pessoais ocorrerá nas seguintes hipóteses".

E aí ela enumera para a gente quatro hipóteses: 1. O alcance da finalidade alcançada; ou então, quando os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; 2. Também quando houver o fim do período de tratamento; 3. A comunicação do titular inclusive quanto ao seu direito de revogação; e 4. Também a determinação da ANPD, que é a Autoridade Nacional de Proteção de Dados Pessoais. Vamos esquematizar tudo isso aqui então para falar do término do tratamento dos dados pessoais. A primeira informação: você recebe um dado para determinado fim. Uma vez que o

fim seja alcançado, acontece o término desse tratamento desse dado pessoal. Por exemplo, peguei as suas informações apenas para poder realizar consultas da sua condição financeira em virtude de algum objetivo específico. Terminei isso, acabou o tratamento. Eu alcancei a finalidade para a qual aquela informação se destinava. Pode ser também que nós não conseguimos alcançar esse fim desejado, só que o dado, ele deixa de ser necessário. Eu vou colocar assim: o dado deixe de ser necessário, ou seja, para aquele propósito que eu preciso, ele não é mais importante porque o contexto mudou. Então eu não preciso mais.

Acaba o termo da necessidade desse dado pessoal. Ou ainda, quando ele deixa de ser pertinente para aquele fim para o qual ele se destinava. Nessas situações aqui, acontece o término do tratamento do dado pessoal. Também acontece o término do tratamento em relação ao fim do período. Porque, às vezes, vamos supor que você seja um assinante de determinado produto, etc., e tal, e você contratualizou lá com eles algumas regras. Acabou esse prazo, acabou também o tratamento do dado pessoal. Também pode ter o término do tratamento em relação à comunicação do titular. Imagina o seguinte: você sabe

que o seu dado pessoal está num banco de dados de determinada empresa, só que você não quer mais isso. Você fica sabendo que aquela empresa está usando dado inadequadamente, que isso, que aquilo. Você chega a comunicar a eles: "Ó, não quero mais que vocês utilizem meu dado pessoal". Então, é a comunicação do titular. Inclusive, a gente tem que lembrar que existe a possibilidade de revogação de consentimento. Você consegue o consentimento, mas você tem o direito de fazer a revogação desse consentimento. A própria LGPD resguarda essa possibilidade. O consentimento para a utilização do dado pessoal pode

ser revogado a qualquer tempo. A única ressalva que a LGPD traz para a gente aqui, nessa condição de comunicação do titular, é que deve se resguardar o interesse público. Professor, como assim resguardar o interesse público? Eu não sei se você já estudou a Lei de Processo Administrativo, mas eu vou fazer uma analogia com a Lei de Processo Administrativo. A lei de processo administrativo diz que, se você inicia o processo, ele começa a ter seu andamento. Se, lá pelas tantas, você quiser desistir desse processo, você pode desistir. Mas a própria lei de processo administrativo afirma que

o interesse público pode recomendar a continuação desse processo, apesar do pedido de desistência. Então, é algo semelhante aqui quando falamos de interesse público. Às vezes, o Estado tem alguma informação sua e você revoga esse consentimento ou comunica ao Estado para parar de utilizar a informação, mas pode haver alguma razão de interesse público que justifique a manutenção disso. Portanto, devemos resguardar o interesse público a partir de determinados critérios. Assim, você pode ter a comunicação, mas precisamos resguardar o interesse público em algumas oportunidades. Por fim, a última situação de término é uma situação que decorre de uma

determinação da Agência Nacional. Imagine que a agência chega e diz o seguinte: “Olha, este dado aqui você não pode mais tratar”. Então, há um término do tratamento do dado pessoal em razão de uma determinação da Agência Nacional de Proteção de Dados (ANPD). Essas são as nossas hipóteses de término do tratamento dos dados pessoais. Beleza, um ato seguinte é o término, ou uma consequência do término, que é a eliminação desse dado pessoal. O artigo 16 da LGPD afirma que os dados pessoais serão eliminados após o término do seu tratamento, no âmbito e limites técnicos das atividades.

Porém, agora ela traz uma exceção autorizada à conservação para as seguintes finalidades. Então, o que ocorre naturalmente é que, após o término do tratamento, os dados pessoais devem ser eliminados. Olha, cumpriu a finalidade, fez o que tinha que fazer, não deve ficar “dando sopa” nesse banco de dados para não correr o risco de ter uma eliminação compartilhada. Portanto, esses dados devem ser eliminados, segundo a LGPD. Porém, a própria Lei Geral de Proteção de Dados faculta a conservação desses dados para algumas hipóteses. Quais são as hipóteses que permitem a conservação da informação após o término do

seu tratamento? Inciso 1: para o cumprimento de obrigação legal ou regulatória pelo controlador; 2: por um estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; 3: transferência a terceiros, desde que respeitados os requisitos de tratamento dispostos nesta lei; e 4: uso exclusivo do controlador, vedando seu acesso por terceiros, desde que anonimizados os dados. Então, vamos trabalhar isso aqui com alguns contextos e exemplos, inclusive, para vocês. A hipótese número 1 é algum tipo de obrigação legal ou regulamentar. Imaginem o seguinte: vamos pegar uma empresa da área de saúde. Suponha que a

agência reguladora encarregada da fiscalização dessa área, tipo a Agência de Vigilância Sanitária, por exemplo, determine que sejam guardadas informações sobre a aquisição de determinado medicamento por tantos anos. Então, você foi lá, fez a compra do medicamento, mas esse dado terá que permanecer na sua base de dados por uma determinação, uma obrigação legal que o controlador tem que cumprir. A agência reguladora falou: você tem que guardar essa informação por tantos anos, tantos meses, para que possamos ter essa consulta no futuro. É para essa obrigação legal que você permanece com o tratamento do dado pessoal, conservando a

informação, melhor dizendo. A situação número 2 é em razão de estudo. Essa regrinha já vimos, inclusive, em outras oportunidades, só que, para estudo, sempre que possível. Veja que não é obrigatório, se possível, esses dados devem ser anonimizados. Se não for possível fazer a anonimização, tudo bem, mas, se possível, eles devem ser analisados. A terceira situação é para transferência a terceiros. Pessoal, é óbvio que, quando falo de transferência a terceiros, aqui seria nas hipóteses em que essa transferência é necessária ou possível. Imagine o seguinte: você fez um cadastro em determinada empresa para fornecimento de um produto,

e existe alguma norma ou regra que diz que, no término disso, esses dados devem ser fornecidos ao órgão público encarregado da fiscalização da atividade. Então, você transferiu a terceiros. Veja que é uma hipótese que também pode ser enquadrada na primeira, mas foi só para contextualizar. Em algumas situações, você tem que transferir essa informação para um terceiro. Portanto, você preserva essa informação para essa transferência. E o último ponto é o seguinte: vamos supor que eu tenha uma empresa e tive um relacionamento com meu cliente. Só que, após esse relacionamento, eu não preciso mais dos dados dele

em si, mas tenho algumas análises estatísticas para poder fazer, como melhorar meu produto ou identificar erros no tratamento, entre outras medidas. Então, eu posso continuar interessado nesses dados. Veja, minha relação com aquele cliente já acabou, mas às vezes quero usar esse dado. Este é um uso exclusivo do controlador. Só que, nesse caso, o controlador que permanece com o dado mesmo após o término, necessariamente, terá que fazer a anonimização. Aqui é importante ficar atento, porque, no caso de estudo, a anonimização é “se possível”, mas, no caso de uso exclusivo pelo controlador, após o término, é imprescindível

a realização da anonimização. Show, perfeito! Superamos aqui a parte da eliminação dos dados. Vamos resolver uma questão de prova: os dados serão eliminados após o término do seu tratamento, sendo autorizada a sua conservação para a finalidade de estudo por órgão de pesquisa, sendo garantida, sempre que possível, a anonimização desses dados. Perfeitíssimo! Exatamente isso, cara. A professora apresentou uma questãozinha que está fácil, porque você acabou de ver esse assunto. Às vezes, o pessoal olha essa questão e fica pensando o seguinte: “Pessoal, mas será que a anonimização não é obrigatória aqui?”. Porque você tem que pensar que

a regrinha que você deve guardar é assim... Para estudo, a anonimização vai acontecer, se possível. Se é para uso exclusivo do controlador, ele vai guardar para uso próprio. A anonimização tem que ser obrigatória. Guardando essa regrinha aqui, você já consegue ser feliz da vida na hora de resolver as questões. Então, esse quesito está devidamente correto e, com isso, nós acabamos esse bloco sobre o término do prazo e também sobre a eliminação dos dados. Mas nós já vamos avançar para tratar de um outro item que trata dos direitos do titular, ou seja, aquela pessoa a qual

se refere a informação. E eu acho curiosa, acho curioso, o primeiro direito que está no artigo 17. Imagina a seguinte situação: você fica sabendo que existe um banco de dados com informações suas. Você percebe que, em nenhum momento, você autorizou a utilização dessas informações, em nenhum momento você forneceu essas informações e, em nenhum momento, você tornou essas informações públicas. Aí você acha estranho aquilo, chega para a pessoa e fala o seguinte: "Olha, eu sou titular dessa informação, eu gostaria que vocês retirassem essa informação desse banco de dados." O camarada pega, olha para ele e fala

assim: "É, mas quem é o senhor?" Eu sou Fulano, CPF tal, conforme está aí no banco de dados de vocês. Ele pega e fala: "Não, mas cara, até tem os seus dados aqui, realmente é o senhor, só que esse dado agora que está no nosso banco de dados não é mais seu não, ele é nosso. Esquece, aqui a gente não vai tirar não." Opa, como é que é? É a minha pessoa no seu banco de dados e eu não sou dono dessa informação? O artigo 17 fala para a gente o seguinte: toda pessoa natural tem

assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta lei. Ou seja, o dado é meu. Eu tenho assegurada a titularidade dos meus dados pessoais e garante-se o meu direito fundamental ou os meus direitos fundamentais de liberdade, de intimidade e de privacidade. Importante esse artigo 17, né? Espero que a gente nunca precise utilizá-lo, mas está ali como uma ferramenta disponível. O artigo 18 da LGPD vai trazer mais uma outra informação. O titular dos dados pessoais tem direito de obter do controlador, em relação aos

dados do titular por ele tratados, a qualquer momento e mediante requisição. Olha só, eu posso obter, eu sou titular. O artigo 17 diz que eu sou titular dos meus dados, eu tenho assegurado o direito de ser titular dos meus dados. Eu, como titular dos meus dados, posso obter do controlador, em relação aos meus dados que são por ele tratados, e eu posso fazer isso, pedir essa situação a qualquer momento e por meio de requisição. Importante: a qualquer momento! Mas eu faço uma requisição: um, a confirmação da existência de tratamento. Eu quero saber o seguinte: é

verdade que tem dado pessoal meu aí no seu banco de dados? Eu tenho direito de ter acesso a essa informação? Sim, eu posso acessar os dados para saber quais dados que são registrados na sua base. Sim, eu tenho direito de acesso a esses dados. Olha, eu percebi que tem uma coisa errada aqui, eu tenho direito à correção desses dados que estejam incompletos, inexatos ou desatualizados. Quatro: eu tenho direito à anonimização, ao bloqueio ou à eliminação daqueles dados considerados desnecessários, excessivos ou tratados em desconformidade com os dispositivos dessa lei. Olha, precisa, eu sei que você precisa

desse dado, mas precisa saber que sou eu que posso fazer a anonimização. Esse dado aí, ele realmente é importante essa informação, porque, olha, você precisa desse dado meu, mas esse aqui precisa ser bloqueado, eliminado, se for desnecessário ou excessivo, ou então tratado em desconformidade. Eu também tenho direito à portabilidade dos dados pessoais. Para que serve essa portabilidade? Depois a gente vai colocar na figurinha aqui, tá? Não estou fazendo, escrevendo uma porque, nesse caso, vai ser meio desnecessário, tá? Por que eu tenho direito à portabilidade dos dados? Eu tenho direito à portabilidade dos dados, especialmente quando

eu quero, por exemplo, trocar de plano de saúde. O meu plano de saúde aqui tem as minhas informações, eu tenho direito de fazer a portabilidade para outro plano. O meu banco tem acesso às minhas informações, eu tenho direito de fazer a portabilidade para outro banco. O banco não pode se recusar à portabilidade dos meus dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da Autoridade Nacional, observado os segredos comercial e industrial. Ele só cuidar disso aqui, porque tem algumas informações que estão protegidas por segredo comercial e industrial, e

aí essas não são portabilidade. Pessoal, só uma cautela, tá? Porque, às vezes, eu vejo o pessoal olhando isso e vai brilhando os olhos, né? Principalmente quando são direitos, tipo "Nossa, direito, direito!", mas tomem um pouquinho de cautela, porque boa parte desses direitos vão ser exercidos na forma de regulamentação. Então, não tentem muito olhar para o aspecto prático. A que você quer resolver a questão prova, o prático. Se algum dia você precisar, aí você vai dar uma olhada com mais cautela. Mas, aqui, observar as regras de regulamentação. Então, a priori, a gente tem direito à portabilidade.

Mas como que acontece? A regulamentação que vai definir. Avançamos mais um pouquinho para o inciso 6: eliminação dos dados tratados com consentimento do titular, exceto nas hipóteses previstas no artigo 16. O artigo 16 é esse que nós estudamos aqui, que permite a conservação de dados em algumas condições, né? Mas olha só, quando o dado é fornecido, o meu consentimento é utilizado, o tratado como eu consentimento. Se ele dependia do meu consentimento para ser tratado, então naturalmente que eu tenho... Direito de solicitar a eliminação desse dado em outro momento. Olha, você só pode tratá-lo com meu

consentimento. Só pode tratar o dado com meu consentimento. Agora, eu não quero mais que você trate o dado, então eu posso pedir a eliminação dele, mas toma cuidado. Já vimos, na outra oportunidade, que existem vários dados que são tratados sem o consentimento. Muitas informações são tratadas sem consentimento: proteção de crédito, isso, aquilo... O que eu posso pedir a eliminação é aquele que está sendo tratado com o meu consentimento. Os que não dependem do meu consentimento, naturalmente, podem continuar utilizando informações das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados.

