Introdução à LGPD
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) é o marco regulatório brasileiro que disciplina o tratamento de dados pessoais por pessoas físicas e jurídicas de direito público ou privado.
Cronologia da LGPD
- Agosto 2018: Sanção da Lei 13.709/2018
- Setembro 2020: Entrada em vigor
- Agosto 2021: Início das sanções administrativas
Objetivos da LGPD
Proteção dos Direitos Fundamentais
Liberdade, privacidade e livre desenvolvimento da personalidade
Harmonização Regulatória
Alinhamento com padrões internacionais como GDPR
Desenvolvimento Econômico
Fomento à inovação e crescimento tecnológico
Princípios da LGPD (Art. 6º)
A LGPD estabelece 10 princípios fundamentais que devem orientar todas as atividades de tratamento de dados pessoais:
I - Finalidade
Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular
II - Adequação
Compatibilidade do tratamento com as finalidades informadas ao titular
III - Necessidade
Limitação do tratamento ao mínimo necessário para a realização de suas finalidades
IV - Livre Acesso
Garantia aos titulares de consulta facilitada e gratuita sobre forma e duração do tratamento
V - Qualidade dos Dados
Garantia de exatidão, clareza, relevância e atualização dos dados
VI - Transparência
Garantia de informações claras, precisas e facilmente acessíveis aos titulares
VII - Segurança
Utilização de medidas técnicas e administrativas aptas a proteger os dados
VIII - Prevenção
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento
IX - Não Discriminação
Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos
X - Responsabilização
Demonstração pelo agente da adoção de medidas eficazes e capazes de comprovar a observância e cumprimento das normas
Bases Legais para Tratamento (Art. 7º e 11º)
A LGPD estabelece hipóteses específicas que legitimam o tratamento de dados pessoais:
I - Consentimento
Mediante fornecimento de consentimento pelo titular
II - Cumprimento de Obrigação Legal
Para cumprimento de obrigação legal ou regulatória pelo controlador
III - Execução de Políticas Públicas
Pela administração pública para tratamento e uso compartilhado
IV - Estudos e Pesquisas
Para realização de estudos por órgão de pesquisa
V - Execução de Contrato
Quando necessário para execução de contrato ou procedimentos preliminares
VI - Exercício de Direitos
Para exercício regular de direitos em processo judicial, administrativo ou arbitral
VII - Proteção da Vida
Para proteção da vida ou incolumidade física do titular ou de terceiro
VIII - Tutela da Saúde
Para tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde
IX - Interesse Legítimo
Quando necessário para atender aos interesses legítimos do controlador ou de terceiro
X - Proteção do Crédito
Para proteção do crédito, inclusive quanto ao disposto na legislação pertinente
Atenção: Dados sensíveis possuem proteção especial e bases legais mais restritivas.
I - Consentimento Específico
Mediante fornecimento de consentimento específico e destacado pelo titular
II - Cumprimento de Obrigação Legal
Para cumprimento de obrigação legal ou regulatória pelo controlador
III - Políticas Públicas
Pela administração pública para tratamento e uso compartilhado
IV - Estudos e Pesquisas
Para realização de estudos por órgão de pesquisa
V - Exercício de Direitos
Para exercício regular de direitos em processo judicial, administrativo ou arbitral
VI - Proteção da Vida
Para proteção da vida ou incolumidade física do titular ou de terceiro
VII - Tutela da Saúde
Para tutela da saúde, exclusivamente em procedimento realizado por profissionais de saúde
VIII - Garantia de Prevenção
Para garantir a prevenção à fraude e à segurança do titular
Direitos dos Titulares (Art. 18º)
A LGPD garante aos titulares de dados pessoais um conjunto abrangente de direitos:
Confirmação da Existência de Tratamento
Direito de obter confirmação sobre a existência de tratamento de seus dados pessoais
Acesso aos Dados
Direito de acessar seus dados pessoais tratados pelo controlador
Correção de Dados
Direito de solicitar a correção de dados incompletos, inexatos ou desatualizados
Anonimização, Bloqueio ou Eliminação
Direito de solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
Portabilidade
Direito à portabilidade dos dados a outro fornecedor de serviço ou produto
Eliminação dos Dados
Direito de solicitar a eliminação dos dados pessoais tratados com base no consentimento
Informação sobre Compartilhamento
Direito de obter informação sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
Informação sobre Possibilidade de Não Fornecimento
Direito de obter informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
Revogação do Consentimento
Direito de revogar o consentimento, nos termos do § 5º do art. 8º da LGPD
Agentes de Tratamento
A LGPD define diferentes papéis e responsabilidades para os agentes envolvidos no tratamento de dados:
Controlador
Definição: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Responsabilidades:
- Definir finalidades e meios do tratamento
- Implementar medidas de segurança
- Designar o encarregado (DPO)
- Realizar RIPD quando necessário
- Atender aos direitos dos titulares
Operador
Definição: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Responsabilidades:
- Seguir instruções do controlador
- Implementar medidas de segurança
- Manter confidencialidade dos dados
- Auxiliar o controlador no atendimento aos direitos dos titulares
- Comunicar incidentes de segurança
Encarregado (DPO)
Definição: Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
Responsabilidades:
- Aceitar reclamações e comunicações dos titulares
- Prestar esclarecimentos e adotar providências
- Receber comunicações da ANPD
- Orientar funcionários e contratados
- Executar demais atribuições determinadas pelo controlador
Transferência Internacional (Art. 33º)
A LGPD estabelece regras específicas para a transferência de dados pessoais para países estrangeiros:
Condições para Transferência
País com Nível Adequado
Para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD
Cláusulas Contratuais
Mediante cláusulas contratuais específicas para determinada transferência
Normas Corporativas
Por meio de normas corporativas globais
Selos e Certificados
Quando o receptor se comprometer com o cumprimento de regras de proteção de dados por meio de selos, certificados e códigos de conduta
Autoridade Nacional de Proteção de Dados (ANPD)
A ANPD é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
Principais Competências
Sanções Administrativas (Art. 52º)
A ANPD pode aplicar as seguintes sanções administrativas em caso de descumprimento da LGPD:
I - Advertência
Com indicação de prazo para adoção de medidas corretivas
II - Multa Simples
De até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração
III - Multa Diária
Observado o limite total previsto no inciso II
IV - Publicização da Infração
Após devidamente apurada e confirmada a sua ocorrência
V - Bloqueio dos Dados
Bloqueio dos dados pessoais a que se refere a infração até a sua regularização
VI - Eliminação dos Dados
Eliminação dos dados pessoais a que se refere a infração
Importante: As sanções são aplicadas após processo administrativo que assegura o contraditório, a ampla defesa e o devido processo legal.