A LGPD, ou Lei Geral de Proteção de Dados, é uma legislação brasileira que entrou em vigor em 18 de setembro de 2020. Ela regula o tratamento de dados pessoais por organizações, estabelecendo direitos e obrigações relacionados à privacidade e à proteção de dados pessoais. A LGPD foi inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia e tem como objetivo principal garantir a privacidade e a segurança das informações pessoais dos cidadãos brasileiros.

Empresas e Organizações Privadas: Isso abrange empresas de todos os tamanhos, desde pequenas empresas até grandes corporações, que coletam, armazenam, processam ou compartilham dados pessoais de clientes, funcionários ou parceiros de negócios.

Órgãos Públicos: A LGPD também se aplica a órgãos governamentais em todos os níveis, incluindo municípios, estados e governo federal, que lidam com dados pessoais no exercício de suas funções.

Entidades Sem Fins Lucrativos: Organizações sem fins lucrativos, como instituições de caridade, associações e fundações, que coletam e processam dados pessoais para cumprir seus objetivos também são afetadas pela LGPD.

Profissionais Autônomos e Prestadores de Serviços: Profissionais autônomos, como médicos, advogados, contadores e consultores, que coletam e tratam dados pessoais de seus clientes ou pacientes, estão sujeitos à LGPD.

Instituições Educacionais: Escolas, universidades e outras instituições educacionais que coletam informações pessoais de alunos, pais e funcionários estão sujeitas às regulamentações da LGPD.

E-commerce e Plataformas Online: Empresas que operam lojas online, aplicativos e plataformas de comércio eletrônico que coletam informações de clientes, como dados de pagamento e endereços de entrega, também precisam cumprir a LGPD.

Empresas Estrangeiras: Empresas estrangeiras que coletam e processam dados pessoais de cidadãos brasileiros, mesmo que não tenham presença física no Brasil, estão sujeitas à LGPD. Isso é relevante para empresas que operam internacionalmente e atendem clientes brasileiros.

Dados pessoais são informações que podem identificar ou tornar identificável um indivíduo específico. Eles podem incluir uma ampla variedade de informações e detalhes relacionados a uma pessoa. Alguns exemplos de dados pessoais incluem:

Informações de Identificação: Isso engloba informações básicas, como nome, sobrenome, data de nascimento, número de identidade, CPF (Cadastro de Pessoas Físicas), RG (Registro Geral), e fotografia.

Contato: Isso inclui informações de contato, como endereço de e-mail, número de telefone, endereço residencial e endereço de correspondência.

Dados Financeiros: Informações relacionadas a finanças pessoais, como número de contas bancárias, cartões de crédito, histórico de transações e renda.

Dados de Saúde: Informações sobre o estado de saúde de uma pessoa, histórico médico, informações sobre alergias, prescrições médicas e dados relacionados à saúde.

Dados de Localização: Dados que indicam a localização de um indivíduo, como coordenadas GPS, endereço residencial ou localização de dispositivos móveis.

Dados Biométricos: Isso envolve informações biométricas, como impressões digitais, reconhecimento facial, varreduras de retina e outras características físicas exclusivas.

Dados de Comportamento: Informações sobre o comportamento e atividades de uma pessoa, como histórico de navegação na web, histórico de compras online, interações em redes sociais e preferências pessoais.

Dados Profissionais: Informações relacionadas à carreira de uma pessoa, como histórico de emprego, currículo, título de trabalho, cargo e local de trabalho.

Dados de Educação: Informações sobre a educação de uma pessoa, como histórico acadêmico, diplomas, cursos frequentados e instituições de ensino.

Dados de Redes Sociais: Informações coletadas de perfis em redes sociais, como interesses, conexões, postagens e atividades.

Dados de Vídeo e Áudio: Gravações de vídeo ou áudio que contenham a voz ou a imagem de uma pessoa.

Os titulares de dados, ou seja, as pessoas a quem os dados pessoais se referem, possuem diversos direitos garantidos pela LGPD, conforme elencado abaixo:

Direito de Confirmação e Acesso: O titular tem o direito de obter do controlador a confirmação de que seus dados pessoais estão sendo tratados e, quando aplicável, o acesso aos dados pessoais.

Direito de Correção: O titular tem o direito de solicitar a correção de dados pessoais incompletos, imprecisos ou desatualizados.

