LGPD: tudo que você precisa saber sobre o tema
Atualizado em 12 de dezembro de 23 | Geral por
O surgimento da LGPD (Lei Geral de Proteção de Dados) no Brasil está inserido em um contexto de preocupação global com a privacidade e a proteção de dados pessoais.
Desse modo, vários eventos e tendências contribuíram para a necessidade de regulamentar o tratamento de dados no país, a começar pelo processo de digitalização, que fez com que a quantidade de dados pessoais coletados, armazenados e processados aumentasse exponencialmente.
Além disso, diversos incidentes globais e escândalos de vazamento de dados chamaram a atenção do mundo para os riscos envolvidos na manipulação de dados.
Neste contexto, a digitalização de informações e a interconexão global tornaram mais complexa a proteção da privacidade, o que também motivou o surgimento do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, implementado em 2018, que, por sua vez, ao criar padrões internacionais rígidos fez com que a busca por conformidade fosse ampliada.
No Brasil, a conscientização sobre a importância da proteção de dados pessoais cresceu à medida que mais pessoas passaram a usar a Internet para realizar transações online. A sociedade passou a exigir mais controle sobre suas informações pessoais.
Por outro lado, a busca por conformidade com os padrões internacionais de proteção de dados tem se tornado cada vez mais necessária no país, para facilitar o fluxo de informações entre diferentes jurisdições e aumentar a confiança nas transações digitais.
Diante deste cenário, a LGPD foi sancionada em 2018 e entrou em vigor em setembro de 2020, refletindo a preocupação do Brasil em garantir um ambiente digital mais seguro e alinhado com as expectativas globais de privacidade e proteção de dados pessoais.
Neste artigo abordaremos tudo o que você precisa saber sobre a LGPD. Siga a leitura e compreenda melhor este tema!
O que é a LGPD?
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei n° 13.709/2018, é uma legislação de extrema relevância que surgiu no Brasil como forma de proteger os Direitos Fundamentais do cidadão, sobretudo os de liberdade e privacidade.
Essa lei é complexa e foi inspirada em leis semelhantes como o é o caso do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, que se aplica a todo tratamento de dados de pessoas físicas que residam na União Europeia.
A LGPD entrou em vigor no país em setembro de 2020, mas as penalidades nela previstas passaram a vigorar apenas em agosto de 2021 e a ANPD foi a agência reguladora criada para fiscalizar e regulamentar as atividades relacionadas à proteção de dados no Brasil.
Em linhas gerais, essa lei representa um marco na proteção da privacidade e no alinhamento do Brasil com as melhores práticas internacionais de proteção de dados pessoais.
A quem se aplica a LGPD?
A LGPD é aplicável a toda operação de tratamento de dados conduzida por pessoa física ou jurídica, seja de direito público ou privado, independentemente do meio ou do país onde estejam estabelecidas ou onde os dados estejam localizados.
Isso é válido desde que a operação de tratamento ocorra no Brasil, a atividade de tratamento tenha como foco a oferta de bens ou serviços ou o gerenciamento de dados de indivíduos no país, ou ainda se os dados pessoais em questão tenham sido coletados em território nacional.
No entanto, a lei não se aplica a determinados tipos de tratamento de dados, como aqueles realizados exclusivamente para fins jornalísticos, artísticos e acadêmicos.
Além disso, estão excluídas informações vinculadas unicamente à segurança pública, defesa nacional, segurança do Estado e a atividades de investigação e repressão de infrações penais.
Tipos de dados da Lei Geral de Proteção de Dados (LGPD)
A Lei Geral de Proteção de Dados define diferentes categorias de dados pessoais e estabelece regras específicas para o tratamento de cada uma delas. Confira agora os principais tipos de dados abordados pela LGPD:
Pessoal
Informações relacionadas a uma pessoa natural identificada ou identificável. Isso inclui, mas não se limita a, nome, endereço, número de identificação, características físicas, genéticas, culturais, entre outras.
