A LGPD (Lei nº 13.709/2018) é a legislação brasileira que regula o tratamento de dados pessoais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Aplica-se a qualquer pessoa física ou jurídica, de direito público ou privado, que realize o tratamento de dados pessoais com fins econômicos, independentemente do meio, porte ou setor de atuação ou do país onde estejam localizados os dados, desde que: (1) a operação de tratamento seja realizada no território nacional; (2) a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou (3) os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Não se aplica ao tratamento de dados pessoais: (1) realizado por pessoa natural para fins exclusivamente particulares e não econômicos; (2) realizado para fins exclusivamente: a) jornalístico e artísticos, b) acadêmicos, c) segurança pública, d) defesa nacional, e) segurança do Estado ou f) atividades de investigação e repressão de infrações penais; ou (4) provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.

Sim. No entanto, o tratamento feito por entes públicos tem algumas especificidades, especialmente no que diz respeito à transparência, base legal e sanções em caso de descumprimento.

Sim, empresas de pequeno porte, microempresas (ME) e microempreendedores individuais (MEI) têm tratamento jurídico diferenciado na LGPD. Dentre as principais flexibilizações, estão: prazos ampliados para atender a solicitações de titulares de dados e da ANPD; dispensa da obrigatoriedade de manter um Encarregado (DPO) formalmente nomeado — embora ainda seja necessário oferecer um canal de comunicação com o titular; relatório de impacto (RIPD) pode ter formato simplificado; medidas de segurança e governança proporcionais à natureza e à escala da atividade; e comunicação simplificada em caso de incidentes de segurança, como vazamento de dados.

Dados pessoais são informações que permitem identificar direta ou indiretamente uma pessoa, como nome, CPF, e-mail ou endereço IP. Já dados sensíveis dizem respeito a informações que geram discriminação (no sentido de segregação, não necessariamente de maneira pejorativa), como origem racial ou étnica, convicções religiosas, dados de saúde, ou orientação sexual.

Se uma empresa mantém listas de clientes, envia e-mails, emite notas fiscais ou realiza atendimentos por WhatsApp, ela já realiza o tratamento de dados pessoais. Tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é um documento previsto na LGPD que descreve as operações de tratamento de dados que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares. Ele detalha os tipos de dados coletados, as finalidades do tratamento, as bases legais utilizadas, as medidas de segurança adotadas, os riscos identificados e as ações para mitigar esses riscos. O relatório não é exigido em todos os casos. Ele deve ser elaborado especialmente quando: (1) o tratamento envolve dados sensíveis (ex: saúde e biometria); (2) há grande volume de dados, ou uso de dados de forma automatizada com decisões que afetam o titular; (3) a operação de dados pode apresentar alto risco aos direitos dos titulares (ex: cruzamento de dados com fins de perfilamento); ou (4) a ANPD exigir, em casos específicos ou mediante investigação.

É o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

Sim. A própria LGPD traz um rol de direitos aos titulares de dados, como acesso aos dados, correção de informações incompletas, portabilidade, anonimização, eliminação e oposição ao tratamento, além de revogação de consentimento e explicação sobre decisões automatizadas que afetem seus interesses.

A conformidade com a LGPD envolve o mapeamento de dados, revisão de políticas internas, implementação de controles de segurança, elaboração de documentos como Política de Privacidade, nomeação de um Encarregado (DPO), dentre outras medidas técnicas e jurídicas.

O controlador é quem toma as decisões sobre o tratamento dos dados pessoais. O operador é quem realiza esse tratamento em nome do controlador, seguindo as suas instruções. Ambos têm responsabilidades perante a LGPD e a ação ou omissão de um pode afetar o outro.

Também conhecido como DPO (Data Protection Officer), é o profissional responsável por atuar como canal de comunicação entre o controlador dos dados, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados), além de orientar a organização quanto às práticas de proteção de dados e privacidade. Essa função pode ser exercida por um sócio da empresa, por um empregado ou por um profissional externo. No caso de ser exercido por empregado, tomar cuidado com o possível acúmulo ou desvio de função.

As sanções vão desde advertências e multas de até 2% do faturamento da empresa (limitadas a R$ 50 milhões por infração) até a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados. Há uma série de fatores que são considerados na dosimetria da sanção pela ANPD, especialmente a adoção de medidas que demonstrem a conformidade à legislação, como mapeamento do fluxo de dados, implementação de medidas de segurança, definição das bases legais adequadas para o tratamento dos dados, nomeação de um Encarregado, instituição de política de privacidade, dentre outros.

Não. A LGPD prevê diversas bases legais além do consentimento, como cumprimento de obrigação legal, execução de contrato, legítimo interesse, proteção à vida e tutela da saúde, dentre outras. Deve-se analisar qual a finalidade do tratamento de cada dado pessoal, para estabelecer a sua base legal mais adequada – ou, ainda, se inexiste base legal, o que torna o seu tratamento irregular.

A coleta de dados para fins de marketing exige transparência e uma definição correta de qual base legal se enquadra (fundamento jurídico para o tratamento de dados). Os sites devem informar, de forma clara, o uso de cookies e oferecer opções de gestão ao usuário, se for o caso.

Sim. Aquele que determina as finalidades e os meios do tratamento é chamado de “controlador” e permanece responsável por garantir a conformidade com a LGPD, mesmo quando o tratamento é executado por terceiro, nomeado pela lei como “operador”. Se não estiver de acordo com a legislação e não fiscalizar o cumprimento de suas políticas perante terceiro (operador), o controlador continua na cadeia de responsabilização caso haja algum incidente com dados ou violação à legislação.

Sim. A LGPD se aplica a dados de empregados, candidatos a vagas, prestadores de serviço e até visitantes da empresa. 

Sim. A política de privacidade é um dos documentos mais visíveis da conformidade com a LGPD. Ela deve ser clara, atualizada e adaptada ao tipo de tratamento de dados realizado no site ou aplicativo. Deve informar também o canal de contato com o Encarregado.

A lei não prescreve medidas específicas, mas exige que sejam adotadas boas práticas e padrões de segurança compatíveis com a finalidade e necessidade do tratamento de dados. Isso pode incluir criptografia, controle de acesso, políticas de backup e resposta a incidentes.

O incidente deve ser avaliado e, caso tenha potencial de causar prejuízos aos titulares, deverá ser reportado à ANPD e aos titulares afetados. É fundamental manter um plano de resposta a incidentes.