Consentimento para Tratamento de Dados Pessoais

Questions and Answers

O que deve ocorrer se um controlador precisar compartilhar dados pessoais com outros controladores?

• O controlador precisa fazer um anúncio público.
• O controlador pode compartilhar sem restrições.
• O controlador deve obter consentimento específico do titular. (correct)
• Não é necessário obter consentimento adicional.

Qual é a obrigação do controlador caso obtenha a dispensa do consentimento?

• Não precisa seguir as normas da Lei.
• Pode tratar os dados de qualquer maneira.
• Não precisa informar ao titular.
• Deve seguir outras obrigações previstas na Lei. (correct)

Como deve ser fornecido o consentimento previsto nesta Lei?

• Por escrito ou outro meio que evidencie a vontade. (correct)
• Apenas por formulário eletrônico.
• Através de comunicação informal.
• Verbalmente, em qualquer momento.

Qual das situações é vedada em relação ao consentimento?

Tratamento de dados com consentimento inválido. (A)

Quando o consentimento pode ser revogado pelo titular?

A qualquer momento por um processo gratuito e simplificado. (B)

Qual é a condição para que o controlador altere informações aos titulares?

Notificar o titular das alterações feitas. (B)

O que caracteriza o consentimento nulo?

O consentimento geral sem finalidades específicas. (C)

Qual é a responsabilidade do controlador em relação ao consentimento obtido?

Deve apresentar evidências de que o consentimento foi validamente obtido. (D)

Quais características devem ser fornecidas ao titular sobre o tratamento dos seus dados pessoais?

Duração do tratamento e medidas de segurança aplicadas (B), Finalidade do tratamento e identificação do controlador (D)

Quando o consentimento ao tratamento de dados pessoais é considerado nulo?

Quando as informações fornecidas são enganosas ou não claras (D)

O que deve ser feito se houver mudanças na finalidade do tratamento de dados pessoais?

O titular deve ser notificado previamente e ter a opção de revogar o consentimento (C)

Quais são os direitos do titular mencionados conforme o artigo 18?

Direito de acesso, correção e exclusão dos dados pessoais (B)

Qual dos seguintes é um exemplo de legítimo interesse do controlador?

Apoiar atividades promocionais que beneficiem o controlador (B)

Quais informações devem ser fornecidas sobre o controlador dos dados?

Identificação e informações de contato do controlador (C)

O que deve ser destacado ao titular quando o tratamento de dados é condição para o fornecimento de serviços?

O fato do consentimento ser obrigatório e os meios para exercitar seus direitos (C)

Qual é a responsabilidade dos agentes envolvidos no tratamento de dados pessoais?

Devem garantir a proteção e correta utilização dos dados dos titulares (C)

Qual é a duração do mandato dos membros do Conselho Diretor, conforme estabelecido pela Lei nº 13.853?

4 anos (B)

Qual é uma das finalidades de implementar um programa de governança em privacidade?

Assegurar o cumprimento de normas e boas práticas relativas à proteção de dados pessoais. (D)

Qual das alternativas representa a razão pela qual um membro do Conselho Diretor pode perder seu cargo?

Condenação judicial transitada em julgado (C)

Quantos anos podem durar os mandatos dos primeiros membros do Conselho Diretor conforme a nomeação?

De 2 a 6 anos (B)

O que o programa de governança em privacidade deve adaptar?

A estrutura, a escala e o volume de suas operações. (B)

Qual é o direito do titular de dados em relação à solicitação de cópia eletrônica de seus dados pessoais?

O titular pode solicitar cópia em formato que permita sua utilização subsequente. (B)

Qual deve ser uma característica das políticas estabelecidas no programa de governança em privacidade?

Devem ser baseadas em processos de avaliação sistemática de impactos e riscos. (D)

Quem é o responsável por instaurar o processo administrativo disciplinar dos membros do Conselho Diretor?

O Ministro de Estado Chefe da Casa Civil (B)

O que deve ser fornecido pelo controlador quando solicitado pelo titular dos dados em relação a decisões automatizadas?

Informações claras e adequadas sobre critérios e procedimentos utilizados. (D)

Qual a penalidade em relação à infração do disposto no caput do Art. 55-F?

Ato de improbidade administrativa (A)

O que deve ser realizado continuamente para a atualização do programa de governança em privacidade?

Monitoramento contínuo e avaliações periódicas. (B)

Em que situação a autoridade nacional pode realizar auditoria em relação ao tratamento automatizado de dados pessoais?

Quando não forem oferecidas informações sobre o tratamento com base no segredo comercial. (A)

Qual é a condição para o uso de dados pessoais referentes ao exercício regular de direitos pelo titular?