Pessoal sensível
Categoria especial de dados que requer um tratamento ainda mais cuidadoso.
Inclui informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados genéticos, dados biométricos, saúde ou vida sexual. O tratamento de dados sensíveis é restrito e sujeito a condições mais rigorosas.
Anonimizado
Informações relativas a um titular que não pode ser identificado, considerando os meios tecnológicos disponíveis na ocasião do tratamento.
Dados anonimizados não são considerados dados pessoais, uma vez que não podem ser associados a uma pessoa específica.
Pseudonimizado
Dados que foram alterados de maneira que não possam mais ser atribuídos a um titular específico sem o uso de informações adicionais.
A atribuição de pseudônimo permite uma certa proteção da privacidade, mas ainda permite a associação dos dados a um indivíduo mediante o uso de informações complementares.
O que são agentes de tratamento na LGPD?
Na LGPD (Lei Geral de Proteção de Dados), os "agentes de tratamento" consistem em dois papéis específicos envolvidos no processo de tratamento de dados pessoais, quais sejam: o controlador e o operador. Ambos são considerados agentes de tratamento, mas com funções distintas.
Controlador
O controlador é quem tem a responsabilidade pela tomada de decisões sobre o tratamento de dados pessoais, ou seja, é ele determina as finalidades, os meios e a maneira como os dados serão tratados.
Desse modo, o controlador é quem deve garantir que o tratamento de dados seja realizado em conformidade com a LGPD e isso envolve a definição de políticas internas, a obtenção de consentimento quando necessário, e a prestação de informações aos titulares dos dados sobre como seus dados serão utilizados, dentre outros aspectos.
Operador
O operador é aquele que realiza o tratamento de dados em nome do controlador, ou seja, é quem executa as instruções fornecidas pelo controlador e atua como um intermediário no processo de tratamento.
Assim, o operador deve seguir as instruções do controlador e implementar medidas de segurança adequadas para proteger os dados pessoais. Vale frisar ainda que ele não toma decisões autônomas sobre o propósito ou a forma do tratamento, a menos que haja autorização específica do controlador.
Co-controlador (Controladoria conjunta)
A figura do co-controlador, também conhecida como controladoria conjunta, é um conceito introduzido pela Lei Geral de Proteção de Dados (LGPD) para uma situação em que duas ou mais empresas compartilham a responsabilidade pelas decisões relacionadas ao tratamento de dados pessoais. Assim, cada co-controlador atua de maneira independente, mas ao mesmo tempo, divide responsabilidades específicas com os demais envolvidos.
Dessa forma, na controladoria conjunta, as responsabilidades são distribuídas entre os co-controladores, sendo que cada um é responsável por determinadas etapas do processo, como a definição de finalidades específicas, a coleta de consentimento quando necessário e a implementação de medidas de segurança.
Sub Operador
O termo "Sub operador" não é um conceito diretamente estabelecido como ocorre com os termos "controlador" e "operador". Entretanto, ele é utilizado no contexto das relações entre operadores e outras empresas que podem ser envolvidas no processamento de dados pessoais.
Logo, o termo "Sub operador" faz menção a uma empresa que realiza o tratamento de dados pessoais em nome de um operador, ou seja, quando uma empresa ou organização (operador) contrata outra entidade para realizar atividades específicas de processamento de dados em seu nome, essa segunda entidade é muitas vezes chamada de sub operador.
O que é autodeterminação informativa?
A autodeterminação informativa consiste em um princípio que reconhece o direito das pessoas de controlar suas próprias informações pessoais e está intrinsecamente ligado à privacidade e à proteção de dados.
A ideia central dele é que as pessoas devem ter o poder de decidir como suas informações pessoais são coletadas, processadas, utilizadas e compartilhadas.
As leis de proteção de dados, como a LGPD (Lei Geral de Proteção de Dados) no Brasil e o GDPR (Regulamento Geral de Proteção de Dados) na União Europeia reconhecem o direito à autodeterminação informativa como um direito fundamental dos titulares de dados pessoais.
