Legislação

LGPD o que é a Lei Geral de Proteção de Dados?

Publicado: Visto por: 630 pessoas

Conhecida como Lei Geral de Proteção de Dados – LGPD, a Lei nº 13.709, de 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.

Já falamos aqui como LGPD mudou o tratamento de dados, mas agora preparamos um artigo para que você possa entender de forma mais aprofundada e técnica, o que é a referida lei e o que de fato ela alterou na forma em que as empresas captam, armazenam e utilizam dados de seus clientes.

Como surgiu a LGPD e onde veio?

Com advento da globalização e do uso crescente de internet, softwares, redes sociais, dentre outros, surgiu a necessidade de proteção aos dados dos usuários em todo o mundo.

A primeira legislação a tratar desse assunto foi o Regulamento Geral sobre a Proteção de Dados 2016/679, do direito europeu sobre privacidade e proteção de dados pessoais, criado em 2016 e vigente a partir de 2018. É aplicável a todos os indivíduos na União Europeia e no Espaço Econômico Europeu. Regulamenta também a exportação de dados pessoais para fora da União Europeia e do Espaço Econômico Europeu.

Esse regulamento serviu como base para a criação das demais legislações, inclusive a brasileira.

Qual o objetivo da LGPD?

A legislação tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade, e o livre desenvolvimento da personalidade da pessoa natural.

A quem se aplica a LGPD?

Conforme estabelecido no artigo 3° da Lei 13.709/2018, a LGPD aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:

I – a operação de tratamento seja realizada no território nacional;

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou

III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

Em que caso não é aplicada a LGPD?

Conforme previsto no artigo 4° da lei 13.709/ 2018, a LGPD não será aplicada ao tratamento de dados pessoais:

I – realizado por pessoa natural para fins exclusivamente particulares e não econômicos;

II – realizado para fins exclusivamente jornalístico e artísticos, ou acadêmicos.

III – realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais;

IV – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto na LGPD.

Como a LGPD classificou os dados?

Segundo o artigo 5° da Lei 13.709/2018, considera-se:

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

O que a LGPD estabelece sobre o tratamento de dados?

O artigo 5° da Lei 13.709/2018 traz os seguintes conceitos relacionados ao tratamento de dados:

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.

Quem são os agentes de tratamentos de dados, e como devem agir, segundo a LGPD?

No artigo 5º da Lei 13.709/2018 encontramos as definições e as atribuições dos agentes de tratamentos de dados, que foram classificados como:

Controlador (Artigo 5°, VI): Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Operador (Artigo 5°, VII): Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Titular (Artigo 5°, (Artigo 5°, V): É a pessoa física a quem se referem os dados pessoais. Pode ser, por exemplo, o funcionário de uma empresa que contratou o software.

Encarregado (Artigo 5°, VIII): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Autoridade Nacional (Artigo 5°, XIX): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Conforme o art. 6º da LGPD, as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Qualidade dos Dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Não Discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.

Responsabilização e Prestação de Contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Segurança e do Sigilo de Dados

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista na LGPD, em relação aos dados pessoais, mesmo após o seu término.

Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança, e aos princípios gerais previstos na LGPD e nas demais normas regulamentares.

Transferência Internacional de Dados

Os agentes de tratamentos de dados pessoais devem ficar atentos aos requisitos relativos à transferência internacional de dados. Nos termos do art. 33 da LGPD, somente poderá ocorrer essa transferência para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD, observadas, também, as demais hipóteses previstas no referido dispositivo lega.

Responsabilização

Ônus da Prova: O artigo 8° estabelece que cabe ao controlador comprovar que o consentimento do titular dos dados foi obtido em conformidade com disposto na LGPD, não podendo esse consentimento conter vícios de vontade.

Consentimento para Tratamento dos Dados Pessoais: O tratamento dos dados pessoais somente poderá ocorrer com o consentimento do titular, sendo facultado ao titular revogar esse consentimento a qualquer tempo. Segundo o art. 8°, § 5º, da LGPD, a revogação do consentimento deve ser expressa.

Dispensa de Consentimento: As exceções de consentimento estão elencadas no art. 11, II, da LGPD, e são:

a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autentica-ção de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Término do Tratamento dos Dados: O artigo 16 da LGPD estabelece que os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades: (i) cumprimento de obrigação legal ou regulatória pelo controlador; (ii) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; (iii) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou (iv) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Registros das Operações: Conforme o artigo 37 da LGPD, é responsabilidade do controlador e do operador manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

Relatório de Impactos à Proteção de Dados: O artigo 38 da LGPD prevê que a autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.

Reparação de Danos pelos Controladores e Operadores: O art. 42 da LGPD estabelece que o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. A responsabilidade pela reparação dos danos é solidária entre os agentes deles causadores. No que diz respeito especificamente aos operadores, como atuam sob mando do controlador, consideram-se responsáveis pela reparação dos danos causados por descumprimento à LGPD ou por desobediência às instruções lícitas do controlador.
Medidas de Segurança: O artigo 46 estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Sanções Administrativas

Quando houver infração à LGPD em decorrência do tratamento de dados pessoais, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação. As sanções administrativas estão previstas no art. 52 da lei, e são:

I – advertência, com indicação de prazo para adoção de medidas corretivas.

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

III – multa diária, observado o limite total a que se refere o inciso II.

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência.

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização.

VI – eliminação dos dados pessoais a que se refere a infração.

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período.

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

As sanções serão aplicadas após procedimento administrativo que possibilite a ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II – a boa-fé do infrator;

III – a vantagem auferida ou pretendida pelo infrator;

IV – a condição econômica do infrator;

V – a reincidência;

VI – o grau do dano;

VII – a cooperação do infrator;

VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 da LGPD;

IX – a adoção de política de boas práticas e governança;

X – a pronta adoção de medidas corretivas; e

XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Vigência

A LGPD está em vigor desde 18 de setembro de 2020. No que diz respeito às sanções administrativas, no entanto, modificação introduzida no inciso II do art. 65 da LGPD, pela Lei 14.010/2020, alterou o prazo de entrada em vigor, postergando-o para 1º de agosto de 2021.

 

Fontes:

LEI Nº 13.709, DE 14 DE AGOSTO DE 2018, disponível em:
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

LEI Nº 13.853, DE 8 DE JULHO DE 2019, disponível em:
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2019/Lei/L13853.htm#art2

LEI Nº 14.010, DE 10 DE JUNHO DE 2020, disponível em:
http://www.planalto.gov.br/ccivil_03/_Ato2019-2022/2020/Lei/L14010.htm#art20

 

Publicado:
Sugestões

Leia também:

Materiais gratuitos

Baixe também nossos materiais gratuitos

Tudo o que você precisa saber sobre o mercado gratuitamente e em um só lugar.

Receita recorrente para revendas

Utilizamos seus dados para analisar e personalizar nossos conteúdos e anúncios durante a sua navegação em nossa plataforma e em serviços de terceiros parceiros. Ao navegar pelo nosso site, você autoriza a Forpeople Softwares a coletar tais informações e utilizá-las para estas finalidades. Em caso de dúvidas, acesse nossa Política de Privacidade.