Lei Geral de Proteção de Dados - LGPD

A Lei é aplicável ao tratamento de dados realizado por pessoas naturais ou por pessoas jurídicas de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

• A operação de tratamento seja realizada no território nacional
• A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional ou
• Os dados pessoais objeto do tratamento tenham sido coletados no território nacional

A LGPD é fundamentada em diversos valores e tem como principais objetivos:

• Assegurar o direito à privacidade e à proteção de dados pessoais dos usuários, por meio de práticas transparentes e seguras, garantindo direitos fundamentais
• Estabelecer regras claras sobre o tratamento de dados pessoais
• Fortalecer a segurança das relações jurídicas e a confiança do titular no tratamento de dados pessoais, garantindo a livre iniciativa, a livre concorrência e a defesa das relações comerciais e de consumo
• Promover a concorrência e a livre atividade econômica, inclusive com portabilidade de dados

A Lei entrou em vigor de maneira escalonada:

• Em 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam da constituição da Autoridade Nacional de Proteção de   Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPD
• Em 18 de setembro de 2020, quanto aos demais artigos da Lei, com exceção dos dispositivos que tratam da aplicação de sanções administrativas
• Em 1º de agosto de 2021, quanto aos arts. 52. 53 e 54, que tratam das sanções administrativas

A LGPD é uma lei de cunho principio lógico e, assim, traz em seu texto 10 princípios que devem ser considerados e observados nas atividades de tratamento de dados pessoais. São eles:

• Finalidade: O tratamento deve ser realizado para propósitos legítimos, específicos, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades
• Adequação: O tratamento deve ser compatível com as finalidades informadas ao titular
• Necessidade: O tratamento deve ser limitado ao mínimo necessário para a realização das finalidades
• Livre acesso: Deve ser garantida aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como o acesso à integralidade dos seus dados
• Qualidade dos dados: Deve ser garantida a exatidão, clareza, relevância e atualização dos dados
• Transparência: Deve ser garantida a prestação de informações claras e facilmente acessíveis pelos titulares
• Segurança: Deverão ser adotadas medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados
• Prevenção: Deverão ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais
• Não discriminação: Impossibilidade de tratamento para fins discriminatórios
• Responsabilização e prestação de contas: Demonstração de medidas eficazes para observar e comprovar o cumprimento das normas de proteção de dados pessoais

Todas as empresas, sejam PMEs (Pequenas e Médias Empresas) ou de grande porte, terão que atender às exigências da LGPD. Um das mudanças mais importantes é que a nova lei prevê o consentimento expresso dos clientes para o uso das informações e as empresas deverão deixar claro para quê as informações serão usadas, com formulários nas páginas de internet e avisos eletrônicos mais transparentes.

Com isso, fica vetado o uso dos dados para outras finalidades que não sejam as que foram acordadas e o armazenamento de informações das quais as empresas não possa comprovar a necessidade. A LGPD garante aos clientes o direito de responsabilizar as empresas caso seus dados sejam roubados por terceiros.

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública federal criado em 2019, responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil.

A missão institucional da ANPD é assegurar a mais ampla e correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos. O art. 55-J da LGPD estabelece as principais competências da ANPD, dentre as quais se destacam as seguintes:

• Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade
• Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso
• Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança
• Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais deverão levar em consideração as especificidades das atividades e o porte dos responsáveis
• Promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional
• Editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD
• Ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante e prestar contas sobre suas atividades e planejamento
• Editar normas, orientações e procedimentos simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação, possam adequar-se à Lei
• Deliberar, na esfera administrativa, em caráter terminativo, sobre a interpretação da LGPD, as suas competências e os casos omissos
• Articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação e
• Implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com a LGPD

Os dispositivos da LGPD que tratam de sanções administrativas somente entrarão em vigor em 1º de agosto de 2021. A partir dessa data, a ANPD poderá aplicar, após procedimento administrativo que possibilite a ampla defesa, as seguintes sanções administrativas:  

• Advertência, com indicação de prazo para adoção de medidas corretivas
• Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$50.000.000,00 (cinquenta milhões de reais) por infração
• Multa diária, observado o limite total a que se refere o inciso II
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização
• Eliminação dos dados pessoais a que se refere a infração
• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período e
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados

A LGPD determina que a ANPD deverá editar regulamento próprio sobre sanções administrativas, que deverá ser objeto de consulta pública, contendo as metodologias que orientarão o cálculo do valor-base das sanções de multa.  Tais  metodologias devem ser previamente publicadas e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na LGPD. Nos termos da Lei, a aplicação de sanções requer, ainda, criteriosa apreciação e ponderação de inúmeras circunstâncias, dentre as quais a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, o grau do dano, a cooperação do infrator, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas. 