Quais são os princípios para o tratamento de dados pessoais?
Os princípios para o tratamento de dados pessoais são diretrizes fundamentais que norteiam a coleta, processamento e gestão de informações pessoais e estão estabelecidos em várias leis de proteção de dados em todo o mundo, incluindo a Lei Geral de Proteção de Dados (LGPD).
Responsabilização
Está relacionado à obrigação das organizações de demonstrar conformidade com os princípios de proteção de dados, adotando medidas e políticas que garantam o tratamento adequado e ético das informações pessoais.
Não discriminação
Estabelece que o tratamento de dados pessoais não deve resultar em discriminação injusta ou injustificada contra os titulares dos dados.
Transparência
Exige que as organizações forneçam informações claras e compreensíveis aos titulares dos dados sobre como suas informações serão coletadas, processadas e utilizadas.
Segurança
Refere-se à necessidade de implementar medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acessos não autorizados, perdas, danos ou divulgações não autorizadas.
Prevenção
Destaca a importância de adotar medidas proativas para evitar incidentes de segurança e proteger os dados pessoais desde o início do processo de tratamento.
Qualidade dos dados
Indica que os dados pessoais devem ser precisos, atualizados e relevantes para as finalidades para as quais foram coletados, com a responsabilidade de corrigir ou excluir informações imprecisas.
Finalidade
Estabelece que a coleta e o processamento de dados pessoais devem ter finalidades específicas, legítimas e explícitas, não podendo ser utilizados de maneira incompatível com esses propósitos.
Adequação
Destaca que a coleta e o processamento de dados pessoais devem ser limitados ao que é necessário para alcançar as finalidades específicas para as quais foram obtidos.
Necessidade
Consiste na limitação legal do tratamento de dados pessoais, garantindo que apenas as informações estritamente necessárias para as finalidades pretendidas sejam coletadas e processadas.
Livre acesso
Enfatiza o direito dos titulares dos dados de acessarem suas informações pessoais, possibilitando que saibam como seus dados estão sendo tratados.
Qual a relação da LGPD com o conceito de Privacy by Design
A relação entre a LGPD e o conceito de "Privacy by Design" (Privacidade desde a Concepção) está intrinsecamente ligada à forma proativa e preventiva com que a lei deve ser aplicada em relação à proteção de dados pessoais.
Isso porque Privacy by Design é um princípio que visa incorporar considerações de privacidade desde o início do desenvolvimento de sistemas, produtos, serviços ou processos.
A ideia é que a privacidade não deve ser uma reflexão tardia ou uma medida corretiva, mas sim um “item” essencial a ser incorporado a partir do design.
Logo, esse conceito incentiva a antecipação de possíveis impactos sobre a privacidade e a implementação de medidas de proteção desde as fases iniciais do ciclo de vida dos dados.
A LGPD, por sua vez, endossa esse princípio ao enfatizar a necessidade de responsabilidade, transparência e medidas de segurança no tratamento de dados pessoais.
Em outras palavras, a LGPD e o Privacy by Design compartilham uma visão centrada na proteção da privacidade desde o início, com ênfase na responsabilidade, transparência, segurança e na minimização do impacto sobre a privacidade dos indivíduos e essa convergência ajuda a estabelecer práticas mais alinhadas com os princípios modernos de proteção de dados pessoais.
O que é Visual Law?
O termo Visual Law, em português "Direito Visual", consiste na aplicação de elementos visuais e de design gráfico para tornar as informações jurídicas mais acessíveis, compreensíveis e atraentes de modo a simplificar conceitos legais complexos, tornando-os mais visualmente atraentes e, portanto, mais acessíveis a um público leigo.
Desta forma, o Visual Law utiliza recursos visuais, como gráficos, infográficos, fluxogramas, vídeos explicativos, entre outros, para comunicar de maneira mais eficaz os conceitos legais, processos judiciais, contratos e outras informações relacionadas ao campo do direito.