Eu quero saber o seguinte: qual dado você tem meu? Compartilhou com alguém? Com quem? Do setor público ou do setor privado? O inciso 8 fala sobre a possibilidade de não fornecer conhecimento e consentimento, e sobre as consequências da negativa. Imagina que eu cheguei em determinada empresa e o camarada me pediu lá as informações. A gente está precisando aqui do seu nome completo, do seu CPF, do seu número de telefone, do seu e-mail. Cara, não tem coisa mais chata do que preencher esse tipo de cadastro porque você olha e fala assim: "Cara, eu só quero passar

o meu cartão de crédito, pegar esse produto e embora... Eu só quero entregar o dinheiro, pagar o produto e embora. Eu não quero fornecer o meu e-mail, meu CPF, meu telefone para vocês, para depois ficarem me ligando e me mandando e-mail disso, daquilo." Eu não quero, só quero esse produto e tá embora. Ok, o senhor tem essa possibilidade de não conseguir com o fornecimento da informação, mas as consequências serão essas normalmente, né? Nessas farmácias da vida, por exemplo. Mas se o senhor não fornamentalmente, você vai perder o nosso desconto de 5, 10, 15, 20% sobre

esse produto. Ok, tudo bem. Eu tenho direito de escolher, tenho direito de decidir. Então, eu sou informado da possibilidade de não consentir e de quais são as consequências de não consentir com a utilização dos meus dados pessoais e também a revogação do consentimento nos termos do artigo quinto, parágrafo 8º, que nós já falamos em outra oportunidade. Perfeito, então aqui a gente tem um resumo de direitos do titular. Primeiro, você pode requisitar, a qualquer momento, por meio de requisição, se existe dado, o acesso a esses dados, a correção desses dados. Eu também posso pedir a notificação,

bloqueio e eliminação se o dado for desnecessário, excessivo ou em desconformidade. Eu posso pedir a portabilidade dos dados na forma do regulamento. Eu posso pedir a eliminação dos dados tratados com consentimento, pelo menos como regra. Eu posso fazer esse pedido. Eu posso saber com quais informações, quais entidades públicas e privadas meus dados foram compartilhados. Posso obter informações sobre a possibilidade de não consentir e as consequências dessa negativa e, por fim, posso fazer a revogação do meu consentimento quando eu concedi esse consentimento. Show de bola! Vamos lá, agora nós falamos daqueles direitos que são ligados diretamente

ao pedido da alteração. Aqui, fazendo uma leitura da LGPD, você percebe que ela também trata de outros direitos do titular. E eu citei três aqui para vocês. Eu posso peticionar contra o controlador perante a autoridade nacional ou perante um organismo de defesa do consumidor. Imagine que você tomou conhecimento que uma empresa está fazendo uso inadequado dos seus dados. Você vai lá e entra em contato com aquela empresa e fala o seguinte: "Olha, esse dado aí que vocês estão usando só poderia ser utilizado com meu consentimento. Eu não dei o consentimento. Eu gostaria que vocês eliminassem

esse dado pessoal." A empresa pega e olha e fala: "Filho, não vou eliminar. Só passando por cima de mim. Já era, já captei o seu dado. Meu filho, não vou eliminar." O que você vai fazer? Vai peticionar perante a autoridade nacional para a aplicação das sanções administrativas previstas na Lei Geral de Proteção de Dados. Portanto, um direito que eu tenho é o de peticionar. Eu posso fazer uma representação, alguma denúncia em relação à utilização inadequada dos meus dados ou, então, pode ser por um órgão de defesa do consumidor também. Eu também posso me opor ao

tratamento realizado com dispensa de consentimento. Pense comigo: qual é a lógica desse segundo item? Nós temos duas categorias de tratamento: com consentimento e sem consentimento. Vamos considerar que eu não consenti. Eu vou colocar para o lado de cá porque sei que a galera dá print aí a depender. Não vou baixar esse... Vou baixar esse aqui: ó, concedeu, houve um tratamento com consentimento e um sem consentimento. Suponha que você não concedeu. Você chega para a empresa e fala assim: "Olha, eu não consenti a utilização da minha informação." A empresa te responde assim: "Ó, mas essa informação

nós podemos utilizar sem o seu consentimento. Ela dispensa o consentimento." E você não concorda. Você fala: "Negativo! Essa informação não se enquadra nas hipóteses em que você pode tratar sem o meu consentimento." Fica uma briga: você dizendo que aquele dado só poderia ser tratado com o consentimento e a empresa, que está com seu dado, fala: "Não! Essa daqui é sem o consentimento, tá lá na lei." E vocês ficam na briga. Você tem o direito de se opor. Você pode representar, pode questionar. Você vai falar o seguinte: "Não, eu estou me opondo a esse tratamento." Inclusive

você pode buscar até a autoridade nacional para fazer a denúncia a respeito disso. Então, eu estou me opondo à utilização dos meus dados numa hipótese que eu entendo que só poderia acontecer com meu consentimento e que está acontecendo sem o meu consentimento. O terceiro direito que você tem é o direito de solicitar a revisão de decisões tomadas. Unicamente com base em tratamento automatizado de dados pessoais, esse aqui é clássico: você chega num banco e pede para o banco um financiamento. O banco, o cara, o gerente do banco fala o seguinte: "O senhor só me dá

um segundo que eu vou lançar aqui as suas informações do nosso sistema e, daqui a pouco, nós vamos entender com qual taxa que o senhor se enquadra." Ele vai lá, então, e diz: "Eu tô olhando aqui para o senhor, já é um crédito do senhor, não tá muito bacana. A gente tá vendo aqui as informações de risco, então eu não vou conseguir essa taxa aqui. A melhor taxa que eu vou conseguir é essa." Você questiona: "Mais vem cá, por que que eu tô nessa taxa mais alta?" Aí ele responde: "Foi o sistema, não sou eu,

sabe? É o sistema que faz." Aí você vai pegar e vai falar o seguinte: "Olha, tem uma coisa de errado. Eu não compro nada parcelado, eu não tenho dívida, eu nunca atrasei um boleto. Tem alguma coisa de errado nesse sistema." Aí você pode questionar esse tratamento automatizado dos seus dados? Pode! Você pode questionar esse tratamento automatizado dos seus dados. Então, você pode questionar esse sistema que faz, por exemplo, análise de perfil pessoal, análise de perfil profissional, análise de consumo de crédito e outros aspectos referentes à sua personalidade. São esses dados que são superfícies que os

sistemas fazem automaticamente. Você pode solicitar a revisão desses dados sempre que possível. Em resumo, então, eu posso colocar aqui: eu gosto de escrever. Cara, não tem jeito, eu vou escrever porque eu vou colocar assim: "Outros direitos." Quais são os outros direitos? Então, só para reforçar mais uma vez, para ajudar você na memorização, informação número um: você peticionar sempre que você entender que há uma utilização inadequada dos seus dados pessoais, tanto perante a Autoridade Nacional, que é a Agência Nacional de Proteção de Dados Pessoais, como também perante os órgãos de defesa do consumidor. Você pode também

opor quando você tem aquele tratamento com dispensa de consentimento e, por fim, você também pode pedir a revisão daquelas análises automáticas, automatizadas de perfis. Hoje, disso aqui vai ser cada vez mais comum porque tá tudo em sistema. Eu costumo dizer que esses temas sabem mais da gente, às vezes, do que nós próprios. Então, em algumas situações, a gente pode questionar porque pode ter algum cadastro, alguma coisa inadequada. Vamos para o artigo 19 da LGPD. A LGPD fala lá no artigo 19 que a confirmação de existência ou o acesso a dados pessoais serão providenciados mediante requisição

do titular. Mais uma vez relembrando que são direitos do titular a confirmação na existência de tratamento e o acesso aos dados. Você pode chegar e perguntar: "Qual é a diferença das duas situações? Na primeira, eu só quero saber o seguinte: existem dados pessoais meus aí no seu banco de dados?" Essa é uma coisa, é saber se tem a confirmação da existência. A segunda situação, o segundo caso, é: "Mas quais dados estão disponíveis?" Aí eu quero ter acesso a esses dados. Então, você pode fazer esses dois pedidos: saber se tem e acessar quais são os dados

que estão cadastrados. Eu quero saber qual dado está no seu banco de dados sobre a minha pessoa. Eu tenho direito de acessar essa informação, afinal de contas, é meu. É isso que eu quero saber. O que acontece? O fornecimento pode acontecer por duas modalidades. Então, vamos colocar aqui, deixa eu ver, vou colocar nessa parte aqui para vocês, tá? Então, quando você vai pedir alguma informação por meio de requisição, você pode ter tanto a confirmação... Vamos colocar assim: um, tratar dos seus direitos. Se você quiser ir anotando junto comigo, eu quero saber a que especificamente sobre

a questão do fornecimento das informações. Quando eu falo de direitos que estou analisando aqui, estou falando tanto do direito da confirmação de que existem dados pessoais na base de dados daquela pessoa, como também eu quero ter direito ao meu acesso de dados. Esse direito aqui pode ser atendido por duas formas. Quais são as duas formas de atendimento? A primeira é aquela mais simples, a simplificada, que é aquela que você só pede a confirmação. Porque às vezes, você só quer uma decisão ali, uma informação muito rápida. Como é que funciona isso? Você pode ter o formato

simplificado que imediatamente pode ser ali na hora, no balcão. Quero saber o seguinte: "Tô apresentando aquela requisição porque eu gostaria de saber se tem dados ou acessar os dados meus que estão na sua base." A pessoa te responde imediatamente. Essa daqui é uma, claro que o regulamento vai dizer o que seria exatamente esse formato simplificado. Então, o fornecimento em formato simplificado deve acontecer imediatamente. Você chega lá no balcão, faz, atende aos requisitos para o fornecimento e imediatamente te fornece essa informação. Mas não, eu não quero simplificado porque eu vou buscar meus direitos. Eu quero processar

essa empresa, não sei o que lá e blá blá blá. Nesse caso aqui, você quer uma certidão, uma declaração com detalhes. Nessa declaração, você quer como o dado foi obtido, a inexistência do registro, os critérios utilizados, a finalidade do tratamento, observando logicamente que segredo comercial e industrial. Eu quero mais informações. Nesse caso aqui, o fornecimento vai acontecer no prazo de 15 dias, contados do requerimento do titular. Então, se você quer, mediante declaração, e essa declaração aqui vai ser aquela declaração mais detalhada em que você vai ter diversas informações, eu vou colocar assim: a declaração, apesar

de ele falar claro e completa, eu vou colocar só a completa, que é o que nos interessa nessa situação. O prazo para o fornecimento é um prazo de 15 dias a contar da apresentação do requerimento e quais que... São os eu vou trocar esses formatos para não causar confusão e vou colocar assim: ó, e agora vou colocar aqui os formatos de fornecimento. Quais são os formatos de fornecimento? Nós temos dois instrumentos para o fornecimento dessa informação. A LGPD fala assim: ó, os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso,

e os dados pessoais serão armazenados. Opa, as informações, os dados serão fornecidos a critério do titular, por meio eletrônico, seguro e idôneo para esse fim. E sobre a forma impressa? Então vamos lá, quero informações, quero os meus dados pessoais. Eu posso receber esses dados pessoais em meio eletrônico; meio eletrônico, por exemplo, pode ser algum PDF, esses PDFs que vêm com autenticação, isso, aquilo, outro. Ou pode ser ainda em formato impresso. Ok, professor, quem é que escolhe se vai ser meio eletrônico ou formato impresso? Quem faz a escolha disso aqui? Isso é uma faculdade do titular,

o título lá que vai dizer em qual formato ele quer: "Olha, eu gostaria de receber essa informação de forma impressa." Então, ela vai ser fornecida de forma impressa. Não gostaria de receber essa informação por meio digital, você vai receber ela em meio digital. É a critério do titular o meio de fornecimento dessas informações. Beleza? Pura! Vamos para o parágrafo 4º. O parágrafo 4º falou para a gente o seguinte: a Autoridade Nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos 1 e 2 do caput para os setores específicos. Então, o que a gente

acrescenta aqui no nosso mapa é que, apesar desse prazo, é possível que a ANPD (Agência Nacional de Proteção de Dados) fixe prazos distintos conforme diferentes setores, diferentes segmentos. Superar essa parte da confirmação e do acesso aos dados, vamos avançar para resolver uma questão. Opa, olha só uma questãozinha de prova, uma questãozinha um pouquinho mais complicada. Ela traz para a gente quatro situações: confirmação da existência de tratamento, a anonimização dos dados, portabilidade dos dados a outro fornecedor de serviço ou produto, e revogação do consentimento. Conforme a LGPD, o titular dos dados tem direito de obter do

controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição. O que consta em uma confirmação da existência? Eu tenho direito de obter a confirmação da existência de dados. Tenho o direito de obter a confirmação da existência de dados pessoais sobre a minha pessoa. Eu vou pular o item 2. Tá? 3. Portabilidade dos dados a outro fornecedor. Eu só tenho que observar aquelas regras do segredo comercial/industrial. 4. Revogação do consentimento: eu posso revogar o consentimento. Eu confesso para vocês que eu ficaria com um pé atrás: "E aí, cara, será que

dá? Será que não dá?" Mas vamos voltar para cá, vou tentar entender o raciocínio da banca. Eu tenho direito de pedir a anonimização dos dados? Tenho. Eu peço a anonimização, o bloqueio ou eliminação daqueles dados desnecessários, excessivos ou tratados em desconformidade. Eu sei que existem condições para eu pedir essa anonimização. Eu sei que existem condições, mas eu tenho o direito de pedir a anonimização? Eu tenho, então pedir a anonimização não é um direito do titular, ainda que existam algumas condições. Veja que, se eu não considerar isso, basicamente todos os direitos têm algum condicionante. O próprio,

a própria revogação do consentimento é quando é um dado que depende de consentimento. Observar o interesse público, todos eles têm algum requisito. Então, eu tenho direito de pedir a anonimização, ainda que haja alguma particularidade, mas eu tenho de fazer o pedido. Tenho o direito de pedir a minha anonimização. Por isso, os itens 1, 2, 3 e 4 estão corretos e, dessa forma, o gabarito dessa questão é a letra C de casa. Com isso, nós fechamos esse bloco da nossa aula de hoje. Até a próxima! [Música] E aí, galera! Galera, galerinha, pessoal, eu quero aproveitar. Eu

