Guia Completo sobre a LGPD

Introdução à LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018, foi sancionada em 14 de agosto de 2018 e entrou em vigor em setembro de 2020, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Histórico Legislativo

2010

Primeiras discussões no Congresso

2014

Marco Civil da Internet (Lei 12.965/2014)

2016

GDPR na União Europeia influencia debate brasileiro

14/08/2018

Sanção da LGPD

18/09/2020

Entrada em vigor (com exceção das sanções)

01/08/2021

Fiscalização e aplicação de sanções pela ANPD

Objetivos da LGPD

Proteger os direitos fundamentais de privacidade e liberdade
Estabelecer regras claras sobre coleta, armazenamento e tratamento de dados
Harmonizar a legislação brasileira com padrões internacionais
Empoderar os titulares de dados
Promover o desenvolvimento econômico com segurança jurídica

Alcance Territorial

A LGPD se aplica a qualquer operação de tratamento de dados realizada em território nacional ou por pessoa jurídica de direito público ou privado com sede no Brasil, mesmo que o tratamento ocorra fora do país.

Princípios da LGPD

O tratamento de dados pessoais deve observar os seguintes princípios (Art. 6º da LGPD):

Finalidade

Tratamento para propósitos legítimos, específicos, explícitos e informados ao titular.

Adequação

Compatibilidade do tratamento com as finalidades informadas ao titular.

Necessidade

Limitação ao mínimo necessário para a realização de suas finalidades.

Livre Acesso

Garantia de acesso facilitado e gratuito às informações sobre o tratamento.

Qualidade dos Dados

Exatidão, clareza, relevância e atualização conforme necessidade e finalidade.

Transparência

Informações claras, precisas e facilmente acessíveis sobre o tratamento.

Segurança

Utilização de medidas técnicas e administrativas adequadas para proteção dos dados.

A observância aos princípios será demonstrada pelo controlador mediante adoção de medidas internas e processos que assegurem o cumprimento das normas de proteção de dados pessoais e comprovem a eficácia dessas medidas.

Boas Práticas de Conformidade

Para cumprir com os princípios da LGPD, as organizações devem:

Mapear todos os fluxos de dados pessoais
Implementar Política de Privacidade transparente
Designar Encarregado pelo Tratamento de Dados (DPO)
Realizar avaliações de impacto à proteção de dados
Adotar medidas de segurança adequadas
Estabelecer processos para atendimento de direitos dos titulares

Tipos e Classificação de Dados

Dados Pessoais

Informação relacionada a pessoa natural identificada ou identificável (Art. 5º, I).

Exemplos:

Nome e sobrenome
Endereço residencial
Endereço de e-mail
Número de identificação (RG, CPF)
Dados de localização (endereço IP)
Identificadores em cookies online

Dados Pessoais Sensíveis

Dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (Art. 5º, II).

Exemplos:

Exames médicos
Filiação partidária
Filiação religiosa
Dados biométricos (impressão digital, reconhecimento facial)
Orientação sexual
Dados genéticos

Dados Anonimizados

Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento (Art. 5º, III). Não se enquadram na LGPD quando o processo de anonimização for irreversível.

Comparação entre Dados Pessoais, Sensíveis e Anonimizados
                        
                                    Tipo de Dado
                                    Proteção pela LGPD
                                    Base Legal Necessária
                                    Tratamento por Terceiros
                                
                                    Dados Pessoais Comuns
                                    Sim
                                    Uma das 10 bases legais
                                    Possível com consentimento ou outra base legal
                                
                                    Dados Pessoais Sensíveis
                                    Sim - maior proteção
                                    Consentimento específico ou hipóteses legais específicas
                                    Restrito - apenas em situações específicas
                                
                                    Dados Anonimizados
                                    Não (se irreversível)
                                    Não se aplica
                                    Livre (quando irreversível)

Tipo de Dado	Proteção pela LGPD	Base Legal Necessária	Tratamento por Terceiros
Dados Pessoais Comuns	Sim	Uma das 10 bases legais	Possível com consentimento ou outra base legal
Dados Pessoais Sensíveis	Sim - maior proteção	Consentimento específico ou hipóteses legais específicas	Restrito - apenas em situações específicas
Dados Anonimizados	Não (se irreversível)	Não se aplica	Livre (quando irreversível)

Dados de Crianças e Adolescentes

O tratamento de dados pessoais de crianças e adolescentes deverá ser realizado em seu melhor interesse (Art. 14). No caso de crianças, o tratamento deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

Obrigações Específicas:

Fornecer informações simples e acessíveis
Realizar todos os esforços razoáveis para verificar a idade e o consentimento
Não condicionar a participação em jogos ou aplicações ao fornecimento de dados pessoais além do necessário

Bases Legais para Tratamento (Art. 7º e 11º)

O tratamento somente será legítimo mediante uma das seguintes hipóteses:

1. Consentimento

Pelo titular ou representante legal, para finalidades específicas, mediante manifestação livre, informada e inequívoca.

