Unknown

[Música] [Aplausos] [Música] [Música] Agora estão ao vivo! Estão ao vivo! Fala, meu povo! Sejam todos bem-vindos a mais uma aula aqui de Estratégia Concursos. É um prazer, uma satisfação, um prazer imensurável estar aqui com vocês para mais uma aula. E eu vou pedir desculpas para vocês por esse atraso, mas vocês não têm ideia da logística que foi para a gente conseguir colocar essa aula no ar. Parece que é a Lei de Murphy: a gente faz isso todo dia, todo dia dá certo, e no dia que nós temos uma aula especial, o negócio dá um

chabu de tudo quanto é jeito, que parecia o urucubaca. Mas nós demos um jeito e estamos ao vivo aqui com vocês para nossa aula de hoje, que vai ter umas 10:30, 10:40. E eu tenho uma surpresa antes de começar a live que, para algumas pessoas, vai ser bom; para outros, pode ser que nem tanto. Mas, para mim, particularmente, eu acho que é uma grata surpresa. Quando eu estava preparando a aula, percebi o seguinte: cara, ia ficar muito complicado fazer essa aula num evento só. Ia ficar uma aula assim, meio superficial, muito corrida. E a gente

tem visto, por exemplo, a FGV descendo a lenha, a FCC descendo a lenha, o Cebraspe descendo a lenha e outras bancas também descendo a lenha quando eles estão cobrando a LGPD, porque naturalmente ela já é difícil. É um assunto que nós não estamos habituados, é um assunto novo, é uma linguagem diferente. Então, mesmo a cobrança básica é uma cobrança que se torna difícil. Então, não dava para eu fazer numa aula só. E aí, o que eu resolvi? Vou marcar um segundo encontro com vocês. Já vou adiantando que esse segundo encontro será na sexta-feira, às 19

horas. Então, nós teremos duas partes, e a parte seguinte, nosso segundo encontro, está previsto para sexta-feira, às 19 horas. E aí, nós vamos concluir o que a gente iniciar hoje. Então, por isso, eu acho que ela vai ficar muito melhor, muito mais atrativa, separando-a em duas partes, para que nós possamos fazer uma análise mais aprofundada. Hoje, o material já está disponível lá no nosso Telegram, só vocês correrem lá para fazer o download. É imprescindível, inclusive, se eu tiver contribuição de vocês. Se eu ver que a galera está merecendo, se está tudo certo, eu vou preparar

para vocês o material anotadinho e já vou lançar lá de novo para vocês no nosso Telegram. Já aproveito e já passo no nosso YouTube, porque eu estou postando tanta coisa bacana para vocês no YouTube! Então, passa lá também e já acompanha o nosso canal no YouTube, focado em conteúdo, focado em conhecimento, focado em aprendizagem. Vai lá! Eu vou trazer para vocês também muitas informações e, olha, finalmente vai sair a Lei Geral de Proteção de Dados! Eu não sei se vocês estão como eu estou, mas eu estou assim: meu coração está disparado, acelerado. O pessoal está

perguntando: "Rafael, serve para a Receita?" Cara, serve muito! E eu aposto com vocês que este será o tema de uma das discursivas da Receita Federal. Quem quiser colocar as fichas na mesa: Receita Federal, tema de discursiva. Eu aposto muito em LGPD! Então, essa aula é fundamental! Ela não só serve; ela é fundamental para quem vai fazer a Receita Federal, tá? E todos os outros concursos que tiverem LGPD no edital. "Professor, serve para mim?" Cara, lá no teu edital. Então, ela serve, tá? Inclusive, eu tenho certeza assim, quase que absoluta, eu não vou dizer absoluta porque

absoluta só a morte, né? Quase que absoluta que esse tema vem no TSE unificado também no edital, já que está caindo em um monte de TRTs, por exemplo. Então, provavelmente vai cair aqui também. Vamos começar, então, a nossa aula de hoje. Cara, eu queria dizer para você o seguinte: eu não sei como é que vocês estão, mas eu estou com o coração acelerado, porque é a primeira vez que eu vou ministrar uma aula de LGPD. Então bate aquela ansiedade, bate aquele nervosismo. Legal! É mais, cara, é assim que a vida funciona. A vida funciona quando

a gente sai da zona do conforto. Às vezes a gente está ali no 12 por 8, 60 BPM por minuto, tranquilinho e tal; nesse momento a gente se acomoda. O conforto é fácil, mas a gente tem que quebrar esse conforto às vezes e tentar dar um passo à frente. E é isso que eu vou fazer hoje: dar esse passo à frente, trazendo uma aula de LGPD para vocês. E eu espero que você, que está me acompanhando, também saia dessa zona de conforto. Só estudar o básico, só estudar o efeito manada... vem com a gente para

estudar um assunto indispensável que vai fazer a diferença na sua aprovação. O candidato que passa é aquele que acerta aquela questão diferente, e aqui hoje nós vamos aprender a acertar essa questão diferente. Tá pronto? Então vamos começar a nossa aula da LGPD, Lei Geral de Proteção de Dados. Eu só quero mandar um abraço também para o meu amigo camarada, Professor Antônio D'Aúdio. O D'Aúdio fez a aula da LGPD já na semana passada. Nós já vamos conversar há duas semanas sobre fazer essas aulas da LGPD. Ele me mandou, ele já preparou o PDF dele, que está

sensacional. Mas eu não tenho o PDF escrito ainda da LGPD. Mas quem quiser estudar o PDF da LGPD do D'Aúdio, tá sensacional! Pode passar lá, cheio de esquemas, todo visualizado e vai ajudar vocês também nessa jornada. E hoje eu vou tentar fazer aqui o meu trabalhinho da melhor forma possível para ajudar vocês na jornada. Só vou fazer dois pedidos: o like, que é fundamental, e o compartilhamento dessa aula em todos os grupos. Lembrando que... essa aula... Está prevista para ficar disponível somente durante o ao vivo. A galera já tá chorando. As últimas aulas não estão

ficando disponíveis. Então, já adianto: esta aula será transmitida ao vivo; a previsão é que ela não fique disponível. Então, vem acompanhar com a gente! Tá todo mundo pronto? Tá todo mundo em condições? Vamos começar agora! Então vamos lá, tá valendo a nossa aula de hoje. [Música] Fala, meu povo! Aqui é o Herbert Almeida. Nós vamos começar a estudar agora a Lei Geral de Proteção de Dados, que é a Lei 13.709. É uma norma, digamos assim, nova. Naturalmente, ela é nova em diversos aspectos, porque ela não é só nova quanto ao seu conteúdo; ela é nova

em termos de momento. Estamos vivendo um momento fundamental, um momento em que esse tema, tratamento de dados pessoais, é um tema que está aí. Nós vivemos na era da informação, então, por isso, esse tópico é muito importante. E não só importante: ele é atual, ele é contextualizado. É um tema importante até mesmo para questões escritas e questões discursivas. Se a gente fizer uma breve busca, nós tivemos, há um pouco mais de uma década, a Lei de Acesso à Informação. Depois, a Lei de Acesso à Informação se reformulou para trazer todas as informações sobre transparência. Depois,

nós tivemos, mais recentemente, o Marco da Internet. Tem também a política de tratamento de dados abertos. Inclusive, tem um decreto em âmbito federal que trata da política de dados abertos. E não menos importante, talvez até mais importante, a Lei Geral de Proteção de Dados, que é uma norma que, no meu ponto de vista, nos próximos cinco anos, vai estar em pé de igualdade em relação a outras leis administrativas importantes, como, por exemplo, a Lei de Processos Criativos e a Lei de Licitações. Está tudo dos servidores. Ela tem tudo para se tornar uma das normas mais

importantes em concursos públicos. E hoje nós vamos começar a estudar esse assunto. Eu quero começar a trazer aqui basicamente uma introdução, só para você conseguir compreender o quanto esse tópico é importante. Pessoal, se você for olhar hoje em dia quais são as grandes empresas em âmbito internacional, as tais das big techs, um dos principais motivos de elas terem tanto valor de mercado é porque elas têm acesso aos nossos dados. Às vezes, se você for parar para pensar, o seu telefone talvez saiba mais de você do que você próprio. Então, nesta era da informação, os dados

pessoais passam a ser as informações mais importantes e mais sensíveis de toda a sociedade. Nessa guerra por acesso à informação, se você for lembrar de algum tempo atrás, você preenchia muitos formulários e, às vezes, de repente, você estava recebendo uma ligação de alguém, um contato, um e-mail, aquele monte de spam na sua caixa de e-mail. Muitas vezes, isso estava acontecendo por causa de um compartilhamento que, até então, não seria indevido, mas um compartilhamento não autorizado de dados pessoais. Hoje, você vai a uma farmácia, por exemplo, comprar algum medicamento e o pessoal vai pedir: "O senhor

tem cadastro?". Você tem que fazer aquele cadastro chato; você vai ao shopping, acessa a internet, tem que fazer aquele cadastro chato. Só que a pergunta que a gente faz é a seguinte: o que esse pessoal vai fazer com esses nossos dados? Já pararam para pensar que alguém pode compartilhar o dado alegando uma finalidade para você, mas depois vender esses seus dados para outras empresas, para que elas possam usar o seu e-mail, usar o seu CPF, usar o seu nome, seus costumes, seus hábitos, suas informações de saúde, suas informações de crédito? Consegue perceber que nós vivemos

em um momento em que a utilização dos dados é tão importante? Existem sistemas tão avançados para tratar esses dados que nós temos que pensar nisso. Então, é aqui que entra a Lei Geral de Proteção de Dados. Esse assunto é tão importante que, agora, muito recentemente, a Emenda Constitucional 115 de 2022 elencou a proteção dos dados pessoais como um direito e garantia fundamental. Está lá no artigo quinto da Constituição Federal. Faz a leitura comigo: "É assegurado, nos termos da lei, o direito à proteção de dados pessoais, inclusive nos meios digitais". Isso passa a ser um tópico

que está lá no artigo quinto da Constituição Federal. Você observa, né, que, apesar de eu falar para vocês que o artigo 5º traz a proteção de dados pessoais como um direito e garantia fundamental, a LGPD foi editada antes dessa Emenda 115. Então, o primeiro foi a LGPD, depois veio a Emenda Constitucional 115. Mas elas meio que se complementam. A própria Emenda 115 diz que compete à União organizar e fiscalizar a proteção e tratamento de dados pessoais. E o artigo 22 diz que compete privativamente à União legislar sobre proteção e tratamento de dados pessoais. A partir

daqui, podemos começar a traçar um panorama sobre essa questão da proteção dos dados. E o primeiro ponto que eu vou trazer para vocês é que, desde a Emenda 115, a proteção dos dados pessoais passa a ser um direito fundamental. Veja que isso é tão importante que isso aqui vai balizar políticas públicas. Isso aqui vai balizar o trabalho do Poder Judiciário, porque está lá na Constituição Federal. Agora, isso é uma norma constitucional. Avançando mais um pouquinho, também a Emenda 115 trouxe quem tem a competência para tratar sobre proteção de dados pessoais, tanto em termos legislativos como

em questões operacionais e de fiscalização. Então, vamos lá: quem tem competência para tratar desse assunto? A competência para tratar da proteção de dados pessoais é da União, porque é uma matéria de interesse nacional. Todos nós temos interesse na proteção dos nossos dados. A Emenda 115. Ela traz basicamente três competências da União a respeito da proteção de dados. A primeira competência é a competência para legislar, por isso que nós temos a Lei editada em âmbito nacional, aprovada pelo Congresso Nacional. É competência da União e essa competência está prevista lá na Constituição Federal, dentro da tal da

competência privativa. Então, compete privativamente à União legislar sobre proteção de dados. Outras duas informações também competem à União: organizar o tratamento, o sistema de tratamento de proteção de dados; inclusive, hoje existe uma entidade administrativa de âmbito federal encarregada desse trabalho, e também compete à União fiscalizar. Nós vamos ver que a LGPD traz regras sobre controle do tratamento de dados, inclusive a aplicação de penalidades. E isso se insere dentro da competência da União. Então, em resumo, a proteção de dados passa a constar como direito e garantia fundamental, e a competência da União legislar, organizar e fiscalizar

a proteção e o tratamento de dados. A partir dessa breve introdução, nós vamos entrar efetivamente na Lei 13.709, de 2018, que trata da proteção dos dados pessoais. O seu artigo primeiro traz uma introdução sobre esse assunto, dizendo para a gente que esta lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais. Daqui a pouco eu vou falar um pouquinho mais com vocês sobre essa questão do "inclusive nos meios digitais". Avançando mais um pouquinho, por pessoa natural é que nós vamos começar a falar do alcance da LGPD e, depois, eu vou explicar melhor isso,

e também por pessoa jurídica, direito público ou direito privado. Com o objetivo então, o primeiro ponto que eu quero trazer para vocês da LGPD, antes de falar do seu alcance, é trazer qual é o objetivo da LGPD. Para que serve a Lei Geral de Proteção de Dados? Ela tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade. Pensa comigo da seguinte forma: por que proteger direitos fundamentais? Olha o que ela acabou de falar para a gente: a LGPD tem o objetivo de proteger os direitos fundamentais de liberdade. Deixa eu só puxar aqui

e escrever "liberdade" e também "privacidade". Pensa comigo da seguinte forma: se você não soubesse, se não houvesse uma proteção sobre os seus dados na internet, você exerceria todas as liberdades que você exerce hoje? Hoje, provavelmente, você acorda de manhã, acessa ali alguns blogs na internet, tem alguns que você gosta, dá uma curtida, e outros que você prefere se reservar e não dar a curtida, mas você gosta, você acessa aquela informação todo dia. Você já pensou se essa informação fosse tornada pública? Se houvesse o risco de alguém divulgar essa informação? Provavelmente, você não teria tanta liberdade

assim para atuar dentro da internet. Então, quando nós protegemos os dados pessoais, nós estamos assegurando a sua liberdade de poder entrar em um grupo do WhatsApp, por exemplo, e, obviamente, dentro das demais regras constitucionais, emitir a sua opinião, apresentar dados, entre outras informações. Agora, se essas informações fossem tornadas públicas, fossem utilizadas de forma indevida, você não teria essa liberdade e ia cuidar um pouquinho mais com essas informações. Então, quando a gente fala que a LGPD protege os seus dados pessoais, ela vai assegurar para você um pouco mais de liberdade e também vai te assegurar a

privacidade. Avançando mais um pouquinho, ela tem o objetivo de gerar o livre desenvolvimento da personalidade da pessoa natural. Professor, como assim "livre desenvolvimento da personalidade da pessoa natural"? Pessoa natural é a pessoa física, só para você começar a entender o que é a pessoa natural. Eu sou uma pessoa natural, você é uma pessoa natural. Então, a pessoa natural é a pessoa física. O que a LGPD vai gerar? O desenvolvimento da personalidade da pessoa natural. Porque, ora, quando os meus dados são protegidos na internet, eu passo a ter mais liberdade. Eu posso acessar as informações que

eu quero acessar, dentro das regras constitucionais. Com isso, eu vou agregando conhecimento, vou tendo mais informações. Por exemplo, eu gosto muito de leitura, eu leio muito, eu gosto de ler no meu dispositivo eletrônico. Vamos supor que eu tivesse alguma leitura que eu não quisesse divulgar. Eu costumo postar minhas leituras na internet, mas vamos supor que eu quisesse deixar isso reservado. Agora, se não tivesse assegurado que essa informação seria protegida, talvez eu tomasse mais cuidado e preferisse, talvez, uma informação física, alguma coisa do tipo. Você consegue perceber como a proteção do dado diz respeito ao desenvolvimento

da minha personalidade, da sua personalidade, da personalidade dos nossos amigos? Então, o objetivo da LGPD é proteger direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Vamos avançar mais um pouquinho. E olha só o que o parágrafo único do artigo primeiro vai falar para a gente: as normas gerais... opa, olha que informação quente! As normas gerais contidas nesta lei são de interesse nacional e devem ser observadas pela União, pelos Estados, pelo Distrito Federal e pelos municípios. Agora nós vamos começar a entender o alcance da LGPD. Vou pular aqui dois

slides e eu vou começar trazendo para vocês o seguinte: a Lei Geral de Proteção de Dados é uma norma, uma lei que constitui uma norma nacional. Professor, o que quer dizer então "norma nacional"? Norma nacional é aquele tipo de norma que se destina a todos os entes da Federação. Então, a LGPD vale para a União, vale para os Estados, vale para o Distrito Federal e também vale para os municípios. Essa informação é importante para a gente sobre o alcance da LGPD. Mas note também que a LGPD não é direcionada apenas a autoridades e entidades públicas.

Quando você vai lá em uma farmácia e preenche um dado, essa farmácia também tem que observar a LGPD. Quando você vai a um shopping e preenche um formulário para acessar a internet, este shopping... também tem que observar a LGPD. Por isso que eu quero trazer para vocês aqui que a LGPD, ela também se aplica. Eu vou puxar aqui: ela também se aplica e agora a gente vai detalhar aqui para quem que ela se aplica. A Lei Geral de Proteção de Dados vale para pessoa natural. O que é uma pessoa natural? Pessoa natural, até já comentei

com vocês, é a pessoa física. Então, vamos pensar o seguinte: você vai ao dentista. Esse dentista coleta informações suas. Considerar que esse dentista está constituído como uma empresa, mas o trabalho dele é um trabalho autônomo, atuando como pessoa física. Ele tem a secretária dele, e você preenche o formulário perante a secretária dele. E ele armazena seus dados. O dentista, a pessoa natural, coletou os seus dados pessoais. Esse dentista tem que observar a LGPD, Lei Geral de Proteção de Dados, sim, ele tem que observar essas regras. Eu só quero colocar uma informação para vocês: veja que

a gente vai se preparar para resolver uma questão de prova. Ela fala para a gente assim: "que esta lei se aplica a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou então de direito privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados". Então, a pessoa física que coleta os seus dados pessoais tem que observar a LGPD, como regra, sim. Veja que o artigo 3º não colocou para a gente exceção. Ele só falou pessoa natural. Eu vou acrescentar para vocês uma informação

que nós vamos ver mais adiante: é somente se essa atividade da pessoa natural tiver como objetivo lucro, ou seja, tiver com o objetivo de uma atividade econômica. Se a questão de prova falar assim, genericamente, que a pessoa natural deve observar a LGPD, por hora você diz que sim, mesmo que ela olhe até essa informação do lucro. Mas se ela falar "toda pessoa natural", aí não é toda pessoa natural, que nós vamos ver adiante que a pessoa natural, quando trata um dado pessoal sem um propósito de lucrar, que é uma finalidade econômica, ela não segue a

LGPD. Mas depois eu esclareço melhor para vocês. Avançando, a LGPD também vai se aplicar às pessoas jurídicas. Pessoas jurídicas, e aqui quando eu falo de pessoa jurídica, podem ser a pessoa jurídica de direito público, por exemplo, a União, os Estados, o DF, os Municípios, as autarquias, as fundações públicas de direito público. Essas entidades devem observar a LGPD. Ela também vale para as pessoas jurídicas de direito privado. Olha, quando eu falo de pessoas jurídicas de direito privado, podem ser pessoas jurídicas de direito privado, integrantes ou não da administração pública, porque até mesmo particulares devem observar as

exposições da Lei Geral de Proteção de Dados Pessoais. Beleza, vamos avançar mais um pouquinho. Eu quero trazer aqui uma outra informação: "Professor, eu ouvi falar que a LGPD, como já está falando de dados pessoais, tal, ela está pensando só em dado digital, né, professor? É verdade isso?" Não, não é verdade porque se você fizer uma leitura da LGPD, ela fala para a gente o seguinte: ela se aplica à proteção de dados, inclusive nos meios digitais. Ora, se eu estou falando inclusive nos meios digitais, eu estou querendo dizer que eu aplico ela a qualquer dado, incluindo

os digitais. Por uma questão lógica, os dados físicos também estão abrangidos, é inclusive pelo meio digital. Então, os outros meios também estão. Tanto que fala assim: "se aplica independentemente do meio". Então, a LGPD se destina a proteger dados pessoais. Deixa eu escrever aqui: dados pessoais. Esses dados pessoais podem ser de qualquer… Opa, deixa eu melhorar aqui: de qualquer meio. Quando eu falo de qualquer meio, eu posso colocar aqui o meio físico. Então, você foi lá e preencheu um formulário no papel. Será que esse formulário de sorteio? Você preenche na hora e coloca em uma urna.