tô vendo aqui que alguns alunos estão mandando mensagem, aí, falando que perderam a aula da segunda-feira. Essa aula da segunda está disponível no YouTube, tá? Bem rápido, ela tá disponível no YouTube. Eu preciso deixar isso claro para vocês e isso aqui é com toda a sinceridade: eu não tenho gestão sobre o que fica e o que não fica. Não tenho nem acesso no YouTube para tornar público. Ao tornar público, isso é sempre uma decisão que a estratégia faz conforme o planejamento. A aula da segunda ficou disponível, mas as aulas que eu dei na terça, na

quarta e na quinta-feira, por exemplo, não ficaram disponíveis no YouTube. Então, por isso que eu chamo a atenção de vocês: a da segunda tá disponível, mas eu não sei se essa daqui fica, se ela entra em rodadas que ficam, que não ficam. Então, eu correria para terminar de ver essa hoje e o quanto antes seria assistir à aula da segunda-feira antes que ela saia do ar. É importante fazer isso, vocês não perderem, porque, cara, essas aulas deram trabalho! São sensacionais! Essas aulas aqui, para quem é aluno de estratégia, elas serão disponibilizadas lá na área, no

portal do aluno, dentro do curso de reta final da Receita Federal, na imersão da Receita Federal. A gente vai colocar essa aula lá, tá? Agora, tá perguntando se vai ter aula só de questões LGPD. Não, eu não vou conseguir fazer uma aula só de questões não. Agora, pode ser que no futuro eu faça, mas agora não. Mas, ainda assim, eu postei lá no nosso Telegram, eu postei 28 questões da LGPD e boa parte delas nós estamos resolvendo aqui ao longo da aula. Às vezes, o pessoal tá naquela questão: "Cara, as 28 que eu postei lá,

quase todas estão aqui." Na verdade, nós temos até mais de 28 questões no nosso material de apoio, porque o material que eu postei lá no Telegram na semana passada só dá FGV. E eu resolvi colocar aqui algumas do seu abraço e algumas da FCC também para a gente resolver. Tá, vamos lá então. Próximo bloco, vamos agora. Aqui, eu mudei o slide novamente porque agora eu vou para a parte 2. Mais cedo, quando eu postei os slides, cara, eu cometi uma falha. Eu vou pedir sim, viu? Lidiane falou para pedir para o pessoal dar uma atençãozinha.

Eu vou fazer assim: eu fui passar para vocês o material da aula de hoje; às vezes, passar saúde. Hoje, eu postei o Completão da última aula, Idade de hoje, junto lá. Então, quem gosta de imprimir, só presta atenção para não imprimir duas vezes a mesma coisa. Mais ou menos na metade dos slides que eu mandei hoje, começa essa parte de tratamento pelo setor público. Beleza? Nada, eu disponibilizei. A Nanda perguntou; falou que eu ia liberar, que eu falei para lembrar de disponibilizar o material notário. Disponibilizei sim, tá? Está disponível lá para vocês. Tá, vamos lá

então. Próximo bloco, tá valendo. Então, tá valendo agora. [Música] Pessoal, agora nós vamos começar a estudar aquela parte que eu considero a mais importante da LGPD em termos de concurso público. Não estou falando de aplicação prática da LGPD, temos de concurso; para mim, esse é o bloco mais interessante, mais importante, porque a gente está falando da aplicação da LGPD para a administração pública. E, claro, LGPD às vezes caem a parte de informática, cai na praia, em outras disciplinas, no direito digital e tal, lá até dar uma espalhada, mas aqui, quando a gente fala de Direito

Administrativo, a parte mais importante é o capítulo que trata da aplicação da LGPD no setor público. Então, bastante atenção no que nós vamos falar agora. Eu vou começar com a leitura do artigo 23 da Lei Geral. O artigo 23 fala o seguinte: o tratamento de dados pessoais... aqui, eu quero saber o que é setor público. Afinal de contas, nós temos um capítulo na LGPD que é direcionado apenas—entre aspas—para o setor público. Mas o que é setor público para os fins da LGPD? Quem está sujeito a essas regras específicas? O artigo 23 e 24—os artigos 23

e 24—vamos explicar isso. O 23 fala assim: "O tratamento de dados pessoais pelas pessoas jurídicas de direito público, referidas no parágrafo único do artigo primeiro da Lei 12.527." O que é a Lei 12.527? É a lei de acesso à informação. Toma cuidado para não confundir! Eu não estou falando que eu vou considerar esse tratamento especial para todo mundo que é alcançado pela lei de acesso à informação. Eu não falei todo mundo da lei de acesso à informação; eu falei apenas das pessoas jurídicas de direito público. Da lei de acesso à informação, não é todo mundo

que... que a pessoa jurídica de direito público: a união, os estados, DF, municípios, autarquias e fundações públicas de direito público. Essas aqui estão dentro do alcance da LGPD, na parte específica de direito público. Aí, ela continua falando o seguinte: "deverá ser realizado para o atendimento da finalidade pública, a percepção do interesse público, com objetivo de executar as suas competências legais e atribuições legais. Serviço público." Tudo bem? O Parágrafo 4º vai falar dos serviços notariais. O que é o serviço notarial? É o cartório, exercidos em caráter privado, por delegação do poder público, terão o mesmo tratamento

dispensado às pessoas jurídicas referidas no caput desse artigo. Então, serviços notários de registro são os cartórios. Quando você vai lá no cartório, o cartório segue as mesmas regras previstas aqui para o poder público. O cartório, apesar de ser privado, exerce uma atividade por delegação do poder público; então, ele presta um serviço público. Por isso que ele está sujeito a essas regras. O artigo 24 diz para a gente que as empresas públicas e a sociedade de economia mista que atuam em regime de concorrência, sujeitos ao disposto no artigo 173 da Constituição, terão o mesmo tratamento dispensado

às pessoas jurídicas de direito privado. Particulares, nos termos desta lei. Qual que é a pegadinha? Questão de prova aí fala o seguinte: empresa pública e sociedade de economia mista, responde para mim! Eu quero que você responda agora, quem está acompanhando ao vivo, responde no chat, quem está em casa, assistindo anota no papel, mas responda! Responda que eu quero ver a sua segurança agora. Quero ver se você vai ter segurança para responder o que eu vou te perguntar: empresa pública e sociedade de economia mista que explora atividade econômica, exemplo: Petrobras, Banco do Brasil, Caixa Econômica Federal,

estão sujeitas às disposições da LGPD? Sim ou não? Empresa pública e sociedade de economia mista que explora atividade econômica está sujeito à LGPD? Sim, estão sujeitos à LGPD! Professor, mas o que o artigo 24 está dizendo? Elas não estão... elas não estão sujeitas às mesmas disposições das entidades de direito público. Elas terão o mesmo tratamento das de direito privado. Então, elas estão sujeitas à LGPD, mas não estão sujeitas às regras previstas para o setor público. Pegou a diferença? E agora nós vamos para o parágrafo único do artigo 24: as empresas públicas e as sociedades de

economia mista, quando estiverem operacionalizando políticas públicas, no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e entidades do poder público, nos termos deste capítulo. Então, vamos lá tratar, então, da aplicação das regras do setor público no âmbito da Lei Geral de Proteção de Dados. Primeiro, essas regras especiais do setor público: número 1, elas são aplicáveis às pessoas jurídicas de direito público. O que são pessoas jurídicas de direito público? São aquelas, são as nossas entidades políticas. Ou seja, União, estados, Distrito Federal, municípios, autarquias e também a gente poderia colocar aqui as fundações públicas

de direito público. Todas elas estão sujeitas às exposições da LGPD. Tem uma falhinha da LGPD que eu não vou nem entrar no... Debate, né? Mas eu não vou nem entrar no debate porque a Lei de Licitações também comete um pouco essa falha. Tem uma falha que eu imagino que algum aluno já está pensando, mas eu não vou nem debater isso com vocês, tá? Porque você não está na norma, ninguém está falando, não vai cair em prova, então não adianta trazer polêmica que não está na lei para não causar confusão. Vamos usar, tentar só o que

está na lei. Em relação às empresas públicas e às sociedades de economia mista, como é que funciona? Quais empresas públicas e sociedades de economia mista estão sujeitas às disposições da LGPD? 1. Aquelas que atuam em regime não concorrencial. Porque, veja só, a LGPD excluiu aquelas que atuam no regime concorrencial. Então, se elas atuam no regime não concorrencial, elas estão sujeitas às regras do setor público. O regime não concorrencial aqui está dentro; o concorrencial está fora. E também a LGPD ainda fala para a gente que ela se aplica quando a empresa estatal estiver prestando políticas públicas,

no âmbito na execução dessas políticas. Quer que eu pegue um exemplo para vocês? Imagina a Caixa Econômica. A Caixa Econômica, genericamente falando, está sujeita à LGPD na parte do setor público? Não, porque ela é uma empresa pública. A Caixa Econômica é uma empresa pública que atua em regime concorrencial; a Caixa está competindo com outros bancos, públicos e privados. Então, ela não está sujeita às regras do poder público da LGPD; está sujeita às regras previstas para as demais entidades privadas. Porém, se a Caixa Econômica estiver executando uma política pública específica, na execução dessa política pública, ela

vai ter que seguir a LGPD. Mas isso você só vai considerar se a questão de prova te perguntar. Se ela pergunta genericamente da Caixa, não, não segue as regras do setor público. Mas se ela estiver executando uma política pública, na execução dessa política pública, ela segue a LGPD. Por exemplo, em um sistema específico de alguma concessão, de alguma política pública em que ela não vai atuar como uma empresa privada, mas sim exercendo alguma atividade pública, como um sistema de financiamento específico, alguma coisa do tipo que envolva política pública, não na sua atividade comercial. A Caixa

Econômica presta algumas políticas públicas e, em algumas situações, nessas políticas públicas, ela vai seguir a LGPD. Mas aí só essa questão trouxesse para o debate. E o próximo ponto, o terceiro item aqui que nós vamos colocar, seriam os cartórios, ou seja, os serviços notários e de registro, serviços notários e de registros públicos, que são nada mais, nada menos do que os nossos cartórios. Os cartórios também seguem as regras do setor público em relação à aplicação da Lei Geral de Proteção de Dados. Informação que eu quero acrescentar aqui para vocês... Deixa eu centralizar um pouquinho mais

essa informação. E agora vamos falar especificamente de empresa pública. Opa, não é essa caneta que eu quero! Empresa pública/sociedade de economia mista que atua em regime de concorrência. Como faz, por exemplo, o Banco do Brasil e a Petrobras? Elas atuam em concorrência com outras empresas, como se fossem empresas privadas. Nesse caso, em que essas empresas que atuam em regime de concorrência, eu vou aplicar as regras. Deixa eu puxar o meu quadrado para colocar aqui. Nesse caso aqui, estou tentando desenhar o esquema para vocês. Elas vão aplicar o mesmo regime que a LGPD prevê para os

particulares. Estão sujeitos às disposições da Lei Geral de Proteção de Dados, mas às regras previstas para as entidades de direito privado. Fechou? Suave, tranquilo! Superamos esses dois primeiros dispositivos e agora vamos resolver uma questão. Olha essa questão de prova: a sociedade de economia mista Alfa, que exercia atividade econômica em sentido estrito em regime de concorrência, ou seja, ela tal atividade econômica em sentido estrito e em regime de concorrência são aquelas atividades do artigo 173 da Constituição Federal, pretendia realizar o tratamento de dados pessoais. Aqui, diariamente, ela tinha acesso, surgiu, no entanto, a dúvida a respeito

das normas que lhes serão aplicadas. Considerando os balizamentos da LGPD, o estado se manifestar. A Assessoria Jurídica esclareceu que a referida sociedade de economia mista está sujeita. Letra A: a mesma disciplina das pessoas jurídicas de direito privado. Eu sei que dá para a gente, tipo, não tá redonda essa letra, mas dá uma segurada. Ela não está 100% redonda, mas você não vai ficar procurando cabelo em ovo. Então, você já sabe que provavelmente a letra A. Se ainda assim você está desconfiando, vamos analisar as demais opções. Letra B: a mesma disciplina dos órgãos e entidades do

poder público. Não! Não é a mesma disciplina, nós já vimos que não. Disciplina prevista no estatuto das estatais? Olha só aquilo que eu perguntei; ela está sujeita à LGPD! Óbvio que ela vai seguir a LGPD! Ela segue as disposições da Lei 13.709. Ah, professor, mas aí não aplica a lei das estatais. Você já deve estar com saudades, né? Aplica também, aplica. Letras em relação ao regime jurídico dela e quanto ao tratamento de dados: aplicar LGPD vai aplicar as duas normas nessa situação. Outro ponto: a disciplina estabelecida na lei que autorizou sua criação e não aquela

contida na LGPD. Aplica-se, meu amigo, há uma disciplina específica; não se confunde com a disciplina das pessoas jurídicas de direito privado. E quanto aos órgãos do poder público? Também não! Também está errado isso aqui. Sobrou só a letra A. A única pequena falha, assim, aqui, assim, é a mesma disciplina das pessoas jurídicas de direito privado, do setor privado. Inclusive, a LGPD fala lá pra gente assim: elas vão aplicar as mesmas das pessoas jurídicas do direito privado. Faltou acrescentar esses particulares, mas nós sabemos que entendemos que a banca quer dizer aqui, né? Então, gabarito: alternativa A

de aprovação. Próxima questão. Olha como esse assunto aparece! Em prova, a LGBT dispõe sobre o tratamento de dados pessoais. Aquela coisa toda traz uma introdução e aí vem aqui: ó, nesse contexto de tratamento de dados pessoais, de acordo com a citada lei, a empresa pública federal Alfa, quando estiver operacionalizando políticas públicas e no âmbito da execução delas, olha só! Ela perguntou se uma empresa estatal falou que ela está operacionalizando políticas públicas, no âmbito da execução delas, e aí qual regra que ela vai seguir nesse caso? Se ela está operacionalizando políticas públicas no âmbito da execução

dessas políticas públicas, eu vou fazer uma mesóclise agora para bombar assim: aplicar-se-ão as disposições da Lei Geral de Proteção de Dados. Ô coisa linda! Letra A: o mesmo tratamento dispensado aos órgãos e entidades do poder público. Esse aqui é justamente o nosso gabarito. E vamos avançar; nossa, temos até um dia, tá certo? Vamos para a letra B: tratamento específico que lhe conferir o TCU. Não tem nada a ver! O Tribunal de Contas da União criar um tratamento específico? Tratamento específico que lhe conferir a Autoridade Nacional de Proteção de Dados? Similar à iniciativa privada? Olha, a

Autoridade Nacional de Proteção de Dados, ela vai trazer lá um monte de regra específica e tal, mas não de criar uma política diferente para essa entidade. Já vimos que não é o caso. Letra D: o mesmo tratamento das pessoas jurídicas de direito privado (particulares). Aqui é se ela fosse exploradora de atividade econômica e não houvesse a informação de operacionalização de políticas públicas. E a letra E: tratamento específico que lhe conferir o Conselho Nacional de Proteção de Dados Pessoais. Não, não é similar ao setor privado! E o Conselho Nacional de Proteção de Dados, ele é mais

assim um órgão meio construtivo e tal; ele não faz esse tipo de medida. Então, letra A é o nosso gabarito. E com isso, nós fechamos essa parte inicial. Agora eu vou voltar para o artigo 23. Superamos a parte; agora eu volto para o artigo 23 para a gente entender exatamente o que ele está querendo nos dizer. O artigo 23, ele começou a falar então sobre os aspectos de aplicação da LGPD para os órgãos do poder público e ele fala o seguinte: o órgão no poder público deve usar a informação para o atendimento de uma finalidade

pública, na persecução do interesse público e com o objetivo de executar as suas competências legais ou de cumprir as atribuições legais do serviço público. O que é importante a gente deixar claro? O órgão público, o órgão entidade pública, não pode captar informações simplesmente porque ele quer. Chega lá determinado prefeito, chega na secretaria e falou assim: “tchau, a partir de agora, quando chegar um cidadão para fazer um pedido, faz diferente!” É o prefeito malvadão! O prefeito malvadão chegou lá na secretaria que emite alvará de funcionamento de determinado setor; o prefeito malvadão mandou o seguinte: “a partir

de agora eu quero que vocês captem todos os dados!” Cara, o prefeito malvadão não pode pedir isso! Porque os dados pessoais, eles somente poderão ser utilizados para atender a finalidade pública, para atender as competências legais tanto do órgão quanto as competências de serviços públicos. Não pode ser para outro propósito, para outra finalidade. É o básico do básico, mas está lá no caput do artigo 23. Além disso, ele fala o seguinte: que sejam informadas as hipóteses em que, no exercício de suas competências, realize o tratamento de dados pessoais. Fornecer informações claras e atualizadas sobre a previsão

legal, a finalidade, os procedimentos, as práticas utilizadas para a execução dessas atividades em veículos de fácil acesso, preferencialmente em sítios eletrônicos. Logo após acabar essa aula, eu vou pedir para você entrar no site de algum órgão que você gosta. Tipo vou entrar no ar, na Receita Federal, vou entrar no TCU, entra no site desses órgãos mais estruturados, os órgãos do Poder Judiciário, e etc., e procura lá alguma linha, alguma guia que seja falando da LGPD. Você vai ver que lá existem informações: “esse órgão faz o tratamento de dados pessoais para este propósito”. Entre algum lugar

em que ele, algum site desses, que ele pede para você cadastrar alguma informação, vai ter uma guia lá falando: “esse órgão cumpre as normas da LGPD e utilizará essas suas informações exclusivamente para isso.” Ou seja, os órgãos e entidades públicas devem informar que fazem o tratamento dos dados pessoais, esclarecer para qual finalidade esses dados são tratados. Entra naquele aplicativo do gov.br; para que ele tem os seus dados lá? Ele vai ter que te contar para que ele está usando essas suas informações. Inciso 3: o 2 foi revogado, então vamos para o 3. Seja indicado o

encarregado quando realizar operações de tratamento de dados pessoais, nos termos do artigo 39. O que é o encarregado? Encarregado, nós já vimos na parte conceitual da nossa aula, é aquela figura que funciona como canal de comunicação. Então, é o seguinte: você ficou sabendo que um órgão público está compartilhando as suas informações fora das hipóteses legais. Com quem você vai se comunicar? Com esse órgão público? Com o encarregado! Desculpa, o encarregado é a pessoa que faz essa comunicação entre o controlador da informação, o titular e a Agência Nacional de Proteção de Dados. Então, esse encarregado, a

informação dele deve ser divulgada. É uma questão: esses dias disseram assim: os órgãos públicos não precisam divulgar o encarregado. Tem que divulgar! O encarregado, tanto privado quanto o público, tem que ter lá o encarregado, que é a pessoa para comunicação a respeito da aplicação da LGPD. O parágrafo primeiro disse que a Autoridade Nacional poderá dispor sobre a publicidade das operações de tratamento. O parágrafo segundo diz que as regras da LGPD não dispensam as pessoas jurídicas de instituir as autoridades previstas na Lei de Acesso à Informação. Ou seja, a LGPD não exclui a lei. De acesso

à informação e os prazos e procedimentos para o exercício dos direitos do titular perante o poder público observarão o disposto na legislação específica, em especial o que consta na Lei do Habeas Data, na Lei Geral de Processo Administrativo e na Lei de Acesso à Informação. Aqui, esse dispositivo, ele assim, ele é muito mal elaborado. Mas por que ele é muito mal elaborado? Primeiro, porque ele está desconsiderando, por exemplo, que a Lei de Processo Administrativo só vale para a União (Lei 9.784). Cada ente tem a sua própria lei de processo administrativo. Então, a Lei 9.784 é

para a União. O segundo ponto é que, quando ele fala que vai observar os direitos do titular, os prazos e procedimentos, essas normas... Mas como que eu vou saber qual é a norma? Qual é a situação? Então, ficou meio confuso. Talvez teria sido melhor a própria norma já dizer quais são esses prazos e quais são esses procedimentos. Mas tudo bem, o que nos interessa é saber disso. Então, vamos resumir aqui os cinco pontos que você precisa saber dessa parte da LGPD: 1. A utilização do tratamento de dados pelos órgãos públicos deve atender à finalidade pública

e às competências legais. 2. As competências de serviços públicos devem observar as hipóteses de tratamento definidas na LGPD. 3. Devem indicar o encarregado das operações. 4. A Autoridade Nacional pode dispor sobre as formas de publicidade dessas informações. 5. E, por fim, os prazos e procedimentos da Lei do Habeas Data, da Lei de Processo Administrativo e da Lei de Acesso à Informação. Agora, vamos falar do formato dos dados, como que os dados são armazenados dentro dos bancos de dados do poder público. O artigo 25 diz que os dados deverão ser mantidos de forma interoperável e estruturada

para uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral. Vou contar uma história, um causos que aconteceu quando eu trabalhava no setor público, para fazer uma introdução e você entender o que é interoperável. O caso que eu vou explicar não é exatamente o que está na LGPD, mas ele vai ajudar a entender. Determinado órgão, certa vez, quis fazer a contratação de celulares que tinham GPS para fazer a geolocalização. Sei que, hoje em dia, isso

é básico, mas na época não era tão básico assim. Aquele celular seria utilizado por agentes de trânsito para, na hora de fazer o auto de infração, ter a comprovação de que o agente de trânsito estava naquele local, para dar, assim, uma credibilidade maior à atuação desse agente de trânsito. Só que quem opera esse sistema de multas era o setor do Estado. E aí qual foi o problema? Os dados que eram tratados aqui no município não rodavam no sistema do Estado, e o sistema do Estado não rodava no sistema do município. Esses dados não poderiam ser

operáveis em diferentes sistemas. Um só operava e só funcionava porque era um sistema proprietário, e outro tinha um outro sistema proprietário aqui. Ou seja, esses dados não eram mantidos de forma interoperável. Quando eu falo de manter de forma interoperável, é de tal forma que a base de dados daqui possa conversar com essa base de dados de lá. Então, por isso, os dados do setor público devem ser mantidos dessa forma. Vou pegar um segundo exemplo para vocês. A Controladoria Geral da União (CGU) faz a manutenção do Portal da Transparência do Poder Executivo Federal. Vamos supor que

a Receita Federal faça o cadastro das informações sobre a remuneração de seus servidores. Só que esse cadastro feito pela Receita Federal aqui não conversa com o sistema do Portal da Transparência da CGU, de tal forma que a CGU não consegue captar essas informações para disponibilização nesse novo banco de dados. Veja, eu tenho alguém alimentando uma base de dados, e essa base de dados não conversa com essa outra base de dados. Isso não pode acontecer porque o sistema tem que ser interoperável, ele deve ter a capacidade de operar nas diferentes bases. E o que é estruturado?

Para você entender o que é estruturado, eu vou fazer um rápido desenho. Uma imagem vale mais que mil palavras, e eu vou trazer também um exemplo. Sabe quando você vai fazer aquele, acho que é CAPTCHA, eu não sei se o nome está certo, em que você tem que clicar lá "eu não sou um robô"? É aquele negócio que pede para você marcar quantos sinais de trânsito você vê, só que aquele negócio é todo torto. E você fica olhando: "Caraca, meu filho, isso aqui é para considerar que é um sinal ou não é para considerar que

é um sinal?" Você não consegue identificar aquilo, mas aquilo é proposital porque o robô também não consegue fazer essa leitura. E essa que é a ideia: o robô não consegue fazer essa leitura, aquele dado não é estruturado. A gente não consegue ter um padrão para captar aquela informação. Aquelas letras todas trocadas são para tirar um pouquinho dessa estruturação. Então, um dado que é estruturado normalmente é uma tabela. A tabela é o exemplo clássico. Olha só, quando eu chego à tabela, eu tenho um exemplo clássico de dado estruturado porque, na tabela, eu tenho as colunas e

as linhas. Se eu chegar e falar para você: "Olha, estou lá no Excel, na linha A52 ou na célula 52", você consegue fazer uma leitura dessas informações. Isso é um dado estruturado. Esse é um dado estruturado. E o que é um dado não estruturado? É aquele dado que é assim: aqui você tem uma informação, aqui você tem outra, aqui você tem outra, aqui você tem mais uma. Aqui você tem mais uma, aqui você tem uma, aqui, aqui você tem uma outra, aqui, aqui você tem uma outra, aqui tem mais uma, aqui tem mais uma, aqui

tem mais uma. Isso é um dado não estruturado. Eu não consigo dar para você uma localização; eu não consigo fazer uma leitura básica sobre essas informações. Uma música é um exemplo de dado não estruturado; a música não é estruturada. As imagens, em regra, não são estruturadas. Vou pegar um outro exemplo para vocês, tá? Hoje em dia, os sistemas melhoraram muito. Hoje em dia, tem imagens que são textos, que os sistemas já conseguem fazer. Leitores já são legíveis, tal. Então, a gente até pode dizer que, em algumas situações, elas serão estruturadas, mas, a priori, não são.

Quando eu era servidor, não, quando estava, quando eu estudei para concurso público, eu cadastrei lá no banco de dados do site do portal do Diário Oficial para receber a notificação quando a minha nomeação saísse. Eu não vi na madrugada, recebi os parabéns de um amigo meu, mas pensei: “Pô, mas por que o sistema não me forneceu?” Porque o camarada que foi colocar os dados estava com preguiça no dia e, ao invés de digitar e colocar lá a informação, ele pegou a portaria de nomeação, deu um print nela e jogou no Diário Oficial. O que acontece?

O sistema não conseguia fazer a leitura daquela situação; não conseguia fazer a leitura daquela informação. Hoje em dia, muitos desses sistemas já conseguem ler imagens, mas, naquela época, não estava atendendo a esse requisito. Então, os dados, hoje em dia, precisam ser estruturados e interoperáveis. Eles têm que ter uma estruturação; eles podem ser lidos, transportados e trabalhados entre diversos sistemas. É basicamente isso que a LGPD está dizendo para a gente. Então, vamos lá: interoperáveis, estruturados para uso compartilhado, com vistas à execução de políticas públicas, prestação de serviços públicos, descentralização da atividade pública e disseminação do acesso