Direito de Eliminação: O titular pode solicitar a exclusão de seus dados pessoais, desde que não haja uma base legal que permita a retenção desses dados.

Direito à Portabilidade de Dados: O titular tem o direito de receber os dados pessoais que forneceu a um controlador em um formato estruturado, comumente utilizado e legível por máquina, e tem o direito de transmitir esses dados a outro controlador.

Direito à Revogação de Consentimento: Quando o tratamento de dados se baseia no consentimento do titular, ele tem o direito de revogar esse consentimento a qualquer momento.

Direito de Oposição ao Tratamento: O titular tem o direito de se opor ao tratamento de seus dados pessoais em certas circunstâncias, como em casos de marketing direto.

Direito à Informação: O controlador deve fornecer informações claras e transparentes sobre o tratamento de dados pessoais, incluindo a finalidade, a base legal, e outros detalhes relevantes.

Direito a revisão de decisão automatizada: O titular tem o direito de requerer a revisão de decisões automatizadas que afetem significativamente seus direitos.

Direito à Privacidade e à Proteção dos Dados: O titular tem o direito de esperar que seus dados pessoais sejam tratados de forma segura e confidencial, com medidas apropriadas de segurança de dados.

Direito à Informação sobre Compartilhamento de Dados: O controlador deve informar se os dados pessoais do titular são compartilhados com terceiros e, se for o caso, com quem e para quais fins.

A LGPD estabelece que o consentimento é uma das bases legais para o tratamento de dados pessoais. O consentimento é uma permissão explícita dada pelo titular dos dados, ou seja, a pessoa a quem os dados pessoais se referem, para que suas informações sejam coletadas, usadas, processadas ou compartilhadas por uma organização.
O consentimento deve ser fornecido de forma livre, informada, inequívoca e específica para cada finalidade de tratamento de dados. Isso significa que o titular dos dados deve estar ciente do que está consentindo, e o consentimento não pode ser obtido de forma enganosa, coercitiva ou implícita. O titular dos dados deve ser capaz de retirar o consentimento a qualquer momento, de maneira simples e eficaz.

A LGPD estabelece penalidades para o descumprimento das suas disposições, com o objetivo de garantir a conformidade e a proteção dos direitos dos titulares de dados. As penalidades podem ser aplicadas a organizações, tanto públicas quanto privadas, e incluem as seguintes sanções:

Advertência: A autoridade de proteção de dados, a Autoridade Nacional de Proteção de Dados (ANPD), pode emitir uma advertência formal à organização infratora. Essa advertência serve como um aviso para corrigir práticas não conformes com a LGPD.

Multa Simples: A LGPD permite que a ANPD aplique multas simples em caso de violações. As multas podem chegar a até 2% do faturamento da empresa no Brasil no último exercício, limitadas a um total de R$ 50 milhões por infração.

Multa Diária: A ANPD pode impor multas diárias à organização infratora até que a violação seja corrigida.

Publicação da Infração: A ANPD tem o poder de tornar públicas as infrações à LGPD, expondo a empresa infratora à exposição negativa e à perda de confiança do público.

Bloqueio dos Dados Pessoais: A ANPD pode determinar o bloqueio dos dados pessoais objeto da violação até que a irregularidade seja resolvida.

Eliminação dos Dados Pessoais: A ANPD pode ordenar a eliminação dos dados pessoais coletados de forma irregular.

Suspensão do Tratamento de Dados: Em casos graves de violação, a ANPD pode suspender o tratamento de dados pessoais pela organização infratora por um período determinado.

Proibição Parcial ou Total do Tratamento de Dados: Em casos extremos de violação da LGPD, a ANPD pode proibir parcial ou totalmente o tratamento de dados pessoais pela organização.

O Encarregado de Proteção de Dados (DPO, na sigla em inglês de Data Protection Officer) é responsável por supervisionar e garantir a conformidade da organização com as normas de privacidade e proteção de dados. Aqui estão as principais responsabilidades e funções deste agente:

Monitorar a Conformidade: O DPO é responsável por monitorar o cumprimento da LGPD e de outras regulamentações de proteção de dados pela organização. Isso inclui a revisão de políticas, práticas e procedimentos para garantir que estejam em conformidade.