A ideia por trás do Visual Law é superar as barreiras tradicionais de linguagem e complexidade que muitas vezes dificultam a compreensão do público em relação aos assuntos jurídicos.
A aplicação do Visual Law pode ser vista em diversas áreas do direito, tais como:
- Contratos: utilização de gráficos e representações visuais para explicar cláusulas contratuais de maneira mais clara;
- Processos Judiciais: criação de fluxogramas e representações visuais para explicar os passos de um processo judicial, desde a apresentação da ação até a decisão final;
- Educação Jurídica: desenvolvimento de materiais visuais para facilitar o ensino e a compreensão de conceitos legais em ambientes educacionais;
- Comunicação com o Cliente: uso de elementos visuais para comunicar informações legais aos clientes de maneira mais acessível e transparente;
- Advocacia Corporativa: aplicação de Visual Law em apresentações corporativas, compliance e treinamento interno.
Concluindo, o conceito de Visual Law reconhece que, muitas vezes, as informações legais são percebidas como difíceis de entender devido à linguagem técnica e à complexidade dos documentos jurídicos, e, por isso, incorporar elementos visuais, faz com que os conceitos jurídicos fiquem mais acessíveis, de modo a empoderar as pessoas para entenderem melhor seus direitos, obrigações e o funcionamento do sistema jurídico.
O conceito é particularmente relevante em um contexto em que a comunicação eficaz é essencial para a compreensão e o respeito ao Estado de Direito.
O que significa bases legais?
As "bases legais" são os fundamentos jurídicos que autorizam o tratamento de dados pessoais. A LGPD estabelece diferentes bases legais que legitimam a coleta, o processamento e a utilização dessas informações, tais como o consentimento do titular, a execução de contratos, o cumprimento de obrigação legal, a proteção da vida, a tutela da saúde, a execução de políticas públicas, entre outras.
Essas bases legais são essenciais para garantir que o tratamento de dados ocorra de maneira lícita e em conformidade com os princípios da LGPD, assegurando a proteção dos direitos dos titulares de dados.
O consentimento e o legítimo interesse são duas das bases legais previstas pela LGPD (Lei Geral de Proteção de Dados) para o tratamento de dados pessoais.
Consentimento
O consentimento é uma manifestação livre, informada e inequívoca do titular dos dados, concordando com o tratamento de suas informações pessoais para uma finalidade específica e, portanto, deve ser voluntário, sem coerção, e o titular deve estar plenamente informado sobre as finalidades do tratamento.
Legítimo interesse
O legítimo interesse permite o tratamento de dados pessoais quando necessário para atender aos interesses legítimos do controlador ou de terceiros, desde que não prevaleçam sobre os direitos e liberdades fundamentais do titular dos dados.
Para tanto, é necessária uma análise cuidadosa e equilibrada entre os interesses legítimos da organização que trata os dados e os direitos e liberdades fundamentais dos titulares.
Quais são os direitos dos titulares?
A LGPD (Lei Geral de Proteção de Dados) estabelece uma série de direitos para os titulares de dados pessoais, proporcionando maior controle sobre suas informações. Confira os principais direitos dos titulares previstos na legislação:
- Direito de Confirmação e Acesso: confirmar se seus dados pessoais estão sendo processados e de obter acesso às informações sobre o tratamento;
- Direito de Correção: solicitar a correção de dados pessoais incompletos, inexatos ou desatualizados;
- Direito de Eliminação (ou "Direito ao Esquecimento"): solicitar a exclusão de seus dados pessoais, sob determinadas condições, como o término da necessidade de processamento;
- Direito à Anonimização, Bloqueio ou Eliminação de Dados Desnecessários ou Excessivos: além da exclusão, os titulares podem solicitar a anonimização, bloqueio ou eliminação de dados pessoais desnecessários ou excessivos;
- Direito à Portabilidade de Dados: receber os dados pessoais que forneceram a uma organização em um formato estruturado, de uso comum e de leitura automática, para transferência a outro fornecedor de serviços;
- Direito de Informação: direito a informações claras e transparentes sobre como seus dados pessoais são tratados, incluindo finalidades, prazos, responsabilidades e como exercer seus direitos;
- Direito de Oposição ao Tratamento: podem se opor ao tratamento de seus dados pessoais em determinadas situações, como no caso de tratamento para fins de marketing direto;
- Direito à Revisão de Decisões Automatizadas: os titulares têm o direito de não serem submetidos a decisões automatizadas baseadas unicamente em processamento automatizado de dados que afetem seus interesses;
- Direito à Revogação do Consentimento: caso o tratamento de dados seja baseado no consentimento, os titulares têm o direito de revogar este consentimento a qualquer momento.