às informações. Aqui um resumo para a gente. Então, formato da disponibilização das informações. Conversem nos vários sistemas estruturados; ele é organizado para uso compartilhado porque vários órgãos vão compartilhar essa informação. Essa que é a ideia para que eu tenha execução de políticas públicas. Imagina só: se eu vou fazer uma campanha sobre vacinação e eu preciso de informações em que o município está alimentando uma base de dados, e essa base de dados vai para um sistema centralizado no Ministério da Saúde. Para isso acontecer, o sistema tem que ser operável, estruturado; senão, não vai dar certo. Segundo

ponto: para a prestação de serviços públicos. Se eu preciso saber como está uma situação de fome, por exemplo, para saber onde eu preciso fazer investimento, onde eu preciso fazer um tratamento mais adequado, eu preciso que esses sistemas conversem para fazer a descentralização da atividade pública. Hoje em dia, nós nos preocupamos cada vez mais com que a atividade não seja centralizada, que ela seja descentralizada perto do usuário, mas, para isso acontecer, o sistema tem que conversar, porque a informação tem que chegar lá e tem que voltar para cá. E também tem que ter a disseminação do

acesso às informações. Eu, como usuário, quero ter acesso às informações, como está a qualidade da prestação do serviço público, quanto ganha um agente público; eu preciso disso. E, para isso funcionar, a base de dados tem que ser montada da forma adequada. Resumão, né? Mas é para ajudar vocês. Aí vamos lá, vamos resolver uma questão em termos de tratamento de dados pelo poder público. De acordo com a LGPD, os dados deverão ser mantidos em formato interoperável e estruturado para uso compartilhado, com vistas a diversas finalidades. Questãozinha que caiu na prova da SEFaz Minas de 2023: consoante

dispõe o citado diploma legal, assinale a opção que não apresenta uma dessas finalidades. Quais são as finalidades que nós temos? Execução de políticas públicas. OK, tá aqui ó, execução de políticas públicas. Segundo item, vou pular letra B, prestação de serviços públicos; aqui ó, prestação de serviços públicos. Terceiro item, descentralização da atividade pública; também tá aqui ó, descentralização da atividade pública. Quarto item, disseminação e acesso às informações pelo público em geral; também uma finalidade, disseminação e acesso às informações pelo público em geral. Você consegue perceber que, apesar de ser uma questão de decoreba, quando você entende

qual é o motivo de o dado ser interoperável e estruturado, fica fácil de entender? Esquisito, olha isso: não é para alimentação de sistemas gerais de informática; não é para isso, não é essa finalidade. O sistema já está sendo alimentado, então você não vai fazer isso para alimentar o sistema. Já estou dizendo que a forma como o sistema é montado é desse método, então não existe essa alimentação de sistemas gerais de informática. Então, para quem não viu todos os itens, aqui é um resumo, né? Mas lá na lei a gente vai ter lá de disseminação e

acesso de informações pelo público em geral. Perfeito, superado isso, gabarito letra B de bola e agora nós vamos avançar para o artigo 26 da nossa Lei Geral de Proteção de Dados. Vamos fazer o seguinte: vou chamar um intervalo, uma vinheta, a gente já volta para seguir. Até daqui a pouco. [Música] E aí, pessoal, tudo certo? Patrícia, isso não é criptografia, tá? Criptografia é uma forma de você gerar segurança. Criptografar dados você vai criar uma camada de segurança para que quem conseguir buscar aquela informação não consiga fazer a leitura dela. O que eu estou falando aqui

de uma informação não estruturada; ela não é sinônimo de uma informação não estruturada. Uma imagem, essas imagens do caput para vocês, elas não são estruturadas e ela não é criptografada, mas ela não é estruturada, tá? Então, uma coisa não se confunde com a outra. Tá bom? Nós vamos falar de... Sanções, sim. Tá, Alessandro? Daqui a pouco a gente vai falar sobre sanções. Perfeito! Vamos agora para mais um bloco. 8 e 19. Eu vou fazer... eu calculo que a nossa aula vai ter umas 21:40, vou chutar assim. Então, a gente vai tocar direto, sem intervalo, e

eu vou tentar... eu vou imaginar mais ou menos umas 21:40, para vocês conseguirem se planejar em relação ao tempo de vocês. Então, vai segurando aí para conseguir manter na aula até o horário que tem que manter, porque essa aula é muito importante, de fato. Tá, vamos lá então, roda a vinheta e vamos para mais um bloco. Vamos nessa! [Música] Meu povo, vamos prosseguir então agora com o artigo 26. Fizemos essa parte introdutória sobre o poder público e agora a gente vai falar de alguns aspectos mais práticos sobre quando o poder público pode compartilhar dados pessoais.

Porque, ó: o poder público recebe esse dado, ele pode compartilhar esse dado. Como que ele pode compartilhar esse dado? O artigo 26 responde para a gente, falando o seguinte: o uso compartilhado de dados pessoais pelo poder público deve atender a finalidades específicas de execução de políticas públicas, a atribuição legal pelos órgãos e entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no artigo 6º da Lei Geral de Proteção de Dados. Então, assim, haverá situações em que o poder público vai usar os dados pessoais de forma compartilhada; vai, ele vai fazer isso para atender

as suas finalidades específicas na execução de políticas públicas ou no exercício das suas atribuições legais, e sempre ele terá que observar os princípios de proteção de dados pessoais. Você dá para analisar, ela analisar, tem que tomar as cautelas, isso, aquilo... todas as informações o poder público vai ter que observar, tá ok? Aí o parágrafo primeiro diz pra gente que é vedado ao poder público transferir a entidades privadas, transferir a entidades privadas dados pessoais constantes da sua base de dados. Então, se uma questão de prova te perguntar: "O poder público pode compartilhar dados pessoais que constam

na sua base de dados?" Ele pode? Na verdade, não. Vou usar a expressão compartilhar porque entre os órgãos e entidades é comum o compartilhado. A Receita Federal compartilha a sua base de dados, por exemplo, com o Tribunal de Contas da União. Não toda a base, logicamente, mas algumas informações. Eu, quando trabalhava no Tribunal de Contas, nós tínhamos acesso a algumas bases do Governo Federal para conseguir localizar o endereço daquela pessoa. Então, existe um uso compartilhado de dados no setor público. É possível fazer uso compartilhado, sim, desde que atenda às finalidades e às atribuições legais e

observe os princípios da LGPD. Essas três regras: finalidade, de competência legal e princípio da LGPD. Agora, nós vamos para o próximo tópico: eu posso transferir os dados para a iniciativa privada? O dado está na base pública. Eu posso transferir para uma entidade privada? Aqui, logicamente, pela regra, não. Então, o que a Lei Geral de Proteção de Dados fala pra gente? Como regra, é vedada a transferência de dados para o setor privado. Ok? Se essa é a regra, já vem a próxima informação: "Tá, professor, se essa é a regra, quais são as exceções?" Ou seja, quando

que o poder público poderá transferir dados da sua base para o setor privado? Segundo a LGPD, é possível fazer essa transferência: 1. Para execução descentralizada de atividade pública que exija a transferência exclusivamente para esse fim específico e determinado, observado o disposto na Lei de Acesso às Informações. O que ele quer dizer com "observar o disposto na Lei de Acesso à Informação"? Ele não sabe exatamente, mas é só pra gente saber que é possível. 2. Primeira situação em que você pode fazer: para execução descentralizada da atividade pública. Imagina a seguinte situação: o poder público contratou uma

empresa para fazer a aplicação de vacinas. É uma empresa privada terceirizada que vai fazer a aplicação das vacinas. Nessa execução, essa empresa vai ter acesso, por exemplo, ao nome, CPF, endereço da pessoa, o básico. Só aquelas informações necessárias para ela preencher o banco de dados. Ela recebe: "Ao Senhor, seu João, você tá realmente nessa área, possa aplicar a vacina." Ela cadastra e deu. Só pra isso, exclusivamente para o fim específico e determinado. Não é compartilhar pra pegar a base de dados e fazer o que você quer, é só para esse propósito. 3. Segunda situação: nos

casos em que os dados forem acessíveis publicamente. Opa! Qual que é o próximo caso? Então, aqui, dados acessíveis publicamente. Lembra que a própria Lei Geral dispensa o consentimento quando a pessoa divulga as informações por iniciativa própria. Ela mesma vai lá e torna pública a informação, não precisa de consentimento. Então, naturalmente, o poder público também poderia fazer a transferência porque essa informação já está divulgada. Existe também alguns dados que são dados de conhecimento público. Esses dados de conhecimento público que você consegue acessar na internet, a Lei aqui, a colar, poderia... o poder público pode transferir, porque

ele não tá tendo nada de novo, ele não tá inovando em nada. Olha, essas informações já são públicas, todo mundo já conhece. Eu tô compartilhando com essa empresa que tá me ajudando na prestação de alguma atividade. 4. Terceira situação: o terceiro caso é quando houver previsão legal. Se houver previsão legal, é possível também fazer a transferência desses dados para o setor privado. Previsão legal. Outro... estou escrevendo meio rápido, então vai ficar meio torto aqui o negócio, mas vamos lá. 5. Quarta situação: quando esse compartilhamento tiver como respaldo contratos, convênios e afins. Imagina o seguinte: a

administração pública fez uma licitação e, nessa licitação, ganhou a empresa de lapidando horário SA. A empresa de lapidando ganhou o processo licitatório. Ela será contratada. Essa contratação envolve uma obra pública de grande extensão para ajudar nas medições. O poder público contratou uma outra empresa... Uma terceira empresa, a empresa Medições S.A., essa empresa Medições S.A., ela seria encarregada de realizar determinadas medidas, fornecendo-as ao poder público para utilização na hora da fiscalização do contrato, realização de pagamentos, etc. Nesse caso, o próprio contrato do poder público com a empresa de Lapidando Horário dizia o seguinte: "Para fins de

execução desse contrato, o poder público poderá transferir informações sobre a empresa de Lapidando Horário para a empresa Medições S.A.". É claro que aqui eu falei da Lapidando Horário, que é uma pessoa jurídica, mas trocando pessoa jurídica por uma pessoa natural, poderemos transferir os dados da pessoa natural para a empresa Medições S.A. para a realização da fiscalização do contrato. Veja, o compartilhamento tem respaldo em contrato, convênios e afins. Nessas hipóteses em que acontece o compartilhamento baseado em contratos, convênios e afins, a LGPD diz que esse compartilhamento aqui deverá ser comunicado à Autoridade Nacional de Proteção de

Dados. Então, posso fazer o compartilhamento respaldado em contratos, convênios e instrumentos afins? Posso. Posso fazer esse compartilhamento. Esse compartilhamento, entretanto, deve ser comunicado à Agência Nacional de Proteção de Dados Pessoais. A quarta e a quinta hipótese de compartilhamento é na hipótese em que a transferência dos dados objetivar exclusivamente a prevenção de fraudes e irregularidades, protegendo e resguardando a segurança e a integridade do titular dos dados, desde que vedado o tratamento para outras finalidades. Portanto, a última hipótese é a hipótese de prevenção. Vamos pegar um caso aqui para vocês entenderem: a prevenção de fraudes. O portal

Corre BR tem agora uma série de dados nossos, inclusive com leitura de leitor facial e outras informações. Esse portal tem lá muitas informações nossas. Vamos supor que, em determinado dia, você queria contratar um contador para fazer a sua declaração de imposto de renda. Você entrou no portal e cadastrou a procuração desse seu contador. Nesse caso, o seu contador vai ter acesso a algumas informações suas, mas você autorizou isso e esse compartilhamento do portal com o contador pode ser utilizado para prevenir alguma fraude sobre os seus dados em relação à declaração de imposto de renda e

outras medidas. Então, nesse caso, o compartilhamento dos dados do setor público com o setor privado teve um propósito de coibir, de impedir a prática de algum tipo de fraude na hora de fazer a apresentação da declaração de imposto de renda. Então, nós podemos ter esse tipo de medida, podemos, e aqui eu vou preservar a segurança e a integridade do titular. Então, você pode fazer isso, mas não é um compartilhamento aleatório, né? O outro exemplo não é o exemplo aqui desse caso específico, mas é que nós já fizemos uma leitura de um dispositivo parecido com esse,

que é o que acontece, por exemplo, entre os bancos e instituições, em que você tenha compartilhamento de dados para evitar que clonar o seu cartão de crédito, fazendo compras que você não autorizou. Então, às vezes, existe esse tipo de compartilhamento em que você transfere dados à iniciativa privada para tentar prevenir fraudes e irregularidades. Porém, tem que preservar a segurança e a integridade do titular; não é sair compartilhando qualquer tipo de coisa. Existe uma razoabilidade na execução desse tipo de medida. Superada essa parte do curso de compartilhamento de dados, eu vou trazer agora o artigo 27.

O artigo 27 é bem parecido com o artigo 26; ele fala para a gente assim: a comunicação e uso compartilhado de dados pessoais de pessoa jurídica de direito público com a pessoa jurídica de direito privado será informada à Autoridade Nacional e dependerá de consentimento do titular. Qual é a diferença aqui? Eu tenho a transferência do dado; eu estou pegando o dado daqui e transferindo para lá. Isso é transferência do dado. No artigo 27, eu estou falando de comunicação e uso compartilhado dos dados pessoais, tanto da pessoa jurídica de direito público quanto da de direito privado,

que simultaneamente poderão utilizar esses dados. Esse é o nosso uso compartilhado de dados pessoais. Um órgão público pode fazer o uso compartilhado do dado com uma pessoa jurídica de direito privado, desde que a gente observe alguns pontos. São dois requisitos para esse uso compartilhado: um, que haja a informação à Agência Nacional de Proteção de Dados; dois, que haja o consentimento do titular. Então, aqui, para a comunicação e uso compartilhado de dados, eu preciso da comunicação à Agência Nacional de Proteção de Dados e do consentimento do titular da informação. Porém, entretanto, todavia, contudo, existem hipóteses em

que é possível fazer a comunicação e uso compartilhado sem comunicar à agência nacional e sem o consentimento do titular. Quando isso acontece? São três hipóteses: inciso 1, nas hipóteses de dispensa de consentimento, naturalmente. Se eu já poderia acessar a informação sem o consentimento do usuário, eu não preciso do consentimento dele para transferir. Eu não precisava do consentimento para tratar, então não preciso do consentimento para fazer uso compartilhado. Segundo, nos casos de uso compartilhado de dados em que será dada a publicidade nos termos do inciso 1 do caput do artigo 23, ou seja, nas próprias hipóteses

em que a LGPD já previu o uso compartilhado de dados, então já é um dado para ser utilizado de forma compartilhada, só que, nas situações, eu tenho que dar a publicidade. Eu tenho que informar que os dados que eu vou captar aqui, eu vou fazer uso compartilhado deles, então tem que dar publicidade disso; a pessoa tem que ter ciência de que haverá esse compartilhamento. E a terceira hipótese, nas exceções que admitem a transferência para as entidades privadas. Quais são as exceções? Essas que nós vimos no artigo 26. Nessas hipóteses aqui, como eu já posso transferir

para a iniciativa privada, eu também posso fazer uso compartilhado. Pensa comigo: eu não posso transferir para ele, então também posso fazer uso compartilhado. Então, nesses três casos: dispensa de consentimento, nas próprias... Hipóteses de uso compartilhado previstas na LGPD que haja publicidade e também quando eu admitir a transferência para entidades privadas: eu posso fazer o uso compartilhado, a comunicação e o uso compartilhado, independentemente de consentimento e de aviso à Agência Nacional de Proteção de Dados Pessoais. Para quem não é da área, algumas coisas podem soar meio repetitivas. Você pode ficar pensando: "Professor, mas eu não consegui

pegar a diferença de um para o outro." Você não precisa pegar a diferença de um produto, até porque algumas situações são normas que se sobrepõem. Às vezes, acontece que nessas situações muito sensíveis é comum o legislador colocar artigos que se sobrepõem. Então, não fique tentando entender, "ai, professora, não consegui entender a diferença". É porque às vezes não tem diferença. E aí você só pega essas três hipóteses para hoje. Tá saindo difícil? Aí, hipóteses para você acertar sua questão de concurso público. Vamos lá! Agora, o artigo 29 e 30 são fáceis de entender. O artigo 29