Aconselhar a Alta Administração: O DPO fornece orientação e aconselhamento à alta administração da organização sobre as obrigações legais de proteção de dados. Isso ajuda a garantir que as decisões de negócios estejam em conformidade com a LGPD.

Comunicação com a Autoridade de Proteção de Dados: O DPO atua como ponto de contato entre a organização e a Autoridade Nacional de Proteção de Dados (ANPD) ou outras autoridades de supervisão de proteção de dados. Em caso de violações de dados, o DPO é responsável por notificar a ANPD conforme exigido pela lei.

Treinamento e Conscientização: O DPO coordena o treinamento e a conscientização dos funcionários sobre a LGPD e as melhores práticas de proteção de dados. Ele ajuda a garantir que os funcionários estejam cientes de suas responsabilidades em relação à privacidade dos dados.

Avaliações de Impacto de Privacidade: Em casos específicos, o DPO pode ser responsável por conduzir Avaliações de Impacto de Privacidade (DPIA) para avaliar os riscos de tratamento de dados pessoais e garantir que as medidas apropriadas sejam implementadas para mitigar esses riscos.

Consultas de Titulares de Dados: O DPO deve atuar como ponto de contato para as consultas e solicitações dos titulares de dados em relação ao tratamento de seus dados pessoais.

Cooperação com Autoridades de Supervisão: O DPO coopera com as autoridades de supervisão de proteção de dados e fornece informações e documentos quando necessário.

Manutenção de Registros: O DPO mantém registros das atividades de tratamento de dados realizadas pela organização, incluindo informações sobre consentimento, violações de dados e outras informações relevantes.

Confidencialidade e Independência: O DPO deve atuar de forma independente e não pode receber instruções sobre como realizar suas funções. Ele também é obrigado a manter a confidencialidade em relação ao tratamento de dados pessoais.

A LGPD estabelece distinções importantes entre o “Controlador de Dados” e o “Operador de Dados”, e cada um possui responsabilidades específicas em relação ao tratamento de dados pessoais. 

O “Controlador de Dados” é a pessoa física ou jurídica que determina as finalidades e os meios de tratamento de dados pessoais. Em outras palavras, o controlador decide como os dados pessoais são coletados, processados e utilizados.

O “Operador de Dados” é a pessoa física ou jurídica que processa dados pessoais em nome do controlador de dados. O operador realiza o tratamento de dados de acordo com as instruções do controlador e não toma decisões independentes sobre o tratamento.

Em caso de uma violação de dados, sua empresa deve agir prontamente para lidar com a situação e cumprir as obrigações legais. Aqui estão as etapas que sua empresa deve seguir em caso de violação de dados:

Identificação e Avaliação da Violação: Identifique a natureza e a extensão da violação de dados. Determine quais dados pessoais foram afetados, como a violação ocorreu e quais sistemas ou processos estavam envolvidos. Bem como, avalie o risco associado à violação, incluindo a probabilidade e o impacto sobre os direitos e liberdades dos titulares de dados.

Notificação à ANPD: Se a violação for susceptível de resultar em um risco para os direitos e liberdades dos titulares de dados, notifique a Autoridade Nacional de Proteção de Dados (ANPD). A notificação deve ocorrer o mais rapidamente possível e, em casos de alto risco, dentro de 72 horas após a tomada de conhecimento da violação.

Notificação aos Titulares de Dados: Se a violação for susceptível de resultar em um alto risco para os direitos e liberdades dos titulares de dados, notifique-os sem demora. A notificação aos titulares de dados deve incluir informações claras e transparentes sobre a violação, os dados afetados e as medidas recomendadas para mitigar os riscos.

Avaliação e Mitigação de Riscos: Realize uma avaliação de risco detalhada para determinar os impactos da violação e tomar medidas para mitigar esses riscos.

Comunicação Pública: Dependendo da natureza e gravidade da violação, pode ser necessário realizar uma comunicação pública sobre o incidente. A comunicação deve ser transparente e informativa.

Registro da Violação: Mantenha registros detalhados da violação de dados, incluindo todas as etapas tomadas para abordar o incidente.

Aprimoramento de Práticas de Segurança de Dados: Após uma violação, reavalie e aprimore suas práticas de segurança de dados para evitar futuros incidentes.