TERMOS E CONDIÇÕES

MY WALLET CARTEIRA DE COLECIONÁVEIS

NFTREND SERVIÇOS DIGITAIS LTDA

Data da publicação inicial: 2 de novembro de 2022

Última atualização: 7 de novembro de 2022

 

ENCONTRE ABAIXO OS TERMOS E CONDIÇÕES QUE REGEM OS SERVIÇOS MY WALLET, INCLUINDO:

  • ACESSAR, BAIXAR OU USAR QUALQUER UM DOS APLICATIVOS DA MY WALLET;
  • ARMAZENAR COLECIONÁVEIS DIGITAIS

 

MÓDULO DE GOVERNANÇA.

Estes termos e condições foram estabelecidos pela Empresa NFTREND SERVIÇOS DIGITAIS LTDA para reger os nossos serviços. Ao se envolver ou realizar qualquer uma das atividades acima mencionadas, você será considerado um “Usuário” que está legalmente sujeito a estes Termos.

Entre em contato conosco em “[email protected]” para quaisquer perguntas ou problemas.

 

ACORDO

  1. DEFINIÇÃO DE TERMOS E INFORMAÇÕES RELACIONADAS

1.1 NFTs e colecionáveis.

(a) “NFTs” significam tokens baseados em Ethereum em conformidade com o padrão ERC-721, Padrão ERC-1155 ou outro padrão de token “não fungível” semelhante. Os NFTs devem ser “não fungíveis”, tokens que representam um colecionável único; no entanto, certos NFTs podem ser fungíveis entre si, ou seja, tais NFTs estão associados aos mesmos metadados colecionáveis, embora não sejam fungíveis com outros NFTs.

(b) Colecionáveis

(i) “Colecionável” significa a associação no Ethereum de um NFT com um Identificador Uniforme de Recursos (“IUR”) que identifica um arquivo JSON configurado apropriadamente em conformidade com o Esquema JSON de Metadados ERC-721, Esquema JSON de URI de Metadados ERC-1155 ou um esquema JSON semelhante, conforme aplicável (como o arquivo JSON, o “ID colecionável”).

1.2 Ofertas.

(a) “Ofertas” significa a Carteira de de NFTs da My Wallet (wallet.nftrend.io);

1.3 “Ethereum” significa a rede principal da Ethereum e o blockchain de consenso para tal rede principal (networkID: 1, chainID: 1) conforme reconhecido pelo Go Ethereum Client oficial ou, se aplicável, pela rede e blockchain geralmente reconhecido como seu sucessor legítimo.

 

  1. SERVIÇOS PRESTADOS E TERMOS GERAIS

2.1 Usuário responsável por contas / endereços. Os usuários são responsáveis ​​por todos os assuntos relacionados às suas contas (se houver) nos sites NFTrend ou nas contas ou endereços de blockchain através dos quais eles interagem com as Ofertas e por garantir que todos os seus usos estejam em total conformidade com estes Termos. Usuários são responsáveis por proteger a confidencialidade de suas informações de login e senhas (se aplicável) para os aplicativos ou as chaves privadas que controlam as contas ou endereços blockchain relevantes por meio de com os quais eles interagem com as Ofertas.

 

 

  1. DA PRIVACIDADE E TRATAMENTO DE DADOS NA MY WALLET

LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS – LEI 13.709/2018

3.1     Panorama Geral da LGPD
A Lei Geral de Proteção de Dados Pessoais (“LGPD”) dispõe sobre o tratamento de dados pessoais nos setores público e privado, materializando a consolidação de matérias que versam sobre os temas de Privacidade e Proteção de Dados. O texto consiste em uma lei nacional inspirada em parâmetros internacionalmente estabelecidos, em especial naqueles dispostos no Regulamento Geral de Proteção de Dados da União Europeia (General Data Protection Regulation – “GDPR”) que entrou em vigor em 25 de maio de 2018.