2. Cumprimento de obrigação legal

Pelo controlador, como no caso de envio de informações à Receita Federal.

3. Execução de políticas públicas

Pela administração pública, na distribuição de benefícios, por exemplo.

4. Execução de contrato

Quando necessário para execução de contrato do qual seja parte o titular.

5. Exercício regular de direitos

Em processo judicial, administrativo ou arbitral, por exemplo.

6. Proteção da vida ou incolumidade física

Do titular ou de terceiro, em situações de emergência.

7. Tutela da saúde

Por profissionais da área ou por entidades sanitárias.

8. Legítimo interesse

Do controlador ou terceiro, exceto quando prevalecem direitos do titular.

9. Proteção do crédito

Incluindo disposições do Código de Defesa do Consumidor.

Para dados sensíveis, o tratamento somente poderá ocorrer nas seguintes hipóteses (Art. 11): consentimento específico; obrigação legal; execução de políticas públicas; realização de estudos por órgão de pesquisa; execução de contrato; exercício regular de direitos; proteção da vida ou incolumidade física; tutela da saúde; garantia da prevenção à fraude e segurança do titular.

Exigências para o Consentimento Válido

De acordo com o Art. 8º, o consentimento deve:

Ser mediante manifestação livre, informada e inequívoca
Ser para finalidades determinadas
Poder ser revogado a qualquer momento
A revogação não comprometer a licitude do tratamento anterior
Ser destacado das demais cláusulas contratuais
Para dados sensíveis, ser específico e destacado

Importante: O silêncio não configura consentimento!

Direitos dos Titulares (Art. 17 a 22)

Confirmação e Acesso

Direito de confirmar a existência de tratamento e acessar seus dados pessoais.

Correção

Atualização, correção ou complementação de dados incompletos, inexatos ou desatualizados.

Anonimização, Bloqueio ou Eliminação

Direito de solicitar a anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.

Portabilidade

Direito de solicitar a portabilidade dos dados a outro fornecedor de serviço ou produto.

Eliminação

Direito de solicitar a eliminação dos dados pessoais tratados com consentimento.

Informação sobre Compartilhamento

Direito de obter informações sobre as entidades públicas ou privadas com quem o controlador realizou compartilhamento de dados.

Revogação do Consentimento

Direito de revogar o consentimento a qualquer momento, observados os limites contratuais e legais.

Revisão de Decisões Automatizadas

Direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados.

Como Exercer os Direitos?

Os titulares podem exercer seus direitos através:

Canais de Atendimento

Serviço de Atendimento ao Cliente (SAC)
E-mail dedicado para proteção de dados
Formulário eletrônico no site da empresa

Requisitos

Identificação do titular
Descrição clara do direito a ser exercido
Especificação dos dados envolvidos (quando necessário)

Prazo para Resposta: 15 dias prorrogáveis por mais 15 dias (com comunicação ao titular).

O titular dos dados tem direito a peticionar em relação aos seus dados perante a autoridade nacional, nos termos do inciso I do § 3º do art. 18 da Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet), e buscar a tutela jurisdicional.

Agentes de Tratamento (Art. 5º, VI a VIII)

Controlador

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (Art. 5º, VI).

Responsabilidades:

Definir as finalidades e meios do tratamento
Garantir a conformidade com a LGPD
Responder por eventuais danos causados
Adotar medidas de segurança
Manter registros das operações de tratamento

Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (Art. 5º, VII).

Responsabilidades:

Executar o tratamento conforme instruções do controlador
Adotar medidas de segurança
Manter sigilo sobre os dados
Registrar as operações realizadas
Reportar incidentes de segurança ao controlador

Encarregado pelo Tratamento de Dados (DPO)

Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) (Art. 5º, VIII).

Atribuições (Art. 41):

Receber reclamações e comunicações dos titulares
Prestar esclarecimentos e adotar providências
Orientar funcionários e contratados sobre práticas de tratamento
Comunicar à ANPD descumprimentos à legislação

Quem pode ser DPO?

Qualquer pessoa física designada pelo controlador ou operador. Não há exigência de formação específica, mas recomenda-se:

Conhecimento jurídico sobre privacidade
Noções técnicas sobre proteção de dados
Capacidade de comunicação com diversos públicos

Contrato entre Controlador e Operador (Art. 38)

Na relação entre controlador e operador, deverá constar obrigatoriamente em contrato:

Descrição detalhada do que será tratado
Objetivo do tratamento
Duração
Natureza e finalidade
Tipo de dado
Categorias de titulares
Direitos e obrigações das partes

Sanções Administrativas (Art. 52)

A Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar as seguintes sanções, isolada ou cumulativamente, em caso de descumprimento às normas da LGPD:

Sanção	Descrição	Observações
Advertência	Com indicação de prazo para adoção de medidas corretivas	Sanção mais branda, aplicável a infrações leves ou primeira ocorrência
Multa simples	Até 2% do faturamento no Brasil no último ano, limitada a R$ 50 milhões por infração	Valor considerará gravidade, vantagem obtida etc.
Multa diária	Aplicada enquanto persistir a violação	Sujeita aos mesmos limites da multa simples
Divulgação da infração	Publicização da infração após devidamente apurada	Pode incluir nome da empresa e detalhes da violação
Eliminação dos dados	Dados pessoais a que se refere a infração	Quando forem objeto de tratamento em desconformidade com a lei
Bloqueio dos dados	Impedimento temporário de operação de tratamento	Até regularização pelo controlador
Suspensão do banco de dados	Suspensão do tratamento pelo período máximo de 6 meses	Possível prorrogação por igual período
Proibição parcial ou total	De atividades relacionadas ao tratamento de dados	Sanção mais grave, para infrações reincidentes ou de elevado risco

Antes da aplicação de sanções, o controlador ou operador terá direito à ampla defesa, devendo o processo administrativo assegurar o contraditório e a plenitude de defesa (Art. 52, §1º).

Critérios para Aplicação de Sanções (Art. 52, §2º)

A ANPD considerará os seguintes critérios para avaliar a gravidade e determinar sanções:

Grau do dano ou risco aos titulares
Vantagem obtida ou pretendida pelo infrator
Condição econômica do infrator

Cooperação do infrator
Grau de difusão ou perfil dos titulares afetados
Reiteração e adoção prévia de medidas de segurança

Disposições sobre Processo Penal

Além das sanções administrativas, a LGPD prevê consequências penais para certas condutas relacionadas ao tratamento de dados pessoais conforme disposto nos Artigos 10 e 11 das Disposições Finais e Transitórias.

Tipos Penais Criados pela LGPD

Art. 10, §1º

Apropriar-se indevidamente de dados pessoais de terceiros:

Pena: Detenção, de 6 meses a 2 anos, mais multa.

Art. 10, §2º

Vender, divulgar ou transferir dados pessoais sem autorização:

Pena: Detenção, de 6 meses a 2 anos, mais multa.

Art. 10, §3º

Divulgar ou transferir dados sensíveis ou estratégicos sem consentimento:

Pena: Reclusão, de 2 a 5 anos, mais multa.

Art. 10, §4º

Obter vantagem econômica com a prática desses crimes:

Pena: Reclusão, de 3 a 7 anos, mais multa.

A ação penal será pública condicionada à representação, exceto quando cometida contra a Administração Pública direta ou indireta, ou ainda contra empresas concessionárias de serviços públicos (Art. 11).

Responsabilização Criminal x Administrativa

A aplicação de sanções administrativas pela ANPD não exclui a possibilidade de responsabilização civil e penal pelos atos praticados:

Sanções Administrativas

Aplicadas pela ANPD
Objetivos preventivos e corretivos
Regularização dos processos

Crimes

Processados pela Justiça
Condutas dolosas específicas
Finalidade punitiva
Possibilidade de prisão e multas

Glossário LGPD

A B C D E F G I L O P R S T

A

ANPD (Autoridade Nacional de Proteção de Dados)

Órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

Anonimização

Processo técnico pelo qual dados perdem a possibilidade de associação, direta ou indireta, a um indivíduo, desde que o processo seja irreversível.

B

Base Legal

Fundamento jurídico que legitima o tratamento de dados pessoais conforme estabelecido nos Artigos 7º e 11º da LGPD.

C

Consentimento

Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Controlador

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

D

Dado Pessoal

Informação relacionada a pessoa natural identificada ou identificável, como nome, CPF, endereço, e-mail, entre outros.

Dado Sensível

Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

E

Encarregado (DPO)

Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.

F

Finalidade

Objetivo específico e legítimo para o qual os dados pessoais serão tratados, devendo ser informado ao titular no momento da coleta.

G

Governança de Dados

Conjunto de políticas, processos e controles que uma organização implementa para garantir o tratamento adequado de dados pessoais em conformidade com a LGPD.

I

Incidente de Segurança

Evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas que envolva dados pessoais, como acessos não autorizados.

L

Legítimo Interesse

Base legal para tratamento de dados que permite ao controlador processar informações quando existir um interesse legítimo, desde que não prevaleçam direitos e liberdades fundamentais do titular.

O

Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

P

Portabilidade

Direito do titular de solicitar a transferência de seus dados pessoais para outro fornecedor de serviço ou produto.

Privacidade por Design

Conceito que prega a incorporação da proteção de dados pessoais desde a concepção de produtos, serviços e sistemas que envolvam tratamento de dados.

R

Registro das Operações

Documento que contém os detalhes das operações de tratamento realizadas pelos agentes de tratamento, requisito da LGPD para demonstrar conformidade.

S

Segurança da Informação

Medidas técnicas e administrativas adequadas para proteção dos dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

T

Titular

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, detentora de direitos previstos na LGPD.

Tratamento

Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.