Guia completo de introdução a LGPD

A Lei Geral de Proteção de dados tem incidência em praticamente todos os campos os da nossa vida, ela incide não apenas nos sites de empresas, lojas, como também em contratos de serviços, de operadoras e até mesmo em regulamentos de condomínios. ¹

 Se você já ouviu falar desta lei, já viu algum aviso de cookies em algum site, ou precisa se adequar a mesmo, com certeza você deve ter curiosidade para saber mais sobre o assunto.

Nesse texto vamos te explicar detalhadamente o que é a LGPD e como ela é aplicada, trazendo pontos relevantes sobre esse assunto.

• LGPD é a sigla dada para a Lei Geral de Proteção de Dados do Brasil, ela entrou em vigor nesse ano, de 2020, mas  suas sanções só passarão a vigorar a partir do dia 1º de agosto de 2021. 
• Ela traz regras que devem ser respeitadas a respeito do armazenamento, compartilhamento, tratamento e coleta de dados pessoais, discorrendo inclusive sobre as penalidades para quem não obedecer essas regras.
• Está legislação foi inspirada no Regulamento Geral de Proteção de Dados, da Comissão Europeia, para proteger dados e informações dos brasileiros, seja online, ou offline.
• O Governo ao criar essas regras busca trazer a ideia de que o país é seguro para incentivar as empresas internacionais a se instalarem aqui e que o armazenamento de dados ainda pode acontecer, desde que o titular permita e saiba a finalidade da utilização.

O que é LGPD?

LGPD é a sigla que denomina a Lei Geral de Proteção de Dados do Brasil,  que pretende proteger todos os dados pessoais utilizados por brasileiros ou por empresas,  pessoas, que estejam no território brasileiro, incidindo em alguns casos inclusive fora do nosso país, previsto na Lei nº 13.709, de 14 de agosto de 2018.

Ela busca proteger os direitos fundamentais de liberdade e privacidade que estão previstos na Constituição Federal.

Em sites ou blogs, normalmente elas ficam explicitas na Política de Privacidade ou nos Termos de Uso.

Devem respeitar a legislação geral de proteção de dados todas as pessoas físicas ou jurídicas,  públicas ou privadas, que realizem o manuseio, tratamento de dados pessoais, inclusive os que são coletados sem obrigatoriedade.

Ela surgiu com o objetivo de defender os direitos fundamentais de liberdade e privacidade. ²

 A Fiscalização da adequação dos sites, empresas e condomínios a LGPD é da ANPD (Autoridade Nacional de Proteção de Dados).

Ela é responsável por receber denúncias e verificar se essas denúncias são verdadeiras, além de aplicar punições que para os agentes públicos serão equiparadas a punições de compatíveis com improbidade administrativa.

 A ANPD também é responsável por punir as empresas privadas, podendo dar uma advertência ou mesmo punições mais severas para elas, com multas diárias, conforme o grau de desrespeito a legislação abordada, ou multas fixas de até 2% do faturamento, desde que não ultrapasse o teto de R$ 50 milhões, conforme prevê o Art.52 da Lei Geral de Proteção de Dados.

Agentes previstos na relação de proteção de dados

 A Legislação Geral de Proteção de dados trouxe os sujeitos da relação de tratamento, informando inclusive a responsabilidade de cada um deles. ³

• Titular: É o proprietário dos dados pessoais.
• Operador: Pessoa física ou empresa que é responsável por realizar o tratamento dos dados pessoais através de ordem do controlador.
• Controlador: É a pessoa física ou a empresa que é responsável pela coleta de dados pessoais, sua finalidade e o tratamento dele.
• Encarregado: O encarregado é a indicação do controlador de uma pessoa física, que será responsável por atuar como canal de comunicação entre o titular, o controlador e a autoridade nacional, tendo como função ainda orientar os funcionários do controlador sobre a LGPD e como deve acontecer o tratamento dos dados pessoais coletados.

Dica: Se você tem ou trabalha com sites, leia nosso guia sobre direitos autorais na internet.

Dados pessoais e o tratamento

 A lei traz o modo como deve ser realizado o tratamento dos dados pessoais das pessoas, abordando como eles devem ser manuseado desde a sua coleta até o seu descarte.

Para entender melhor como isso deve acontecer, é importante que você saiba primeiramente o que é dado pessoal e tratamento de acordo com essa lei.

• Dado pessoal é toda e qualquer informação que torna possível a identificação, ainda que indireta de um indivíduo, desde que ele esteja vivo, não se restringindo a dados como RG, CPF ou qualquer documento de identificação, inclusive fotografias, cartão bancário, endereço de IP e cookies. Os dados pessoais sensíveis têm uma proteção maior da LGPD.
• Dados pessoais sensíveis são aqueles que tem vínculo com características pessoais do indivíduo e podem acarretar alguma prática discriminatória, como a origem racial, ou étnica,  escolha religiosa e opinião política.

O  Tratamento de dados pessoais está previsto no Artigo 5°, da LGPD, sendo o rol que traz esse artigo exemplificativo e trata-se de toda operação de dados relacionados às pessoas, que diz:

Art. 5, II, da Lei 13.708, – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

A Lei também estabelece que os dados pessoais podem ser anonimizados,  não sendo cabível que após a anonimidade seja possível identificar o proprietário dos dados pessoais que foram coletados. 

Os dados pessoais, em sua maioria tem o seguinte ciclo: Coleta – armazenamento – Difusão (distribuição) – compartilhamento ( transferência/ transmissão) – processamento (reprodução, classificação,  avaliação) – acesso ( utilização) – eliminação. 

O armazenamento de dados pode acontecer, respeitando o que prevê a LGPD, ele não é totalmente proibido, é necessário apenas que sejam respeitados alguns requisitos.

Para ser armazenado os dados, deve que o titular dos mesmos autorize, sua coleta e armazenamento, estando cientes de para que fim eles serão usados, inclusive, é necessário que o titular concorde com o período de armazenamento.

Anonimização dos dados pessoais

O dado anonimizado é um dado que provavelmente a empresa, site, entre outras pessoas jurídicas ou físicas que trabalham com o tratamento de dados, possuem relativos a uma pessoa, mas que passou por ciclos que fizeram a desvinculação deles a pessoa que originalmente eles eram relativos.

Quando isso acontece, o dado não é mais protegido pela LGPD, já que não é possível que reconstruir por meios técnicos quem era a pessoa titular dos dados agora anonimizados.

Se ocorrer a vinculação dos dados a uma pessoa, isso quer dizer que aconteceu uma pseudonimização, estando então o dado pessoal sujeito a legislação  geral de proteção de dados.

Dica: Escreve para a internet e teve conteúdo copiado? Saiba o que fazer.

Alcance Territorial

A Lei Geral de Proteção de Dados tem incidência em todo território brasileiro e inclusive fora dele, dependendo da situação. ⁴

Veja abaixo alguns exemplos da incidência da LGPD nos dados coletados:

• Dado coletado no Brasil;
• Dados coletados fora do Brasil, mas que serão tratados dentro do território brasileiro;
• Empresas estrangeiras que coletam dados no Brasil.

Imagine que você está participando de uma pesquisa e responde um questionário a respeito dos seus gostos, nessa pesquisa é necessário inclusive que você informe seus dados pessoais, como: nome completo,  RG,  CPF,  número de telefone, endereço completo e e-mail.

Após algum tempo você começa a receber ofertas de cupcake no seu e-mail e mensagens de celular, mas você não sabe como aquela empresa que vende cupcakes descobriu que esse é seu doce predileto.

Essa conduta é muito comum de acontecer, empresas vendem seus dados ou os repassam em busca de receber dados de outras pessoas, em busca de incentivar inconscientemente você a realizar algum ato, no caso exibido, que você realizae a compra de cupcakes.

O legislativo criou a LGPD para tentar cessar situações como essa, onde os dados pessoais de um cidadão são vendidos, sem que ele saiba.