3.2    Escopo de Aplicação
A LGPD se aplica a qualquer pessoa física ou jurídica, de direito público ou privado, que realize operações de tratamento (coleta, produção, recepção, classificação, processamento, etc.) de dados pessoais em território nacional, caso: (i) o tratamento tenha como objetivo a oferta ou fornecimento de bens ou serviços, (ii) o tratamento de dados seja de indivíduos em território nacional, ou ainda (iii) os dados pessoais tenham sido coletados em território nacional. Nesse sentido, é possível observar que os termos da aplicação da lei se aproximam daqueles previstos no GDPR.

A LGPD não é aplicável, entretanto, nos casos em que o tratamento dos dados pessoais for realizado:

(i) Por pessoa física, para fins particulares e não comerciais;

(ii) Para fins exclusivamente jornalísticos, artísticos ou acadêmicos;

(iii) Pelo Poder Público, nas hipóteses de utilização para a promoção da segurança pública, da defesa nacional, da segurança do Estado ou de atividades de investigação e repressão de infrações penais; ou

(iv) Quando esses dados pessoais forem provenientes de fora do território nacional e não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência (desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na lei).

3.3    Principais Conceitos e Atores
Para os fins da LGPD, “dados pessoais” são informações relacionadas a pessoas naturais direta ou indiretamente identificáveis. Dentro deste conjunto, os “dados pessoais sensíveis”, por sua vez, compõem uma categoria específica de informações pessoais que demandam maior grau de proteção legal diante do potencial discriminatório que pode derivar do seu tratamento. Entram nesta lista aqueles dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, ou ainda dado genético ou biométrico, quando vinculado a uma pessoa natural. Desse modo, enquanto o dado pessoal é aquele que pode identificar ou levar à identificação de alguém, o dado sensível além de identificar um indivíduo, é capaz de promover a sua discriminação. Note que um tratamento com dados pessoais que revele dados sensíveis também está sujeito à proteção especial nos termos da lei.

Vale ressaltar que nesta dinâmica de tratamento de dados pessoais existem três atores fundamentais: o titular e os agentes de tratamento (controlador e o operador).

·         Titular: é a pessoa física a quem se referem os dados pessoais.

·         Controlador: é a empresa ou pessoa física a quem compete a tomada de decisões em relação a forma e finalidade do tratamento desses dados.

·         Operador: é a empresa ou pessoa física que realiza o tratamento dos dados pessoais seguindo as ordens do controlador a partir da escolha dos meios técnicos razoáveis para tanto.

3.4     Bases Legais para o Tratamento de Dados Pessoais
Com o intuito de garantir que o tratamento de dados pessoais será válido e lícito, a LGPD prevê um rol de hipóteses em que estas operações poderão ocorrer. Estas condições legais, mais conhecidas como “Bases Legais”, abarcam diferentes cenários possíveis para a legitimação das operações de tratamento. É necessário, portanto, que haja uma avaliação por parte dos agentes de tratamento para a identificação da base legal mais pertinente para cada uma de suas operações, sopesando, neste processo, fatores como o grau de segurança da base legal contra questionamentos futuros, o conjunto de medidas acessórias que ela demanda, dentre outros.

Desse modo, de acordo com o artigo 7º da LGPD, os dados pessoais só podem ser tratados:

1.    Mediante o fornecimento do consentimento do titular; e para

2.    Atender aos interesses legítimos do controlador ou de terceiro;

3.    O cumprimento de obrigação legal ou regulatória pelo controlador;

4.    A execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;

5.    O exercício regular de direitos em processo judicial, administrativo ou arbitral;

6.    A proteção do crédito;

7.    A proteção da vida ou da incolumidade física do titular ou de terceiro;

8.    A tutela da saúde (apenas por profissionais de saúde, serviços de saúde ou autoridade sanitária);

9.    A realização de estudos por órgão de pesquisa; e

10. A execução de políticas públicas (apenas pela Administração Pública).

Vale mencionar, ainda, que o tratamento de dados pessoais será irregular quando não observar a legislação (não se enquadrando em alguma das autorizações acima) ou quando não fornecer a segurança que o titular pode esperar, considerando: (i) o modo pelo qual o tratamento é realizado; (ii) o resultado e os riscos que razoavelmente dele se esperam; e (iii) as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Uma vez que a operação de tratamento não for capaz de se enquadrar mais em alguma das bases legais previstas em lei, o controlador deverá promover o término do tratamento, o que ocorrerá quando: (i) o período do tratamento chegar ao fim; (ii) ocorrer uma manifestação do titular dos dados solicitando o término do tratamento; (iii) houver determinação legal nesse sentido; ou (iv) for verificado que a finalidade que fundamentou o tratamento foi alcançada, ou que os dados pessoais coletados perderam a sua pertinência para a finalidade pretendida.

3.5    Consentimento
O consentimento é a hipótese de autorização direta de tratamento de dados pessoais pelos titulares. Esta base legal é uma forma de expressão da manifestação de vontade do titular pela qual ele concorda com as operações de tratamento com finalidades determinadas que lhe são apresentadas.

Para que o consentimento seja válido, é necessário, por lei, que ele seja manifestado de forma (i) livre, (ii) informada e (iii) inequívoca, seja por escrito ou por qualquer outro meio que o certifique. Nesse sentido:

(i) Livre: o titular deve ser livre para escolher se concorda ou não com o tratamento de seus dados para uma finalidade específica, o que será avaliado à luz do contexto específico em que o titular se insere em relação ao controlador;

(ii) Informado: o titular deve ter acesso facilitado a todas as informações relevantes sobre o tratamento dos seus dados, cabendo ao controlador apresentar (de forma clara, adequada e ostensiva) informações sobre: (a) a finalidade específica da operação, (b) como e por quanto tempo os dados serão tratados, (c) quem são os agentes de tratamento envolvidos e (d) com quem eles compartilharão estes dados, dentre outros.

(iii) Inequívoco: o controlador deve, proativamente, minimizar as chances de o titular ter dúvidas quanto ao tratamento de seus dados, o que se faz a partir da adoção de técnicas como o uso de uma linguagem simples, direta e no idioma do próprio titular.

Desse modo, todas as finalidades do tratamento deverão ser informadas de forma clara, detalhada e em separado, cabendo ao controlador o ônus de comprovar que adotou das ferramentas e estratégias necessárias para garantir que o consentimento foi dado na forma da lei (não sendo necessário, entretanto, qualquer prova da efetiva compreensão dos titulares sobre as informações que fundaram seu consentimento). Com isso, caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca, o consentimento será considerado nulo, não autorizando, portanto, o tratamento dos dados pessoais.

Vale ressaltar que o titular tem o direito de revogar o consentimento a qualquer tempo, mediante manifestação expressa e por meio de procedimento que deve ser gratuito e facilitado. Nesse cenário, o controlador deverá encerrar qualquer operação de tratamento que fosse exclusivamente fundada no consentimento do titular. Desse modo, ainda que não seja possível continuar a coleta dos dados pessoais sem que haja o consentimento ou outra base legal que o autorize, a utilização dos dados anterior à revogação continua válida, sendo seu armazenamento possível apenas na hipótese de o titular não exigir também a eliminação dos dados ao revogar seu consentimento.

Ainda, caso haja qualquer mudança no tratamento dos dados pessoais que não seja compatível com o consentimento original, seja em relação à finalidade da operação com dados pessoais, à sua forma e duração ou ainda ao controlador e ao compartilhamento destes dados, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, revogar seu consentimento previamente concedido caso discorde da alteração.

3.5.1         Casos específicos
A LGPD prevê hipóteses específicas em que o consentimento demandará maior cautela no que diz respeito à sua obtenção, sendo necessário, portanto, que além de livre, informado e inequívoco, seja manifestado de forma específica e destacada em relação às demais operações. Estas condições adicionais serão necessárias na hipótese em que o consentimento é demandado para fins de tratamento de (i) dados pessoais sensíveis; ou de (ii) dados de crianças; ou, ainda para (iii) autorizar a realização de transferência internacional de dados pessoais.

