Apresentação de Amanda Faria, realizada no Festival ABCR 2019, entre os dias 09 e 11 de junho de 2019, em São Paulo.

1. “A Lei Geral de Proteção de Dados e
seu impacto na Captação de Recursos”
Amanda Faria

2. Amanda Faria
Amanda dos Santos Faria é bacharel em Direito pela Faculdade
de Direito da Universidade Presbiteriana Mackenzie há 11
anos, especialista em Direito Digital, com foco na área de
proteção de dados, e Direito Imobiliário. Pós-graduada pelas
Pontifícia Universidade Católica de São Paulo (PUC-SP) e
Universidade SECOVI. Possui experiência profissional em
grandes empresas do setor privado, dentre elas, Gafisa S.A.,
Tenda S.A. e SBA Communications. Nos últimos anos vem
atuando de forma consultiva em empresas ligadas à tecnologia
e com foco em manipulação de dados, já trabalhando para a
adequação das mesmas às novas determinações legais trazidas
pela LGPD (Lei Geral de Proteção de Dados). Sócia da Facilita
Social, empresa pioneira na captação de recursos via whatsapp.

3. Origem LGPD
Preocupação jurídica
com relação a proteção
de dados pessoais.
Desde 1960:
processamento de dados
em larga escala e de
forma centralizada
Foram 8 anos de debates e
redações legislativas, para que
em agosto de 2018, o então
presidente Michel
Temer, sancionasse a Lei Geral
de Proteção de Dados do
Brasil (LGPD), Lei 13.709/2018.

4. General Data Protection Regulation (GDPR)
Escândalos como o da Cambridge Analytics e o
Facebook, suspeição sobre disseminação de fake
news no Brexit e a suspeita de manipulação na
eleição de Donald Trump, fizeram os alarmes
soarem por toda a União Européia.
Além de ter se tornado a principal legislação sobre
proteção de dados do mundo, influenciou
fortemente a legislação brasileira.

5. Constituição Federal de 1988, art. 5º, inciso X, e nosso Código Civil brasileiro, artigo 21, os quais
fundamentam a proteção à privacidade, vejamos:
i) a vida privada da pessoa;
ii) o direito à privacidade.
Entrada em vigor prevista para agosto de 2020.
A LGPD surge, assim como a GDPR, da constatação que os dados pessoais são:
a. um ativo econômico valioso;
b. um dado político perigoso, quando mal manejado;
c. um bem jurídico importante a ser tutelado pela legislação.
Conceitos fundamentais à LGPD

6. Afinal, o que a LGPD
efetivamente tutela?
Para os fins desta Lei, considera-se:
Art. 5º [...]
X – tratamento (é toda): toda operação realizada com
dados pessoais, como as que se referem a coleta,
produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou
extração; (grifos nossos)
Se a sua organização ou você pratica qualquer um desses atos listados na lei, sua atividade passa a ser
regulada também por esse novo diploma legal.

7. Independentemente da origem da empresa (pública ou privada), aplica-se a LGPD:
(i) a qualquer operação de tratamento realizada no território nacional; OU
(ii) a atividade de tratamento tenha por objetivo a oferta ou fornecimento de bens
e serviços ou o tratamento de dados localizados no território nacional; OU
(iii) os dados pessoais tenham sido coletados no território nacional, ou seja,
aqueles dados cujo titular se encontre em território nacional no momento da
coleta.
A lei é aplicada a todos os setores da economia.
Sobre a transferência de dados extraterritorial: pode ocorrer, desde que para
países que proporcionem grau de proteção de dados pessoais adequado ao
previsto na lei brasileira.
Territorialmente, onde a LGPD se aplica?

8. O que precisamos entender sobre a LGPD?
As 9 principais definições trazidas pelo Art. 5º da LGPD

9. Dado pessoal: informação
relacionada à pessoa natural
identificada ou identificável.
Dado pessoal sensível: dado pessoal sobre
origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou
político, dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando
vinculado a uma pessoa natural;
Dado anonimizado: dado
relativo a titular que não possa
ser identificado, considerando
a utilização de meios técnicos
razoáveis e disponíveis na
ocasião de seu tratamento;

10. Titular: pessoa natural a quem
se referem os dados pessoais
que são objeto de tratamento;
Controlador: pessoa natural ou jurídica,
de direito público ou privado, a quem
competem as decisões referentes ao
tratamento de dados pessoais;
Operador: pessoa natural ou
jurídica, de direito público ou
privado, que realiza o
tratamento de dados pessoais
em nome do controlador;

11. Tratamento: toda operação realizada com
dados pessoais definidas no artigo 5º da
LGPD.
Consentimento: manifestação
livre, informada e inequívoca
pela qual o titular concorda
com o tratamento de seus
dados pessoais para uma
finalidade determinada.
Agentes de tratamento:
o controlador e o operador;

12. Atividades de tratamento
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, [...];
IV - para a realização de estudos por órgão de pesquisa, [...];
V - quando necessário para a execução de contrato [...], a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, [...];
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, [...];
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso
de prevalecerem direitos e liberdades fundamentais do titular [...]; ou
X - para a proteção do crédito, [...].
[...]
Dados públicos:
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o
interesse público que justificaram sua disponibilização.