Vale frisar que esses direitos visam dar aos titulares maior controle sobre seus dados pessoais, promovendo a transparência, a privacidade e a autonomia no contexto do tratamento de informações pessoais.
Qual o papel da governança na proteção de dados?
A governança tem o papel de proteger efetivamente dados por meio da criação de diretrizes, processos e práticas que garantem o tratamento ético, seguro e em conformidade com as regulamentações.
Isso inclui a formulação de políticas e normas, a definição de responsabilidades, a gestão de riscos, a segurança da informação, o treinamento, a auditoria e o monitoramento.
Assim, a governança de dados visa assegurar a conformidade com as leis de proteção de dados, promovendo transparência, privacidade e responsabilidade no tratamento de informações pessoais
Qual o papel do DPO na LGPD?
O DPO, Encarregado de Proteção de Dados, possui um papel-chave na conformidade com a LGPD. Isso porque suas funções são:
- Monitorar a conformidade;
- Assessorar e orientar a organização;
- Servir como ponto de contato com a ANPD e os titulares;
- Facilitar treinamentos;
- Conduzir Avaliações de Impacto à Proteção de Dados (DPIA);
- Colaborar com partes interessadas;
- Coordenar respostas a solicitações de titulares;
- Acompanhar incidentes de segurança e interagir com a ANPD.
Desse modo, o DPO é essencial para assegurar que ações coordenadas e eficazes sejam adotadas em todas as questões relacionadas à proteção de dados, promovendo a conformidade e a proteção dos direitos dos titulares.
Quais são as principais sanções previstas na LGPD?
A LGPD prevê sanções administrativas para o descumprimento de suas disposições e as principais sanções incluem advertências, multas de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, bloqueio dos dados pessoais relacionados à infração e a exclusão dos dados que foram tratados de maneira não conforme com a lei.
As penalidades visam garantir o cumprimento das obrigações de proteção de dados e promover a conformidade por parte das organizações que tratam informações pessoais.
Como se adequar a LGPD?
Inicialmente, a empresa deve conscientizar e treinar sua equipe sobre os princípios da LGPD. Em seguida, é preciso mapear e documentar os dados pessoais, desenvolver políticas internas claras e garantir a segurança da informação.
A nomeação de um DPO, quando necessário, é recomendada e a transparência na obtenção de consentimento e a capacidade de responder prontamente às solicitações dos titulares são aspectos fundamentais.
Além disso, manter registros adequados e revisar contratos com terceiros são passos adicionais para garantir conformidade contínua.
Por fim, a revisão constante das práticas assegura que a empresa esteja alinhada com as exigências da LGPD, protegendo a privacidade e os direitos dos titulares de dados.
Agora que você conhece os aspectos mais relevantes sobre a Lei Geral de Proteção de Dados, assine a nossa newsletter e fique por dentro de novidades sobre o tema.
Gabriela B. Maluf é Founder & CEO da Thebesttype, empreendedora, escritora, advogada com 18 anos de experiência, especialista em Compliance Trabalhista, Relações Trabalhistas, Sindicais e Governamentais, Direito Público e Previdenciário, palestrante com mais de 200 eventos realizados e produtora de conteúdo técnico otimizado em SEO para sites e blogs.