Em relação ao tratamento de dados pessoais de crianças, algumas peculiaridades se fazem presentes à medida em que estas operações deverão ser realizadas no melhor interesse do menor. Por essa razão, o consentimento específico e em destaque não apenas é a única base legal aplicável para estas operações, como também deverá ser fornecido por pelo menos um dos responsáveis legais da criança. Neste cenário, o controlador deverá ainda manter públicas as informações sobre os tipos de dados coletados, bem como a forma de sua utilização e de exercício dos direitos que a LGPD confere ao titular. A lei ainda impõe aos controladores o dever de requerer o mínimo necessário de informações para a participação de crianças em jogos, aplicações de internet e outras atividades.

3.6   Legítimo Interesse
A base legal do legítimo interesse do controlador será aplicável no contexto em que for necessário fundamentar o tratamento de dados pessoais para finalidades legítimas relacionadas à sua atividade. Esta avaliação, entretanto, depende de um sopesamento entre a necessidade do controlador e a existência de direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais. Desse modo, caso haja a prevalência destas garantias fundamentais, não será possível a adoção do “legítimo interesse” enquanto base legal.

Nesta avaliação, a LGPD estabelece ainda um rol de finalidades que poderiam justificar o interesse legítimo do controlador, sendo necessário associá-las à análise do caso concreto. São elas: (i) apoio e promoção das atividades do controlador; (ii) proteção em relação ao titular do regular exercício dos seus direitos; e (iii) prestação de serviços que beneficiem o titular, desde que respeitadas as suas legítimas expectativas. Ocorrendo o tratamento dos dados pessoais fundamentado no legítimo interesse do controlador, apenas os dados estritamente necessários poderão ser utilizados (em respeito ao princípio da minimização).

Ainda que limitada pelas balizas mencionas acima, a base legal do legítimo interesse de fato confere maior abertura para a autorização de diferentes operações de tratamento. Por essa razão, mesmo sendo necessário que o controlador mantenha o registro de suas operações como um todo, essa exigência se faz ainda mais essencial para aquelas atividades fundadas no legítimo interesse. É possível, inclusive, que a Autoridade Nacional de Proteção de Dados (ANPD) exija a apresentação de um relatório de impacto à proteção de dados pessoais no âmbito destas operações.

Adicionalmente, vale mencionar que o uso do conceito de legítimo interesse enquanto base legal para o tratamento de dados pessoais é usado de forma residual. Nesse processo, é avaliado primeiramente em que medida outras bases legais específicas poderiam fundamentar a legitimidade da operação. Não sendo o caso, e demandando de fato o uso do legítimo interesse, faz-se necessário averiguar tanto (i) em que medida os dados são processados ​​por meios legítimos (a fim apoiar e promover a atividade do responsável pelo tratamento, mas ainda em benefício do titular), quanto (ii) se o processamento está de acordo com as expectativas legítimas dos titulares dos dados (considerando seus direitos e liberdades fundamentais no curso da operação).

3.7   Cumprimento de Obrigação Legal ou Regulatória
O tratamento de dados pessoais também será autorizado quando necessário para que o controlador possa cumprir com suas obrigações legais ou regulatórias à luz do ordenamento jurídico brasileiro. Vale notar que áreas de atuação específicas são dotadas de vastos conjuntos normativos editados pelas autoridades públicas competentes (como a CVM, o BACEN, ou o PROCON) regulando os pormenores do conjunto de obrigações inerentes a esses campos, o que se faz presente, por exemplo naqueles relacionados às relações trabalhistas, de consumo,  ao mercado financeiro, ou de seguros.

Essa base legal traz maior segurança para a legitimidade das operações de tratamento uma vez que não envolve a necessidade de uma prévia anuência dos titulares (que pode ou não ser manifestada, como nos casos pautados no consentimento), ou ainda uma avaliação sobre a viabilidade de sua aplicação (como diante das avaliações de sopesamento inerentes à fundamentação do legítimo interesse). Desse modo, a maior clareza e certeza para fundar uma operação de dados de forma legítima de fato virá diante da existência de uma obrigação legal ou regulatória que demande esta operação.

