Introdução à LGPD
A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, é a legislação brasileira que regula as atividades de tratamento de dados pessoais e que visa proteger os direitos fundamentais de liberdade e privacidade.
Inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, a LGPD estabelece regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento.
Vigência
A LGPD foi sancionada em 14/08/2018 e entrou em vigor em 18/09/2020, com algumas disposições sobre sanções administrativas aplicáveis a partir de 01/08/2021.
Aplicação
Aplica-se a qualquer operação de tratamento de dados realizada por pessoa física ou jurídica, pública ou privada, independentemente do país onde esteja sediada.
Objetivo
Proteger os direitos de liberdade e privacidade dos titulares de dados pessoais, estabelecendo regras claras para o tratamento desses dados.
Princípios da LGPD
A LGPD estabelece 10 princípios fundamentais que devem orientar todas as atividades de tratamento de dados pessoais:
1. Finalidade
O tratamento deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
2. Adequação
O tratamento deve ser compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
3. Necessidade
O tratamento deve se limitar ao mínimo necessário para a realização de suas finalidades, com abrangência pertinente, proporcional e não excessiva.
4. Livre Acesso
Garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
5. Qualidade dos Dados
Garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a finalidade do tratamento.
6. Transparência
Garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento.
7. Segurança
Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
8. Prevenção
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
9. Não Discriminação
Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
10. Responsabilização e Prestação de Contas
Demonstração pelo agente de adoção de medidas eficazes capazes de comprovar o cumprimento das normas de proteção de dados pessoais.
Direitos dos Titulares
A LGPD garante aos titulares de dados pessoais uma série de direitos em relação ao tratamento de seus dados:
Confirmação e Acesso
Direito de confirmar a existência de tratamento e de acessar seus dados pessoais.
Correção
Direito de retificar dados incompletos, inexatos ou desatualizados.
Anonimização, Bloqueio ou Eliminação
Direito de solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Portabilidade
Direito de solicitar a portabilidade dos dados a outro fornecedor de serviço ou produto.
Eliminação
Direito de solicitar a eliminação dos dados pessoais tratados com o consentimento do titular.
Informação sobre Compartilhamento
Direito de ser informado sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
Revogação do Consentimento
Direito de revogar o consentimento a qualquer momento.
Revisão de Decisões Automatizadas
Direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais.
Prazos para Atendimento
Os controladores devem responder às solicitações dos titulares em 15 dias prorrogáveis por igual período mediante justificativa. O atendimento deve ser gratuito, exceto em casos de requisições manifestamente infundadas ou excessivas.
Obrigações das Organizações
A LGPD impõe diversas obrigações às organizações que realizam tratamento de dados pessoais:
Mapeamento de Dados
Manter registro das operações de tratamento de dados pessoais, especialmente quando baseadas no legítimo interesse.
Medidas de Segurança
Adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
Encarregado (DPO)
Indicar encarregado pelo tratamento de dados pessoais (Data Protection Officer - DPO) para atuar como canal de comunicação entre controlador, titulares e ANPD.
Notificação de Incidentes
Comunicar à ANPD e aos titulares a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Avaliação de Impacto
Realizar avaliação de impacto à proteção de dados pessoais para operações de tratamento que possam gerar riscos às liberdades civis e aos direitos fundamentais.
Bases Legais
Ter base legal para todo tratamento de dados pessoais, como consentimento, cumprimento de obrigação legal, execução de contrato, entre outras previstas na lei.
Contratos com Operadores
Celebrar contratos com operadores (terceiros que realizam tratamento em nome do controlador) estabelecendo obrigações em relação à proteção de dados.
Governança e Boas Práticas
Adotar medidas de governança que demonstrem compromisso com o tratamento de dados de forma ética e em conformidade com a LGPD.
Dados Sensíveis e Crianças/Adolescentes
Para dados sensíveis (origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, genéticos ou biométricos) e dados de crianças e adolescentes, a LGPD estabelece regras ainda mais rigorosas, exigindo medidas de proteção especiais e, no caso de crianças, consentimento específico de pelo menos um dos pais ou responsável.
Sanções Administrativas
A LGPD prevê as seguintes sanções administrativas para casos de descumprimento da legislação:
Advertência
Com indicação de prazo para adoção de medidas corretivas.
Multa Simples
Até 2% do faturamento da pessoa jurídica no seu último exercício, limitada a R$ 50 milhões por infração.
Multa Diária
Observado o limite total da multa simples.
Publicização da Infração
Divulgação da infração após devidamente apurada e confirmada a sua ocorrência.
Bloqueio dos Dados
Até a regularização do tratamento.
Eliminação dos Dados
Em relação às infrações cometidas.
Suspensão do Tratamento
Parcial ou total, por até 6 meses, prorrogáveis por igual período.
Proibição do Tratamento
Parcial ou total, em relação às infrações cometidas.
Critérios para Aplicação
A ANPD considerará para aplicação das sanções: a gravidade da infração, o caráter intencional, a vantagem obtida, a reincidência, o volume de negócios, a cooperação do infrator, entre outros fatores. As sanções serão aplicadas após processo administrativo que assegure o contraditório e a ampla defesa.
Autoridade Nacional de Proteção de Dados (ANPD)
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
Competências da ANPD
Edição de Normas
Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade.
Fiscalização
Fiscalizar e aplicar sanções em caso de tratamento de dados em desconformidade com a legislação.
Ouvidoria
Receber reclamações de titulares, comunicar aos controladores e adotar providências.
Educação
Promover a educação da população sobre proteção de dados pessoais.
Cooperação Internacional
Promover a cooperação com autoridades de proteção de dados de outros países.
Relatórios
Elaborar relatórios anuais de gestão sobre suas atividades.
Importante
A ANPD possui autonomia técnica e decisória, sendo vinculada à Presidência da República. Suas decisões podem ser questionadas judicialmente, mas têm força vinculante no âmbito administrativo.