13. PARÁGRAFO FUNDAMENTAL AO COMPARTILHAMENTO DE DADOS PARA
CAPTAÇÃO DE RECURSOS:
Artigo 7º, § 5º O controlador que obteve o consentimento [...] que
necessitar comunicar ou compartilhar dados pessoais com outros
controladores deverá obter consentimento específico do titular para esse
fim, [...].
Atividades de tratamento

14. O tratamento das informações deve
ocorrer para propósitos lícitos,
legítimos, específicos, explícitos,
limitados à finalidade informada ao
titular dos dados, de modo não
excessivo.
Necessária a formulação de regras de boas
práticas e de governança que estabeleçam
as condições de organização,
procedimentos, regime de funcionamento,
normas de segurança da informação,
padrões técnicos, obrigações específicas
para os indivíduos envolvidos no
tratamento, ações educativas,
mecanismos internos de supervisão e
mitigação de riscos, dentre outros
específicos à atividade de cada
organização.
Boas Práticas
Atividades de tratamento
Artigos 6º e 50º da LGPD

15. O consentimento deverá:
a. Ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do
titular em cláusula destacada das demais; (meio físico ou digital)
b. Poderá ser revogado a qualquer momento pelo titular;
c. Serão nulos os consentimentos genéricas para o tratamento de dados pessoais.
Caberá ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com
o disposto na Lei.
“O” CONSENTIMENTO
Artigo 8º da LGPD

16. Os Dados Pessoais Sensíveis merecem tratamento ainda mais
especial, o CONSENTIMENTO deve ser fornecido de forma específica
e destacada.
Ainda no que se referem esses dados sensíveis, especificamente, a lei
prevê a possibilidade de criação de dispositivo legal próprio, apto a
vedar sua comunicação ou compartilhamento com a finalidade de
obtenção de vantagem econômica. Nesse sentido, a responsável por
esta regulamentação será a Autoridade Nacional de Proteção de
Dados (ANPD, aprovada pela Câmara e nos últimos dias pelo Senado,
aguardando, apenas aprovação da Presidência).
Dado pessoal sensível
Artigo 11º DA LGPD

17. Dados anonimizados não serão considerados “dados
pessoais” para os fins da LGPD, salvo quando o processo de
anonimização puder ser revertido, utilizando-se
exclusivamente meios próprios ou com esforços razoáveis.
Anonimização de dados
Artigo 12º da LGPD
Poderão ser igualmente considerados
como “dados pessoais”, para os fins desta
Lei, aqueles utilizados para formação do
perfil comportamental de determinada
pessoa natural, se identificada.

18. DESAFIO ÀS ORGANIZAÇÕES:
● GOVERNANÇA - Criação de processos, procedimentos, bem
como um fluxo de recebimento e envio de informações,
visando à segurança dos dados pessoais;
● As informações podem ser solicitadas, a qualquer instante,
pela ANPD, devendo ser fornecidas imediatamente;
● Sugestão: criação de um Comitê de Segurança da Informação
para análise dos procedimentos internos (envolvendo jurídico,
negócios e tecnologia da informação).
Direitos do titular de dados
Artigo 18º da LGPD
Existe a obrigação de manutenção de informações
claras sobre (i) o modo e o critério de tratamento dos
dados, bem como (ii) identificação dos dados
tratados. Essas ações dependem do remodelamento
tecnológico, mediante adaptação da organização
(instalação de servidores - em nuvem ou não - ),
manutenção de antivírus, etc.

19. Tecnologia à Favor do Terceiro Setor
Relacionamento seguro e
direto com os doadores em
todos os canais de contato,
como WhatsApp, Facebook,
Telegram, entre outros
Transparência nos dados e
transações com emissão de
relatórios e controle total das
operações de relacionamento.
Automação humanizada e
personalizada com o tom de
voz da instituição,
aproximando ainda mais o
doador

20. Da Responsabilidade e do
Ressarcimento de Danos
Artigos 42º e 43º da LGPD
Os agentes de tratamento que causarem a outrem dano patrimonial, moral,
individual ou coletivo, estarão obrigados a repará-lo.
EXCLUSÕES DE ILICITUDE - os agentes de tratamento só não serão responsabilizados
quando provarem:
I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II - que, embora tenham realizado o tratamento de dados pessoais, não houve violação à
legislação de proteção de dados; ou
III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

21. Sanções Administrativas
Artigos 52º e 53º
Aos violadores da lei serão aplicadas as seguintes medidas:
a. Advertência (com indicação de prazo para correção);
b. multa simples de até 2% do faturamento da pessoa jurídica,
excluídos tributos, no total de até 50MM/infração;
c. multa diária, observado o limite indicado;
d. publicização da infração;
e. bloqueio de dados pessoais a que se refere a infração até a
sua regularização;
f. eliminação de dados pessoais a que se refere a infração.
ANPD definirá as metodologias que orientarão o cálculo do
valor-base das sanções de multa.

22. A LGPD e o Terceiro Setor:
para onde vamos?

23. Novas práticas
● A partir de agosto de 2020, a lei não deixará brechas para o
tratamento e/ou compartilhamento de dados pessoais, sem o
CONSENTIMENTO de seu titular de direito;
● Medida indispensável: a obtenção de termos autorizações
específicas. Isso se aplica notadamente aos mailings utilizados
pelas organizações;
● Guarda segura dos dados tratados, bem como o registro de cada
consentimento fornecido (forma digital e/ou eletrônica), é
medida primordial.;
● De outra feita, considerando a toda a sensibilidade que envolve
do terceiro setor, bem como a pessoalidade de cada indivíduo
com quem as organizações mantém relações, nossa visão é a de
que a LGPD chegou para estreitar ainda mais esse
relacionamento, bem como criar laços ainda mais transparentes e
de confiabilidade.

24. Agradecemos a sua participação!
Amanda Faria
(11) 98864.8483
facilitabots.com
amanda@facilitabots.com