3.8   Execução de Contrato ou de Procedimentos Preliminares
Com o intuito de operacionalizar o tratamento (em especial de acesso e compartilhamento) de dados pessoais contidos ou que venham a constar em contratos privados, a LGPD estipulou também a possibilidade de autorização legal para o tratamento de dados quanto essa atividade for necessária para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular. Desse modo, uma vez verificado que os dados pessoais são instrumentalmente necessários para a celebração de um contrato ou para a execução de seus termos, o controlador de fato estará autorizado a prosseguir com a referida operação.

Para ilustrar este cenário, é possível vislumbrar o uso de dados pessoais para a qualificação de partes (pessoas físicas) em contratos do qual venham a fazer parte. Ainda, sob a ótica de contratos já firmados, é possível que o uso dos dados pessoais seja necessário para a execução do objeto do contrato, como mediante a validação de uma determinada documentação a partir da assinatura de um titular que tenha sido contratado para a supervisão de determinada indústria, função esta que demanda o compartilhamento deste seu dado pessoal em diversos documentos da empresa. Independente do cenário, à medida em que o tratamento de dados se faz necessário para a execução ou formação de um contrato do qual o titular faça ou venha fazer parte, a LGPD de fato prevê a autorização para a continuidade desta operação.

3.9   Exercício Regular de Direitos em Processo
Seguindo a ótica de avaliação dos interesses não apenas dos titulares, mas também do controlador, a LGPD apresenta um cenário específico no campo processual passível de autorização legal para o tratamento de dados pessoais. Nesse sentido, a operação de tratamento de dados será legítima à medida em que for necessária para garantir o exercício regular dos direitos em processo judicial, administrativo ou arbitral.

Ainda que passível de uso em qualquer operação com dados pessoais, a base legal tem aplicação mais recorrente no âmbito de atividades de acesso, compartilhamento e armazenamento de dados pessoais para atender às formalidades inerentes a procedimentos específicos dentro de processos potenciais ou ainda em curso (como para o endereçamento de uma eventual notificação extrajudicial). Em relação a processos potenciais, será possível, portanto, que um agente controlador armazene os dados pessoais de seu cliente (mesmo depois do término da sua relação jurídica) à medida em que tais informações possam ser relevantes para o desenvolvimento de sua eventual defesa, considerando que esta cliente poderá ingressar em juízo contra ele.

Ressalta-se, porém, que este armazenamento não será legitimo se feito por um prazo indeterminado, sendo necessária, com isso, a observância do prazo prescricional limite para a eventual interposição de ação judicial, administrativa ou arbitral contra o controlador. Reconhecendo que passado este período não haverá mais a possibilidade de concretização de qualquer ação, a base legal em questão perde seu fundamento deste momento em diante.

3.10    Proteção ao Crédito
O tratamento de dados pessoais será legítimo também quando necessário para a proteção do crédito, o que deve ser feito considerando a natureza do interesse público com relação ao sistema de crédito. Nesse sentido, esta base é fortemente utilizada não apenas por bureaus especializados para avaliação de riscos de crédito, como também será fundamental enquanto estratégia para a proteção de agentes de tratamento que se depararem com matrizes de avaliação do grau de risco de suas operações de crédito, como no contexto de bancos ou agências seguradoras.

3.11    Proteção da Vida ou da Incolumidade Física
Com foco direcionado para o bem jurídico da vida, a LGPD apresenta como autorização específica para o tratamento de dados pessoais qualquer operação que seja realizada com o intuito de possibilitar que o controlador seja capaz de promover a proteção da vida ou da incolumidade física do titular ou de terceiros. Em muitos casos é provável que o tratamento de dados para este fim envolva inevitavelmente o tratamento de dados pessoais sensíveis (como dados referentes às condições de saúde dos titulares), motivo pelo qual esta base legal é aplicável também para operações envolvendo esta categoria especial de dados.