Os dados não podem ser utilizados se isso prejudicar o titular. (A)

Qual é o objetivo de estabelecer uma relação de confiança com o titular dos dados?

Assegurar a transparência e a participação do titular. (B)

Como será completado o prazo remanescente caso ocorra vacância do cargo de um membro do Conselho Diretor?

Pelo sucessor designado (D)

O que caracteriza uma decisão tomada unicamente com base em tratamento automatizado de dados pessoais?

Envolve a análise do perfil pessoal, profissional ou de crédito do titular. (A)

O que será determinado pelo Presidente da República em relação à ANPD até a entrada em vigor de sua estrutura regimental?

O apoio técnico e administrativo da Casa Civil (A)

Qual é a forma de tutela que pode ser exercida em juízo em defesa dos direitos dos titulares de dados?

Tutela coletiva ou individual, conforme a legislação pertinente. (B)

Como as regras de boas práticas e de governança devem ser tratadas?

Devem ser publicadas e atualizadas periodicamente. (D)

Quem determina o afastamento preventivo de um membro do Conselho Diretor?

O Ministro de Estado, por recomendação da comissão (B)

Qual das opções a seguir está relacionada ao consentimento do titular para o tratamento de dados pessoais?

O consentimento deve ser explícito e informado para que o tratamento ocorra. (B)

Qual o estímulo promovido pela autoridade nacional em relação aos titulares de dados pessoais?

A adoção de padrões técnicos que facilitem o controle pelos titulares. (D)

Qual é o prazo para solicitar a revisão de decisões tomadas com base em tratamento automatizado?

Não há prazo estipulado para tal solicitação. (D)

Como deve ser demonstrada a efetividade do programa de governança em privacidade?

Quando apropriado e a pedido da autoridade nacional. (C)

As sanções são aplicadas sem a garantia de ampla defesa para o infrator.

False (B)

A condição econômica do infrator deve ser considerada ao aplicar sanções.

True (A)

A reincidência não é um fator considerado no cálculo das sanções.

False (B)

O produto da arrecadação das multas é destinado ao Fundo de Defesa de Direitos Difusos.

True (A)

Os critérios para sanções são todos obrigatórios e não podem ser ajustados conforme o caso concreto.

False (B)

A autoridade nacional pode desconsiderar o faturamento total da empresa no cálculo da multa.

False (B)

A boa-fé do infrator é um dos fatores considerados na aplicação das sanções.

True (A)

O grau do dano não precisa ser avaliado para a aplicação das sanções.

False (B)

É permitida a comunicação de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica em qualquer situação.

False (B)

Os dados anonimizados podem ser considerados dados pessoais se o processo de anonimização puder ser revertido.

True (A)

As operadoras de planos de saúde podem utilizar dados de saúde para a seleção de riscos ao contratar beneficiários.

False (B)

O titular pode solicitar a portabilidade de dados anonimizados a qualquer momento.

False (B)

A autoridade nacional pode regulamentar a comunicação de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica.

True (A)

A definição do que é razoável para reverter o processo de anonimização deve considerar fatores subjetivos, como a vontade do controlador.

False (B)

Os dados utilizados para transações financeiras devem ser compartilhados entre controladores sem necessidade de consentimento prévio.

False (B)

Dados pessoais sensíveis referentes à saúde podem ser compartilhados sem consentimento em qualquer circunstância relacionada à assistência farmacêutica.

False (B)

A ANPD não é o órgão central de interpretação da lei que trata da proteção de dados pessoais.

False (B)

Os valores apurados na venda de bens imóveis pertencentes à ANPD constituem uma de suas receitas.

True (A)

A ANPD pode receber recursos apenas de doações e legados.

False (B)

Os bens transferidos pelos órgãos da Presidência da República não fazem parte do patrimônio da ANPD.

False (B)

Os recursos do ANPD são limitados apenas a valores apurados em aplicações no mercado financeiro.

False (B)

O artigo 56 é totalmente vetado, assim como o artigo 58.

True (A)

A ANPD não pode celebrar convênios com entidades públicas ou privadas.

False (B)

O artigo 55-M indica que a ANPD deve adquirir ou incorporar bens e direitos.

True (A)

A exclusão definitiva dos dados pessoais pode ser realizada a qualquer momento, mesmo durante a relação contratual.

False (B)

Os dados pessoais devem ser sempre guardados, independentemente da sua finalidade.

False (B)

A autoridade nacional pode editar regulamentos específicos para o acesso a dados tratados pela União.

True (A)

Uma empresa estrangeira precisa de procuração para ser intimada de atos processuais no Brasil.

False (B)

Os direitos expressos nesta lei excluem outros direitos previstos em tratados internacionais dos quais o Brasil é parte.