A LGPD adota um conceito aberto de dado pessoal, definido como a informação relacionada a uma pessoa natural identificada ou identificável. Assim, além das informações básicas relativas ao nome, número de inscrição no Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço residencial, são também considerados dados pessoais outros dados que permitam a identificação de um indivíduo, tais como a orientação sexual, a filiação político-partidária, o histórico médico e também aqueles referentes aos seus aspectos biométricos. Segundo a LGPD, poderão ser igualmente considerados como dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.

Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma proteção ainda maior, por estarem diretamente relacionamentos aos aspectos mais íntimos da personalidade de um indivíduo. Assim, são dados pessoais sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referente à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.

A LGPD garante proteção a todos os dados cujos titulares são pessoas naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os dados titularizados por pessoas jurídicas – os quais não são considerados dados pessoais para os efeitos da Lei. 

Tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Com a entrada em vigor da LGPD, o tratamento de dados pessoais pode ser realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas em seu artigo 7º ou, no caso de dados pessoais sensíveis, de uma das hipóteses previstas no artigo 11. Existem dez bases legais distintas para o tratamento de dados pessoais e oito bases legais que legitimam o tratamento de dados pessoais sensíveis. Vale notar que a LGPD é aplicável também aos dados cujo acesso é público e àqueles tornados manifestamente públicos pelos titulares, resguardando-se a observância dos princípios gerais e dos direitos dos titulares previstos na Lei.

O tratamento de dados pessoais poderá ser realizado em qualquer uma das seguintes hipóteses, previstas no art. 7o da LGPD:

• Mediante o fornecimento de consentimento pelo titular
• Cumprimento de obrigação legal ou regulatória pelo controlador
• Execução de políticas públicas, pela administração pública
• Realização de estudos por órgão de pesquisa
• Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados
• Exercício regular de direitos em processo judicial, administrativo ou arbitral
• Proteção da vida ou da incolumidade física do titular ou de terceiro
• Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
• Atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais
• Proteção do crédito.

As bases legais para o tratamento de dados pessoais sensíveis estão previstas no art. 11 da LGPD. 

De acordo com o artigo 11 da LGDP, o tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I – Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas

II – Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) Cumprimento de obrigação legal ou regulatória pelo controlador

b) Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos

c) Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis

d) Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem)

e) proteção da vida ou da incolumidade física do titular ou de terceiro

f) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou (Redação dada pela Lei nº 13.853, de 2019) Vigência

g) Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais

São considerados agentes de tratamento: o “controlador” (pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais) e o “operador” (pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador).

O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

• Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada
• Fim do período de tratamento
• Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º da LGPD, resguardado o interesse público ou
• determinação da autoridade nacional, quando houver violação ao disposto na LGPD

A LGPD prevê uma ampla gama de direitos dos titulares de dados, dentre os quais podem ser destacados os seguintes:

• Acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva
• Confirmação da existência de tratamento
• Acesso aos dados
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD
• Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial
• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD
• Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
• Revogação do consentimento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado
• Peticionamento em relação aos seus dados contra o controlador, perante a ANPD e perante os organismos de defesa do consumidor
• Oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD
• Solicitação de revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade e
• Fornecimento, mediante solicitação, de informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial

A LGPD estabelece uma série de medidas que devem ser adotadas pelos agentes de tratamento, que incluem a identificação das bases legais que justificam as atividades de tratamento de dados; a adoção de processos e políticas internas que assegurem o cumprimento das normas de proteção de dados pessoais; e o estabelecimento de um canal de contato com os titulares de dados pessoais. A Lei determina que os controladores de dados devem indicar um Encarregado para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Em determinadas circunstâncias, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados, a ANPD poderá estabelecer hipóteses de dispensa da necessidade de sua indicação.

Semelhante ao DPIA (Data Privacy Impact Assessment, previsto na GDPR), refere-se à documentação do controlador que contém a descrição das atividades de processamento de dados que podem gerar riscos aos titulares de dados, bem como informações sobre a implementação de medidas, salvaguardas e instrumentos de mitigação de danos. Nada mais é que uma ferramenta para ajudar a identificar e minimizar os riscos na proteção de dados, que poderá ser requerida pela ANPD, quando o tratamento tiver como fundamento o legítimo interesse do controlador.

A LGPD não se aplica ao tratamento de dados pessoais:

I – Realizado por pessoa natural para fins exclusivamente particulares e não econômicos

II – Realizado para fins exclusivamente:

a) Jornalístico e artísticos ou

b) Acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 da LGPD

III – Realizado para fins exclusivos de:

a) Segurança pública

b) Defesa nacional

c) Segurança do Estado ou

d) Atividades de investigação e repressão de infrações penais ou

IV – Provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD