LGPD: Guia Rápido

O que é a LGPD?

A LGPD (Lei Geral de Proteção de Dados) - Lei nº 13.709/2018 regula o tratamento de dados pessoais, em meio físico ou digital, realizado por pessoas naturais ou jurídicas, de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Ela se aplica a qualquer operação realizada com dados pessoais, desde a coleta até a eliminação, incluindo armazenamento, processamento, compartilhamento e transferência.

A lei abrange tanto dados sensíveis (como origem racial, convicções religiosas, saúde, etc.) quanto dados pessoais comuns (como nome completo, endereço, e-mail, número de telefone, etc.).

Princípios da LGPD

A LGPD estabelece dez princípios que orientam o tratamento de dados pessoais:

1. Finalidade: O tratamento deve ter propósitos legítimos, específicos e informados ao titular.
2. Adequação: Os dados devem ser compatíveis com a finalidade informada.
3. Necessidade: Limitação do tratamento ao mínimo necessário para a realização de suas finalidades.
4. Livre acesso: Garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento.
5. Transparência: Informações claras e acessíveis sobre o tratamento dos dados.
6. Qualidade dos dados: Garantia de dados exatos, claros, relevantes e atualizados.
7. Segurança: Uso de medidas técnicas e administrativas para proteger os dados pessoais.
8. Prevenção: Adoção de medidas para prevenir danos aos titulares.
9. Não discriminação: Impedimento de tratamento para fins discriminatórios.
10. Responsabilização e prestação de contas: Demonstração da adoção de medidas eficazes para cumprimento da lei.

Direitos dos titulares de dados

A LGPD confere aos titulares dos dados uma série de direitos, incluindo:

• Confirmação da existência de tratamento: Direito de saber se seus dados estão sendo processados.
• Acesso aos dados: Obtenção de informações sobre seus dados pessoais.
• Correção de dados incompletos, inexatos ou desatualizados: Possibilidade de retificação de informações.
• Anonimização, bloqueio ou eliminação: Direito de solicitar a anonimização ou eliminação de dados desnecessários.
• Portabilidade dos dados: Transferência dos dados a outro fornecedor de serviço ou produto.
• Eliminação de dados pessoais: Solicitação de exclusão de dados tratados com consentimento.
• Informação sobre compartilhamento de dados: Conhecimento de entidades públicas e privadas com as quais os dados foram compartilhados.
• Revogação do consentimento: Possibilidade de retirar o consentimento a qualquer momento.

Agentes de tratamento

A LGPD define três principais agentes envolvidos no tratamento de dados pessoais:

• Controlador: Pessoa ou entidade que toma as decisões sobre o tratamento dos dados.
• Operador: Pessoa ou entidade que realiza o tratamento em nome do controlador.
• Encarregado (DPO): Pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Principais deveres de quem trata dados pessoais

1. Coletar dados com base legal

   O tratamento deve se basear em uma das hipóteses legais previstas na LGPD, como o consentimento do titular, cumprimento de obrigação legal ou execução de contrato (art. 7º).

2. Garantir os direitos dos titulares

   Deve-se assegurar que os titulares possam acessar, corrigir, excluir, limitar ou portar seus dados (arts. 18 a 20).

3. Informar de forma clara e acessível

   O titular deve ser informado sobre a finalidade do uso dos dados, a forma de tratamento e os responsáveis (arts. 6º, VI, e 9º).

4. Adotar medidas de segurança

   É obrigatório implementar medidas técnicas e administrativas para proteger os dados contra acessos não autorizados, vazamentos ou perdas (art. 46).

5. Minimizar o uso de dados

   Coletar e tratar apenas os dados estritamente necessários para a finalidade pretendida (princípio da necessidade – art. 6º, III).

6. Registrar as operações de tratamento

   Manter registros internos das atividades realizadas com dados pessoais (boas práticas e governança – art. 50).

7. Notificar incidentes de segurança

   Caso ocorra um vazamento ou incidente relevante, a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares devem ser comunicados (art. 48).

8. Indicar um encarregado (DPO)

   Empresas devem nomear um encarregado pelo tratamento de dados, responsável pela comunicação com os titulares e a ANPD (art. 41).

9. Responder por danos causados

   Controladores e operadores podem ser responsabilizados civilmente por danos decorrentes do uso indevido dos dados (art. 42).

10. Atuar com transparência e prestação de contas

    Demonstrar conformidade com a LGPD por meio de documentação, políticas e boas práticas (art. 6º, X).

Autoridade Nacional de Proteção de Dados (ANPD)

A ANPD é o órgão responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

Entre suas atribuições estão a edição de normas, a aplicação de sanções e a promoção de campanhas educativas sobre proteção de dados pessoais.

Impactos da LGPD nas empresas

A implementação da LGPD exige das empresas uma série de adaptações, incluindo:

• Mapeamento de dados: Identificação de quais dados pessoais são coletados e tratados.
• Revisão de políticas internas: Atualização de políticas de privacidade e termos de uso.
• Treinamento de colaboradores: Capacitação sobre boas práticas de proteção de dados.
• Implementação de medidas de segurança: Adoção de tecnologias e processos para proteger os dados pessoais.
• Estabelecimento de canais de comunicação: Criação de meios para que os titulares exerçam seus direitos.

Empresas que não se adequarem à LGPD podem enfrentar sanções administrativas, incluindo advertências, multas e até a suspensão das atividades de tratamento de dados.

Sanções e penalidades

O descumprimento da LGPD pode acarretar sanções administrativas, que variam conforme a gravidade da infração:

• Advertência: com prazo para adoção de medidas corretivas.
• Multa Simples: de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração.
• Multa Diária: aplicada em caso de descumprimento continuado.
• Publicização da Infração: divulgação da infração cometida.
• Bloqueio dos Dados Pessoais: impedimento temporário do tratamento dos dados.
• Eliminação dos Dados Pessoais: eliminação dos dados pessoais tratados em desconformidade com a lei.

Além das sanções administrativas, o controlador ou operador pode ser responsabilizado civilmente por danos patrimoniais, morais, individuais ou coletivos causados pelo tratamento indevido dos dados pessoais.

Conclusão

A LGPD representa um avanço significativo na proteção da privacidade e dos dados pessoais no Brasil.

Sua implementação eficaz requer o comprometimento das empresas em adotar práticas transparentes e seguras no tratamento das informações. Além disso, é fundamental que os titulares dos dados estejam cientes de seus direitos e exerçam o controle sobre suas informações pessoais.

O conteúdo desta página refere-se à legislação vigente no momento da publicação.