False (B)

A adequação progressiva de bancos de dados deve levar em conta a natureza dos dados e a complexidade das operações de tratamento.

True (A)

O consentimento para o uso de dados pessoais é irreversível e não pode ser revogado.

False (B)

Artigos da lei estabelecem que dados pessoais podem ser tratados mesmo sem o consentimento do titular em qualquer circunstância.

False (B)

A Lei se aplica apenas a operações de tratamento realizadas no Brasil.

True (A)

O tratamento de dados pessoais para fins acadêmicos é sempre coberto pela Lei.

False (B)

Dados pessoais coletados de indivíduos situados no Brasil estão isentos de regulamentação.

False (B)

Atividades de investigação criminal não se enquadram nas disposições da Lei para tratamento de dados.

False (B)

A Lei exclui o tratamento de dados realizados por pessoa natural para fins econômicos.

True (A)

Os dados pessoais provenientes de fora do território nacional podem ser tratados livremente no Brasil.

False (B)

O tratamento de dados pessoais é irrestrito, desde que os dados sejam coletados dentro do território nacional.

False (B)

A segurança pública é uma das exceções à aplicação da Lei para o tratamento de dados pessoais.

True (A)

Flashcards

Data Subject Consent

Explicit agreement by an individual for the processing of their personal data.

Written Consent

Consent clearly stated in written form.

Specific Consent

Consent for a precise purpose; not general consent.

Data Controller Burden of Proof

The data controller must prove consent was obtained legally.

Vicious Consent

Invalid consent due to trickery or manipulation.

Consent Revocation

Data subject can withdraw consent anytime.

Data Access Rights

Individuals have access to information regarding how their data is used.

Legitimate Interest

Data processing justified because it serves a legitimate purpose.

Automated Decision-Making

Decisions about individuals based on automated data processing.

Sensitive Data

Personal data revealing racial, religious, political, or health information.

Data Anonymization

Data made unidentifiable by removing personal attributes.

Data Sharing

Exchanging data among entities.

Data Breach Response

Plans for handling data security incidents.

Privacy Governance Program

System of policies and procedures to protect personal data.

National Data Protection Authority

Government agency that enforces data protection laws.

Study Notes

Consentimento para o tratamento de dados pessoais

• O consentimento para o tratamento de dados pessoais deve ser obtido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
• Caso o consentimento seja fornecido por escrito, ele deve constar de cláusula destacada das demais cláusulas contratuais.
• O controlador tem o ônus da prova de que o consentimento foi obtido em conformidade com a Lei.
• É vedado o tratamento de dados pessoais mediante vício de consentimento.
• O consentimento deve ser específico para finalidades determinadas, sendo nulas as autorizações genéricas.
• O titular pode revogar o consentimento a qualquer momento mediante manifestação expressa, por procedimento gratuito e facilitado.

Informação sobre o tratamento de dados pessoais

• O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que devem ser disponibilizadas de forma clara, adequada e ostensiva.
• As informações devem conter, entre outras, a finalidade específica do tratamento, a forma e duração do tratamento, a identificação do controlador, informações de contato do controlador, informações sobre o uso compartilhado de dados pelo controlador e a finalidade, as responsabilidades dos agentes que realizarão o tratamento e os direitos do titular, com menção explícita aos direitos contidos no art. 18 da Lei.
• Na hipótese em que o consentimento é requerido, ele será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
• Se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças, podendo o titular revogar o consentimento, caso discorde das alterações.
• Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular.

Legítimo Interesse do Controlador

• O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas.
• Exemplos de situações concretas: apoio e promoção de atividades do controlador e proteção do exercício regular de direitos do titular.
• O titular pode solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.

Revisão de decisões automatizadas

• O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.
• O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
• A autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.

Dados pessoais e exercício regular de direitos

• Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.
• A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente.

Governança em privacidade

• O controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá implementar programa de governança em privacidade.
• O programa de governança em privacidade deve demonstrar o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento de normas e boas práticas relativas à proteção de dados pessoais.
• O programa deve ser aplicável a todo o conjunto de dados pessoais que estejam sob controle do controlador, independentemente do modo como se realizou sua coleta.
• O programa deve ser adaptado à estrutura, à escala e ao volume das operações do controlador, bem como à sensibilidade dos dados tratados.
• O programa deve estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade.
• O programa deve ter o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular.
• O programa deve estar integrado à estrutura geral de governança do controlador e estabelecer e aplicar mecanismos de supervisão internos e externos.
• O programa deve contar com planos de resposta a incidentes e remediação e ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
• O controlador deve demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta.

Boas práticas e governança

• As regras de boas práticas e de governança devem ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.

Autoridade Nacional de Proteção de Dados (ANPD)

• A ANPD é a autoridade nacional responsável por promover o cumprimento da Lei Geral de Proteção de Dados (LGPD) e atuar como órgão de controle e fiscalização.
• O Conselho Diretor da ANPD é composto por 5 membros, com mandatos de 4 anos, sendo que os primeiros membros terão mandatos de 2, 3, 4, 5 e 6 anos.
• Em caso de vacância do cargo no curso do mandato de membro do Conselho Diretor, o prazo remanescente será completado pelo sucessor.
• Os membros do Conselho Diretor somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar.
• O Ministro de Estado Chefe da Casa Civil da Presidência da República instaura o processo administrativo disciplinar para membros do Conselho Diretor, que será conduzido por comissão especial constituída por servidores públicos federais estáveis.
• O Presidente da República determina o afastamento preventivo do membro do Conselho Diretor, somente quando assim recomendado pela comissão especial, e profer o julgamento.
• A ANPD receberá o apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades até a data de entrada em vigor de sua estrutura regimental.
• O Conselho Diretor da ANPD disporá sobre o regimento interno da ANPD.
• Ato do Presidente da República disporá sobre a estrutura regimental da ANPD.
• A ANPD estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais.

Lei Geral de Proteção de Dados (LGPD) - Escopo de Aplicação

• A LGPD se aplica a qualquer operação de tratamento de dados pessoais realizada por pessoas naturais ou jurídicas, públicas ou privadas, no Brasil, independentemente do local onde os dados estejam armazenados.
• Essa aplicação se estende a operações realizadas no território nacional, com objetivo de ofertar bens ou serviços a indivíduos no Brasil, e a dados coletados no território nacional.
• Exceções: A LGPD não se aplica ao tratamento de dados pessoais para fins exclusivamente particulares e não econômicos, jornalísticos, artísticos, acadêmicos, de segurança pública, defesa nacional, segurança do Estado, atividades de investigação e repressão penal.

Tratamento de Dados Provenientes do Exterior

• A LGPD não se aplica a dados provenientes de fora do Brasil que não sejam comunicados, compartilhados ou transferidos internacionalmente para outros países que não o de origem, desde que o país de origem ofereça um nível de proteção de dados adequado ao previsto na LGPD.

Disposições Específicas para Dados Sensíveis

• O tratamento de dados sensíveis (origem racial ou étnica, convicções religiosas, opiniões políticas, filiação sindical, dados genéticos, biométricos, de saúde, etc.) é regido por legislação específica que deve prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público.
• A comunicação ou uso compartilhado de dados sensíveis entre controladores com o objetivo de obter vantagem econômica pode ser vedado ou regulamentado pela autoridade nacional, em conjunto com órgãos setoriais.

Anonimização de Dados

• Dados anonimizados não são considerados dados pessoais para fins da LGPD, a menos que o processo de anonimização possa ser revertido por meios próprios ou por esforços razoáveis.

Sanções e Responsabilidades

• A LGPD prevê sanções administrativas, civis ou penais para violações da lei.
• As sanções são aplicadas de forma gradativa, isolada ou cumulativa, considerando a gravidade da infração, a boa fé do infrator, a vantagem obtida, a condição econômica, a reincidência, o dano, a cooperação, a adoção de medidas internas de segurança, a política de boas práticas e a aplicação de medidas corretivas.
• O valor das multas pode levar em conta o faturamento total da empresa ou grupo de empresas.
• Os recursos provenientes das multas são destinados ao Fundo de Defesa de Direitos Difusos.
• A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão central de interpretação da LGPD e responsável por estabelecer normas e diretrizes.

Atuação da ANPD

• A ANPD articulará sua atuação com outros órgãos e entidades com competências relacionadas à proteção de dados pessoais.

Disposições Financeiras da ANPD

• As receitas da ANPD incluem dotações orçamentárias, transferências, doações, valores de bens imóveis, rendimentos de investimentos, recursos de acordos e contratos, e valores de venda de publicações e informações.

Conselho Nacional de Proteção de Dados Pessoais e da Privacidade

• A LGPD prevê um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, composto por membros do governo e da sociedade civil. O Conselho tem funções consultivas e deliberativas sobre a LGPD.

Disposições Diversas

• A LGPD prevê normas específicas para o acesso a dados tratados pela União para fins de educação.
• A LGPD define que os direitos e princípios nela expressos não excluem outros previstos na legislação brasileira ou em tratados internacionais.

Description

Este questionário aborda os princípios e requisitos legais do consentimento para o tratamento de dados pessoais. Mergulhe nas obrigações do controlador e nos direitos do titular em relação à proteção de dados. Teste seus conhecimentos sobre a legislação vigente e as melhores práticas de uso de dados pessoais.