Ali você forneceu dados fisicamente. Mas você também tem os seus dados digitais, porque você navega na internet, fornece informações, por exemplo, à Receita Federal. A Receita Federal tem dezenas, milhares de dados nossos: endereço, informações sobre contribuição, compra, isso, aquilo, aquilo outro. A Receita Federal sabe, às vezes, mais da nossa vida financeira do que nós mesmos, e esses dados devem ser protegidos. Vamos avançar mais um pouquinho aqui. E quando eu falo dessa proteção dos dados pessoais, a LGPD disse que ela vai ser aplicada para qualquer tipo de operação. Agora, deixa eu só colocar aqui um adendo.

A LGPD disse para a gente assim: que ela se aplica… deixa eu puxar esse quadrado para cá, não sei se vai caber aqui, mas vamos tentar. Ela vai se aplicar independentemente do meio da informação. Por isso que eu já falei da informação física ou digital e também independentemente do país. A priori, e esse país aqui eu posso estar me referindo tanto à sede da pessoa como também à localização dos dados. Olha o que diz, então, a LGPD: independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que... Agora

nós vamos ver as condicionais. Veja que esse "independentemente" não é puramente independente. É um "independentemente" que nós vamos colocar aqui um asterisco, que daqui a pouco nós vamos ver, que é esse "desde que". Esse "desde que" eu vou tratar com vocês a partir daqui. Vamos lá, qualquer tipo de operação de tratamento de dados. Quais os tipos de operação? A LGPD está tratando, primeiramente, número 1. E agora nós vamos voltar para o artigo 3º, inciso 1. O artigo 3º, inciso 1 fala o seguinte: a LGPD é aplicável à operação de tratamento de dados que seja realizada

no território nacional. Então, o primeiro ponto para a gente definir: a LGPD, basicamente, é presa a um critério de territorialidade. Algumas exceções. Mas vamos lá: o primeiro requisito para eu saber se a LGPD será aplicável é saber se esse tratamento da informação, se o tratamento da informação, tratamento do dado, vai acontecer no território nacional. Acontecendo em território nacional, acontecendo aqui no Brasil, eu aplico a Lei Geral de Proteção de Dados. Professor, mas o que seria esse tratamento nacional? Qual é? Porque hoje em dia é difícil a gente saber dado, né? Você entra na internet, joga

uma informação aqui, você está aqui, o servidor está lá na China, o servidor está nos Estados Unidos. Professor, como é que eu vou saber se esse tratamento acontece em território nacional, se o dado corre pela rede de computadores? Como é que eu vou saber isso? O critério aqui é olhar para o titular da informação. Ou seja, quando eu falo que no território nacional, eu estou me perguntando o seguinte: onde está o titular da informação? Então, se eu entrar no computador agora e preencher um formulário, e esse formulário mandar as informações lá para os Estados Unidos,

por exemplo, eu, como titular da informação, estou no território nacional. Então, nesse caso, eu aplico a Lei Geral de Proteção de Dados. Veja: onde está o titular da informação? Está no Brasil. Então, eu aplico a Lei Geral de Proteção de Dados. Segundo critério para verificar se a LGPD será aplicada: eu quero saber se esse dado serve para fazer algum tipo de oferta ou, então, algum tipo de fornecimento. Aqui eu posso estar falando de fornecimento de bens ou ainda de fornecimento de serviços. Olha só o que diz a LGPD: a atividade de tratamento tenha por objetivo

a oferta ou fornecimento de bens ou serviços ou tratamento de dados de indivíduos localizados no território nacional. Ou seja, eu tenho oferta ou fornecimento, tratamento no território nacional. Vamos pegar aqui um exemplo para vocês, bem interessante. Vamos pensar na seguinte situação: você entra no site para fazer uma compra, o fornecimento de bens. Vamos supor que você está fazendo aquela compra "Mandrake". Você entrou, lá, o site foi feito para vender um produto lá na Rússia. Ele é um site que está em russo, em moeda russa; é tudo para lá. Esse site não foi montado com o

objetivo de gerar oferta ou fornecimento no Brasil. Você deu um "mandrakezão" lá para conseguir trazer isso para o Brasil, mas em nenhum momento o idealizador desse site pensou em vender para o brasileiro. A venda para o brasileiro foi uma venda por acaso; você descobriu aquele site, fez a compra. Essa empresa está sujeita à LGPD? Não, porque não foi montada com o objetivo de oferecer algo no território nacional. Agora, mais recentemente, nós estamos com vários desses sites que permitem você fazer compra, por exemplo, da China: Aliexpress, Shop isso, aquilo, aquilo outro. Hoje em dia, você baixa

um aplicativo; esse aplicativo está em português, BR, português brasileiro. Ele oferece o preço para você em moeda nacional e ainda tem um adesivão gigantesco: "Envie para o Brasil." É óbvio que esse site está montado com o objetivo de fornecer aqui no território nacional. Aplica-se LGPD? Sim, aplica-se LGPD! Porque o tratamento da informação foi realizado com o objetivo da oferta ou do fornecimento do bem ou do serviço no território nacional. Eu sei que ele é um site gringo, mas foi montado para fornecer algo para você. Inclusive tem língua nacional, moeda nacional, todas as informações e facilidades,

um suporte no Brasil muitas vezes também. Então, nesse caso, eu aplico LGPD. O terceiro critério é que ele fala assim: "Quando os dados pessoais objeto do tratamento tenham sido coletados no território nacional." Esse terceiro critério aqui é, a doutrina até fala que ele é redundante, ele nem precisava aparecer. Sabe por que ele não precisava aparecer? Porque veja só, nós estamos falando o seguinte: esses dados foram coletados no território nacional. Mas coleta, coleta faz parte do tratamento. Então, o item já contemplava esse caso. Mas, de qualquer forma, vamos colocar aqui porque isso pode cair assim na

sua prova. Então, em quaisquer dessas três condições aqui, nós aplicamos a Lei Geral de Proteção de Dados. Então, é uma norma nacional que vale para pessoa natural que faz tratamento de dados ou para pessoa jurídica de direito público ou de direito privado, e ela vai se aplicar aos dados pessoais de qualquer meio, ou seja, físico ou digital, em que você faça um tratamento no território nacional, considerando como critério onde está o titular; dois: com o objetivo de fornecer ou de tratar a informação em território nacional; três: quando a coleta tenha acontecido em território nacional. Em

todas essas condições, nós aplicamos a Lei Geral de Proteção de Dados. E são as regras do artigo 3º. O parágrafo primeiro ainda fala para a gente o seguinte: "Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta." Ora, se estou aqui no momento da coleta, isso é um dado coletado no território nacional. E situa-se do disposto no inciso 1 deste artigo, tratamento de dados previstos no inciso 4 do caput do artigo 4º. Esse parágrafo segundo deixa para a gente explicar daqui a pouco, porque logo logo eu vou falar

do artigo quarto da LGPD. Na verdade, eu vou falar sobre isso agora. Ok? Você já entendeu ou está entendendo, ou quase entendendo, ou o professor ainda nem tanto, mas calma, porque esse é um assunto novo. Não é para você aprender de primeira, é para você pegar a base, resolver as questões, acertar algumas, errar outras. Quando você errar, você volta e percebe onde estava o seu erro. Assim, você vai evoluir e vai pegar esse assunto. Não é para você pegar de primeira, não é para se esperar, e não adianta. Chorar aí tá difícil assim, né? A

professora, esse assunto tá muito difícil, não é? É para o assunto ser difícil. Esse assunto é um assunto difícil por natureza, mas você tem que pegar ele, desse limão fazer uma limonada. Vamos lá. Então, vamos falar agora quando a LGPD não se aplica. Veja, até agora eu falei para vocês quando a LGPD se aplica; agora nós vamos falar quando ela não é aplicável, e essa regra está no artigo quarto da Lei Geral de Proteção de Dados. Esta lei não se aplica ao tratamento de dados pessoais, inciso 1, realizado por pessoa natural para fins exclusivamente particulares

e não econômicos. Para fins exclusivamente particulares e não econômicos. Então, veja só, eu tenho um fim particular e não econômico. Por exemplo, eu e minha esposa conversamos no dia a dia, acertamos as nossas agendas, vamos verificar quando temos compromisso com as crianças, etc. Então a gente tem a nossa agenda, né? Aí um amigo nosso convidou: "Vamos ali no clube jogar um tênis." Aí eu: "Pô, legal, cara! Nunca joguei tênis, vou fazer isso. Pô, me passa os teus dados aí que eu preciso colocar depois lá, só para liberar para você passar na portaria lá de onde

eu moro." Esse meu amigo pegou o dado pessoal para um fim particular e não econômico. Para que ele pediu meu dado? Para ele incluir na agenda e avisar o condomínio que, determinado dia, eu iria chegar lá para jogar uma partida de tênis com ele. Perceba que essa finalidade não é lucrativa, é meramente pessoal. Agora, se esse meu amigo fosse um advogado e eu estivesse contratando serviços dele, no momento em que ele pega os meus dados, isso não é para um uso particular, é para um uso econômico. Aí eu aplico a LGPD. Quando você pensa nos

autônomos, utiliza os seus dados para fins econômicos, aplica-se a LGPD. Agora, a relação entre amigos, etc. e tal, é um fim particular não econômico, não se aplica a LGPD. Outra situação em que você não aplica a LGPD: a LGPD não é aplicável quando a informação, o dado, melhor dizendo, é utilizado para fins exclusivamente jornalísticos, artísticos e acadêmicos. Vou melhorar isso aqui já já para vocês, mas vamos escrever aqui. Então, quando a finalidade da informação, o uso dessa informação, foram um fim jornalístico, a Constituição Federal, ela fala que você vai preservar o sigilo da fonte, etc.

e tal. Então, você tem uma finalidade jornalística dos dados. Nesse caso, eu não aplico a LGPD. Toma cuidado que eu não estou dizendo que uma emissora de televisão não observa a LGPD; não é isso. Se você falar: "Não, é uma emissora de televisão", ela tem dados dos seus funcionários, ela tem dados de colaboradores. Essas atividades não são jornalísticas, são atividades comerciais e ali observa-se a LGPD. Agora, um jornalista coletou um depoimento de um jogador de futebol que criticou não sei o que lá; essa informação, este dado, não está sujeito à LGPD, que é uma atividade

exclusivamente jornalística. Também não vou aplicar a LGPD para fins... Fui lá e fiz uma pesquisa de campo para escrever uma nova música, uma letra musical. Ah, não preciso fornecer os dados, as informações. Imagina o Machado de Assis se ele fosse vivo hoje: se ele tivesse que fornecer as informações da Capitu. Afinal, Capitu traiu ou não traiu o Bentinho, né? E aí, vamos supor que essa Capitu não fosse algo apenas da imaginação do Machado de Assis, mas fosse uma pessoa real. Ele teria que fornecer essa informação? Não, porque nós estamos falando de uma utilização exclusivamente artística.

Olha aí, aqui é cultura, meu amigo. Vamos avançar mais um pouquinho. A LGPD também não vai se aplicar para fins acadêmicos, mas aqui com um pouquinho de cautela, tá? Vou pensar no seguinte ponto: eu sou um professor, fiz um doutorado e, nesse meu doutorado, estava fazendo uma pesquisa sobre a parte antropométrica de um atleta corredor de velocidade. Aí coletei os dados de determinada pessoa. Nessa coleta de dados, é uma finalidade acadêmica, eu não aplico a LGPD. Só que cuidado: nesse caso da utilização acadêmica, existe uma ressalva. A LGPD só prevê o seguinte: olha, exceto em

relação às regras sobre tratamento dos dados sobre a utilização das informações pessoais e sensíveis. Vou explicar melhor isso aqui para vocês, tá? O que acontece: eu não aplico a LGPD no que se refere ao tratamento acadêmico, mas as regras do artigo 7º, que define informações pessoais, e do artigo 11, que trata dos dados sensíveis, essas regras, artigo 7º e artigo 11, eu vou aplicar. Depois, quando a gente chegar nessas regras, você vai entender um pouquinho melhor essa questão. Por exemplo: eu não vou liberar uma informação sobre a ficha de saúde de um desses atletas que

eu coletei os dados antropométricos, porque aqui é uma questão de um dado sensível que trata da questão de saúde dele. Essa informação eu não vou... ou melhor dizendo, né? A sua utilização ocorrerá de acordo com a LGPD. Então, eu não afasto integralmente a LGPD no caso de dados acadêmicos. Também não se aplica a LGPD quando a coleta do dado, o tratamento do dado correr para fins exclusivos de segurança, na segurança pública, defesa nacional, segurança do estado e atividades de investigação e repressão das infrações penais. Aqui a gente pode colocar assim, ó, de forma genérica: eu

vou colocar de forma genérica para você. Para fins de segurança, pensa comigo que todas essas informações aqui fazem sentido. A bem das forças armadas, elas precisam coletar dados do que diz respeito à soberania nacional. Imagina um ataque terrorista, alguém planejando um ataque terrorista. Então, você vai coletar dados de uma forma diferente do que outras instituições coletam esses dados. Isso é uma questão de um bem maior e se aplica em detrimento de... eu vou usar a expressão "bem menor". Você pode parecer estranho, mas nós preferimos que um órgão de inteligência previna um ataque terrorista do que

depois a gente chorar. Preservei a intimidade, mas teve ataque terrorista. Então, aqui a gente tem uma questão que tem que ser analisada à luz da razoabilidade. A própria LGPD vai falar um pouquinho mais para a gente sobre isso, mas deixa eu esquematizar essa parte para vocês. Então, a LGPD não se aplica em relação ao tratamento de dados utilizados para fins de segurança ou de defesa nacional, porque essas questões dizem respeito à soberania. A LGPD também não se aplica ao tratamento de dados pessoais relacionados à segurança do Estado, por exemplo, segurança do Presidente da República. A

LGPD também não se aplicará em relação ao tratamento de dados relacionados à apuração de infrações penais. Para essa situação, eu tenho que ter tratamentos próprios; eu vou ter regras próprias para tratamento desses dados. Inclusive, a LGPD prevê a edição de leis específicas. Hoje em dia, tramita no Congresso Nacional uma lei que vai tratar da proteção dos dados pessoais em relação à apuração de infrações penais. É um exemplo para a gente contextualizar. Outro ponto que a LGPD traz para a gente é o seguinte: esses dados aqui são coletados para segurança ou defesa nacional, segurança do Estado

e apuração de infrações penais. Eles não podem, como regra, ficar sob a custódia de entidades de direito privado. Pense comigo no seguinte: todas as atividades aqui são atividades típicas de Estado. Quem exerce atividade típica de Estado? A entidade de direito público. Então, naturalmente, informação sobre segurança e defesa nacional, informação sobre segurança do Estado, sobre infrações penais, como regra, não podem ficar sob responsabilidade de entidade de direito privado. A própria LGPD já vai começar a trazer para a gente exceções. Exceção: a primeira exceção que eu vou trazer aqui para vocês é exceto quando essa informação estiver

sob tutela do poder público. Professor, me explica melhor esse negócio. Pense comigo no seguinte: os dados foram todos coletados por entidade de direito público, só que apenas para um tratamento específico. Você pegou a entidade de direito privado que vai fazer um processamento daqueles dados. Os dados estão sob tutela do poder público, mas a aplicação do algoritmo, de algum cálculo ou de algum tratamento estatístico, eventualmente pode ser realizado por entidade de direito privado. Mas veja, a informação está sob tutela do poder público, e ele utiliza a entidade de direito privada apenas como apoio. A própria LGPD

também fala para a gente o seguinte: essa informação nunca, aqui a gente está falando de nunca, não pode, em nenhuma hipótese — apesar desse "nunca" não ser absolutamente nenhum — essa informação não pode ficar sob a totalidade de uma entidade de direito privado. Então, vamos pensar no seguinte: eu fui lá, comecei a tratar uma informação relativa à soberania nacional. Comecei a coletar um monte de dados sobre pessoas para proteger sob o argumento de proteção da soberania nacional, defesa nacional, segurança nacional, segurança do Estado. Só que todas as informações estão sendo processadas, coletadas, tratadas por uma

entidade de direito privado, uma empresa super, hiper, mega especialista em coletar dados. Pode disso? Não. Não pode. Existe uma exceção, mas colocar a totalidade na entidade de direito privado não pode, exceto se essa entidade de direito privado for de capital 100% público, por exemplo, uma empresa pública. A empresa pública é uma entidade de direito privado cujo capital é integralmente público. Então, essa entidade pode deter informações sobre segurança nacional, segurança do Estado e apuração de infrações penais. Lembra daquela história da autarquização das empresas estatais, delegação do poder de polícia? Ela traz um respingo aqui, já incorporando

um pouquinho a visão do STF em alguns aspectos. Beleza, vamos voltar mais um pouquinho para cá. A última situação que eu vou colocar para vocês em que não aplicamos a LGPD são aquelas informações provenientes de fora do território nacional. Nesse caso, eu digo que a LGPD não se aplica quando a informação é proveniente de fora do território nacional, desde que, nesse caso, não ocorra uma comunicação dessa informação no âmbito nacional, não ocorra o uso compartilhado dessa informação com o território nacional e também não ocorra a transferência desse dado. Olha só: a LGPD não se aplica