fala que a autoridade nacional poderá solicitar a qualquer momento aos órgãos e entidades públicas a realização de operações de tratamento de dados pessoais, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado, e poderá emitir parecer técnico complementar para garantir o cumprimento dessa lei. Em outras palavras, a Agência Nacional pode chegar para os órgãos e entidades públicas e falar o seguinte: "Ó, eu quero que você faça essa operação de dado porque eu tô vendo aqui o armazenamento de vocês não tá adequado. Quero que você faça uma anonimização, eu quero

que você faça isso, aquilo, aquilo outro. Eu prometi um parecer para saber se tá tudo certo." Essas informações nós vamos buscar. O artigo diz que a autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e uso compartilhado de dados pessoais. Show de bola! O artigo 31 trata das responsabilidades, dizendo que quando houver infração a esta lei em decorrência do tratamento, a autoridade nacional poderá emitir informe com as medidas cabíveis para acessar a violação. Naturalmente, a ANPD, Agência Nacional de Proteção de Dados, identificou uma falha, comunicou ao público e fala o seguinte: "Vocês erraram

nessa parte, corrijam." O artigo 32 diz que a autoridade nacional poderá solicitar a agentes do poder público a publicação de relatórios do impacto à proteção de dados e sugerir a adoção de padrões de boas práticas para o tratamento de dados pessoais. Você pede esse relatório para o pessoal sair e buscar, analisando como está o tratamento de dados. "Ó, faz um relatório aí para você ver como tá o impacto da proteção de dados, mitigação de riscos, entre outros pontos." Simples assim. Aqui repetiu, né? Então vamos lá. Questão de prova: a Lei Geral de Proteção de Dados

dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais e a liberdade de privacidade, o livre desenvolvimento da personalidade da pessoa natural. De acordo com a LGPD, a comunicação e o uso compartilhado de dados pessoais de pessoas jurídicas de direito público para pessoas de direito privado será: a questão é: posso ter comunicação e uso compartilhado de dados pessoais da pessoa de direito público para a pessoa de direito privado? Nós vemos que sim, nós podemos ter

essas situações. Um: quando há consentimento e comunicação à ANPD; e dois, em situações em que eu não preciso do consentimento e comunicação à ANPD, que são essas três hipóteses que nós trouxemos aqui: quando há dispensa de consentimento, quando já é um caso de uso compartilhado ou ainda nas exceções em que eu posso transferir as informações para as entidades privadas. Vamos resolver então a questão. Letra A: "É vedado em qualquer hipótese por se tratar de dados sensíveis." Pessoal, primeiro que não é vedar em qualquer hipótese. Segundo que dado sensível não é sinônimo de dado personal. Tem

o dado pessoal e o dado pessoal sensível. Letra B: "Permitido em regra, diante da publicidade da administração pública." Em regra, não. Em regra, eu não posso fazer isso. Eu tenho uma série de condicionantes para poder fazer esse tipo de medida. Então tá errado. Princípio da publicidade, exceto nos casos expressamente previstos em lei, vedado em qualquer hipótese por se tratar de dados sensíveis cuja proteção decorre implicitamente da proteção da segurança nacional. Nós já vimos que não é vedar em qualquer hipótese porque nós temos várias possibilidades informadas à autoridade nacional e dependerá de consentimento do titular, exceto

nas hipóteses previstas em lei. Esse é o gabarito. Eu tenho que formar ANPD e eu preciso do consentimento, exceto nas ressalvas que a LGPD traz para a gente. Esse é o gabarito. Letra D e a letra E. A letra E fala para a gente assim: "Autorizado em regra dignamente diante dos princípios da publicidade e da transparência, exceto se a entidade titular dos dados previamente impedir o compartilhamento mediante decisão fundamentada." Cara, não é isso. Não é autorizado em regra. Não existe essa situação. A invenção na banca... eu gosto dessas questões contextualizadas que não são aquelas tipo

muito nítidas, né? Que eles trazem uma história bonita, mas você sabe que essa história bonita não tá na lei. Por isso, a letra E não é o gabarito. A letra D de dado. E com isso, nós conseguimos fechar mais um bloco aqui da nossa aula de hoje. Até daqui a pouco. [Música] Mais um bloco, né, meu povo? Mas vamos lá, pessoal. Eu sei que vocês estão falando do simulado, estão falando do que saiu, local de prova, que isso, que aquilo. Mas vamos tentar manter o foco na aula. Cara, mantenham aqui. Depois vocês correm atrás dessas

outras informações. Senão, você não faz nenhuma coisa direito, nem outra. Aí tá aqui a informação rodando e o espertinho tá lá contando como o tempo de estudo, mas não tá estudando nada. Então, vamos manter o foco. A nossa aula de hoje não precisa pedir desculpa, não é só um toque mesmo, que é fácil às vezes a gente se distrair. Não tem foco? Mano, tenho foco na aula, que é importante para vocês, tá bom? Pessoal, vamos lá, então, para mais um tópico. Como eu falei para vocês, pela minha previsão, do que a gente volta a terminar

aqui, falta nós vamos para o slide 27 até o 49 dessa parte. Então, acho que a até a gente vai acabar antes das 9:30, então, mais um bloquinho. Esse bloco vai ser o nosso último bloco, tá? Então, aqui o último bloco, mais uns 40 minutinhos e a gente encerra a aula de hoje. Então, até 9:25, mais ou menos, um pouquinho antes das 9:30, eu acredito que nós vamos conseguir concluir o nosso conteúdo. Então vamos lá, roda a vinheta e vamos para mais um bloco. [Música] Aí, pessoal, vamos continuar aqui com a LGPD. Se você já

chegou até aqui, você já superou o caminho mais difícil, né? Então, fica tranquilo que agora é aquela reta final, últimos tópicos. Claro, tem um ou outro assunto que a gente vai deixar ali de lado para você trabalhar com a sua leitura, etc. e tal, mas, basicamente, os assuntos essenciais nós teremos abordado aqui de uma forma ou de outra. Então, vamos falar agora sobre os agentes de tratamento de dados pessoais. Nós já falamos sobre eles no começo, na parte conceitual. Nós temos o controlador, o operador e também o encarregado, né? Qual que é a diferença? O

que cada um desses aqui representa? Quando a gente fala do controlador, o controlador, basicamente, é aquela pessoa, tanto de direito público quanto de direito privado, que toma as decisões. Eu vou colocar aqui uma palavra-chave para você poder lembrar: o controlador é aquele que toma as decisões a respeito das informações. A LGPD também fala do operador. O operador pode ser uma pessoa natural, quando fala de pessoa natural pode ser uma pessoa física, nesse caso, ou então vai ser uma pessoa jurídica, tanto de direito público quanto de direito privado, que é quem realiza o tratamento dos dados.

Então, é aquela pessoa que vai, de fato, colocar a mão na massa, realizando as diversas operações que a LGPD menciona. Então, o controlador toma decisão, o operador faz o tratamento das informações. Nós também temos o encarregado. O encarregado vai ser aquela pessoa indicada tanto pelo controlador quanto pelo operador, e o objetivo desse camarada aqui, ó, desse encarregado, é fazer aquela tarefa de comunicação. Então, quando nós vamos falar aqui, qual que é a chave? A palavra-chave dele é comunicação. Professor, mas já aproveita e fala que tipo de comunicação. Bom, na verdade, como daqui a pouco eu

vou ter um tópico para falar especificamente sobre o encarregado, eu vou deixar para depois, mas já adiantando para vocês, o encarregado é aquele portal, aquela pessoa que você vai ter o contato tanto do controlador/operador com o titular da informação, como também com a NPD, que é a nossa Agência Nacional de Proteção de Dados Pessoais. Então, é o encarregado que faz esse tipo de contato de comunicação. Superando essa parte inicial, só para a gente lembrar dessas três figuras, eu vou falar aqui de algumas exposições a respeito do controlador e do operador, mas, na verdade, essa parte

aqui ela é meio intuitiva, assim, não tem muito que a gente explicar. Você faz uma leitura da LGPD e você pensa o seguinte: cara, não precisa nem estar escrito, mas está lá. Então, só para a gente dar uma rápida passada, o artigo 37 fala para a gente que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseadas no legítimo interesse. Essa história de manter o registro é como se você tivesse ali... Bom, vou até dar um nome para isso aqui: isso aqui é denominado de inventário.

O que que tem nesse inventário? Esse inventário tem todos os registros das operações realizadas a respeito do tratamento de dados pessoais. Não tem esse monte de polêmica que acontece aí às vezes sobre algum órgão público. É óbvio que a LGPD não vale só para os órgãos públicos, mas em direito administrativo seria o nosso principal foco. Mas, às vezes, acontecem essas polêmicas sobre um dado de determinado usuário de serviço público, determinado cidadão que vem e tem um vazamento. A pessoa fala: "Calma aí, o que foi que aconteceu?" E aí nós vamos buscar lá quais são as

informações para saber quem é que fez esse tratamento. E aí, às vezes, ali a gente consegue identificar onde houve o tratamento inadequado, onde houve o vazamento dessa informação, o compartilhamento inadequado. Por isso, nós precisamos manter esse registro de todas as operações de dado e essa responsabilidade de fazer esse registro é do controlador do operador. Veja, não é nada assim tipo: "Ah, nossa, que novidade!" Para questão de prova, isso é meio básico. O artigo 38 fala pra gente que a Autoridade Nacional poderá determinar ao controlador que elabore um relatório de impacto à proteção de dados pessoais,

inclusive de dados sensíveis, referente às suas operações de tratamento de dados, nos termos do regulamento, observados os segredos comercial e industrial. Então, esse tipo de relatório aqui tem o objetivo de saber exatamente como é que está essa proteção de dados dentro daquele órgão, daquela entidade pública. Então, ou não só da entidade pública, como também dos eventuais particulares que precisam operar dados. Também é uma parte básica. O parágrafo único fala que, observado o disposto no caput, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para coleta e para garantia

da segurança das informações, e análise do controlador com relação às medidas salvaguardas e mecanismos de mitigação de riscos adotados. A verdade é que o objetivo desse relatório... É fazer. Eu vou usar a seguinte expressão: fazer a pessoa refletir, porque não tem quando você está fazendo ali uma operação do dia a dia, como vem agora a LGPD, e passa a trazer essa nossa preocupação. Tem pessoas que coletam dados já com o objetivo de dar um tratamento inadequado. Antigamente, isso era muito comum, mas hoje em dia, às vezes, você pega ali um estabelecimento comercial que está coletando

dados, e ele não tem nenhuma intenção de fazer um uso inadequado desses dados. Só que, como ele não está muito preparado para aplicar a LGPD, isso acaba acontecendo. As informações vazam para terceiros que não deveriam ter acesso a esse banco de dados. Então, quando a gente fala de elaborar um relatório de impacto à proteção de dados, muitas vezes é para fazer a pessoa refletir, porque olha o que o parágrafo único está falando. Tem que ter, no mínimo, quais os dados coletados. Opa! Que tipo de dado você coletou? Qual a metodologia que você usou para coletar

esses dados? Qual a garantia de segurança que você vai ter? E vai exigir uma análise do controlador, ou seja, ele vai ter que refletir a respeito das medidas de salvaguardas e mecanismos de mitigação de riscos. Então, para isso, que existe essa regrinha do artigo 38. Também bem básico: olha só como é que pode cair questão de prova, aquelas questões mais decorebas, né? A principal função da LGPD é a garantia do tratamento de dados pessoais em casos de riscos e danos aos direitos e liberdades individuais dos dados do titular. Nos casos em que pode haver riscos

à liberdade civis e aos direitos fundamentais, bem como as medidas de salvaguardas e mecanismos de mitigação de riscos, a lei sugere fortemente a criação de um documento específico para reconhecer esses riscos presentes no tratamento de dados. Esse documento está na lei, que também pode ser exigido ao controlador pela ANPD, conforme o artigo 38. E aí nós vamos entender qual é o tipo de documento que pode ser exigido, e a gente já viu que a LGPD pede, então, a elaboração do tal relatório de impacto à proteção. Então, a Autoridade Nacional exige esse relatório, e qual que

é o nome do relatório? É "relatório de impacto à proteção de dados pessoais", conforme consta na letra C. Então, bem básico, né? A questãozinha assim, só daquela coisa mais decoreba. Política de proteção de dados pessoais. Aqui, outra coisa: relatório de avaliação de vulnerabilidades não tem muito que explicar, porque os demais termos citados aqui simplesmente não são o tal relatório de impacto à proteção de dados. Inclusive, a LGPD também traz, apesar de eu estar tratando agora no artigo 38, que o conceito do relatório de impacto à proteção de dados está também lá na parte conceitual da