Em meio à pandemia da COVID-19, por exemplo, a base legal em questão tem sido utilizada com maior recorrência à medida em que diferentes atores da sociedade civil passam a implementar estratégias para o combate ao coronavírus em seus ambientes privados (como em prédios corporativos, indústrias ou estabelecimentos comerciais). Neste cenário, a coleta de dados médicos dos titulares que frequentam estes ambientes passa a ser relevante para o mapeamento dos indivíduos que possam ser potenciais transmissores do vírus, o que é feito com o intuito de limitar a possibilidade de proliferação da doença. Desse modo, a coleta de dados pessoais (sensíveis e não sensíveis) no âmbito da adoção dessas medidas de segurança se mostra relevante para a proteção da vida e da incolumidade física dos terceiros que podem frequentar determinado ambiente, sendo, portanto, legítima esta operação de tratamento.

Vale ressaltar que os princípios da transparência e da necessidade ainda devem ser observados enquanto balizas para que a premissa da proteção à vida não enseje a coleta desnecessária ou abusiva de dados pessoais. Reitera-se, então, a importância de que seja realizado apenas o tratamento do mínimo necessário de dados pessoais para a persecução das finalidades mencionadas.

3.12   Tutela da Saúde
Seguindo a mesma racional da base legal da proteção da vida ou da incolumidade física, a LGPD amplia o escopo desta garantia ao estabelecer que as operações de tratamento de dados pessoais necessárias para a tutela da saúde serão, como um todo, consideradas legítimas. Há, entretanto, uma restrição sobre quais agentes de tratamento podem evocar esta base legal como fundamento para a autorização de suas atividades. Fica definido em lei, portanto, que a referida hipótese será aplicável, exclusivamente, em procedimentos realizados por (i) profissionais de saúde, (ii) serviços de saúde ou (iii) autoridades sanitárias.

Diante da restrição quanto aos agentes de tratamento que podem fazer uso desta base legal, resta claro que os principais controladores nesse contexto são de fato hospitais, planos de saúde e outros agentes da área da saúde. Assim como na base legal usada no âmbito da proteção da vida ou da incolumidade física, a tutela da saúde demanda o provável tratamento de dados pessoais sensíveis (no caso, aqueles referentes às condições de saúde dos titulares), motivo pelo qual esta base legal também é aplicável para operações envolvendo esta categoria especial de dados.

O escopo de operações com estes possíveis dados de saúde, porém, encontra uma série de limitações previstas na LGPD, afunilando aquilo que pode ser feito com estas informações mesmo à luz do princípio da necessidade. Nesse sentido, fica vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obtenção de vantagem econômica, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde (incluídos os serviços auxiliares de diagnose e terapia), desde que em benefício dos interesses dos titulares. Ainda, é vedado às operadoras de planos privados de assistência à saúde o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários.

3.13   Realização de Estudos por Órgão de Pesquisa
O tratamento de dados pessoais será autorizado também quando necessário para a realização de estudos, desde que realizados por órgãos de pesquisa. Neste aspecto, a LGPD visa a proteger a produção científica do país, sendo necessário que o órgão de pesquisa esteja enquadrado na definição legal e cumpra apenas atividade de pesquisa.

Em relação aos dados coletados, é válido reiterar que não apenas o órgão deverá se limitar à coleta do mínimo necessário para a persecução da finalidade da pesquisa, como deverá, sempre que possível, promover a anonimização dos dados pessoais coletados (ou seja, sua efetiva despersonalização considerando a utilização dos meios técnicos razoáveis e disponíveis para tanto). Desse modo, à medida em que a identificação dos titulares que participam da pesquisa não é necessária, é recomendado por lei que a própria coleta dos dados seja feita de forma anônima desde a sua origem, trabalhando então com resultados referentes a diferentes grupos de análise e não sobre determinados titulares específicos.