às informações provenientes de fora do território nacional que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país de proveniência, desde que o país de proveniência proporcione um grau de proteção de dados pessoais adequado ao previsto nessa lei. Não é para você decorar, porque eu sei que o pessoal olha aquilo ali e fala: "Meu Deus, eu não entendi nada do que está ali. Pelo amor de Deus, professor!" É só para você pegar o conceito, porque na questão de prova você puxa o

fio da meada e acerta essa questão. É um assunto complexo e, se eu for perder tempo aqui explicando todas as minúcias disso aqui, vou ficar aqui 10 anos explicando a LGPD e ainda assim você vai ter um monte de dúvida. O que você precisa saber é o essencial. Então, qual é a essência? A LGPD não se aplica a pessoas naturais, ou seja, uso particular e não econômico quando você tiver um uso exclusivamente para fins jornalísticos, artísticos, acadêmicos, com alguma exceção e, na parte de segurança, segurança e defesa nacional, segurança do Estado e apuração de infrações

penais. E, terceiro, quando ela vem do exterior e não há um tratamento dessa informação no território nacional. Seja, não tem uma comunicação, não tem uso compartilhado e não tem uma transferência internacional dessas informações. Isso é o suficiente. Deixa eu colocar aqui no último item: não existe uma transferência internacional dessas informações. Agora ficou fácil de você pegar o alcance da LGPD. Bom, vamos resolver uma questão. Acho que até agora nós não resolvemos nenhuma ainda, né? Então vamos resolver aqui a nossa primeira questão e olha como é fácil. Parece difícil, mas fica fácil na hora de resolver

as questões. Olha essa assertiva: essa questão, conforme expressa a previsão legal, não se aplica à Lei 13.709, Lei Geral de Proteção de Dados, no tocante ao tratamento de dados pessoais. Letra A: tenham sido coletados no território nacional. Se for coletado no território nacional, eu aplico a LGPD. Então a letra está errada. Eu quero saber quando eu não aplico, e nesse caso aqui, eu aplico. Realizada para fins exclusivamente artísticos e também para fins jornalísticos e artísticos. Vamos puxar certo a resposta. Esse é o nosso gabarito de indivíduos localizados no território nacional. Se o indivíduo está localizado

no território nacional, eu aplico a LGPD, que tenha por objeto a oferta e o fornecimento de bens ou serviços no território nacional. É só você lembrar aí do Chopp do AliExpress que você já vai ver que, nesse caso, eu tenho que aplicar a LGPD e realizado por pessoa natural, ainda que para fins econômicos. Se é para fins econômicos, eu aplico a LGPD. Gabarito: letra B de bola. E com isso nós acabamos esse bloco inicial da Lei Geral de Proteção de Dados. Até breve. [Música] E aí, meu povo, como é que vocês estão? Eu tô vendo

que o Luiz está perguntando sobre informação de saúde. Isso aqui a gente vai falar já já. Calma que primeiro nós estamos fazendo uma introdução. Daqui a pouco nós vamos entrar sobre a particularidade de cada uma das informações. Vejam vocês que esse assunto é um assunto que ele começa um pouquinho difícil por ser um assunto novo, com muitos detalhes, mas a gente vai destrinchando e aí vai ficando fácil. Vê que a resolução da questão foi muito tranquila e as questões que nós vamos resolver, quase todas são assim: letra de lei. E conforme você vai pegando as

informações, você consegue resolver a questão com tranquilidade, mas o que não pode acontecer é desespero. Qual que é o aluno desesperado? O aluno desesperado é aquela aluna que acha que vai aprender tudo na primeira vez. Acha que tudo é fácil, tudo é mole. Se fosse fácil, todo mundo passava no concurso público. Não sabe nem fazer a prova, chegava e entregava vaga para todo mundo, mas não é assim. Existe uma dificuldade natural e isso a gente pega com o tempo, tá? Vamos continuar então com a parte dos fundamentos agora da nossa Lei Geral de Proteção de

Dados. Roda a vinheta! Vão lá que tem mais um monte de tópico importante. [Música] E aí, rapaziada, conseguimos passar do âmbito de aplicação da LGPD e agora nós vamos continuar nessa parte ainda um pouco introdutória, falando dos fundamentos da Lei Geral de Proteção de Dados. Essa daqui é aquela parte que, quando cai na prova, é pura decoreba, não tem o que explicar aqui. Ah, então é a leitura do artigo segundo. Olha que o artigo segundo da Lei Geral de Proteção de Dados Pessoais fala pra gente: a LGPD tem como fundamentos... aí ele traz pra gente

assim: o respeito à privacidade, a autodeterminação informativa, a liberdade de expressão, de informação, de comunicação e de opinião, a inviolabilidade da intimidade, da honra, da imagem, o desenvolvimento econômico e tecnológico e inovação, a livre iniciativa, a livre concorrência e a defesa do consumidor, os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. Bom, não tem muito que explicar aqui, mas eu vou fazer uma breve explicação de cada um desses fundamentos. Mas aqui, como eu disse pra vocês, a literalidade... a questão vai perguntar: isso é fundamento? Não é

fundamento? E ponto final. Se você for parar para pensar, é óbvio que é um fundamento: a privacidade. Afinal de contas, eu vou proteger o dado pessoal da pessoa para que alguém não pegue a sua conversa do WhatsApp e saia utilizando indevidamente por aí. Ó, aqui no grupo de WhatsApp, o Fulano falou que não sei o que lá, sem a sua autorização. Então tem que proteger a sua privacidade, já que isso é uma conversa que aconteceu dentro de uma intimidade. Segundo item: a autodeterminação informativa. Autodeterminação informativa... autodeterminar-se é você que determina as informações. Esse sentido de

autodeterminação informativa acontece principalmente naquelas informações que dependem do seu consentimento. Olha, o tratamento daquele dado depende do seu consentimento. Por quê? Porque só você que sabe quais são as informações que você quer dar consentimento ou não. Eu vou pegar um exemplo: aqui em casa, eu tenho meu celular e a minha esposa tem o celular dela. Eu comentei com ela esses dias atrás que, basicamente, todos os aplicativos que pedem lá para usar as minhas informações, eu coloco não. Eu sou meio chato com isso, eu quase sempre digo que não. É uma coisa minha, é a minha

determinação. Ela já é um pouquinho mais permissiva em relação a isso. Ela já dava um sim em mais oportunidades. Quem é que tá certo? Quem tá errado? Nenhum dos dois. É uma autodeterminação. Ela tem o ponto de vista dela de quais informações ela dá consentimento. Eu tenho o meu ponto de vista sobre quais informações eu dou meu consentimento. Isso é a autodeterminação. Portanto, o próprio usuário, o próprio titular do dado, é que sabe determinar aquilo que ele quer consentir e aquilo que ele não quer consentir. A divulgação... Liberdade, aquela velha história, né? Deu o direito

para a pessoa, para o titular, escolher o tipo de tratamento que ela quer dar. Respeite-se a liberdade das pessoas. Inciso 3: liberdade de expressão, de informação, de comunicação e de opinião. É óbvio, volto a dizer, que essas liberdades acontecem dentro de um contexto constitucional. Mas respeitar a constituição significa que você tem o direito à sua liberdade de expressão. Inciso 4: envolve a habilidade da intimidade, da honra e da imagem. O que a gente vê aí de informação de pessoas, que têm fotos que não eram para ser divulgadas e estão sendo divulgadas... Cara, aquilo é intimidade

dela! Ah, mas por que tirou? Cara, é dela! A pessoa, até essa informação, ela faz a priori o que ela quer fazer da vida dela, desde que não ofenda o direito do outro. Então, a gente tem que proteger essa intimidade. Por outro lado, se a gente fosse pensar, então a professora diria: é fácil, só bloqueia todas as informações e está resolvido! O problema de você bloquear todas as informações é que você gera um outro problema: o problema da questão do desenvolvimento econômico, tecnológico e de inovação. Essa comigo é o seguinte: por um lado, eu quero

proteger a sua intimidade, mas, pelo outro lado, quanto que nós tivemos de avanço de tecnologia porque as empresas de tecnologia podem coletar os nossos dados? Eu uso um monte de software aqui para dar aula para vocês. Às vezes, um software dá um bug e a empresa vai lá e pede para mim: "Herbert, compartilhe o seu dado conosco para que nós possamos aperfeiçoar o software." Eles têm acesso à informação errada e conseguem aperfeiçoar. Pega o Waze! O Waze é uma ferramenta muito útil para todos nós, mas ele só é possível porque existe uma empresa que coleta

os seus dados de navegação e utiliza esses dados para um tratamento. Então, não é só bloquear, porque se eu bloquear, eu gero um prejuízo para o desenvolvimento econômico, tecnológico e de inovação, e também para a questão da livre iniciativa, da livre concorrência e da defesa do consumidor. Ora, eu quero vender para vocês, né? Naturalmente, faz parte da livre iniciativa. O meu concorrente quer vender para vocês, faz parte da livre concorrência. Por outro lado, vocês querem que as suas informações sejam protegidas, e isso faz parte da defesa do consumidor. E, por fim, tem a questão dos

direitos humanos, do desenvolvimento da personalidade, da dignidade e do exercício da cidadania. Uma questão meio óbvia nesse aspecto. Enfim, não tem muito o que explicar nessa parte dos fundamentos. Nesse slide aqui, eu coloco todos eles para vocês, para depois vocês darem mais uma lida, pois você escreve, resolve questões; de alguma forma, você vai memorizando esse negócio. Mas eu não vou perder muito meu tempo porque não tem muito o que explicar aqui para vocês. Olha como isso cai em prova: a Lei 3.709, também conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), foi inspirada no

General Data Protection Regulation (GDPR) inglês. Tabajara aqui para vocês, só para vocês entenderem. A LGPD, Lei Geral de Proteção de Dados, foi inspirada no regulamento europeu de proteção de dados; a referência da LGPD. Esse regulamento europeu de proteção de dados é uma norma já bastante consolidada, até mais ampla do que a LGPD, e muitos dos dispositivos desse regulamento foram, entre aspas, copiados na LGPD. Por uma questão de que, às vezes, a gente tem empresa nacional que, no futuro, vai vender, exportar para a Europa. Com isso, se você já coloca uma regra aqui no Brasil que

está em consonância com o regulamento europeu, fica mais fácil para ela se adequar ao direito estrangeiro, porque, senão, imagina: no Brasil é uma regra, e no outro país é outra regra. Daria muito trabalho para as nossas empresas se adequarem. Vamos lá! No que concerne à LGPD, assinale a afirmativa que apresenta um dos seus fundamentos: letra A — autodeterminação informativa. Cara, aí o aluno pega e fala assim: "Ah, mas essas questões estão muito fáceis!" Não saiu? "Ah, mas essas questões estão muito fáceis!" Mas engraçado, né? Eu coloquei o negócio achando que tinha saído e não saiu!

"Né, professora? Essa questão está muito fácil!" Está fácil agora, meu filhote! Tenta resolver ela antes de ter visto esse trecho da aula. Agora fica fácil, né? Aí, os demais itens: preservação da integridade física... Olha, veja que aqui a banca não inventou isso do nada. Preservação da integridade física é uma das situações em que você vai tratar o dado mesmo sem consentimento, quando você quer preservar a integridade física, por exemplo, de um terceiro. Depois vou falar sobre isso com vocês. Então, veja, ela não tirou do nada essas outras informações. A gente tem que conhecer um pouquinho

os fundamentos. Respeito à individualidade; ó! Tem que respeitar a individualidade, né? Mas não é um fundamento da LGPD. Repúdio ao discurso do ódio; é óbvio que nós vamos repudiar discursos de ódio. Isso não é um fundamento da LGPD. Por fim, solidariedade comunitária; coisa bonita, né? Solidariedade comunitária, mas não está nos fundamentos da Lei Geral de Proteção de Dados. Com isso, gabarito letra A. Muito tranquilo! O problema ao começarmos a estudar essas normas novas é que você vai pegando algumas coisinhas, assim, fundamento, princípio, que são as coisas meio decorebas, né? Agora, nós vamos para os princípios,

que também têm uma parte bastante decoreba. A diferença é que aqui, nos princípios, a LGPD traz o conceito de cada um dos princípios. Então, agora não é só decorar, tem que entender um pouquinho. E eu vou tentar explicar para vocês essa parte: quais são os princípios da aplicação da Lei Geral de Proteção de Dados? Deixa eu só pegar aqui o artigo 6º para falar para vocês. E, para falar o seguinte: olha só, as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios. Tudo bem que aqui o bom-feito não falou o

princípio da boa-fé, mas é óbvio que você tem que observar a boa-fé. Observa-se o princípio da boa-fé. Coloquei aqui em cima a boa-fé. Além da boa-fé, tem que observar a finalidade, a adequação, a necessidade, o livre acesso, a qualidade dos dados, a transparência, a segurança, a prevenção, a não discriminação, e a responsabilização e prestação de contas. São 10 princípios, mas o princípio da boa-fé tem um papel central. Então, boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas. O que é engraçado é que aqui não ficam

aqueles princípios mais óbvios que a gente vê no dia a dia do direito, porque aqui são realmente princípios muito específicos sobre o tratamento de dados. Então, você vai ter que fazer uma leitura do artigo 6º da LGPD, e sobre ele nós vamos começar a tratar agora. O artigo 6º, inciso 1, diz que nós temos que observar o princípio da finalidade. Ele diz para a gente o seguinte: "A realização do tratamento deve ser para propósitos legítimos, específicos, explícitos e informados ao titular, sem a possibilidade de tratamento posterior de forma incompatível com essas finalidades." Vamos lá, vamos

falar sobre o princípio da finalidade. Então, quando você chega a uma farmácia, o pessoal chega e fala para você o seguinte: "O senhor tem cadastro conosco?" Aí você olha para o balconista e fala: "Não tenho." O balconista, então, se apega e fala: "Podemos fazer seu cadastro rapidamente." Aí você pega e fala: "Não, eu não gostaria de fazer esse cadastro." Eu não vou entrar no mérito se o cara vai te vender ou não, porque isso não diz respeito à nossa aula, mas às vezes a pessoa é tão desconfiada que não quer dar essa informação. Mas vamos

pensar no segundo contexto: você chega e pergunta para o funcionário da farmácia: "Tá, mas para que vocês querem os meus dados?" E ele responde: "Não, nós só precisamos do seu dado para, vamos supor, a emissão de nota fiscal e também porque queremos ter uma estatística sobre os produtos vendidos, etc e tal." Depois, ele não pode usar esse seu dado, por exemplo, para compartilhar com uma empresa de plano de saúde. Veja só, ele falou que vai usar seu dado para uma finalidade específica: emissão de nota fiscal e para fins estatísticos de uso daquela farmácia. Só para

isso! Ele não pode pegar esse dado depois e compartilhar com a empresa de saúde para cotação de preço de plano de saúde. Ele não pode fazer isso. Então, o que nós temos aqui é uma finalidade definida: qual é o propósito para o qual eu estou preenchendo essa ficha? Existe um propósito para o fornecimento, e esse propósito tem que ser legítimo, ou seja, tem que ser aquele tipo de propósito que tem um fundamento legal. Por exemplo, não pode ser algo ilegítimo, como um fim ilegal. Tem que ser um fim legítimo, e ele tem que ser uma

finalidade específica. Quando eu falo que é específico, é o seguinte: você não pode, por exemplo, dizer "nós vamos usar os dados aqui porque a gente precisa" — isso não é específico. O que você vai fazer com esse dado? E, por fim, esse fim tem que ser explícito. Quando eu digo que ele é explícito, significa que a pessoa vai informar ao titular por que está coletando a informação. Olha, é explícito: eu vou contar para você qual é a razão pela qual estou coletando sua informação. Então, na próxima vez que você for a uma farmácia ou a

uma loja e alguém te pedir um dado, pergunte: "Mas para que vocês querem esse dado?" Para você entender qual é o fim, se é legítimo, qual é a finalidade específica, porque tem que ter um tratamento próprio, e a pessoa tem que te informar por que está coletando isso. Depois disso, uma vez coletado esse dado, não pode haver uma alteração posterior incompatível com essas finalidades. Olha só, só para acrescentar, às vezes a finalidade pode ser alterada; inclusive, se ela for alterada, você é comunicado e não precisa dar um novo consentimento. Você pode revogar o consentimento para

o tratamento da informação, mas não precisa renovar esse consentimento. O que estou explicando para vocês é que, uma vez coletado, o uso desse dado pode ser alterado mais adiante. Você será informado e, se quiser, você revoga, mas se não, tá tudo bem. O que não pode é alterar para um fim incompatível, ou seja, que não tem nada a ver com a razão da coleta daquele dado. Às vezes, vamos pegar aqui o caso da pandemia. O Estado tem várias informações nossas sobre vacinação. Quando veio a pandemia de COVID-19, o Estado precisou alterar a finalidade da utilização

de algumas informações em banco de dados sobre vacinação para entender onde as pessoas estavam, como estavam se vacinando, que horário que se vacinavam, para conseguir fazer um planejamento de uma política pública. Mas é algo compatível com a coleta anterior. Então, vai existir sempre esse limite da razoabilidade, entre outros critérios, para definir quando é compatível e quando não é compatível. Vamos avançar mais um pouquinho. Outro princípio é o princípio da adequação e da necessidade. Eu não sei se você já estudou no Direito Administrativo os princípios administrativos. Existem dois princípios que são a razoabilidade e a proporcionalidade.

Quando você estuda a razoabilidade e a proporcionalidade, você aprende sobre adequação e necessidade. Quando falo de adequação, uma equação diz respeito à compatibilidade da informação com seu uso. Vou explicar para vocês, só deixa eu escrever "compatibilidade" aqui. Olha só, a adequação é a compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento. Vou explicar para vocês. Então, quando falo de compatibilidade, estou falando de uma relação entre meio e fim. Por exemplo, se... Eu vou numa loja e compro uma chave de fenda. É porque eu vou chegar em casa e

vou usar essa chave de fenda para abrir ou apertar um parafuso. Essa ferramenta foi adquirida para essa finalidade. Eu não comprei uma chave de fenda, por exemplo, para quebrar a tela do meu computador. Para ficar tal tal, não existe uma adequação entre a utilidade dessa ferramenta e o uso que estou dando para ela. Eu comprei essa chave de fenda para apertar ou para soltar um parafuso. Se um dado foi coletado, por exemplo, para a emissão da nota fiscal, ele tem que ser utilizado para a emissão da nota fiscal e não para outra finalidade. Essa é

a adequação. Ou seja, é a compatibilidade entre o tratamento da informação e a sua finalidade. Estou usando essa informação realmente para emissão da nota fiscal? Estou usando para outra finalidade, outra utilização. Outro princípio é o princípio da necessidade. O princípio da necessidade vai ser usado para o mínimo necessário. Em outras palavras, é o seguinte: quando você vai interpretar o quanto que você autorizou o uso dessa informação, a interpretação deve ser sempre aquela interpretação para o uso mais restrito. Ou seja, eu vou usar apenas para aquilo que for imprescindível, aquilo que for de fato necessário. Eu

não posso extrapolar esse uso indevidamente. Olha o que a LGPD fala para a gente: o princípio da necessidade diz respeito à limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. Por exemplo, eu coletei informação para aperfeiçoar um sistema de informação. Vamos pegar assim: você foi lá no Starbucks, que coletou seus dados. Ele disse que coletou esses dados para melhorar o atendimento. Ele estava pensando ali, no tempo, melhorar o sistema, isso melhorou os produtos, etc. Ele não

pode começar a pegar isso e começar a usar para qualquer coisa, para qualquer finalidade. Opa, calma aí! A utilização tem que ser mais restrita e não mais abrangente. Então, a utilização é para o mínimo necessário. Nós aplicamos aqui o padrão da proporcionalidade. Exemplo: eu não uso uma bala de canhão para matar um mosquito; eu uso uma elétrica, um chinelo, e não uma bala de canhão. Então, tem que ter essa proporcionalidade. Vamos avançar mais um pouquinho. Então, o próximo caso é o livre acesso. O livre acesso deixa para a gente ler depois. Então, vimos finalidade, vimos

adequação e vimos necessidade. Olha como isso cai em prova: com base na LGPD, a realização do tratamento para propósitos legítimos, específicos e explícitos, informados ao titular, sem a possibilidade de tratamento posterior de forma incompatível com tais propósitos, é traduzido pelo princípio. Quando eu olho para o propósito da informação, eu digo que a informação tem que ser usada para esta finalidade e não para uma finalidade incompatível. Estou falando do princípio da finalidade, então o gabarito aqui é a nossa alternativa D. Daqui a pouco, a gente vai falar um pouquinho sobre o conceito de prevenção, qualidade e