LGPD e, basicamente, ele vai falar que esse documento que o controlador faz a respeito da análise sobre os riscos e também medidas para mitigar os riscos na proteção de dados pessoais. Superado isso, vamos agora falar do encarregado. O artigo 41 diz que o controlador deverá indicar o encarregado para tratamento de dados pessoais. Tem um pequeno conflito entre o artigo 41 e lá o artigo que define o que é o encarregado. A LGPD sofreu uma atualização e lá consta que o encarregado pode ser indicado pelo controlador ou pela operadora. Só que, lá no artigo 41, ele

fala que o controlador deverá indicar o encarregado pelo tratamento de dados pessoais. Aí depende muito da forma como a questão é elaborada. Pode ser que a questão copie o artigo 41, pode ser que ela copie o conceito de encarregado; em um, ela vai dizer que é o controlador e a operadora, no outro, ela vai dizer que é só controlador. Você tem que ter aquele macete, sabe? Analisar o contexto da questão. Então, você vai indicar esse encarregado. A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente. Aqui, é para se preparar para aquele

tipo de pegadinha que às vezes vai ter: o nome do encarregado, para proteger o interesse dos usuários, deve ser mantido sob sigilo? Não, ele tem que ser divulgado. Eu diria que o encarregado é um pouco parecido com aquilo que, lá na lei de acesso à informação, nós temos lá o sistema de atendimento ao cidadão, tipo SAQue, né? Que tem na lei de acesso à informação, que é aquela pessoa ou aquele setor com o qual você vai se comunicar para fazer o pedido de acesso à informação. Agora, na LGPD, a pessoa que a gente vai buscar

para obter informações sobre o tratamento de dados pessoais é o encarregado. Então, o encarregado faz as comunicações. Por isso, o nome do encarregado deve ser divulgado publicamente. As atividades do encarregado consistem em aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, receber comunicações da Autoridade Nacional e, também, logicamente, adotar as previdências, orientar os funcionários e os controladores da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, porque esse camarada, o encarregado, vai ter conhecimento sobre o assunto e, então, ele vai passar essas orientações. O inciso 4 fala

em executar as demais atribuições determinadas pelo controlador, conforme estabelecido em normas complementares. Deixa eu avançar aqui. Então, olha só: informações que você tem que saber sobre o encarregado. Formação número 1: que o encarregado é indicado pelo controlador e, conforme já expliquei para vocês, pode ser também pela operadora. Ele é um canal de comunicação. Canal de comunicação entre quem? Entre o controlador, os titulares e a Agência Nacional de Proteção de Dados. Quais atividades ele recebe? As reclamações, presta esclarecimentos, recebe também as comunicações da ANPD e, nos dois casos, se for o caso, ele adota as previdências

cabíveis. Além disso, ele emite orientações aos funcionários, ao controlador e aos demais colaboradores da entidade e pode prestar outras atividades previstas em regulamento. Por fim. O parágrafo terceiro do artigo 41 diz que a Autoridade Nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte de identidade ou volume de operações e de tratamento de dados. Ou seja, em resumo, a NPD pode dispensar a indicação do encarregado em algumas situações. Imagina lá uma pequena pessoa jurídica, um comércio muito pequeno;

vai indicar uma pessoa para ser seu encarregado? Não faz muito sentido. E aí a NPD pode fazer a dispensa dessa indicação. Aqui, estou preparando vocês para aquelas pegadinhas de prova tipo: "Olha, nunca poderá ser dispensado"? Pode ser dispensado. Ele terá que ser mantido, esse elo não; o nome dele tem que ser público, entre outros pontos que para aparecer. Superar essa parte sobre os agentes de tratamento de dados, eu vou trazer um outro item que também vai ser um pouco mais "decoreba", que é a parte de sanções administrativas. Afinal de contas, né, se as pessoas fazem

alguma coisa de errado, elas podem sofrer penalidades, e a penalidade serve também como caráter preventivo. Olha, toma cuidado, senão pode dar algum problema. E aí, quais são as penalidades? Eu vou separar essas penalidades em três categorias. Número um é advertência. Por que a advertência é aquela chamada de atenção? Quais as penalidades administrativas que podem ser aplicadas? Só para esclarecer: quem aplica a penalidade é a Agência Nacional de Proteção de Dados, a NPD. Mas agora nós vamos ver os detalhes sobre quais sanções podem ser aplicadas. O artigo 52 diz para a gente que os agentes de

tratamento de dados, em razão das infrações cometidas às normas previstas nesta lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela Autoridade Nacional. Então, o primeiro ponto, eu quero ver se consigo pegar um slide em branco, porque eu não deixei um slide em branco separado só para isso. Eu vou copiar esse slide aqui, só me dá um segundinho que já consigo resolver isso. Vou colocar aqui... deixa eu acrescentar esse slide... colar... página... agora sim. O que quero trazer aqui para vocês a respeito da aplicação das penalidades? Como eu falei para vocês, quem aplica as sanções, as

sanções administrativas, o trabalho de apuração cabe à NPD. A NPD, Agência Nacional de Proteção de Dados, é quem tem competência para apurar e aplicar as penalidades. E segundo, as penalidades dependem de um processo administrativo. Nesse processo administrativo, existe o contraditório e a ampla defesa. A LGPD também vai trazer para a gente algumas situações que devem ser consideradas na hora de aplicação das penalidades. Por exemplo, qual é a gravidade da infração que foi cometida? Se houve ou não houve boa-fé? Se houve obtenção de alguma vantagem? Porque se o camarada, por exemplo, vende informações, obteve vantagem com

isso. Qual é a condição econômica do infrator? Porque uma coisa é aplicar uma multa para um pequeno comércio, outra coisa é para uma multinacional. Se houve reincidência também? Qual o grau de dano? Se há alguma cooperação do infrator? Se é uma adoção reiterada dos mecanismos capazes de impedir ou mitigar esse tipo de medida? Entre outras condições, são consideradas na hora de realizar a dosimetria. Então, vou colocar assim: dosimetria. Nessa dosimetria, são considerados diversos fatores que são citados na própria lei: volto a dizer, reincidência, condição econômica, qual é a sua vantagem aferida, se não houve boa-fé

ou não, entre outras condições. Superados aqui, vamos falar agora especificamente quais são essas sanções. Eu falei para vocês que iria dividir as sanções em três categorias. Quais são as três categorias? A primeira é a advertência. O que é advertência? Advertência é basicamente você chamar a atenção. Na advertência, você vai indicar o prazo também para a adoção das medidas corretivas, porque aqui é o seguinte: não adianta só advertir o camarada; ele tem que corrigir essa medida. Então, você faz isso na hora em que emite uma advertência. A segunda categoria é a categoria das multas. Nessa categoria

aqui das multas, você tem dois tipos de multas: você tem a multa simples e você tem a multa diária. Qual é a diferença? É que a multa diária é aquela multa para fazer você se mexer. A multa diária é assim: "Meu amigo, vamos lá, a cada dia vai pingar mais valor da multa para você". E a multa simples você aplica uma multa ali e deu, e acabou. E, por fim, eu vou colocar assim: outras sanções. Vamos lá, quais são as outras sanções? Publicização da infração, após devidamente apurada e confirmada sua ocorrência. Aquela você divulga: "Fulano

de Tal foi punido por causa disso". Porque imagina que você chega em um estabelecimento comercial e sabe que aquele estabelecimento foi punido por não tratar adequadamente os dados pessoais. Na hora em que o cara te pede: "Você poderia fornecer seu CPF e seu endereço de e-mail?", você já fica: "O que vocês vão fazer com esses meus dados?" Porque você já está sabendo que aquela empresa não adota as devidas precauções. Bloqueio dos dados a que se referem à infração, até a sua regularização. Eliminação dos dados pessoais a que se refere à infração. Suspensão parcial do funcionamento

do banco de dados a que se refere à infração, por um período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador. Professor, qual é a diferença entre o bloqueio dos dados pessoais e a suspensão parcial do funcionamento do banco de dados? A diferença é que, no bloqueio de dados, você está bloqueando aquele dado que foi objeto do problema. Agora, no banco de dados, eu tenho algo muito mais abrangente. Eu estou suspendendo o funcionamento de todo o banco de dados em que estão aquelas informações. É algo mais amplo.

Veja que aqui é algo bem mais grave. Próximo item: suspensão do exercício da atividade de tratamento de dados pessoais a que se referem frações, pelo prazo máximo de seis meses, prorrogável por igual período. Então, aqui, no primeiro item, eu suspendo o banco de dados; aqui, eu suspendo qualquer tipo de tratamento. Então, é como se eu tivesse uma escadinha: no cinco, eu só bloqueio aquele dado; no seis, eu suspendo o banco de dados; e no nove, eu suspendo todo o tratamento de dados pessoais. Veja como isso tem um alcance muito maior: qualquer atividade de tratamento de

dados vai, basicamente, inviabilizar o trabalho dessa entidade. E, por fim, a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados pessoais. Perfeito, passamos por isso aqui. Então, nós temos essas categorias de infrações. Meu Deus, professor, como é que eu vou decorar isso? Cara, não fique se preocupando tanto em decorar cada uma das infrações. Dê uma olhadinha, entenda um pouco o sistema que, com o tempo, conforme você for resolvendo as questões, você vai pegando essa memorização. Mas vamos lá. Outra coisa que eu quero trazer para vocês é que algumas infrações, algumas dessas

penalidades, podem ser aplicadas ao setor público. Professor, quais penalidades podem ser aplicadas ao setor público? Todas, exceto as multas. É a forma mais simples, porque na hora que você vê lá os incisos, todos, eu falei: "Ah, tem que fazer, cara, todas as penalidades, exceto as multas." Então a gente faz assim: ó, chega aqui nas multas. As multas são as únicas que não podem ser aplicadas ao poder público, porque não faz sentido. Se você aplicar multa ao poder público, quem é que vai pagar? É para a sociedade, então, por isso, a multa é a única que

não pode ir ao poder público. Agora, advertência, todas as imagens, dá para aplicar, certo? Então, vamos lá, vamos resolver essa questão. Considere as seguintes sanções administrativas. Aqui, essa questão vai ser: todas as sanções da lei: advertência, multa simples, multa diária, publicização da infração, bloqueio dos dados, eliminação dos dados, suspensão parcial do banco, suspensão das atividades e proibição parcial ou total do tratamento de dados. Só tome cuidado, porque como aquele está na ordem um, dois, três, quatro, cinco, seis, sete, oito e nove, e aqui, como algumas aqui, na hora que a gente vai para a lei,

tem alguns tópicos que pulam. Veja só: cinco, seis e vai para o dez. Porque algumas sanções foram vetadas. Então, só tome cuidado para não fazer um na hora que você vai resolver a questão fazer um cara crachá direto com o artigo 52, que você fala: "Ué, mas tem alguma coisa de errado aqui, professor, porque a questão seguiu a ordem e o artigo 52 tem alguns incisos que foram vetados." Aí, vamos lá. Então, o que a questão fala, nos termos da LGPD, sobre as sanções administrativas às quais estão sujeitos os agentes de tratamento de dados, é

correto afirmar que: Letra A: a condição econômica do infrator não é parâmetro nem critério para aplicação das sanções. Errado. Mas temos que analisar a condição econômica do infrator para definir a dosimetria da penalidade. As sanções constantes dos itens 7 e 8 estão limitadas pelo período máximo de seis meses improrrogável. Olha só! Quais são os itens 7 e 8? O 7 é a suspensão parcial do banco de dados e a suspensão da atividade de tratamento de dados pessoais. Volta na lei só para a gente dar uma olhadinha: prazo máximo de seis meses, prorrogável por igual período.

Então, ambas são passíveis de prorrogação, então por isso que essa questão está errada. As multas simples e diárias estão limitadas, no total, a 50 milhões de reais. 50 milhões de reais, considerando todas as infrações. Essa daqui ficou um pouquinho mais pesada, né? Dê uma olhadinha. O que a LGPD fala? A multa simples é de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício, excluídos os tributos, está limitada ao total de 50 milhões de reais. Opa, professor! 50 milhões? A questão tá certa, né? Não, não é

50 milhões por infração. A gente tem que pensar um pouquinho em termos de razoabilidade. Cara, se ele comete várias infrações, eu tenho que punir essas várias infrações. Então, é 50 milhões, não 50 milhões por infração, e não no total, como está falando a questão. A questão falou que seria 50 milhões para todas. Não é 50 milhões para todas, é 50 milhões por infração. Opa, beleza, eliminamos mais essa: também está errada. Letra D: as sanções previstas nos itens 2, 3, 4, 5 e 6 somente podem ser aplicadas após já ter sido imposta ao menos uma das

sanções a que tratam os itens 7, 8 e 9. Vamos fazer uma leitura e tentar responder na lógica aqui. Você já deu uma olhada na LGPD, mas vamos tentar responder na lógica só para a gente pensar um pouquinho. Pensa comigo: o seguinte, ele está falando para a gente que as do item 2, 3, 4, 5 e 6 só podem ser aplicadas se ele já sofreu a do item 7, 8 e 9. Qual que é o 2? Multa simples, multa diária, publicização da infração, bloqueio dos dados pessoais e a eliminação dos dados pessoais a que se

referem frações. São esses itens aqui que a gente está tratando. Ela está dizendo que essas somente podem ser aplicadas após essas três aqui. Pensa comigo: suspensão do banco de dados, suspensão da atividade de tratamento, proibição de tratamento. Qual que é mais grave? As três últimas, certo? Então, por que que as primeiras precisam aplicar uma das três últimas para só então poder aplicar aquelas que são menos graves? Leves percebe que não faz sentido, então é o inverso. Essas três aqui você só pode aplicar depois que você já tem aplicado alguma das outras cinco: da multa simples,

multa diária, publicização, etc., etc. Então, já apliquei isso aqui e não deu certo. Só então eu posso partir para essas medidas mais graves. É como se fosse um uso parcial da força. Primeiro eu uso medidas mais simples, intermediárias, para só então usar as mais graves. Então, por isso, que a letra D está errada. Eu sei que eu não estou te dando um elemento para você decorar e fazer a prova, mas eu estou te dando elementos para você raciocinar, para você pensar na hora que você for estudar LGPD de forma mais detalhada. A letra E diz

para a gente assim: "As ações previstas nos incisos 1, 4, 5, 6, 7, 8 e 9 poderão ser aplicadas às entidades de órgãos públicos." Vamos pensar no que ele está trazendo. Ele falou para a gente do 1, 4, 5, 6, 7, 8 e 9. Falou que essas aqui, que estão em azul, podem ser aplicadas ao poder público. Aí você pensa: "Meu Deus, professor, agora vou ter que decorar isso tudo!" Lembra que eu falei quais você não pode aplicar ao poder público? As multas. Quais são os dois itens que sobram aqui na questão? A multa simples

e a multa diária. Opa! Aqui nós temos justamente aquelas duas que não podem ser impostas ao poder público. Portanto, a letra E é justamente o nosso gabarito. Deixa eu colar aqui. Deixa eu trocar a nossa cor. Beleza, superado aqui o nosso problema. Gabarito: alternativa E. E assim, nós fechamos mais um tópico aqui da nossa aula. Aí, só para acrescentar, aqui o parágrafo 6 fala que as sanções dos incisos 10, 11 e 12, eu sei que está uma salada esse negócio, 10, 11, 12, são as três últimas funções citadas na questão, serão aplicadas somente após, ao