3.14 Execução de Políticas Públicas
O tratamento dos dados pessoais encontra na LGPD uma última hipótese de autorização, que somente será aplicável para operações realizadas pela administração pública cuja finalidade é o tratamento e uso compartilhado de dados necessários para a execução de políticas públicas (previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres). A administração pública, enquanto agente de tratamento, também fica obrigada à observância dos princípios e garantias estipulados na LGPD, devendo com isso limitar suas operações envolvendo dados pessoais ao atendimento de sua finalidade pública e à persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Vale ressaltar que ainda que os dados pessoais tratados pelo Poder Público estejam sujeitos à regulação da LGPD, existem algumas regras que diferenciam seus direitos e obrigações daqueles das entidades privadas. Por exemplo, o consentimento do titular não é necessário para a elaboração e execução de políticas públicas, enquanto é exigido em outras hipóteses. Além disso, em caso de segurança pública, defesa nacional, segurança do Estado e atividades de investigação e repressão de infrações penais, os dados pessoais serão tratados de acordo com lei específica que ainda será promulgada.

3.15 Especificidades dos Dados Pessoais Sensíveis
Conforme exposto anteriormente, dados pessoais sensíveis são uma categoria especial de dados pessoais que demanda maior nível de proteção pela LGPD. Por essa razão, algumas das bases legais acima apresentadas não serão aplicáveis para o tratamento destes dados:

(i)   Atendimento aos interesses legítimos do controlador ou de terceiro;

(ii)  Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; e

(iii) Proteção do crédito.

Em contrapartida, as bases legais comuns para o tratamento de dados pessoais e dados pessoais sensíveis são à luz da LGPD são:

(i)   O cumprimento de obrigação legal ou regulatória pelo controlador;

(ii)  A proteção da vida ou da incolumidade física do titular ou de terceiro;

(iii) A tutela da saúde (apenas por profissionais de saúde, serviços de saúde ou autoridade sanitária);

(iv)A realização de estudos por órgão de pesquisa; e

(v)  A execução de políticas públicas (apenas pela Administração Pública).

Diante deste cenário, ainda, algumas bases legais já previstas para o tratamento de dados pessoais foram complementadas de forma a aumentar seu nível de proteção e, assim, se enquadrar também o tratamento de dados sensíveis:

(i)           O consentimento, que deve ser não apenas livre, informado e inequívoco, mas também específico e em destaque; e

(ii)          O exercício regular de direitos em processo judicial, administrativo ou arbitral, sendo incluído no âmbito dos dados pessoais sensíveis também a possibilidade de exercício regular de direitos em contratos, o que se apresenta de forma análoga à base legal de execução de contratos (excluindo, entretanto, a autorização para o tratamento no âmbito de procedimentos preliminares ao contrato).

Por fim, os dados pessoais sensíveis podem ser tratados sob o fundamento de uma oitava e última autorização legal, que se apresenta em substituição à possibilidade de tratamento para a proteção do crédito e sob o legítimo interesse do controlador.

Desse modo, será legítima a operação de tratamento quando necessária para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, o que se faz possível desde que garantido o acesso facilitado às informações sobre o tratamento de dados. Vale mencionar que, assim como no sopesamento enunciado para fins de avaliação do legítimo interesse, esta base legal não será aplicável no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

3.16     Considerações sobre a vigência da LGPD
Depois de uma série de idas e vindas, o cenário normativo brasileiro enfrentou desenvolvimentos legislativos relevantes ao longo do ano de 2020 no que diz respeito à entrada em vigor da LGPD e à definição da estrutura regulatória da Autoridade Nacional de Proteção de Dados. Neste cenário normativo, independentemente da constante revisão do tema no Congresso Nacional com a avaliação das Medidas Provisórias e dos Projetos de Lei a esse respeito, as Disposições Substantivas da LGPD finalmente entraram em vigor em 17 de setembro (enquanto a eficácia de suas Disposições Sancionatórias foi adiada para 1º de agosto de 2021).