transparência. Mas agora já sabemos que é o princípio da finalidade. Agora, eu vou trazer para vocês três informações, três princípios que são garantias do titular. Quem é o titular? O titular é o dono, é a pessoa que se refere à informação. Por exemplo, se eu te fornecer o meu CPF, eu sou o titular desse CPF; a informação se refere a mim. Se um órgão público tem a minha ficha de saúde, eu sou titular dessa ficha de saúde; esse dado se refere à minha pessoa. Se uma empresa pegou os dados do meu endereço e do meu

cartão de crédito, eu sou titular dessa informação. Ok, eu vou falar para vocês agora de três garantias do titular, da pessoa a que se refere o dado. Inciso 4: livre acesso. Garantia aos titulares de consulta facilitada e gratuita sobre a forma e duração do tratamento, bem como sobre a integralidade dos dados pessoais. Vamos pensar o seguinte: eu gosto de fazer as minhas corridas, gosto de correr. Eu tenho o meu relógio, que tem lá as minhas informações. Quando eu comprei o relógio, instalei o relógio, instalei o aplicativo no celular, preenchi um formulário e veio lá: aceito

os termos de uso. A gente vai lá, ninguém lê aqueles termos de uso, vai lá: aceitei os termos de uso, beleza. Lá eles estão dizendo como que eles vão usar as minhas informações. Certo dia, o sistema não estava funcionando, bugou o sistema, e aí rolou na internet que vazaram os dados que essa empresa possuía sobre os seus usuários. Um hacker coletou esses dados, e a empresa tem que pagar um valor milionário para liberar os dados. Ok, eu fiquei sabendo sobre isso e fiquei encucado. Pensei: "Cara, e agora? Será que coletaram os meus dados?" Só que

eu poderia fazer: eu poderia mandar uma mensagem para a empresa. Por quê? Porque, segundo a LGPD, um dos princípios da aplicação da lei geral de proteção de dados é garantir ao titular, ou seja, eu sou, eu tenho essa garantia de uma consulta facilitada e gratuita sobre a forma, a duração e sobre a integralidade dos meus dados pessoais. Está tudo certo aí com os meus dados pessoais, estão aí no banco de dados de vocês. Aconteceu alguma coisa, alguém alterou esses dados, eu tenho o direito de acessar essas informações. Eu posso consultar. Sabe quando você fez um

cadastro e depois você perdeu essa informação e quer ter acesso novamente às informações? Você tem livre acesso a isso. Você pode falar: "Ô, eu cadastrei um dia, mas eu perdi o meu retorno. Tem como me fornecer esses dados?" Você vai pedir essas... Informações: então, o livre acesso é uma garantia que o titular possui, e essa garantia gera o direito de ter uma facilidade para consultar as informações. E não é só a facilidade; ninguém pode cobrar por isso. Então, eu tenho acesso também gratuito à facilidade e à gratuidade para acessar como estão os meus dados pessoais

nesse banco de dados. Outra garantia do usuário é a garantia da qualidade dos dados, a garantia ao titular de exatidão, clareza, relevância e atualização dos dados de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. Vamos pensar na seguinte situação: hoje em dia, existem vários sistemas. Vamos colocar aqui a exatidão e clareza. Hoje em dia, existem sistemas que dizem respeito ao seu crédito, o score de crédito, para saber se você é um bom pagador ou não. A partir dessa informação, você consegue crédito mais facilitado, não consegue um crédito com taxa de

juros mais baixa ou mais alta? Imagina que, certo dia, você foi consultar o seu score e viu que estava baixíssimo. Aí, você pensou: "Ué, eu não compro nada no crediário, eu tenho uma boa renda, eu nunca atrasei uma fatura sequer. Eu, inclusive, tenho um bom patrimônio de garantia. Por que meu score é baixo?" Dessa forma, você foi pedir um financiamento no banco e o banco concedeu o financiamento, mas a custo elevado, inclusive cobrando uma taxa de juros bastante elevada. Você questionou o banco: "Olha, qual foi o critério que vocês utilizaram para fazer essa avaliação sobre

o meu crédito?" O banco falou: "Seu score tá baixo." Você ficou com uma pulga atrás da orelha e foi lá no responsável por esse banco de dados e percebeu que confundiram seu nome com o de outra pessoa. Aqueles dados não são seus, mas estavam sendo fornecidos como se fossem seus. Nesse caso, você tem um problema quanto à qualidade do dado: o dado não tem exatidão, o dado não tem clareza, o dado pode ter um prejuízo quanto à sua relevância e à sua atualização. Então, você tem direito de que esse dado esteja de acordo. Inclusive, você

pode impugnar essa informação para que o pessoal a corrija, né? Afinal de contas, você está sendo prejudicado por esse tratamento ruim em relação à qualidade do dado. Terceiro princípio da LGPD: próximo princípio, o princípio da transparência. Também é uma garantia que o usuário possui de que as informações são claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados o segredo comercial e industrial. O que a transparência diz respeito? A transparência significa que você tem direito de ter acesso àquelas informações claras. Você pode acessar essas informações, elas precisam ser

precisas. E, além disso, você tem direito de ter um fácil acesso às informações. Então, pensa comigo no seguinte: esse mesmo banco de dados, que tem as suas informações de score de crédito, como é que ele está tratando isso? Eu tenho direito de acessar as informações, elas dizem respeito a mim. A pessoa precisa ter um fácil acesso em relação às informações. Então, são três garantias dos usuários: livre acesso, qualidade dos dados e também a transparência. Perfeito. Outros princípios: vamos avançar mais um pouquinho aqui. O princípio da segurança e o princípio da prevenção. O princípio da segurança

diz respeito às medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Pensa comigo no seguinte: imagina que a Receita Federal, por exemplo... Deixa eu colocar aqui: qual o número do princípio? Estamos no sete. Pensa comigo no seguinte: a Receita Federal tem lá todos os seus dados fiscais. De repente, um hacker invadiu esse sistema e coletou os dados. Qual foi o problema aqui? Foi o problema de segurança. Nós temos direito a uma proteção eficaz. Opa! Hoje estou tentando escrever

rápido e falar rápido e a língua tá dando aquela travada. Você tem direito a proteção contra suas informações. Número 8: princípio da prevenção vem na mesma pegada da segurança. Qual é a ideia do princípio da prevenção? O princípio da prevenção vem da ideia de se adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. Imagina o seguinte: sabemos que existe o risco de alguém invadir um sistema. Isso é normal. Há um risco de alguém invadir um sistema, por mais que você adote medidas de proteção. Então, às vezes, o que pode

ser uma segurança? Um backup ou você separar informações. Às vezes, você tem uma parte da informação aqui, outra parte ali. Se alguém invade o sistema, não consegue todas as informações. Se alguém consegue roubar as informações, você tem um backup delas. Isso diz respeito à prevenção: não tem que esperar o pior acontecer para depois você agir. Princípio da não discriminação é a impossibilidade de realização do tratamento para fins discriminatórios ou abusivos. Então, a questão biológica, né? Não vou nem esquematizar essa parte. Um dos fundamentos, um dos princípios, melhor dizendo, é o princípio da não discriminação. Você

não vai usar dados para fins ilícitos ou abusivos. Você pega lá o dado de determinada pessoa sobre a questão de comportamento sexual e começa a subornar essa pessoa: "Se você não me fornecer um valor X aqui, eu vou divulgar essas informações." Você está utilizando esse dado para um fim ilícito, para um fim abusivo. E, por fim, o último princípio: o princípio da responsabilização e prestação de contas. É a demonstração pelo agente da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, inclusive da eficácia dessas

medidas. Uma frase para quem já estudou auditoria é que o auditor não tem que ser apenas imparcial e independente; ele tem que parecer imparcial e independente. Às vezes, nós questionamos determinadas autoridades públicas porque elas andam junto com pessoas que, teoricamente, elas não deveriam andar, pessoas que elas estão julgando, processos, advogados etc. Às vezes, pode ser que essa autoridade não esteja fazendo, de fato, nada de errado; pode ser que ela não esteja fazendo nada de incorreto. Só que ela está ferindo uma ideia: não basta ser imparcial; você precisa parecer imparcial. Isso diz respeito a muita confiança.

Então, quando eu falo de responsabilização e prestação de contas, estou dizendo que o agente responsável por aquela informação tem que comprovar que adota as medidas eficazes e capazes de demonstrar o cumprimento das normas. Portanto, ele não só adota, como também demonstra que consegue proteger essa informação. Esse é o nosso princípio da responsabilização e da prestação de contas. Vamos lá, passei aqui, então, segurança, prevenção, não discriminação e responsabilização e prestação de contas. Vamos resolver uma questão: ao solicitar a concessão de crédito ao Banco Dínamo, Veridiana foi surpreendida com o oferecimento de uma taxa de juros muito

acima daquela praticada pelo mercado. Conformada ao descobrir que o cálculo foi feito unicamente com base em tratamento automatizado de seus dados pessoais, requeri a uma instituição financeira o acesso a tais dados, bem como as informações a respeito dos critérios e procedimentos utilizados para tomar a decisão. No relatório apresentado pelo banco, verificou-se que boa parte dos dados pessoais coletados se referiu, em verdade, a uma sua homônima que apresentava péssimos índices de crédito. Veridiana tinha duas “Veridianas”; uma tinha um bom crédito, outra tinha um crédito ruim. O banco coletou as informações de outra Veridiana e, por isso,

colocou uma taxa de juros bastante elevada. Qual foi o princípio da LGPD que foi violado nesse caso? Assinale a opção que indica o princípio da LGPD que teria sido violado pela instituição financeira. Olá, finalidade. A finalidade diz respeito ao uso da informação. A informação está sendo usada para o tratamento do crédito; não há problema quanto à finalidade. Está certo. Quanto à informação, não discriminação: está tendo uso abusivo e discriminatório dessa informação? Não, não está tendo esse tipo de uso. Resultado: o problema aqui é a segurança. Pergunta para vocês: tem alguma informação demonstrando que o dado

foi violado ou utilizado indevidamente? Não, não tem essa informação. Também não há informações sobre adequação, que diz respeito à relação meio e fim: essa informação, de fato, está sendo utilizada para essa finalidade. Hora, isso não é o problema. Se eu tivesse os dados dela corretos, estaria utilizando para a finalidade que é a aferição do crédito. Portanto, o problema não é quanto à adequação no uso da informação. Qual é o problema de qualidade? Houve um registro inadequado; essa informação não tem qualidade. Porque essa informação aqui foi uma informação que não é exata. A informação que não

tem clareza, relevância, mas, principalmente, exatidão; ela não se refere à pessoa, ela se refere a um problema quanto à qualidade dessa informação. Por isso, o gabarito é a alternativa e. Aqui já é uma questão que não adianta só decorar. Está vendo como você tem que entender e conhecer cada um dos princípios? Porque só fazer uma lista do que é princípio não faz você resolver esse tipo de questão. Com isso, nós acabamos mais um bloco aqui da nossa sala. Até daqui a pouco. [Música] E aí, meu povo, como estamos? Tudo certinho com vocês? Cara, não é

uma aula, não é um assunto dos mais fáceis. Como já falei anteriormente, mas acho que nós estamos diluindo muito bem esse tópico aí, vendo como pode ter uma cobrança um pouquinho mais complexa, como nós acabamos de ver aqui nessa última questão. Pessoal, eu sei que a gente tá... Gosto de falar, às vezes, que a gente pega esse assunto igual aula de intervenção do Estado. Na semana passada, eu falei para vocês que, às vezes, é difícil. Você tem que pensar como um cara que está aprendendo a surfar: ele pega a prancha, aquela longa, né? Aquelas pranchas

gigantes, e vai tentar entrar no mar. Aí, pá, se quebra tudo de volta. Aí, quebra tudo de volta e esse cara demora um pouquinho para passar a primeira onda. Quando ele passa a primeira onda e chega na parte boa—vou chamar essa parte boa ali do mar—tudo começa a fluir, tudo começa a melhorar. Nós estamos quebrando a primeira onda. A primeira onda é a parte mais de "decoreba" da LGPD, porque a LGPD, se você fizer uma leitura dela, vai ver que ela é muito lista, né? São princípios, são fundamentos, são isso, são aquilo. E, para concurso

público, fica muito "decoreba". Então, nós estamos quebrando a primeira onda. Já passamos por boa parte do "quebrar a primeira onda" porque nós passamos pelos fundamentos, passamos pelos princípios. Mas ainda tem um terceiro ponto para a gente quebrar essa primeira onda, que é a parte sobre os conceitos. Vamos superar essa parte dos conceitos, tá? Então, aqui, vamos ter ainda mais uma parte "decoreba", mas aqui não é só "decoreba", porque aqui vocês vão ver que alguns tópicos eu terei que explicar para vocês com mais cautela. Então, vamos para esse bloco. Depois que acabar esse bloco, eu dou

um intervalo para vocês. Hoje, acho que nós vamos até umas 10:40. Essa é a minha previsão com a nossa aula de hoje. Então, vamos para os conceitos. Apronta aí! Posso rodar a vinheta? Se preparem, que essa parte vai ser boa agora. [Música] [Música] Pessoal, agora nós vamos para a parte de conceitos da LGPD. Se você pegar lá na Lei Geral de Proteção de Dados... Em outras leis, nós temos um artigo que vai trazendo só conceitos. Esses conceitos vão ser explicados de forma melhor ao longo que você for estudando. A LGPD não precisa se preocupar em

decorar o conselho; entendeu os detalhes desse conceito? No primeiro momento, eu vou dar a informação e depois, numa segunda passada, você vai pegar melhor esse conceito. Essa é a lógica. Alguns conceitos são pontos-chave para você entender outros pontos da LGPD. Por exemplo, quem é o titular? Quem é o controlador da informação? Outro exemplo: o que é um dado pessoal? O que é um dado pessoal sensível? O que é uma anonimização? Essas expressões são importantes e relevantes ao longo da LGPD, por isso que eu vou ter que explicar para vocês agora. Então, vai ter essa pegada

de conceito, vai ter uma pegada um pouco de decoreba, mas também vai ter muita explicação aqui. Primeiro, vamos começar a entender o que é o dado pessoal. Dado pessoal é aquela informação relacionada a uma pessoa natural identificada ou identificável. O que eu quero dizer com isso? Então, o que é o dado pessoal? O dado pessoal é aquela informação que se refere a determinada pessoa, ou seja, a informação que se refere a uma pessoa sobre uma pessoa natural. O que é a pessoa natural? É a pessoa física. Eu sou uma pessoa natural, você é uma pessoa

natural. E quando eu falo desse dado pessoal, esse dado pessoal é passível de identificação. Essa pessoa pode estar identificada, por exemplo: "Herbert Almeida reside no local tal". Esse é um dado pessoal porque ele tem o meu endereço e se associa a uma pessoa, Herbert Almeida. Então, é uma pessoa identificada ou aquela que é passível de identificação, ou seja, ela é identificável. Eu tenho elementos para conseguir entender quem é. Por exemplo, o usuário de CPF número tal. Eu não estou dizendo diretamente quem é esse usuário, mas a partir desse CPF eu consigo identificar a pessoa. Isso

é o dado pessoal, então dado pessoal se refere a uma pessoa, ponto final. Eu consigo saber quem é essa pessoa. O próximo item que eu vou trazer para vocês é o dado pessoal sensível. Eu sei que aqui tá o titular, mas eu vou pular para o próximo item para trazer para vocês o que é o dado pessoal sensível. O dado pessoal sensível é aquele dado pessoal sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde, à vida sexual, dado genético

ou biométrico, quando vinculado a uma pessoa natural. Bom, eu gosto de falar para vocês que o dado pessoal sensível é um dado pessoal como qualquer outro, mas ele diz respeito a algo que está ligado à intimidade da pessoa ou a alguma coisa que normalmente gera polêmica. Então, você pensa naqueles assuntos que geram polêmica, que geram problema; isso é um dado pessoal sensível. Veja que quando eu coloco aqui dado pessoal sensível, eu posso falar sobre a filiação a um sindicato, uma opinião política dessa pessoa, uma questão religiosa ou filosófica, vida sexual; todas essas questões costumam gerar

problemas, né? Um ponto para você perceber é o seguinte: quando a LGPD fala de dado pessoal, é só assim: relacionado a pessoa natural identificada ou identificável. Agora, quando ela traz um ponto específico dessa informação, como vida sexual, ponto de vista político, filosófico, filiação, quando ela começa a dizer o que é, muito provavelmente, ela está tratando do dado pessoal sensível. Porque veja, no dado pessoal, ela não disse qual é a informação do dado pessoal sensível; ela traz alguns exemplos, algumas situações de informações que são específicas e sensíveis, e que, portanto, a priori, não devem ser identificadas.