menos, uma das sanções do 2, 3, 4, 5 e 6. Para mostrar para vocês essa dosimetria que eu acabei de comentar, com isso, nós fechamos a parte sobre os agentes e também, especificamente, sobre as sanções que podem ser aplicadas. Eu quero aproveitar que, no final, só para dar uma rápida passada na ANPD e também no Conselho Nacional de Proteção de Dados. Últimas duas informações aqui para vocês, jogo rápido. O que é a ANPD? A LGPD o tempo todo vai falando da ANPD: autoridade nacional, autoridade nacional, autoridade nacional, autoridade nacional. E o que é essa autoridade

nacional? A LGPD define autoridade nacional como o órgão da administração pública. Tudo bem que aqui a gente tem que flexibilizar um pouquinho o conceito de órgão, tá? Não fica preso a isso, porque você já estudou organização administrativa. Você chega nessa altura do campeonato e fala: "Mas órgão, na verdade, vai ser uma entidade, porque vai ser uma autarquia." Mas aqui, para cada assunto que você estuda, você puxa uma fichinha para responder. Então, não se prenda integralmente ao conceito que foi utilizado. A autoridade nacional é o órgão da administração pública responsável por zelar, implementar e fiscalizar o

cumprimento da norma em todo o território nacional. O que eu quero que você vai guardando, então? A ANPD, número um: a ANPD faz parte da administração pública, é uma entidade da administração pública e ela foi constituída como uma autarquia. Eu sei que você pode encontrar uma aparição na sua prova tanto que ela é um órgão quanto que ela é uma entidade administrativa. Tanto faz o que aparecer, porque a LGPD diz que fica criada a ANPD, autarquia de natureza especial, dotada de autonomia técnica e decisória, com patrimônio próprio, com sede no Distrito Federal. Então, o que

temos aqui? Uma autarquia em regime especial. Opa, professor! Já ouvi falar dessa história de autarquia em regime especial. Seria a ANPD uma agência reguladora? Não, ela não foi tipificada lá no conceito de agência reguladora. Mas ela é uma autarquia em regime especial, porque ela tem algumas características bem semelhantes ao que acontece com as agências reguladoras. Ela só não é uma agência reguladora porque a lei não a chamou de agência reguladora. Só por isso. Mas a ANPD é uma autarquia em regime especial. Segundo a característica que eu quero trazer para vocês, depois nós vamos falar um

pouquinho mais sobre outros pontos. Quais são as atribuições da ANPD? A ANPD se encarrega das atividades de zelar. Olha só, ela vai zelar. São três verbos que nós vamos colocar aqui: vai zelar, implementar as normas da LGPD e também vai fiscalizar a aplicação. Tanto é que ela tem competência para aplicar as penalidades no caso de descumprimento das normas da Lei Geral de Proteção de Dados. Inclusive, guarde isso, tá, para facilitar na hora que você for memorizar as competências da ANPD, se for o caso. Olha, é basicamente resumido nesses três verbos: zelar, implementar LGPD e também

fiscalizar a sua aplicação. E também é importante trazer a implementar, zelar, zelar, implementar e fiscalizar a aplicação das exposições da LGPD, LGPD de proteção de dados pessoais. E o último ponto, eu vou usar a expressão "jurisdição" ou você pode colocar assim: a sua… vamos colocar "jurisdição", tá? Eu sei que o termo "jurisdição" às vezes pode ser questionado, principalmente pelo pessoal mais jurídico, mas eu vou usar essa expressão de jurisdição no sentido do alcance da sua competência. Ela tem jurisdição em todo o território nacional, até porque nós vimos que essa competência sobre fiscalização de dados pessoais

é uma competência da União. Então, por isso que essa entidade, que é uma autarquia da União, ou autarquia federal, ela tem competência no âmbito de todo o território nacional. Essas foram informações básicas. E, então, o que mais quero trazer para vocês: o artigo 55 cria a NPD e fala que a Autoridade Nacional de Proteção de Dados é uma autarquia de natureza especial. Diz que ela tem autonomia técnica e decisória, patrimônio próprio, sede e foi estabelecida no Distrito Federal. O artigo 55 vai tratar para a gente sobre o Conselho Diretor da NPD. O Conselho Diretor da

NPD é formado por cinco diretores e o que é importante é como acontece a escolha desses diretores. Os diretores são escolhidos pelo Presidente da República e nomeados também pelo Presidente da República, após aprovação pelo Senado Federal. Existe aquele procedimento que nós costumamos chamar de sabatina. Sabatina é a necessidade de aprovação. Então, aqui segue esse modelo: o Presidente da República escolhe, o Senado aprova, e o Presidente faz a nomeação. Uma vez que esses membros ingressem, apesar de ocuparem cargo de provimento de comissão, eles têm aquele mandato com prazo fixo. O mandato deles tem a duração de

quatro anos, e os membros do Conselho somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado, ou pela aplicação da pena de demissão decorrente de processo administrativo disciplinar. Então, vamos lá! Deixa eu ver se eu vou conseguir colocar mais um slide aqui para a gente. Vou colocar aqui: basicamente, quando nós vamos falar do Conselho Diretor da Agência Nacional de Proteção de Dados Pessoais, você tem que guardar essas informações. Informação número um: são cinco diretores. Eu vou colocar assim: cinco membros. Esses membros aqui, como é que acontece o procedimento de indicação e escolha?

O Presidente da República é responsável por escolher, então eles são indicados pelo Presidente da República e, após aprovação do Senado Federal, são nomeados pelo Presidente da República. Além da indicação aprovada do Presidente da República, o Senado faz a aprovação do nome que foi indicado. E o outro ponto é que, apesar de ocupar um cargo em comissão, eles vão ter um mandato. Esse mandato deles tem a duração de quatro anos. Eles exercem cargo de provimento em comissão, apesar dessa peculiaridade de ter um mandato com prazo fixo, e somente podem perder o cargo por três procedimentos. Quais

são os procedimentos? Primeiro: a renúncia. A pessoa pode pedir para sair. Essa é a primeira situação. Segunda situação: decisão judicial. Essa decisão judicial tem que ser uma decisão judicial com trânsito em julgado. E, por fim, por meio de processo administrativo disciplinar em que ele seja aplicada a pena de demissão. Veja: eles não têm vitaliciedade. Tome cuidado para não confundir; eles não são vitalícios. A situação deles é um pouco parecida com a de servidores públicos efetivos. Apesar de ocuparem um cargo de provimento em comissão, a situação especial que encontramos aqui dentro da Lei Geral de Proteção

de Dados Pessoais, só uma observação: apesar de a lei definir que eles só podem perder o cargo nessas condições, o Presidente da República pode eventualmente suspender o exercício dos membros do Conselho Diretor quando houver alguma infração que já esteja apurada pela comissão disciplinar, e se perceber que existe um risco de ele continuar. O Presidente da República pode suspender; mas veja, ele não está exonerando ou demitindo, ele está apenas suspendendo enquanto o processo está em andamento e se percebe que há uma necessidade de suspender a atividade dele. O Presidente da República tem essa prerrogativa. Agora vamos

resolver uma questão relacionada. De acordo com a LGPD, a Autoridade Nacional de Proteção de Dados é responsável por: letra A, realizar o tratamento de dados pessoais sensíveis em nome do controlador. Quem faz o tratamento é o operador, então não é isso. Letra B, obter o consentimento do titular para a transferência internacional de dados pessoais. Essa também não é uma atividade da Autoridade Nacional, porque a Autoridade Nacional atua no controle e fiscalização, e não na operação. A letra C fala sobre tomar as decisões referentes à notificação e tratamento. Novamente, não é a NPD que trata dos

dados; ela está fiscalizando, zelando pela aplicação da norma. Letra D, atuar como canal de comunicação. O canal de comunicação é o encarregado, e zelar para implementar e fiscalizar o cumprimento da LGPD em todo o território nacional é exatamente a competência da Agência Nacional de Proteção de Dados Pessoais. Último tópico da aula: agora vamos falar do Conselho Nacional de Proteção de Dados Pessoais. Qual é a principal diferença do Conselho para a NPD? A NPD implementa e fiscaliza; é um órgão, então, vamos dizer assim, de mão na massa, trabalhando efetivamente. O Conselho Nacional de Proteção de Dados

é mais aquele tipo de órgão que fica aqui, observando como as coisas estão acontecendo, realizando estudos, audiências, conferências, apresentando propostas e diretrizes. Esse é o trabalho dele. Vou usar a expressão "não é a expressão mais adequada", mas direi que é como se fosse um órgão mais com caráter consultivo e preparativo. O que a LGPD fala que compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade? Inciso 1, propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade. Veja, ele não elabora; ele fornece subsídios

para a elaboração da política nacional, elaborar relatórios anuais de avaliação da execução das ações da política nacional, sugerir ações a serem realizadas pela NPD, elaborar estudos, realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade, e disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade da população. Você vai perceber como ele tem esse caráter mais de observação. Eu diria que, enquanto a NPD atua fiscalizando, o Conselho está mais como um órgão consultivo. Meio que querendo ajudar o NPD, meio que fornecer informações para o NPD propondo algumas medidas para

o NPD. Essa que é a lógica do Conselho Nacional. Eu não vou colocar da composição do Conselho porque ele é formado por 23 representantes. Ele é um conselho considerável. Olha o que o artigo 58 fala: o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será formado por 23 representantes. É muita gente, e esses representantes vêm de diversos órgãos. Nós temos cinco indicados pelo Poder Executivo Federal, um pelo Senado, um pela Câmara, um pelo CNJ, um pelo Conselho Nacional do Ministério Público, e depois você vai ter mais um daqui, um dali, um de lá,

onde acolá. Tem uma composição bastante heterogênea de membros de diversos setores da sociedade que são capazes de emitir opiniões a respeito disso. Então, eu não me preocupei aqui no vídeo de colocar isso porque isso é uma mera decoreba para depois você fazer a leitura. Só quis mostrar que esse caráter heterogêneo do nosso Conselho Nacional, e o Parágrafo 4º fala que a participação do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada a prestação de serviço relevante não remunerada. Então, o que eu quero que você saiba, que talvez seja a tarefa mais importante

aqui, é saber que esses membros aqui, ó, exercem atividade não remunerada. Não confunda com os diretores da ANPD. O diretor da ANPD tá trabalhando, tá ocupando um cargo público, ele vai ser remunerado por isso. Eu tô falando aqui de Conselho Nacional. O Conselho Nacional se reúne eventualmente, pontualmente. Então, esse pessoal não é remunerado; é só um serviço público relevante. A questão inédita, só para a gente dar uma treinada, a remuneração dos membros do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será definida em lei. Errado! Por que errado? Porque eles não são remunerados.

Não existe remuneração para esses membros. E com isso, nós acabamos o nosso estudo da Lei Geral de Proteção de Dados Pessoais. Mais uma vez, eu reforço para vocês que nós vimos quase tudo. Eu diria que a gente viu, assim, mais ou menos numa regra 80/20, trazendo para vocês aqueles pontos mais relevantes. Não se esqueçam de, agora, após essa aula, resolver mais questões, fazer uma leitura da LGPD, porque eu tenho certeza que agora sua leitura vai ficar muito mais tranquila, muito mais fácil. Meus amigos, muito obrigado! Bons estudos, uma excelente jornada a todos vocês e até

a próxima! Valeu! [Música] É isso aí, meu povo! Agora sim, nós acabamos de estudar LGPD. Utilizamos quase dois encontros inteiros, mas tenho certeza que deve ter sido bastante proveitoso para vocês. Para mim, eu reforço aquela mensagem que eu passei lá no começo da nossa sala de segunda-feira: é diferente a gente dar uma aula de um tema que não é o nosso dia a dia. Se alguém falar "Hebert, dá uma aula agora da Lei de Licitações", cara, a gente abre aqui o PowerPoint em branco mesmo. Vamos fazer na sala da nossa caixola. Agora, LGPD não foi

um grande desafio para mim. Não era o assunto que caía em Direito Administrativo. Começou a aparecer um monte de coisa, e no meio de tantas tarefas eu estava tentando arrumar um momento para poder falar um pouquinho mais com vocês. Em breve, não vou prometer para agora, isso vai demorar alguns meses. Eu quero preparar também um material escrito, mas isso é um projeto meu aí para o segundo semestre desse ano, não para um projeto para esse momento agora. Mas pelo menos eu consegui trazer um tijolinho aqui na contribuição na preparação de vocês. Eu quero mandar um

abraço ao Professor Diego, que é o nosso professor de informática do estratégia, que me deu uma mão na interpretação de alguns itens da LGPD. O Professor Dalt também, nós conversamos bastante na semana que nós dois resolvemos fazer aulas da LGPD. E aí a gente conversou da aula de GEL, elaborou o PDF dele, mandou para mim também; foi uma referência para a gente conseguir trabalhar aqui com vocês. Então assim, cara, é isso aqui: é uma equipe! Uma equipe está sempre junto, tentando trazer conhecimento e conteúdo de alto nível para todos vocês. Tá bom? Um grande abraço

para todo mundo! Quem vai aproveitar o carnaval, aproveita! Como eu sei que a maioria aqui é da Receita Federal, muita gente da Receita, eu sei que poucos vão poder aproveitar, afinal de contas, a prova tá chegando. Mas se você vai ter que estudar, estude, cara! Estude e aproveite muito bem essa oportunidade de estudar. Não sofra: "ah, meus amigos estão pulando carnaval, eu vou trabalhar o final de semana inteiro." E nem por isso a minha vida vai ser melhor ou pior do que a de quem vai estar lá no meio da folia. Não sei o que

lá, cara! Sorte do cara, alegria de quem pode estar lá nesse momento. E a nossa sorte, nossa alegria é de poder estar fazendo, construindo, colocando algum tijolinho em prol do nosso futuro. Então encare dessa forma: quem tá lá tá lá, quem tá aqui tá aqui! Tá todo mundo certo, tá todo mundo bem. E que este feriadão, se você passar estudando, que seja uma referência muito boa para todos vocês. Se você puder aproveitar, que também aproveite da melhor forma possível, com bastante juízo, e que dê certo para todos nós! Tá bom, pessoal? Amanhã cedo, às 9

horas, eu tenho uma live para falar sobre reprovação lá no meu canal do YouTube. Quem quiser passar lá, passa às 9 horas da manhã. Essa live acontece toda semana, então amanhã não vai ser diferente, tá bom? Um grande abraço para vocês, fiquem com Deus e até a próxima! Tchau tchau! [Música] [Música]