Deve-se observar que enquanto as mencionadas “Disposições Substantivas” dizem respeito, entre outras, a questões sobre os princípios de tratamento de dados, bases legais para o tratamento de dados pessoais e direitos dos titulares em questão, as “Disposições Sancionatórias” se referem àquelas relativas às sanções administrativas previstas na LGPD (ou seja, às multas e demais sanções pela violação da LGPD que a ANPD pode aplicar na esfera administrativa, tais como o bloqueio de dados pessoais, a suspensão temporária ou a proibição de atividades de tratamento de dados pessoais).

De todo modo, mesmo com a LGPD plenamente em vigor, deve-se observar que a regulamentação brasileira de proteção de dados ainda está em construção à medida em que resta pendente a regulamentação da ANPD sobre pontos em aberto da LGPD a fim de que a norma se torne plenamente operacional (mitigando então as dúvidas que surgem da implementação de suas disposições nas atividades diárias do mercado). Como resultado, vale ressaltar que a Autoridade, atualmente estruturada e operacional, intensificou esta discussão honrando suas atribuições regulatórias não apenas através da emissão de Diretrizes sobre assuntos mais urgentes (sobre o escopo e estrutura das notificações de incidentes de segurança, por exemplo), como ainda coletando contribuições civis para a futura regulamentação de questões estabelecidas no LGPD.

Para tanto, conforme previsto na Agenda Regulatória da ANPD para o biênio 2021-2022, a Autoridade deverá regular questões relacionadas, por exemplo, aos procedimentos administrativos para a aplicação das Disposições Sancionatórias da LGPD; aos procedimentos e garantias específicas para a proteção de dados e privacidade em pequenas e médias empresas e startups; às atividades do Encarregado pela Proteção de Dados (DPO); à transferência internacional de dados pessoais; entre outros.

Ainda assim, apesar da regulamentação pendente da ANPD e da recente plena entrada em vigor da LGPD, deve-se observar que a incidência e aplicação da LGPD já estão consolidadas como uma realidade na prática jurídica brasileira. O Ministério Público, por exemplo, já investigou e processou ativamente incidentes de segurança envolvendo o vazamento de dados pessoais nos últimos anos, o que foi feito com base em sua competência constitucional para promover ações coletivas em defesa dos interesses coletivos e difusos, especialmente quando a violação envolve consumidores.

Atualmente, até a data de publicação deste material (ou seja, com o LGPD em vigor há menos de um ano), um número significativo de casos de aplicação da norma já se elevou nos tribunais brasileiros. Embora a ANPD ainda não tenha imposto sanções aos agentes de tratamento de dados, as autoridades de defesa do consumidor, tanto na esfera federal quanto estadual, têm aplicado a LGPD iniciando investigações administrativas e impondo sanções com estes fundamentos legais da proteção de dados pessoais. Neste contexto, o atual cenário do contencioso de privacidade no Brasil indica algumas tendências importantes, sendo as principais questões discutidas em nos tribunais com relação a pautas como a forma com a qual o consentimento dos titulares é coletado, o uso que é dado para os dados pessoais públicos, bem como o escopo de responsabilidade dos controladores e operadores envolvidos em incidentes de segurança.

Com este cenário em perspectiva, fica claro que a regulamentação brasileira de proteção de dados pessoais ainda está sendo desenvolvida nos âmbitos legislativo e judicial, como tende a ser especificado nos próximos anos tanto pela ANPD quanto pelos Tribunais a quem compete a interpretação da LGPD nos próximos anos. Embora as dúvidas e incertezas atuais devam ser tratadas no futuro, vale ressaltar que a LGPD já é uma realidade estabelecida na Jurisdição Brasileira como o marco normativo que trouxe maior segurança jurídica ante à esparsa regulamentação de proteção de dados no país. Motivo pelo qual considerar seus parâmetros na definição de estratégias comerciais se configura não apenas enquanto boa prática de negócio como também uma medida de maior segurança para a empresa atuante no Brasil.