Uma diferença entre dado pessoal e dado pessoal sensível é que o dado pessoal sensível tem um tratamento mais restrito do que o dado pessoal, ok? Aqui está um esquema para você pegar o que é dado pessoal. Então, dado pessoal sensível, melhor dizendo, diz respeito à origem racial e étnica. Esse dado pessoal sensível diz respeito à convicção religiosa, à opinião política da pessoa, eventual filiação que ela tenha a um sindicato ou alguma organização, seja religiosa, filosófica ou também política; dados sobre a sua saúde, sobre a vida sexual e também dados sobre a genética e dados biométricos

vinculados a uma pessoa natural. Essas informações dizem respeito ao dado pessoal sensível, que depois nós vamos ver que o dado pessoal sensível tem um tratamento um pouco mais restrito do que o simples ou genérico dado pessoal. Terceiro conceito: o conceito de titular. Professor, quem é o titular? O titular nada mais é do que a pessoa natural, e essa pessoa natural é a pessoa a quem se referem os dados. Esse aqui é o titular da informação, é aquele que se refere ao dado pessoal. Vamos pensar no seguinte: meu endereço, quando está cadastrado lá no banco de

dados da Receita Federal, eu sou titular dessa informação. Os meus rendimentos, lá no banco de dados da Receita Federal, eu sou o titular dessa informação. Quando eu chego no órgão de saúde, a minha ficha médica, que diz lá que tem as informações sobre as vacinas que eu tomei, essa informação diz respeito à minha pessoa; eu sou titular dessa informação. Então, titular é aquele a quem a informação ou o dado se refere, simples assim. Essas três conceitos iniciais são os três talvez até os mais cobrados em prova e são tranquilos de a gente pegar. Ou evoluindo

um pouquinho mais, vamos chegar agora numa questão de prova. A questão diz pra gente o seguinte: de acordo com a LGPD, a pessoa natural a quem se referem os dados pessoais que são objetos de tratamento... É o quem que é essa pessoa natural a qual se refere. Pessoal, é o titular da informação, a pessoa natural sobre a qual se refere o dado. É titular daquele dado, é titular daquele dado que está no banco de dados ou em qualquer outro lugar. Ele não é o operador, porque não é ele que está operando, fazendo o uso dessa

informação. Depois, a gente vai falar um pouco mais sobre isso, controlador. Daqui a pouco eu vou conceituar também. Carregado, corregedoria, todas as informações, nós vamos tratar logo mais adiante. Vamos lá, a próxima questão: a LGPD faz a distinção entre dados pessoais e dados pessoais sensíveis. Assinale o tipo de dado que não se enquadra na categoria de dados sensíveis. Lembra que eu comentei com vocês: a LGPD não traz uma lista do que é dado pessoal. Ela só fala que dado pessoal é aquela informação que se refere a uma pessoa natural identificada ou identificável, só isso. Agora,

no dado pessoal sensível, nesse caso, ela traz uma lista do que seriam informações pessoais sensíveis. Ela vai trazer lá: filiação política, saúde, entre outros dados. Agora vamos resolver, então, a questão. Letra A: convicção religiosa. Ora, convicção religiosa é um dado sensível. Dados biométricos, quando se refere a uma pessoa, ele também é um dado sensível. Data de nascimento, filiação, mesmo sindicatos, também é sensível. Origem étnica, também é sensível. Agora, a data de nascimento... Ora, a data de nascimento é uma informação genérica. Muita gente fala assim: "Ah, não revela minha idade e tal", mas é algo que

está aí no dia a dia, a data de nascimento das pessoas. Então, isso é um dado genérico, não é um dado sensível, não está classificado lá no inciso 2, conforme nós acabamos de observar. Então, esse aqui é o nosso gabarito, já que dado sensível é um dado pessoal, mas não é um dado sensível. Nesse caso, a data de nascimento não é um dado pessoal sensível. Gabarito, então, letra C. Próximo item: com relação ao estabelecido na LGPD, analise os itens a seguir. Inciso 1: os dados pessoais se referem à origem racial ou étnica, à convicção religiosa

e à opinião política. Inciso 2: os dados pessoais sensíveis são os referentes à saúde, à vida sexual, dados genéticos ou biométricos quando vinculados a uma pessoa. De fato, esses dados pessoais sensíveis se referem a essas questões pessoais. Titular é a pessoa natural ou jurídica a quem se referem os dados pessoais que são objetos de tratamento. A LGPD não trata de proteção de dados da pessoa jurídica, ela trata da proteção de dados da pessoa natural, ou seja, da pessoa física. Então, o item 3 está errado. Eu só ficaria assim com a pulga atrás da orelha em

relação ao item 1. O item 1 trouxe exemplos para a gente de dados pessoais sensíveis. Mas sabe o que eu penso? Eu penso da seguinte forma: o fato de ele ser um dado pessoal sensível é só um conceito mais restrito do que dado pessoal. Mas o dado pessoal sensível também é um dado pessoal. Então, eu até ficaria assim: "Pô, será que esse item 1 não poderia ser dado como certo?" Mas, a questão de concurso, questão de concurso é meio de decoreba. Então, eles não querem o dado pessoal, apenas: "Quero dado pessoal sensível." Nesse caso, se

escreve o conceito de dado pessoal. Isso não é dado pessoal, esse é o dado pessoal sensível. Não sei se você está pegando a lógica. Eu quero trazer para vocês: isso também é um dado pessoal, mas para a questão de concurso público, que é certo ou errado, eles querem mais na decoreba. Então, esse não foi um dado pessoal simples, ele foi um dado pessoal sensível. Então, nesse aspecto, o item foi dado como errado. Enfim, questão de interpretação, né? Questão de ponto de vista. Aquilo do avaliador. Se eu me deparar com a questão dessa em prova, eu

não vou ficar procurando pelo em ovo. Não, olha, isso não é dado pessoal, é dado pessoal sensível. E aí eu marco o item como errado e corro para o abraço na maior parte das vezes, tá? Então, dessa forma, somente o item 2 está certo. O gabarito: alternativa E. Beleza, vamos avançar mais um pouquinho. Vamos para o próximo item. Juliana, operadora de dados de uma organização pública, está tendo dificuldade com a forma de tratamento de dados após o início da vigência da LGPD e resolve pesquisar diretamente na lei sobre o que são dados sensíveis, visto que

eles merecem uma abordagem diferenciada. Assinale a opção que apresenta exemplos de dados pessoais sensíveis encontrados por Juliana na LGPD. Vamos começar de baixo para cima. Letra E: dados concernentes à escolaridade do titular. Olha, está lá na lista do dado sensível? Não, cara, escolaridade é uma informação genérica. "Ó, Fulano tem Ensino Médio, tem Ensino Fundamental, outro fez faculdade de XYZ." Isso não tem nada de sensível. Letra D: dados sobre a profissão também não é nada demais. Dados relativos à condição social do titular? Olha, se eu fizer uma leitura lá do inciso 2, ele não fala de

condição social como dados sensíveis. Letra B: dados que possam causar constrangimento ao titular. Professor, dado sensível pode causar constrangimento ao titular? Volta lá na lei e, ao invés de você ficar fazendo interpretação, vai na literalidade. Quando você vai na literalidade da LGPD, ela falou o seguinte: "Olha, dados sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação, assim, de caráter religioso, filosófico, político, dado sobre a saúde, a vida sexual e dados genéticos ou biométricos, quando vinculados a uma pessoa natural." Está escrito, literalmente, que possam causar constrangimento? Não! Você está interpretando. Eu também fiz essa

interpretação, mas na literalidade, não. Eu não quero que você fique tentando extrapolar, eu quero que você esteja pronto para acertar a questão como ela é cobrada. Isso: dados que possam causar constrangimento, isso não aparece na LGPD. Leia isso: apenas um ponto de vista nosso, mas não é o que está na norma. Portanto, a letra B está errada, porque isso não é o conceito de dados sensíveis. Pode até ser que, de fato, aqueles dados causem constrangimento, mas não é o que está na lei, na literalidade. A letra A diz para a gente o seguinte: "dados referentes

à saúde do titular". Isso aqui é um dado pessoal sensível. Gabarito: alternativo A, perfeito. Agora, nós acabamos o primeiro bloco sobre o conceito e vamos para um segundo bloco. Esse bloco é o mais legal de todos! Eu vou falar para vocês sobre o que é um dado anonimizado, a anonimização e a pseudonimização. Meu Deus, professor, que história é essa? É muito mais fácil do que você imagina; eu vou trazer alguns exemplos bem legais. O que é o dado anonimizado? Dado anonimizado é o dado relativo a titular que não pode ser identificado, considerando a utilização de

meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Opa, olha só! Dado anonimizado é aquele que eu não posso mais identificar. E o que é a anonimização? É a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação direta ou indireta a um indivíduo. Opa, bem interessante aqui, né? Vamos começar a entender então o que é essa história de anonimização e dado anonimizado. Agora, eu falo de dado anonimizado. Esse dado anonimizado é um dado relativo ao titular, mas ele não pode ser identificado.

Não pode ser identificado quer dizer, então, o seguinte: você chega lá em determinado banco de dados de uma instituição pública e ela tem a seguinte informação: "por cento da população brasileira tomou a vacina tal". Eu consigo saber, desde 80%, se o João da Silva tomou a vacina ou não? Não consigo. Eu tenho um conjunto de dados que só diz o seguinte: "na cidade tal, tantas pessoas tomaram a vacina". Eu não sei exatamente se a pessoa X tomou ou não tomou. Eu sei que naquela cidade tantas pessoas tomaram. Eu tinha um registro inicial em que você

tinha o nome do titular, mas depois foi retirada essa relação de causa e efeito do João com a vacina. Eu só sei o seguinte: tantas pessoas tomaram vacina, mas não consigo identificar essa informação para determinada pessoa. Esse dado foi um dado anonimizado. Inicialmente, ele era identificado, mas agora não consigo mais identificar a determinada pessoa. O IBGE, quando faz o censo, por exemplo, coleta várias informações e, logo depois que ele coleta essa informação, ela é anonimizada, porque não me interessa mais se é o João ou Maria. Só quero um número; só quero o dado para poder

fazer o tratamento, mas eu não tenho mais como identificar ou esclarecer aquela informação para determinada pessoa, em tese, né? As informações, por exemplo, sobre a justiça eleitoral, quando você entra lá, você tem uma identificação daquela informação inicial, mas depois que você emitiu seu voto, esse dado vai ser anonimizado de tal forma que eu não consigo mais fazer uma relação de causa e efeito entre o título de eleitor tal ou o eleitor tal e o voto daquela pessoa. Isso é um dado anonimizado. Eu tinha uma identificação e eu retiro essa possibilidade de identificação posterior. Só que,

olha só, deixa eu pular e depois eu vou complementar esse conceito. Esse conceito não está completo aqui ainda, tá? Eu vou avançar aqui para pseudonimização. O que é a pseudonimização? A pseudonimização é a utilização de meios técnicos razoáveis e disponíveis no momento, dos quais um dado perde a sua associação, perde a associação de forma direta. Imediata, aqui a gente vai ter o seguinte: e se organização é o tratamento por meio do qual um dado perde a possibilidade de associação direta ou indireta a um indivíduo? Então, vamos colocar aqui: você perde a sua associação, seja de

forma direta, por exemplo, o nome do camarada, ou seja indireta, por exemplo, com um código que diz respeito ao nome daquele camarada. Ok, eu vou perder essa capacidade de identificação, a não ser que eu faça uso de uma informação adicional pelo controlador em ambiente controlado e seguro. Ou seja, eu perdi a associação, salvo por uma informação adicional. Vamos pegar aqui um exemplo: você vai lá e participa de um concurso público, você faz a inscrição para esse concurso público. Nesse concurso público, existe uma prova que é uma prova discursiva. Logo após você responder essa prova discursiva,

é destacada a informação que faz a sua identificação. Neste momento, nós temos uma pseudonimização. Eu destaquei apenas aquela página que tem a sua resposta discursiva. Eu não tenho como fazer a sua associação direta ou indireta; eu não tenho como saber que é o João da Silva. Eu não tenho esse dado. O dado que permite fazer essa identificação estará em um banco de dados separado e seguro, fora daquele corretor do camarada que faz a correção. O cara que faz a correção, ele não tem como fazer uma associação direta ou indireta ao seu nome, porque ele não

tem acesso a essa informação extra. A informação extra, a informação adicional, ela é mantida em um outro local, separada daquela informação. Após a correção, o sistema busca essa informação, estressa a informação adicional e faz novamente a associação de você àquele dado. Então, na pseudonimização, eu tenho como reverter para os meios ordinários, pelos meios normais, ok? Mas agora, deixa eu voltar para cá, para o dado. Existe um procedimento chamado de anonimização. Esse procedimento de anonimização, segundo a LGPD, é a utilização dos meios técnicos razoáveis e disponíveis no momento do tratamento, pelo meio dos quais um dado

perde a possibilidade de associação direta e indireta ao indivíduo. Então, a anonimização é o processo em que você vai utilizar os meios técnicos disponíveis para fazer... Essa separação, e olha só o que ele fala: são meios técnicos razoáveis, barra disponíveis, e por intermédio desses meios técnicos você faz, você retira a possibilidade de identificação. Então, a partir de agora, o dado perde a possibilidade de identificação. Teoricamente, eu não posso mais reverter esse procedimento de identificação uma vez que eu fiz a anonização. Eu não tenho mais a priori como reverter a anonização. Veja que eu estou usando

expressões assim: a priori, eu não tenho mais como fazer essa reversão. Veja que a lei fala de utilização de meios razoáveis e disponíveis no momento para você fazer essa anonimização. Então, essa figura que eu vou montar com vocês aqui agora vai mostrar um procedimento de anonimização. Eu tenho um dado pessoal; nesse dado pessoal eu vou aplicar uma técnica, vou aplicar um processo, e esse processo aqui eu vou chamá-lo de anonimização. [Música] Esse é o processo, é a técnica que eu estou utilizando. A partir desse procedimento de anonimização, eu passo a ter um dado que é

um dado anonimizado. Agora, vou fazer uma pergunta para vocês. Quero que você responda para mim agora; se você estiver acompanhando ao vivo, você vai me responder ao vivo. Se você estiver acompanhando aí na sua casa, na área do aluno, você vai me responder indiretamente; você vai escrever em um papel, mas é importante fazer esse exercício agora, tá? O dado anonimizado é um dado pessoal? Essa é a pergunta que eu estou fazendo para vocês: o dado anonimizado, pergunta de prova, o dado anonimizado é um dado pessoal? Sim ou não? Mais uma vez, professor, o dado, professor,

eu estou perguntando: o dado anonimizado é um dado pessoal? Não. Por quê? Porque, lembre-se, qual é o conceito de dado pessoal? O dado pessoal é aquele dado que se refere a um titular identificado ou identificável. Identificado ou identificável, repito: identificado ou identificável. E o que é o dado anonimizado? É aquele dado que, após o procedimento de anonimização, perde a possibilidade de identificação. Então, ele não é nem identificado nem identificável. O dado anonimizado não é um dado pessoal; ele foi um dado pessoal, mas ele perde essa característica de dado pessoal porque ele deixa de se referir

a um titular específico. Show de bola! Mas agora vamos complementar os conceitos que nós estamos vendo até agora. Veja que ele perde a possibilidade de ser identificado pelos meios. Vamos colocar assim: por meios... Aí, o que a lei fala para a gente? Por meios técnicos razoáveis, razoáveis, ok? Aí vem um cara lá, tipo, que sai da vida com um procedimento super, hiper, mega, blaster e consegue coletar um micro, sei lá o que, que tem um pontinho, e a partir daquilo ele joga lá no supermercado e identifica a pessoa. Esse procedimento custou, por exemplo, um milhão

de reais, mas ele conseguiu identificar quem era a pessoa. Pergunta para vocês: isso é um meio técnico razoável e disponível que um CSI, um super-herói da Marvel, um Batman vai usar? Não, esse não é o meio técnico razoável e disponível. Existem meios técnicos de identificação super, hiper avançados, que eles não são razoáveis e não são disponíveis. Isso faz a informação deixar de ser um dado anonimizado, não, porque isso é um procedimento que não era razoável e não era disponível naquele momento. Segundo ponto: a tecnologia avança. Hoje, um dado pode ser anonimizado sob um contexto, e,

daqui a 10 anos, os meios disponíveis são outros. Há 10 anos, você tinha um procedimento de tratamento de dados; daqui a 10 anos, nós teremos outros procedimentos. Então, quando eu falo de dado anonimizado e anonimização, eu estou falando das técnicas disponíveis naquele momento, as técnicas razoáveis daquele instante. Ok? Com isso, nós passamos a entender, então, o que é dado anonimizado, anonimização e pseudonimização. Mais uma vez, lembrando vocês: o dado anonimizado deixa de ser um dado pessoal porque agora não tem como mais fazer a identificação por intermédio de padrões razoáveis e disponíveis. Show de bola! Vamos

resolver uma questão. A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais. Segundo a LGPD, a utilização de meios técnicos razoáveis e disponíveis, no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação direta e indireta a um indivíduo, é o tipo de situação que nós temos aqui. Estou utilizando, eu estou fazendo o procedimento... O procedimento é o procedimento chamado de anonimização. Eu pego um dado pessoal e transformo ele em um dado anonimizado. Então, letra C, o nosso gabarito: bloqueio, difusão, eliminação e extração são outros conceitos que alguns

deles nós vamos ver logo adiante na LGPD. Agora, nós vamos passar assim por diversos conceitos que não exigem tanta compreensão. Eu vou chamar uma vinheta, daqui a pouco eu volto para tratar de outros conceitos. Agora, conceitos que nós vamos passar de forma mais rápida, mais breve. LGPD, até daqui a pouco. [Música] Pessoal, 9 horas, vamos fazer o seguinte: eu vou pedir para vocês... Vamos colocar assim: 21h06, deixa eu ver aqui, 21h06. Como nós começamos um pouquinho, um pouquinho de atraso, eu vou dar 6 minutos de intervalo, umas 21h12 eu já volto para cá. E aí

nós recuperamos aqueles minutos que nós tivemos de atraso, tá? Então, 6 minutinhos de intervalo e nós já voltamos para continuar com a sala daqui a pouco. [Música] [Música] [Música] [Música] [Música] [Aplausos] [Música] [Música] [Música] [Música] [Música] [Música] [Música] [Música] [Música] E aí, meu povo, estamos de volta, né, para prosseguir então com os demais conceitos aqui da nossa LGPD. Eu também peço, plantando, se vai ter sorteio... Não sei! Que ela não vai ter sorteio nenhum! Até porque eu não planejei fazer nenhum sorteio aqui com vocês, mas tem um cupom de desconto, acho que tá na mensagem

fixada aqui no chat do estratégia, de 20% nas... Assinaturas do estratégia, você vai lá e faz a assinatura. O bom é que já tem acesso ao melhor material do mercado e ainda ajuda a gente a fazer uma moral com o chefe, né? Cara, tem que fazer uma moralzinha, né? Afinal de contas, nós temos que pagar o leite das crianças. Então, dá uma olhadinha aí, das crianças. As crianças. Das crianças! Já dá uma ajudada para a gente apagar nossos boletos, tá? Então, tem um cupom de estratégia aí de 20% de desconto para vocês poderem aproveitar. Vamos

lá então! Mais uma hora e meia, mais uma hora, mais dois, três bloquinhos aqui para conseguir nossa aula. A aula 1, aula 2 vai ser na sexta-feira, então às 19 horas, da LGPD. Vamos nessa! Vamos lá! [Música] Para o box subsequente aqui da nossa aula de hoje, vamos lá. Ó, tem muita gente que fugiu da aula, hein? A gente estava com mais de mil quando eu saí para o intervalo. Não sei não, mas eu acho que o que vai cair na prova o povo vai fugir do segundo bloco, é justamente o que a gente vai

trabalhar no segundo bloco. Então, eu ficaria aqui até o final da aula porque vai valer a pena, sim senhor! [Música] Pessoal, agora vamos continuar com outros conceitos que nós encontramos na LGPD e o conceito de banco de dados. Aqui, eu vou passar rapidamente, porque o banco de dados nada mais é do que um conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, com suporte eletrônico ou físico. Enfim, ao local em que as informações estarão armazenadas. Esse é o banco de dados. Outra informação agora, e essa daqui já é um pouco mais importante

para a gente, é o conceito de tratamento pessoal. O que é o tratamento da informação? Eu gosto de falar assim, de forma bem simples: o tratamento da informação é basicamente qualquer tipo de operação realizada com dados pessoais. Porque veja o que ele fala: é toda operação realizada com dados pessoais. Veja que depois ele coloca assim: "ó, como no sentido exemplificativo". Então, na verdade, tratamento é toda operação. Aí você não precisa ficar decorando, porque a própria lei falou: toda operação realizada com os dados pessoais. Aí, na sequência, ela vai trazer para a gente uma contextualização, ou

seja, exemplos de tratamento: por exemplo, a coleta, a produção, a recepção, a classificação, a utilização, o acesso, a reprodução, a transmissão, a distribuição, o processamento, o arquivamento, o armazenamento, a eliminação, a avaliação ou controle da informação, a modificação, comunicação, transferência, de fusão e extração. É importante colocar isso para vocês porque, às vezes, a gente tem a tendência de pegar algumas palavras, como por exemplo, o simples ato de coletar. Às vezes a gente pensa que coletar não é tratar, né? Mas é o simples ato de coletar! Outro exemplo aqui que às vezes a gente acha que

não é tratamento, mas é também, é fazer o arquivamento ou armazenamento. O simples ato de armazenar é um tratamento de informação. Outro exemplo que às vezes a gente fica achando que não é, mas você fazer apenas uma transferência dessa informação... tudo isso é tratamento. O simples ato de acessar a informação é tratamento. Chegou alguém lá no banco de dados, no órgão público, fez login. Hoje em dia, no âmbito federal, para você acessar informações e dados pessoais, você vai ter um login, e esse login vai gerar um log para a gente saber exatamente qual foi a

pessoa que acessou aquela informação e quando que ela acessou aquela informação. Então veja, até o acesso é registrado. O acesso, hoje em dia, também é considerado um tratamento de dados pessoais. Beleza, avançamos mais um pouquinho e vamos trazer aqui um geral, né, do que seria o nosso tratamento. Eu não sei porque aquele "armazenamento" ficou separado, mas enfim, vai estar tudo aqui. Ó, tratamento é o armazenamento, coleta, produção, recepção, classificação, utilização, acesso e assim sucessivamente. Tudo isso aqui... ah, já entendi qual foi o erro aqui. Ao invés de armazenamento, era para ter o conceito de que

eu vou escrever certinho aqui para vocês, meu filho. Esse aqui é o tratamento! Ah, saiu errado no meu esquema. Tudo isso aqui é tratamento de dado pessoal. Superada essa parte, vamos trazer uma questão de prova. Maria adquiriu determinado produto junto à sociedade empresária Alfa, que atua na venda de aparelhos eletrodomésticos. Na ocasião, conhecer algumas informações pessoais, mais especificamente seu CPF e o respectivo endereço, informações extras que permaneceram arquivadas dentro da referida sociedade empresária. À luz da narrativa, as informações fornecidas por Maria, nos termos da lei 13.709, devem ser consideradas dados. A letra A fala para

a gente assim: "dados pessoais sensíveis que foram objeto de mero armazenamento por Alfa, não de tratamento". Isso não é dado sensível, dado sensível se refere à saúde e a todas aquelas outras questões. Não é nem dado sensível, e quando ele fala "armazenamento", não de tratamento, também está errado. Controlados insuscetíveis de serem utilizados para qualquer finalidade por Alfa. Esse não é o conceito de dado controlado. Quando está falando é de dado pessoal, não é dado controlado. E eles podem ser utilizados para uma finalidade, como por exemplo o fato de ele ter... será que vários já é

um tratamento que está sendo dado aqui? E se ele for coletado, provavelmente existe algum propósito dessa coleta. Anonimizáveis, devendo ser eliminados por Alfa em 60 dias. Não existe essa regra de eliminar em tantos dias também não tem isso. E o que seria um dado anonimizável? Ora, o que seria passivo de anonimização? Mas eu não tenho um contexto para conseguir chegar a essa conclusão. A letra D diz: "dados cadastrais, podendo ser livremente utilizados". Olha, livremente... livremente não, né? Existem condicionantes para utilização dessa informação. E a letra E fala: "dados pessoais que foram objeto de tratamento por

