Direito

LGPD: Guia Rápido

6 min
LGPD: Guia Rápido

O que é a LGPD?

A LGPD (Lei Geral de Proteção de Dados) - Lei nº 13.709/2018 regula o tratamento de dados pessoais, em meio físico ou digital, realizado por pessoas naturais ou jurídicas, de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Ela se aplica a qualquer operação realizada com dados pessoais, desde a coleta até a eliminação, incluindo armazenamento, processamento, compartilhamento e transferência.

A lei abrange tanto dados sensíveis (como origem racial, convicções religiosas, saúde, etc.) quanto dados pessoais comuns (como nome completo, endereço, e-mail, número de telefone, etc.).

Princípios da LGPD

A LGPD estabelece dez princípios que orientam o tratamento de dados pessoais:

  1. Finalidade: O tratamento deve ter propósitos legítimos, específicos e informados ao titular.
  2. Adequação: Os dados devem ser compatíveis com a finalidade informada.
  3. Necessidade: Limitação do tratamento ao mínimo necessário para a realização de suas finalidades.
  4. Livre acesso: Garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento.
  5. Transparência: Informações claras e acessíveis sobre o tratamento dos dados.
  6. Qualidade dos dados: Garantia de dados exatos, claros, relevantes e atualizados.
  7. Segurança: Uso de medidas técnicas e administrativas para proteger os dados pessoais.
  8. Prevenção: Adoção de medidas para prevenir danos aos titulares.
  9. Não discriminação: Impedimento de tratamento para fins discriminatórios.
  10. Responsabilização e prestação de contas: Demonstração da adoção de medidas eficazes para cumprimento da lei.

Direitos dos titulares de dados

A LGPD confere aos titulares dos dados uma série de direitos, incluindo:

  • Confirmação da existência de tratamento: Direito de saber se seus dados estão sendo processados.
  • Acesso aos dados: Obtenção de informações sobre seus dados pessoais.
  • Correção de dados incompletos, inexatos ou desatualizados: Possibilidade de retificação de informações.
  • Anonimização, bloqueio ou eliminação: Direito de solicitar a anonimização ou eliminação de dados desnecessários.
  • Portabilidade dos dados: Transferência dos dados a outro fornecedor de serviço ou produto.
  • Eliminação de dados pessoais: Solicitação de exclusão de dados tratados com consentimento.
  • Informação sobre compartilhamento de dados: Conhecimento de entidades públicas e privadas com as quais os dados foram compartilhados.
  • Revogação do consentimento: Possibilidade de retirar o consentimento a qualquer momento.

Agentes de tratamento

A LGPD define três principais agentes envolvidos no tratamento de dados pessoais:

  • Controlador: Pessoa ou entidade que toma as decisões sobre o tratamento dos dados.
  • Operador: Pessoa ou entidade que realiza o tratamento em nome do controlador.
  • Encarregado (DPO): Pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Principais deveres de quem trata dados pessoais

  1. Coletar dados com base legal

    O tratamento deve se basear em uma das hipóteses legais previstas na LGPD, como o consentimento do titular, cumprimento de obrigação legal ou execução de contrato (art. 7º).

  2. Garantir os direitos dos titulares

    Deve-se assegurar que os titulares possam acessar, corrigir, excluir, limitar ou portar seus dados (arts. 18 a 20).

  3. Informar de forma clara e acessível

    O titular deve ser informado sobre a finalidade do uso dos dados, a forma de tratamento e os responsáveis (arts. 6º, VI, e 9º).

  4. Adotar medidas de segurança

    É obrigatório implementar medidas técnicas e administrativas para proteger os dados contra acessos não autorizados, vazamentos ou perdas (art. 46).

  5. Minimizar o uso de dados

    Coletar e tratar apenas os dados estritamente necessários para a finalidade pretendida (princípio da necessidade – art. 6º, III).

  6. Registrar as operações de tratamento

    Manter registros internos das atividades realizadas com dados pessoais (boas práticas e governança – art. 50).

  7. Notificar incidentes de segurança

    Caso ocorra um vazamento ou incidente relevante, a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares devem ser comunicados (art. 48).

  8. Indicar um encarregado (DPO)

    Empresas devem nomear um encarregado pelo tratamento de dados, responsável pela comunicação com os titulares e a ANPD (art. 41).

  9. Responder por danos causados

    Controladores e operadores podem ser responsabilizados civilmente por danos decorrentes do uso indevido dos dados (art. 42).

  10. Atuar com transparência e prestação de contas

    Demonstrar conformidade com a LGPD por meio de documentação, políticas e boas práticas (art. 6º, X).

Autoridade Nacional de Proteção de Dados (ANPD)

A ANPD é o órgão responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

Entre suas atribuições estão a edição de normas, a aplicação de sanções e a promoção de campanhas educativas sobre proteção de dados pessoais.

Impactos da LGPD nas empresas

A implementação da LGPD exige das empresas uma série de adaptações, incluindo:

  • Mapeamento de dados: Identificação de quais dados pessoais são coletados e tratados.
  • Revisão de políticas internas: Atualização de políticas de privacidade e termos de uso.
  • Treinamento de colaboradores: Capacitação sobre boas práticas de proteção de dados.
  • Implementação de medidas de segurança: Adoção de tecnologias e processos para proteger os dados pessoais.
  • Estabelecimento de canais de comunicação: Criação de meios para que os titulares exerçam seus direitos.

Empresas que não se adequarem à LGPD podem enfrentar sanções administrativas, incluindo advertências, multas e até a suspensão das atividades de tratamento de dados.

Sanções e penalidades

O descumprimento da LGPD pode acarretar sanções administrativas, que variam conforme a gravidade da infração:

  • Advertência: com prazo para adoção de medidas corretivas.
  • Multa Simples: de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração.
  • Multa Diária: aplicada em caso de descumprimento continuado.
  • Publicização da Infração: divulgação da infração cometida.
  • Bloqueio dos Dados Pessoais: impedimento temporário do tratamento dos dados.
  • Eliminação dos Dados Pessoais: eliminação dos dados pessoais tratados em desconformidade com a lei.

Além das sanções administrativas, o controlador ou operador pode ser responsabilizado civilmente por danos patrimoniais, morais, individuais ou coletivos causados pelo tratamento indevido dos dados pessoais.

Conclusão

A LGPD representa um avanço significativo na proteção da privacidade e dos dados pessoais no Brasil.

Sua implementação eficaz requer o comprometimento das empresas em adotar práticas transparentes e seguras no tratamento das informações. Além disso, é fundamental que os titulares dos dados estejam cientes de seus direitos e exerçam o controle sobre suas informações pessoais.

O conteúdo desta página refere-se à legislação vigente no momento da publicação.