Alfa". Foi tratado o simples fato de... Elatar arquivada foi um tratamento, sim. O arquivamento também é um tratamento. Veja como: as bancas são espertinhas; elas trazem a contextualização para você entender como é que funciona a LGPD. Gabarito: letra E. Próximos conceitos: consentimento é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Então, no consentimento, o titular da informação manifesta esse consentimento; essa manifestação tem que ser livre, informada e inequívoca. Eu vou concordar para a utilização de uma finalidade determinada. Chegou? Podemos usar sua

informação aqui para essa pesquisa? Sim, pode utilizar. Bloqueio é a suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados. É um bloqueio; você vai bloquear temporariamente o uso daquela informação. A eliminação é a exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado, ou seja, eliminou, te dou, deletou a informação do banco de dados. Transferência internacional de dados é a transferência de dados pessoais para países estrangeiros ou organismos internacionais do qual o país seja membro. Simples: entendendo mais para uma questão

de concurso público. Uso compartilhado de dados: essa informação aqui vai ser primordial, principalmente para você entender o tratamento de dados por órgãos do setor público. Por exemplo, o que é o uso compartilhado de dados? É a comunicação, difusão, transferência internacional de dados pessoais ou tratamento compartilhado de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais ou entre esses entes privados, reciprocamente, com autorização específica para uma ou mais modalidades de tratamento emitidas por esses entes públicos ou entre entes privados. Existem muitas informações que são coletadas por um órgão, e elas são compartilhadas

dentro de um sistema de um banco de dados para utilização por outro órgão ou entidade. Isso é uma informação que tem o uso compartilhado de dados. Quando eu trabalhava no Tribunal de Contas, naquela época, ainda nem existia a LGPD, mas nós já tínhamos acesso a algumas bases de dados da Receita Federal; utilizávamos essa base para poder identificar determinados responsáveis e, com isso, fazer a notificação, encontrar essas pessoas. Era um uso compartilhado de dados. Vou avançar mais um pouco. O controlador: esse conceito é um conceito interessante. O controlador é a pessoa natural ou jurídica de direito

público ou privado que compete as decisões referentes ao tratamento de dados pessoais. Então, o controlador normalmente é o outro lado da bancada; se de um lado eu tenho o titular, do outro lado eu tenho o controlador dessa informação. O operador é a pessoa natural ou jurídica de direito público ou privado que realiza o tratamento de dados em nome do controlador. Normalmente, o controlador tem a competência para tomar decisões, e o operador é quem de fato opera. Então, existe um órgão público que fez a coleta dessas informações, e ele é o titular dessa informação. Ele vai

lá e passa para determinado servidor ou para determinado órgão para fazer um tratamento desse dado. Então, esse é o controlador. O operador é aquele que mexe diretamente com a informação. Basicamente, isso é o que temos aqui. E o que são os agentes de tratamento, tanto controlador quanto o operador? A expressão "agentes de tratamento" envolve duas pessoas ou duas categorias de órgãos: 1. o controlador. O que é o controlador? O controlador é aquele que toma a decisão. Por exemplo, um ministério toma uma decisão sobre informações que foram coletadas, como o Ministério da Saúde, que tomou uma

série de decisões a respeito de informações constantes em seu banco de dados sobre vacinação. A partir dessa decisão, as Secretarias Estaduais de Saúde irão operar esses dados. Então, o controlador foi quem tomou a decisão, o Ministério da Saúde, e as secretarias serão aquelas que irão operar esses dados, pegando aquelas informações que estão no banco de dados e procedendo os devidos tratamentos. O operador é a pessoa natural ou jurídica de direito público ou privado. Eu falei secretaria, mas vamos considerar então a União e os estados para ficar com a pessoa, no caso uma pessoa jurídica da

situação, que realiza o tratamento em nome do controlador. Superando essa parte, vamos lá trazer mais um outro conceito: o encarregado. Quem é o encarregado? É a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Agência Nacional de Proteção de Dados. Então, olhe só: temos uma relação que envolve o controlador. Quem é o controlador? É aquele que toma as decisões a respeito dos dados pessoais. Temos do outro lado o titular, que é a pessoa natural sobre a qual se refere o dado, e do outro

lado aqui temos uma instituição pública, que é a ANPD. A ANPD é a entidade pública que se encarrega da fiscalização das regras sobre a aplicação da Lei Geral de Proteção de Dados. É a Autoridade Nacional de Proteção de Dados. E o que é o encarregado? É a pessoa indicada pelo controlador e pelo operador para fazer a comunicação entre esse controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. É com quem você vai conversar. Então, o controlador designa uma pessoa que será o encarregado. Esse encarregado será o canal de comunicação do controlador

com o titular e com a Agência Nacional de Proteção de Dados. É a pessoa indicada pelo controlador e operador para atuar como pessoa de comunicação desse controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. E o que é a Autoridade Nacional? É o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento dessa lei. A ANPD é essa autoridade nacional, e qual é a responsabilidade da ANPD? Zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados. Em todo o território nacional, nós vamos ter um capítulo específico

só para falar das características, composição e regras sobre a Agência Nacional de Proteção de Dados, a gestacional Autoridade Nacional, melhor dizendo, de proteção de dados. Avançando mais um pouco, temos o controle de órgão de pesquisa. O que é o órgão de pesquisa? É o órgão, entidade da administração pública direta ou indireta, ou pessoa jurídica de direito privado sem fins lucrativos. Então, é importante você notar que, quando eu falo do conceito de órgão de pesquisa, esse órgão de pesquisa pode fazer parte da administração pública. Pegue, por exemplo, o caso do IBGE. O IBGE faz parte da

administração pública indireta. Então, apesar de usarmos a expressão órgão, aqui no caso também estamos nos referindo a uma entidade da administração indireta que é responsável por pesquisa. Outro ponto que entra no conceito de órgão de pesquisa são as entidades de direito privado que sejam sem fins lucrativos. Essas são as entidades do terceiro setor. Elas também podem funcionar como órgãos de pesquisa porque são entidades sem fins lucrativos, constituídas sob as leis brasileiras, com sede no país e que devem incluir em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de

caráter histórico, científico, tecnológico ou artístico. Assim, o órgão de pesquisa é quem se encarrega de coletar dados para a realização de pesquisas, como faz o IBGE, por exemplo. Avançamos mais um pouco e vamos resolver uma questão: a sociedade empresária Alfa recebeu dados cadastrais de um consumidor. Ato contínuo, decidiu que esses dados seriam avaliados para determinados fins da atividade empresarial. Com base na temática estabelecida pela Lei 13.709, é correto afirmar que a sociedade empresária Alfa deve ser considerada a controladora. A sociedade empresária Alfa é quem toma a decisão; ela coletou os dados e tomou as decisões

sobre o tratamento desses dados. Portanto, a sociedade empresária Alfa é quem detém o banco de dados nesse caso e é a controladora da informação. Lembre-se que eu comentei com vocês: o controlador é quem está do outro lado da bancada. Eu, Herbert, forneço informação para a sociedade empresária Alfa; eu sou o titular, e ela é a controladora da informação. Então, ela é a controladora, só que designou um funcionário para operar essa informação, para realizar o tratamento. Esse camarada é o operador; o operador é aquele que realiza o tratamento em nome da entidade controladora. Com isso, a

letra A é a resposta correta. O operador é quem bota a mão na massa, designado pela autoridade controladora. Agora, a expressão "repassadora" não é o caso aqui; repassadora seria quem estivesse, eventualmente, repassando informação, o que não é o caso. As informações de acordo com a LGPD estão erradas; portanto, o gabarito é a letra A. A próxima questão é sobre a Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor no Brasil, que respeita à privacidade e à autodeterminação informativa. Já falamos sobre isso na parte de finalidades. Segundo a legislação brasileira, a pessoa natural ou jurídica

de direito público ou privado é quem compete as decisões referentes ao tratamento de dados pessoais. Essa pessoa é chamada de controladora, porque quem bate o martelo, quem toma a decisão, é a controladora. Então, gabarito: o controlador designa quem realizará o tratamento dos dados pessoais. O titular é a pessoa a quem se referem os dados pessoais. Quando falamos de encarregado, este é a ponte de comunicação entre o controlador/operador, a autoridade nacional e o titular. Ele é quem faz os contatos e as comunicações, o que também não é o caso desta questão. E programador não é um

conceito que encontramos aqui na LGPD. Portanto, o gabarito é letra A. Com isso, nós acabamos essa parte conceitual, rompemos a primeira onda, a parte mais difícil e conceitual da LGPD. Agora vamos avançar com outros conceitos. Até breve. [Música] Pessoal, eu diria que conseguimos concluir basicamente a pavimentação inicial da LGPD para agora estudarmos o que, de fato, é a aplicação da lei. Houve a necessidade de estudar tudo o que vimos aqui na parte introdutória. Veja que, até aqui, nesses dois horas e meia, temos superado conceitos iniciais da aplicação da Lei Geral de Proteção de Dados Pessoais.

Vimos suas normas gerais, fundamentos constitucionais, até de onde ela veio, do Código Europeu, do Regulamento Europeu de Proteção de Dados. Depois, passamos pela parte dos princípios, fundamentos e objetivos, além de falarmos de conceitos. Olha quanta coisa já vimos até agora! Agora, vamos entrar no tratamento dos dados pessoais de verdade. A partir de agora, chegamos no artigo 7º da LGPD. E aí vamos avançando com os demais assuntos, tratamento dos dados pessoais sensíveis e assim sucessivamente. Hoje não vai dar tempo; não sei nem se a gente vai chegar até o final desse slide aqui, mas tudo bem.

Não vai dar tempo de trazer, acho que devemos ir até onde começam os direitos do titular. Aí, direitos do titular, deixamos para a aula seguinte junto com o tratamento dos dados pelos órgãos públicos, que é a parte mais cobrada em questões de concurso público. Vamos lá, mas vamos na pegada, vamos nessa. Vamos lá. [Música] Pessoal, vamos avançar mais um pouquinho, então, com a LGPD. Depois de superar toda a parte de princípios, fundamentos e conceitos, agora vamos começar a falar da aplicação da LGPD de fato. Então, vamos falar agora sobre o tratamento dos dados pessoais, e

essas regras estão no artigo 7º. Lembra que o tratamento de dados, o que é o conceito? De tratamento de dados é toda operação com dado. Então, a questão é a seguinte: para fazer qualquer tipo de operação com dados pessoais, quais são os requisitos, as regras que eu preciso observar? O artigo sétimo da LGPD fala o seguinte: o tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses. Inciso 1: mediante o consentimento pelo titular. O inciso 1 é o único inciso, é a única regra que vai exigir o nosso consentimento. Então, primeiro a regra é

o meio do consentimento. Há como a gente utilizar esses dados, essas suas informações, para isso, para que o outro? Essa é uma regra de consentimento. Só que, fora isso, nós vamos ter várias situações em que os nossos dados pessoais são utilizados sem que haja um consentimento expresso. Pega aí o que faz, por exemplo, a Receita Federal. A Receita Federal trata dados nossos o tempo todo e ela não precisa te pedir um consentimento que diz respeito à sua finalidade legal. Então, nem sempre eu preciso do consentimento. O consentimento é uma hipótese. Após essa, todas as demais

incisos tratam de situações em que eu não preciso do consentimento. Ora, se o inciso 1 é o com consentimento, os demais são aqueles em que não há exigência de consentimento. Inciso 2: você pode fazer o tratamento de dados pessoais para o cumprimento de obrigação legal regulatória pelo controlador. Então, no inciso 2, eu vou olhar para o órgão controlador e vou verificar o seguinte: eu estou diante de alguma obrigação legal ou regulamentar? Vamos pensar no seguinte: existem uma série de competências legais e elas precisam fazer o tratamento dos dados pessoais para cumprir essas obrigações legais dentro

de um contexto constitucional e elas fazem isso, muitas vezes, sem o consentimento da pessoa a que se referem. Então, aqui, olho para o controlador e verifico se ele está cumprindo alguma dessas obrigações. Nesse caso, eu não preciso de consentimento expresso do titular. Terceira situação: eu posso ter a utilização de informações pela administração pública para tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis, regulamentos ou respaldados em contratos, convênios e instrumentos afins. Observe a disposição do Capítulo 4. O Capítulo 4 trata da utilização do tratamento de dados pessoais pelo setor

público, que nós vamos estudar numa outra oportunidade. Então, a terceira hipótese de utilização das informações é uma das mais relevantes, talvez até a mais relevante, que é pela administração pública. A administração pública pode utilizar esses dados pessoais tanto para tratamento quanto para uso compartilhado. Para que ela vai fazer isso? Ela pode fazer o tratamento, que já vimos que é um conceito bastante abrangente, e também para o uso compartilhado dessas informações. A administração pública pode fazer esse uso em relação à realização de políticas, por exemplo, uma campanha de saúde, uma campanha social. Para tudo isso, o

Estado precisa de informações para poder tomar as decisões mais adequadas. Essas políticas públicas que o Estado vai implementar, que a administração pública vai utilizar, podem estar previstas em leis ou regulamentos. Essa parte, vamos copiar aqui: políticas públicas definidas em leis ou regulamentos, mas elas também podem ser decorrentes da execução de contratos, convênios e instrumentos afins. Atenção ao inciso 3. Eu acho que é um dos mais importantes: a utilização pela administração pública. Nós também podemos ter o tratamento de dados pessoais independentemente de consentimento para a realização de estudos por órgãos de pesquisa, garantindo, sempre que possível,

a anonimização. Então, veja só: o que você tem que lembrar dessa hipótese aqui? Nós podemos ter o uso para a realização de estudos, por exemplo, uma pesquisa. Nessa situação, sempre que possível, os dados devem ser anonimados. Onde que vem a pegadinha de prova? A pegadinha de prova vai falar o seguinte: você pode usar as informações para pesquisa, desde que sejam humanizados. Não é desde que, mas sim, sempre que possível. Se não for possível a anonimização, beleza, mas sempre que possível o dado deverá ser anonimizado. Inciso 5: quando necessário para a execução de contrato de procedimentos

preliminares relacionados a contrato do qual seja parte o titular. A pedido do titular dos dados. Imagina que uma empresa venceu uma licitação pública e vai ser contratada pelo poder público. Eu preciso lá de algumas certidões negativas, algumas informações. Eu vou buscar essas informações dos bancos de dados e é uma informação preliminar para assinar o contrato. Duas empresas vão assinar um contrato e eu preciso de algumas informações da outra empresa, informações preliminares das tratativas, é uma negociação. E aí, para essa atividade, eu vou ter acesso e tratamento de informações. Inciso 6: para o exercício de direito.

Esse exercício de direito pode acontecer em diversos processos e esses processos a que me refiro aqui podem ser processos na via judicial, na via administrativa, tipo um processo administrativo específico ou ainda um processo arbitral, desde que se observem as disposições da lei da arbitragem que trata sobre esse tema. Então, para o exercício regular dos direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei 9.307, que é a lei da arbitragem. Então, determinado usuário processou uma empresa prestadora de serviço público. A empresa prestadora de serviços públicos está dizendo que não fez nada de

errado. Ela vai pegar os dados que estão lá na ficha do destinatário. Eu vou usar aquela informação: o serviço foi prestado nessas condições e tal. Ela está usando isso para se defender. Pode ser um processo na via judicial, pode ser um processo perante uma agência reguladora, um processo administrativo, até uma situação arbitral, se for o caso. E tem sete, e tem sete também. Show de bola! A proteção da vida e da incolumidade física do titular ou de terceiro imagina a seguinte situação: determinada pessoa se acidentou. Ela se acidentou e eu preciso acessar a ficha de

saúde dela para saber qual é o tipo sanguíneo dessa pessoa. Ora, eu vou usar — vou acessar essa ficha, vou tratar esse dado porque eu preciso proteger a vida dela. Então, na situação de proteção da vida, nesse caso eu não vou precisar do consentimento. Eu vou acessar diretamente a informação. Segundo exemplo: incolumidade física do titular ou de terceiro. Nesse caso aqui, imagina o seguinte: determinada pessoa está presa em determinado local. Houve um acidente e ela ficou presa ali. Para conseguir abrir o local, eu preciso da chave de determinado código que está disponível no banco de

dados. Ora, eu preciso acessar esse banco de dados, seja para proteção do titular, mas vamos supor que o titular não está no local; é para a proteção de um terceiro também. Nesse caso, eu posso acessar a informação e fazer o tratamento do dado, independente de consentimento. Situação número 8: para tutela da saúde, essa tutela da saúde tem que ser feita por um órgão ou um profissional habilitado. A LGPD fala, quanto à tutela da saúde, exclusivamente em procedimentos realizados por profissionais de saúde, serviços de saúde e autoridade sanitária. O inciso 9 fala sobre a necessidade de

atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exigem a proteção de dados pessoais. O professor pergunta: "Como assim interesse legítimo?" Vou voltar para o caso do debate judicial. O interessado está processando determinada empresa, alegando que os serviços foram prestados de forma inadequada. Só que lá ela tem uma série de informações sobre o meio como o usuário utiliza aquele serviço público. Ela não tem autorização específica para usar esses dados desse titular, mas ela precisa desses dados para poder se defender nesse processo judicial. Então,

nós estamos diante de uma situação de interesse legítimo. Vou pegar aqueles dados pessoais para poder fazer a minha defesa. É o interesse legítimo — o interesse legítimo de terceiro: você tem aquele dado daquela pessoa para poder proteger o interesse ou do controlador ou de um terceiro. Você também não tem hipótese de utilização sem consentimento. E, por fim, o décimo caso é um caso bastante comum. Você vai perceber o tempo todo. Vou te fazer a seguinte pergunta: você alguma vez autorizou o Serasa ou as instituições bancárias a fazer o uso de informações sobre o seu crédito?

Eu nunca autorizei, mas eu sei que, se eu chegar em um banco, eles têm várias informações sobre o meu crédito. Se eu chegar em uma loja para abrir um crediário — eu sei que hoje em dia ninguém mais faz crediário, mas se eu chegar lá, com certeza eles têm várias informações sobre o meu crédito. Proteção de crédito é uma hipótese de utilização sem o consentimento dos dados pessoais. Por isso, eles têm todas essas informações. Então, está aqui: o tratamento pode acontecer com consentimento ou nessas demais hipóteses em que não haverá necessidade do consentimento por parte

do titular. Beleza, vamos resolver uma questão. Olha essa questão aqui: a LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural, pessoa jurídica, etc. Com base nessa legislação, analise a afirmativa correta. É lícito o tratamento de dados pessoais para proteção do crédito? É lícito, é lícito para proteção de crédito, ainda que sem o consentimento expresso do titular. O professor pergunta: "Mas pode sem o meu consentimento expresso?" Pode! Isso acontece o tempo todo. Inclusive, se você sair para ir a uma loja hoje em dia — pelo menos eu, os caras não

me pedem mais nem comprovante de renda, nada. Por quê? Porque eles já têm acesso a essas informações em diversos sistemas disponíveis. Então, para proteção de crédito, eles podem tratar os dados mesmo que não haja consentimento do titular. Letra B: é nula a cláusula prevista em contratos, convênios ou instrumentos congêneres que prevejam a transferência de dados pessoais constantes na base de dados do poder público? Ora, se houver previsão legal ou contratual, é possível fazer esse tipo de transferência. É possível fazer o compartilhamento. Quando a gente estudar o capítulo sobre compartilhamento com o poder público, nós vamos

falar melhor sobre isso. As pessoas jurídicas de direito público não são obrigadas a indicar o encarregado quando realizam operações de tratamento de dados pessoais. O encarregado é aquela pessoa que faz a comunicação entre o controlador, o titular e a ANPD. Os órgãos da administração pública também devem fazer essa indicação. Não há na LGPD uma dispensa; se não há a dispensa, eu aplico a regra geral. Os dados pessoais anonimizados permanecem considerados dados pessoais sempre que só puderem ser revertidos por esforços técnicos excepcionais e extraordinários. Quando eu não tenho como reverter a anonimização, lembrando que eu não

tenho como reverter considerando os meios técnicos disponíveis no momento — não estou considerando se essa informação será captada de alguma forma. Isso é um dado anonimizado. Deixa de ser um dado pessoal. Então, por isso que a letra D está errada. E a letra E fala assim: os dados pessoais sensíveis só podem ser tratados quando o titular ou seu responsável legal consentir de forma específica e destacada para finalidades específicas. Na verdade, existem hipóteses em que eu preciso do consentimento e hipóteses em que eu não preciso do consentimento, assim como aconteceu aqui em relação aos dados pessoais.

Com isso, o gabarito é a letra A. Na questão que nós acabamos de resolver, o parágrafo terceiro do artigo 7º fala assim: "O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público." Aqui é aquela informação só para título de conhecimento se cair na literalidade em prova, porque é meio óbvio, né? Se eu vou ter um acesso, eu tenho que... Considerar a finalidade, boa-fé e interesse público. Na verdade, qualquer dado eu vou ter que considerar essa questão. Eu não vou nem esquematizar nem explicar, porque essa aqui está

meio óbvia. Agora, nós vamos falar sobre alguns parágrafos do artigo sétimo. Nós vamos fazer a leitura de alguns deles, porque nós vamos ter que entender alguns pontos aqui da LGPD. Olha só: o parágrafo 4º é dispensada a exigência de consentimento prevista no caput desse artigo para os dados tornados manifestamente públicos pelo titular, resguardados direitos do titular e os princípios. Sem lei, vamos supor o seguinte: eu cheguei no meu Instagram, no meu Facebook, no meu Twitter, fiz um Twitch e, no Twitch, eu coloquei o seguinte: eu, Herbert Almeida, nasci no dia tal e moro no local

tal e fiz tal faculdade. Eu tenho três dados pessoais aqui: o meu nascimento, o meu local de residência e a minha formação superior. Eu tornei essa informação pública; eu divulguei-a ostensivamente sem ninguém me pedir. Se chegar determinada pessoa que está fazendo uma pesquisa, alguma coisa do tipo, e vê lá o meu nome, ela não pode pegar. Tudo bem que a pesquisa já estaria fora, mas ela não pode chegar ali e tratar essa informação. Pode? Ora, se eu mesmo tornei a informação pública, eu vou fazer. Então, se a pessoa tornou o dado manifestamente público, esse próprio

titular fez isso. É, nesse caso, não haverá a necessidade de consentimento. A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular. Não é só porque eu dispensei o consentimento que você vai utilizar de qualquer forma a informação. O parágrafo 7º fala assim: o tratamento posterior de dados pessoais poderá ser realizado para novas finalidades. Esse aqui é um conceito importante, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos

direitos do titular, assim como os princípios, os fundamentos e os princípios previstos nesta lei. O que acontece? Você pode ter nova finalidade; pode ter nova finalidade para o tratamento de dado pessoal, tem que observar uma compatibilidade. Não há necessidade de um novo consentimento, mas você comunica o destinatário e ele pode revogar o consentimento. Qual é a diferença? Veja só: se eu coletei aquele dado e vou utilizar posteriormente para uma nova finalidade, se houver, se ela for legítima, específica, eu posso utilizar para esse novo tratamento. Eu informo o destinatário e se ele não me responder, não

fala nada, eu posso usar a informação, porque eu não preciso de um novo consentimento, mas ele pode revogar. Consegue perceber a diferença? Não há necessidade de renovar o consentimento, mas eu asseguro ao titular o direito de revogar o direito de acesso à informação quando é necessário esse consentimento. Show de bola! No caso em que é dispensado, por exemplo, o caso do parágrafo 4º, em que é dispensado esse consentimento, eu também posso utilizar para outras finalidades, desde que o preserve, desde que seja legítimo, etc. Depois, nós vamos falar um pouquinho mais sobre essa questão do consentimento

do titular. Beleza, passou o parágrafo 4º e vamos para o parágrafo 5º, que diz para a gente o seguinte: o controlador que obteve consentimento, que prevê a lei, que necessitar comunicar ou compartilhar dados pessoais com outros controladores, deverá obter consentimento específico do titular para este fim, ressalvadas hipóteses de dispensa de consentimento previstas em lei. Agora é outra história! Olha só: para novas finalidades, eu não preciso de um consentimento específico, mas ele pode revogar. Agora, se eu quiser comunicar ou compartilhar... Exemplo: a Apple tem acesso a uma série de informações do meu celular. Eventualmente, eu consegui

autorização para aqueles usos que ela vai fazer. Agora, vamos supor que a Apple firmou uma parceria com uma nova empresa. Ela precisa compartilhar esses dados. Nessa situação, ela vai ter que me chamar e perguntar o seguinte: "Herbert, eu gostaria de obter um consentimento específico para compartilhar os seus dados com fulano de tal." Então, eu preciso dessa nova informação, desse novo consentimento, e esse consentimento não pode ser genérico; esse consentimento tem que ser específico. Não pode constar lá nos termos de uso uma informação do tipo "autorizo a empresa tal a compartilhar com quem ela quiser as

informações." O consentimento tem que ser específico para aquela finalidade. Questão de prova: João, muito ativo nas redes sociais, já começa a introdução da questão. Muito ativo nas redes sociais, divulgava com frequência dados de natureza pessoal, conforme classificação estabelecida pela lei 13.709, o que os tornava manifestamente públicos. Um dos seguidores de João decidiu coletar esses dados e classificá-los, considerando a sistemática estabelecida no referido diploma normativo. É correto afirmar que a atividade do seguidor de João é: letra A: lícita, pois não importa em tratamento de dados e independe de autorização do titular da informação. E outra para

vocês: essa classificação é tratamento. É tratamento. Então, não posso dizer que ela não importa em tratamento de dados, então a letra A está errada. Letra B: lícita, independe de autorização do titular da informação, embora características de dados. Então, vamos lá: é lícita a utilização dos dados. É o camarada que se torna público; ele que divulgou. Eu posso usar o dado. É lícita; segundo, eu preciso de autorização do titular da informação? Não, porque ele tornou pública essa informação por iniciativa própria. Três: isso é um tratamento de dados, porque qualquer utilização, toda a forma de processamento do

dado é considerado um tratamento de dado, seja coletar, acessar, classificar, armazenar; tudo isso é tratamento de dado pessoal. Então, gabarito: letra B. Na questão que nós estamos resolvendo, a letra C e a letra D falam que a atividade foi ilícita, pois importa em tratamento de dados e depende de autorização. Já vimos que não precisa de. Autorização, dependendo de autorização. Já vimos que não precisa de autorização, então não vou nem seguir com o restante da assertiva. Lícita não dependendo de autorização, salvo-se a atividade de tratamento importar em difusão da informação. Não existe essa ressalva que a

questão está trazendo aqui, por isso que ela está errada. Aqui, está errada a letra C. Está errado, e show de bola, gabarito alternativa B. E, com isso, nós fechamos esse nosso bloco sobre o tratamento de dados, mas agora, emendando na mesma sequência, eu vou falar com vocês sobre o consentimento. Vamos só recapitular: quando eu comecei a falar com vocês a respeito do tratamento de dados, eu falei que ele pode ser com ou sem consentimento. O primeiro caso é consciente, com consentimento, e todas as demais informações eu mostrei para vocês que não precisa de consentimento. Mas,

professor, como que ocorre esse consentimento para o tratamento de dados? Porque, cara, hoje em dia, muitas empresas estão se adequando, porque as formas como esses nossos consentimentos são dados, assim, eles são meio abusivos, meio genéricos. E vamos entender como é que funciona isso. O artigo 8º da LGPD fala assim: o consentimento previsto no artigo 7º, inciso I, desta lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação. Ok, vamos começar a falar então sobre esse consentimento. Ali, fala para a gente então sobre a forma como vai acontecer esse consentimento. Qual que

é a forma? São duas formas. Então, que nós podemos ter aqui: um por escrito, exemplo: cheguei lá numa loja, comprei um produto, eles pegaram um formulário e, naquele formulário, eu consegui a utilização da informação. Mas nós também podemos ter o consentimento por outro meio, desde que esse outro meio assegure a minha manifestação, a minha manifestação de consentimento. Então, vamos supor que, hoje em dia, o pessoal pega, esse sistema está cada vez mais comum, a gente utilizar sistemas eletrônicos. Existe um sistema que eu posso usar, que tem a leitura de voz, ele grava essa leitura de

voz, ele coleta essas informações, ele faz uma leitura da minha retina, identifica que sou eu ali na frente, e eu falo. Ele pergunta: você tem certeza que concede o tratamento? Eu falo que sim. Ele grava tudo isso, ficou no banco de dados dele. Não tem como comprovar que eu, de fato, manifestei ali a minha vontade, meu consentimento da utilização daquela informação. Um meio, hoje em dia, a tecnologia vai permitindo que você tenha outros métodos de confirmar esse consentimento. Ok, mas deixa eu perguntar uma coisa para vocês aqui. Às vezes, vem aqueles termos gigantescos, contratos de

adesão. Quando você vai comprar algum produto, os caras entregam um formulário gigante e aí você, óbvio, que não dá tempo de a gente ler aquele negócio. O cara pega e fala: não, só assina aqui, é um contrato padrão, você pode ficar tranquilo. Tal o que acontece? Às vezes, ali, naquele monte de cláusulas, vem um jabutizinho, jabutizinho do tipo: conceda a utilização de todos os dados para você fazer o que quiser, e pouco importa o direito do titular. Nós vamos usar esses dados para qualquer coisa e tal. Às vezes, vem umas cláusulas meio assim, meio abusivas,

né? É tipo assim: eu tenho que fazer um teatro para você lembrar. Pô, mas eu tô vendo esse contrato aqui, é muito grande. Aí o atendente assim com a voz bem tranquila: mas não, não vamos fazer nada. Não dá para a gente confiar nesses camaradas, né? O que acontece? A LGPD prevê que o consentimento, se ele for fornecido por escrito, deve constar numa cláusula destacada das demais cláusulas contratuais. Qual que é o objetivo dessa cláusula destacada? É que o usuário, o titular, melhor dizendo, ele tenha condições de saber e estar consentindo a utilização destacada daquelas

informações, para não ficar um jabuti ali no meio de um monte de outras informações, meio perdidas. Ok, mas vamos supor o seguinte: eu fui lá, certo dia, estava olhando assim, comecei a perceber que os meus dados pessoais estavam sendo coletados, armazenados, divulgados, isso, aquilo, aquilo outro. Eu achei aquilo estranho. Aí cheguei em determinada empresa e falei o seguinte: “Que história é essa? Se você está utilizando os meus dados!” O atendente vai falar: “Não, mas o senhor consentiu, perguntei para o senhor, o senhor disse que sim.” Eu falei: “Não, de forma alguma, não.” O senhor disse

que sim, sim. Eu falei: “Não, o senhor disse que sim.” Eu não senti. Aí a gente foi para a justiça. Chegou na justiça, é a palavra deles contra a minha. Aí pergunto: quem é que tem que provar se houve consentimento ou não? Pergunto para vocês: é a empresa que prova que eu consenti ou eu que vou ter que criar uma prova para provar que eu não consenti? A questão é de quem é o ônus da prova. A LGPD responde para a gente. A LGPD fala o seguinte: cabe ao controlador o ônus da prova de que

o consentimento foi obtido em conformidade com o disposto nesta lei. O que isso quer dizer? Quer dizer o seguinte: se eles não conseguirem provar que eu consenti, então vale a minha palavra que eu não consenti. Eles que vão ter que adotar meios legítimos para demonstrar isso. Então, se ninguém conseguir provar nada, prevalece a minha palavra dizendo que não houve o consentimento, porque quem tem que comprovar é o controlador e não o titular que tem que dizer o contrário. Outra situação: existe um negócio no direito, principalmente para quem já estudou Direito Civil, que nós chamamos de

vício de consentimento. Vício de consentimento pode acontecer por diversas situações, mas vamos colocar aqui um exemplo: um dolo, uma fraude, alguma coisa do tipo. Por exemplo, o pessoal foi lá e mentiu para eu conseguir determinado consentimento, uma fraude ali, trocaram as informações, tal, para tentar... Omitir aquela informação. Aí eu fui lá e dei o consentimento. Isso é um vício de consentimento. O vício de consentimento acontece nas situações de dolo, de fraude, entre outras situações. Segundo a LGPD, é considerado nulo, né? Ou seja, será vedado o tratamento de dados pessoais cujo consentimento foi concedido em vício

de consentimento. Outro exemplo seria o seguinte: eles foram lá e apontaram a arma na minha cabeça e falaram: “Você consegue esse consentimento? Aí a gente vai estourar seus miolos.” E, depois, conseguir provar a situação, existe um vício de consentimento nessa situação. Será vedado o tratamento de dados pessoais. Outra situação ainda é vedado o tratamento com vício de consentimento, e o consentimento deverá referir-se a finalidades determinadas. As autorizações genéricas para o tratamento de dados pessoais serão nulas. Inclusive, existe o princípio que é o princípio da finalidade. Então, olha só como funciona a questão da finalidade do

consentimento. O consentimento é um consentimento que tem que ser específico, não pode ter aquele tipo de consentimento: “Podemos fazer o que quiser.” O consentimento tem que ter expressamente qual será a finalidade. “Ah, não consciente! Aí, para a gente fazer qualquer coisa.” Não, não é qualquer coisa. Qual é a finalidade que você deseja obter com as minhas informações? Caso imagine que vem o seguinte: tem uma cláusula lá no contrato que é genérica: “Olha, com cedo a utilização, ou concedo autorização…” Ixi, que saiu tudo errado aqui! “Concedo autorização para o tratamento dos meus dados pessoais para qualquer

finalidade.” Entre os poderes, autorizo que use, compartilhe isso, aquilo, e faça qualquer outra informação que desejar. Eu quero outro tratamento que desejar. Segundo a LGPD, essa cláusula é uma cláusula nula, é uma cláusula abusiva. Então, esse tipo de cláusula genérica será considerada nula. Outra informação: vamos supor que eu consegui o uso, mas na hora, às vezes, a gente faz ali meio no dia a dia, não vamos ver, a gente não percebe o que está fazendo. Depois, eu percebo que a utilização não era exatamente a que eu esperava. Eu quero revogar essa utilização. Pode? Pode! Então,

o consentimento pode ser revogado. Mas vamos supor o seguinte: tem uma cláusula lá no contrato que diz que, após eu conceder a possibilidade de utilização dos dados, eu só poderei revogar isso se eu pagar um valor. Pode? Isso não pode. A LGPD diz que pode ser revogada a autorização. Essa revogação é uma revogação gratuita, e, além disso, ela pode acontecer a qualquer tempo. Não importa quando; eu posso chegar lá e revogar a utilização. Se, no dia seguinte, eu quiser revogar, no dia seguinte, eu posso revogar. Se daqui a dois anos eu quiser revogar, daqui a

dois anos eu posso também revogar a utilização. E, por fim, eu vou reforçar isso aqui porque nós já vimos no tópico anterior, mas eu quero reforçar aqui para vocês que esse consentimento será dispensado se o próprio titular da informação a tornou pública. Ela foi lá e fez um post no Twitter, divulgando as suas informações. Então, o próprio titular tornou pública a informação. Nesse caso, não preciso de consentimento. São essas as regras que nós temos aqui sobre a nossa Lei Geral de Proteção de Dados Pessoais, sobre as questões de consentimento. A LGPD diz que o consentimento

pode ser revogado a qualquer tempo, mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificando os tratamentos realizados sob amparo do consentimento anteriormente manifestado, enquanto não houver requerimento de eliminação. Assim, enquanto eu não pedi a revogação, o resto está tudo certo. Eu não pedi para revogar. A revogação já era feita a priori, prospectivamente. A gente vai falar um pouquinho mais sobre isso. E o parágrafo 6º fala que, em caso de alteração das informações, é que o artigo 9 vai dizer lá quem usa, quem vai estar controlando, etc. O controlador deverá informar ao titular, com

destaque, de forma específica, o teor das alterações. Olha, o titular, nos casos em que seu consentimento for exigido, revogá-lo, caso discorde da alteração, enfim, alterou alguma situação do uso dessa informação, ele tem que me informar. E eu posso revogar o pedido se eu não concordar. Avançamos mais um pouco. Vamos resolver uma questão. De acordo com a LGPD, o consentimento é a manifestação livre, informada e inequívoca pelo titular, pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Conforme o artigo 8º, parágrafo segundo da LGPD, o ônus da prova de

que o consentimento foi obtido em conformidade com o disposto na LGPD é de quem? O ônus da prova de que houve consentimento é do controlador. Um gabarito: letra B de bola. Tranquilo? Viu como nós vamos pegando os itens e as informações e vão ficando tranquilas para a resolução da questão? Não é o titular que vai provar que deu o seu próprio consentimento. Também não é um órgão de pesquisa, nem uma autoridade nacional. É quem fiscaliza esse negócio. Tem um gabarito: letra B de bola. Outra questão: com a finalidade de prevenir falhas de comunicação com seus

clientes, um escritório de contabilidade resolveu criar um banco de dados contendo informações básicas de identificação de todas as pessoas naturais para as quais presta serviço. Para tanto, buscando atender às exigências da LGPD, o escritório solicitou de cada cliente que prestasse seu consentimento expresso para o referido tratamento de dados pessoais. Na mesma oportunidade, esclareceu o escritório que o tratamento de dados em questão não abrangeria dados pessoais sensíveis. Ao receber a solicitação, André, médico que há muito tempo utiliza os serviços do escritório, buscou auxílio de um advogado para se informar acerca da validade e da eficácia do

requerimento exigido. Assim, entre outros esclarecimentos, André foi informado corretamente de que, nos termos da referida... A letra A: o consentimento requerido pelo escritório apenas pode ser prestado validamente de forma escrita. Escrita é a regra, mas a lei fala o outro meio. A mera existência de eventual vício de consentimento não impediria o tratamento fundado no consentimento de André. O vício de consentimento veda o tratamento do dado pessoal. Letra C: o consentimento a ser prestado não precisa estar vinculado a finalidades específicas. É óbvio que não pode ser um consentimento genérico. Letra D: caso o seu consentimento, caso...

Preste seu consentimento! André poderá revogar a qualquer tempo, mediante manifestação expressa. Sim, ele tem o direito de revogar o consentimento que ele concedeu previamente. A letra E fala o seguinte: caso preste seu consentimento, André não poderá revogá-lo, ainda que discorde. A principal mudança, nós já vimos que as eventuais mudanças podem, na verdade, por qualquer razão, poderiam revogar. Ainda mais se houver alguma mudança. Tem um gabarito: D de dado e D de sei lá, vamos inventar qualquer coisa assim. Deu o professor... Isso tá muito fácil, tá muito tranquilo. Que bom! Daqui a pouco a gente volta

para continuar. [Música] Cara, não tem como fazer uma aula se eu não esquecer de mudar o negócio para tomar água. E depois que ela fala assim, fica mudo sempre, né? Mas já tá resolvido, tá? É como é que vocês estão aí? Tudo certinho? Vamos tocar mais um bloco, porque aí depois desse bloco, de fato, nós podemos encerrar a nossa aula de hoje, né? Foi bastante conteúdo. Eu sei que é uma aula um pouco mais puxada, é uma aula que não é fácil, com conteúdo novo e todas as informações. Então, eu sei o quanto que é

pesado, né? Quanto que é pegada essas aulas, assim, com assuntos novos. Já vou reforçando para vocês, mais uma vez: sexta-feira, 19 horas, nós vamos estudar o assunto que mais cai em prova. Qual que é o assunto que mais cai da LGPD? O tratamento de dados pelo setor público. Caiu na CGU, caiu... O Manuteceu, tem vários físicos cobrando esse assunto. Então, a aula de sexta-feira é até mais importante do que a de hoje. É óbvio que a de hoje é para a gente poder entender a de sexta, né? Então, ela é fundamental para isso, mas sexta-feira

nós temos mais conteúdo mesmo, tá? Vamos lá, então, para a última sequência aqui, para fechar nossa aula, para ir até um pouquinho depois das 10:30. Então, roda a vinheta e vamos lá! [Música] Pessoal, agora nós vamos avançar um pouquinho mais. Nós já falamos sobre o tratamento de dados pessoais e agora nós vamos falar do tratamento dos dados pessoais sensíveis. A diferença aqui para o dado pessoal sensível é que existe a utilização do tratamento desses dados que tem mais restrições para você poder tratar. Esses dados precisam ser tratados com mais rigor agora. Então essa aqui é

a lógica do tratamento dos dados pessoais sensíveis. O artigo 11 da LGPD diz para a gente o seguinte: o tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: Inciso 1: quando o titular ou responsável legal consentir de forma específica e destacada para finalidades específicas. Então, a primeira situação é em que nós vamos ter o consentimento. Nessa hipótese, você vai ter um consentimento que será aquele consentimento expresso, específico, para a utilização dessa informação. Então, no primeiro caso, nós vamos ter a utilização com consentimento. Esse consentimento pode ser concedido pelo próprio titular da informação, mas

eventualmente pode ser concedido pelo seu responsável legal. E o que acontece, por exemplo, com menores? Aí você vai ter o responsável legal consentindo a utilização dessa informação. Outro ponto aqui: nós temos uma situação em que esse consentimento tem que ser um consentimento específico e destacado. Como assim, destacado? Destacado ele vai constar de forma separada em relação a outros consentimentos, tipo "ah, meu nascimento", "isso", "aquilo", "outro", entra num dado geral. Agora, quando fala de dado sensível, olha qual a informação que você quer. É essa daqui! Então, o consentimento específico e destacado é um consentimento para esse;

não vale aquele consentimento para outras situações. Tem que ser específico e destacado para a utilização daquela finalidade específica que haverá a utilização. Ok. Fora a situação de consentimento, nós vamos entrar em situações em que a utilização do dado sensível poderá acontecer sem o fornecimento de consentimento do titular, nas hipóteses em que ele for indispensável. Veja que assim: é indispensável, ou seja, não existe outra saída. Eu preciso utilizar esse dado pessoal quando: 1. Para o cumprimento de obrigação legal ou regulatória pelo controlador; 2. Para o tratamento de dados necessários à execução e à administração pública de

políticas públicas previstas em leis ou regulamentos. Veja que agora não tô mais falando de contrato, das coisas; só lei ou regulamento, tá bom? Começar a colocar aqui: situação número um: ele tem uma obrigação. Essa obrigação pode ser uma obrigação legal ou pode ser uma obrigação regulamentar. Número 2: a utilização pela administração pública. Essa utilização pela administração pública é a utilização para o tratamento compartilhado dos dados. E aqui você vai executar políticas públicas previstas em leis ou regulamentos. Número 3: podemos utilizar as informações, fazer o tratamento dos dados pessoais para a realização de estudos por órgão

de pesquisa, garantido, sempre que possível, a anonimização. Novamente, a gente coloca aqui para a realização de estudos. Esses estudos são realizados por quem? Pelos órgãos de pesquisa, que são a entidade pública da administração direta ou indireta, ou a entidade privada sem fins lucrativos, e sempre que possível, se possível, a informação deve ser analisada. Aqui a regra é igual: anonimizada ao tratamento dos dados pessoais. Número 4: exercício regular de direitos, inclusive de contrato, em processo judicial, administrativo e arbitral. Esse último na forma da lei da arbitragem. Vamos colocar aqui: exercício regular de direitos. Número 5: em...

Relação à proteção da vida: proteção da vida. Aqui, eu tô colocando de forma bem resumida, porque são basicamente as mesmas hipóteses que nós vimos anteriormente. A proteção da vida ou da incolumidade do próprio titular ou de terceiros. Situação número 6: para tutela da saúde. Nessa situação da saúde, o tratamento é feito por algum órgão responsável pela saúde, serviços de saúde ou autoridades sanitárias. Número 7: você pode ter esse tratamento para garantir a prevenção à fraude e a segurança do titular dos processos de identificação e autenticação de cadastros em sistemas eletrônicos. Nesse caso, você vai resguardar

aqueles direitos, é certo quando prevalecer aqui o direito individual. Vamos pegar aqui um exemplo para vocês. Deixa só colocar para vocês aqui: prevenção de fraude/prevenção de fraude. Barra segurança do titular. Hoje em dia, é muito comum esses golpes na internet, de cartão de crédito, etc. As entidades públicas e privadas, às vezes, vão utilizar dados pessoais para tentar fazer a prevenção dessas fraudes. Então, por exemplo, para tentar coibir a compra ou a utilização inadequada do seu cartão de crédito, a situação de prevenção de fraudes: eu vou tentar fazer determinados cruzamentos de dados para identificar se aquela

compra foi você que fez ou se foi um terceiro. Nesse caso, não preciso do seu consentimento, só que ali coloco uma ressalva: pode fazer para essa prevenção de fraude, para defender os interesses do titular, só que você não vai poder acessar esses dados se houver alguma ofensa a algum direito e garantia individual, algum direito e garantia fundamental. Então, é para proteger o titular sem ofender os seus direitos, basicamente para essa situação. Então, é isso que nós temos sobre a utilização dos dados pessoais sensíveis. Agora, vamos avançar um pouquinho mais aqui. Calma aí, deixa eu passar

para cá: garantia saúde, garantir a prevenção de fraude e a segurança do titular. Depois, você faz a leitura de todas essas hipóteses com um pouquinho mais de cautela. Vamos lá? Agora, os detalhes. Nós vamos ler as hipóteses e agora vamos trabalhar os detalhes. O parágrafo terceiro do artigo 11 diz que a comunicação, o uso e o compartilhamento de dados pessoais sensíveis entre controladores, com o objetivo de obter vantagem econômica, poderão ser objeto de vedação ou regulamentação por parte da Autoridade Nacional e órgãos setoriais do poder público no âmbito de suas competências. Então, quando esse compartilhamento

tem um propósito de obter vantagem econômica, a gente pode ter algumas restrições a mais. A Autoridade Nacional de Proteção de Dados pode colocar outros requisitos ou até mesmo fazer uma vedação de compartilhamento de dados. O parágrafo 4º diz que é vedada a comunicação, o uso e o compartilhamento entre controladores de dados pessoais sensíveis referentes à saúde, com o objetivo de obter vantagem econômica, exceto se for na prestação de serviço de saúde, assistência farmacêutica ou assistência à saúde, desde que observado o parágrafo quinto, que nós já vamos ler, incluindo serviços auxiliares de diagnóstico e terapia em

benefício dos interesses dos titulares dos dados e para permitir a portabilidade de dados quando solicitado pelo titular, e as transações financeiras e administrativas resultantes do uso e prestação de serviços de que trata este parágrafo. Vou esclarecer isso para você de forma mais simples: não pode ter compartilhamento de dados em relação a dados sensíveis em relação à saúde para obter uma vantagem econômica, exceto quando, no interesse do titular, houver esse compartilhamento para viabilizar duas coisas: a portabilidade de dados, quando o próprio titular solicitou, ou transações financeiras e administrativas decorrentes do uso da prestação de serviços da

área de saúde. Vou explicar para vocês: eu tinha um plano de saúde e, para vir para minha família, estava satisfeito com esse plano e solicitei a portabilidade para outro plano. Houve a portabilidade, então o novo plano me dispensou daquele prazo de carência, entre outras situações, porque eu estava fazendo uma portabilidade, mas ele precisou buscar no outro plano de saúde meus dados. Eu autorizei essa informação; ele foi lá e buscou esses outros dados. É óbvio que ele busca uma vantagem econômica aqui, mas, nessa situação, ele teve o compartilhamento para o meu interesse na portabilidade dos meus

dados. Essa situação pode. Fora isso, fora dessas hipóteses, não pode ter compartilhamento de dados da saúde para obter vantagem econômica. O parágrafo 5º fala para a gente que é vedado às operadoras de planos privados de assistência à saúde o tratamento de dados sensíveis para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação ou exclusão de beneficiários. Imagine que uma operadora de saúde começa a coletar um monte de dados para saber quais são as minhas condições de saúde. Ela vai puxando dali, daqui, de lá, e sabe: “Esse aí não dá,

esse aqui eu não quero aceitar.” Negativo! Ela não pode utilizar para esse propósito; existe uma vedação expressa nesse sentido na LGPD. Perfeito! Superado isso, vamos resolver uma questão de prova. De acordo com a LGPD, o tratamento de dados pessoais sensíveis somente poderá ocorrer em algumas situações, como, sem o fornecimento de consentimento do titular, nas hipóteses em que forem indispensáveis para proteção da vida ou da incolumidade física do titular e de terceiros. De acordo com a LGPD, diz que está errado: o exercício, a regulamentação de direitos em processo judicial, vedada a utilização em processo administrativo ou

arbitral—na verdade, qualquer tipo de processo judicial, administrativo ou arbitral. Letra C: a realização de estudos por órgão de pesquisa, vedada a anualização; na verdade, ela prevê que, sempre que possível, seja realizada. Letra D: o tratamento compartilhado de dados necessários à execução da administração pública de políticas públicas previstas em leis ou regulamentos. Está vendo com o que eu estou falando para vocês? É muita informação, é uma penca de informação, mas quando você entende essa temática da lei, consegue ler as alternativas e, pelo menos, deduzir a informação. Não é tudo mato. Não, agora você já tem informações

para conseguir pensar. Antes, eu quero um bicho de sete cabeças. Aos poucos, vai começando a ficar um bicho um pouquinho mais tranquilo da gente. Vem cá, bichinho, vem cá que eu vou te abraçar e nós vamos resolver isso. Vamos para a letra e tutela da saúde, exclusivamente em procedimento realizado por autoridade sanitária, excluindo os demais profissionais e serviços de saúde. Na verdade, a lei fala assim: é exclusivamente em procedimento realizado por profissionais de saúde, serviços de saúde e autoridade sanitária. Perfeito, né? Então, com isso, gabarito: alternativa de dado. Vamos lá, vamos fazer mais uma questão.

Considere que o Instituto Público Brasileiro de Pesquisas Estatísticas esteja fazendo tratamento de dados pessoais sensíveis e não analisados, sem o fornecimento expresso do consentimento dos titulares, sob a alegação de que essa conduta é indispensável para a pesquisa realizada. Eu tenho um órgão de pesquisa, o IBGE. O Instituto Brasileiro de Pesquisas e Estatísticas está fazendo uma pesquisa; os dados não foram anonimizados. E o argumento é o seguinte: "Eu não analisei porque é imprescindível que eu não faça a análise." Também não houve consentimento, então eu não tenho consentimento e eu não tenho a anonimização. No caso dessa

questão, letra A: a conduta do órgão se mostra integralmente irregular. Ora, quando tem esse tipo de generalização, é muito provável que o item seja errado. Não é o caso. A conduta do órgão se mostra regular quanto à justificativa. Verdadeiro, mas os dados deveriam ser necessariamente analisados. Não, a LGPD fala assim: "Sempre que possível." Letra C: a conduta do órgão se mostra regular com relação à não anonimização dos dados, mas a situação demanda necessariamente consentimento dos titulares. Pessoal, a hipótese de tratamento dos dados para fins de pesquisa. Cadê? Cadê a realização de estudo ou prova de

pesquisa? É possível sem consentimento, e qual é o exemplo de um órgão de pesquisa? As entidades públicas encarregadas de fazer a pesquisa. Então, nesse caso, eu posso fazer a utilização da informação. Então, volta para cá, nós já sabemos que a alternativa C está errada. Letra D: a conduta do órgão se mostra regular. Perfeito, a conduta do órgão irregular contanto que o órgão tenha pago o valor justo aos titulares. Não, não existe essa informação de pagamento ao titular. A conduta do órgão se mostra regular em todos os aspectos. Por que se mostra regular em todos os

aspectos? Por quê? Um: eu não preciso de consentimento, já que a pesquisa é realizada por órgão de pesquisa. Dois: é regular não ter analisado. Não, veja, se possível, mas o próprio enunciado falou que era indispensável, ou seja, não era possível analisar. A professora enunciada não disse que não era possível analisar. Disse sim; a interpretação era indispensável fazer. Essa forma não era possível anonimizar. Gabarito: letra E. Eu vou passar. Vamos lá, próxima questão. A LGPD dispõe sobre o tratamento de dados, inclusive os meios digitais, etc. De acordo com tal lei, o tratamento de dados pessoais sensíveis

somente poderá ocorrer sem o fornecimento de consentimento do titular nas hipóteses em que forem indispensáveis para, por exemplo, letra A: cumprimento de obrigação contratual referente a negócio jurídico, desde que o valor global seja superior a 100 salários mínimos. Na verdade, a legislação fala de cumprimento de obrigação legal ou regulamentar, não fala de cumprimento de obrigação contratual. Além disso, não existe essa questão do valor aqui que está trazendo. Letra B: realização de estudos científicos por órgão de pesquisa, vedada a anonimização. Na verdade, nós já vimos que, sempre que possível, deverá ser realizada a anonimização dos dados.

Então, está errado. Letra C: comunicação ou uso compartilhado entre controladores com o objetivo de obter vantagem econômica, que não poderá ser objeto de vedação por parte da autoridade competente. Nós já vimos que, quando você tem a obtenção de vantagem econômica, nós podemos ter um tratamento específico pela autoridade competente. Ela pode inclusive vedar ou criar requisitos específicos para compartilhar. Está errada. Letra D: tratamento, compartilhamento de dados necessários à execução pública de políticas públicas. Entrevistas em lei ou regulamento. Exatamente esse conceito, e muitas vezes será essa a exceção que vai aparecer na sua prova. E, por fim,

a letra E: proteção da vida ou da incolumidade física do titular e não do terceiro. Nós já vimos que é tanto do titular quanto do terceiro que pode ser protegido aqui. Então, gabarito: letra D. E com isso, nós acabamos aqui a nossa parte sobre o tratamento de dados pessoais sensíveis. Muito obrigado e até a próxima. [Música] É, meu povo! Agora sim, hein? Agora sim! Nós acabamos a nossa aula de hoje. Nós conseguimos ir até o slide 81. Na próxima aula, na aula de sexta-feira, nós vamos terminar essa parte do tratamento de dados. Vamos falar sobre

os direitos do usuário, vamos entrar na parte de tratamento de dados pelos órgãos do setor público e vamos falar de sanções, que são os assuntos principais. E, aí, se der para trazer mais alguma coisa, eu vou trazer também uma coisa ou outra ali que eu acho que seja importante. De tal forma que, ao final desses dois encontros, nós teremos basicamente esgotado a LGPD. Eu digo basicamente esgotado porque eu acho que ainda não é o momento de estudar item por item, tópico por tópico, até a gente começar a entender melhor a cobrança da banca. Mas o

que eu quero é trazer para vocês uma aula em que você possa entender a LGPD de tal forma que, mesmo aqueles assuntos que não estarão no vídeo, vocês vão conseguir sanar com uma boa leitura da Lei Geral de Proteção de Dados. Essa aqui é a nossa filosofia. Espero que vocês tenham gostado da aula de hoje. Fico feliz demais de poder trazer mais esse evento para vocês. É, eu, sinceramente, isso não é eu. Realmente, não sei como é que está a questão das aulas que estão ficando disponíveis ou não. Espero que essa aula fique disponível pelo

menos por alguns dias, mas esse controle não é meu, absolutamente não é meu. Então, corram assistir a essa aula enquanto puderem. Eu já vou mandar amanhã cedo essa aula para edição, então, em breve, ela vai estar disponível lá na área do aluno. O curso de Reta Final da Receita Federal, ou melhor dizendo, a imersão da Receita Federal, vai aparecer aula para vocês, tá bom? Então, até amanhã para todo mundo. Fiquem com Deus e até a próxima. Tchau! Bom descanso a todos. Valeu! [Música] [Música] [Música] [Música] [Música] [Música] [Aplausos] [Música] [Música] [Música] [Música] [Música] [Música] [Música]