Os direitos ficaram claros e, com a criação dessa norma é proibido que qualquer dado pessoal possa ser vinculado ao seu proprietário, sendo  desrespeitadas as normas trazidas na lei, inclusive que esses dados sejam repassados a terceiros com possibilidade de identificação das pessoas que o forneceram.

A LGPD por trazer como um dos seus fundamentos a proteção de dados busca englobar inclusive os dados que são coletados fora do Brasil, mas que serão tratados dentro dele, trazendo isso como um fato incentivador as empresas que desejam entrar em países seguros.

Exemplo: Um passageiro A, compra sua passagem em um país diverso do Brasil, mas embarca para o nosso país.  Ao chegar no Brasil, a companhia aérea deve respeitar todas as regras de tratamento de dados trazida pela LGPD.

Dessa maneira, é possível entender que mesmo os dados coletados fora do Brasil devem respeitar a legislação ao adentrarem em nosso país.

A lei também trouxe normas para as empresas estrangeiras que coletam dados de brasileiros, as enquadrando nas mesmas normas que as empresas brasileiras, não permitindo que os dados pessoais sejam vendidos, divulgados, repassados, excluídos e, arquivados, sem acontecer antes a anonimização deles.

LGPD e a Internet

A Legislação de proteção de dados, deixa claro que ela não engloba em suas normas apenas contratos, documentos físicos, de empresas, mas sim, todo e qualquer dado pessoal, seja ele no ambiente virtual ou não, dessa forma todos forma de coleta de dados, sejam eles online ou não, devem se adequar a mesma.

Você já deve ter observado que a maioria dos sites atualmente traz perguntas a respeito de cookies.

É através desses cookies que você permite que a empresa analise seu perfil, seus dados.

Mesmo sendo permitindo por você que isso aconteça, o proprietário do site, empresa, ou loja do âmbito virtual, deve anonimizar seus dados, transformando suas informações em dados impossíveis de serem relacionados a você. 

O desrespeito dessa lei pode gerar não apenas avisos, como punição por parte da autoridade fiscalizadora e, essas punições podem gerar além de dor de cabeça ao dono do site, a necessidade de pagamento de uma multa que nem sempre terá o valor acessível.

Por esse motivo, é importante que os sites, sejam blogs, ou institucionais,  se adéquem ao que prevê a LGPD, devendo reformular pelo menos as páginas de contato, criar critérios e implementar novas politicas, verificar as informações, inclusive as mais sensíveis e coletadas antes da lei entrar em vigor, criar ou adotar medidas de proteção aos sistemas corporativos entre outros pontos importantes.

Se você tem dúvidas, recomendamos que contrate um DPO, que é o especialista em proteção de dados.

LGPD e as empresas

Todas as empresas, incluindo as pequenas e médias empresas, devem respeitar as regras da LGPD, devendo haver desde que entrou em vigor a lei, a permissão dos clientes para que possam ser usadas suas informações, além de ser necessário que a empresa informe ao cliente para que aqueles dados estão e serão usados.

É importante, que o cliente seja informado expressamente da finalidade que a empresa tem com os seus dados, e que concorde com eles, sendo proibido que as empresas utilizem os dados para fim diferente do declarado ao cliente.

Assim, é necessário que as empresas busquem conhecer as regras da LGPD para se adequar a elas, mudando a cultura da gestão de dados, contratando inclusive, pessoas especializadas no tratamento e segurança desses dados.

Pois, podem ser responsabilizadas não apenas pela utilização dos dados pessoais, como também por roubos de terceiros, sendo passíveis de sanções e multas.

Casos em que a LGPD não incide

Mesmo a Lei incidindo em diversas áreas que trabalham com dados pessoais e sensíveis, há previsão nessa legislação de alguns casos onde não são a LGPD não se aplica.

 O artigo 4º, II da Lei 13.709 traz essas possibilidades sendo elas as seguintes:

• Dados pessoais – desde que tenham fins particular e não econômicos: Dados que não serão publicados, divulgados nem mesmo explorados, como é o caso de diários escritos em um caderno, bilhetes, recados, cartas de amor entre apaixonados, entre outros.;
• Dados pessoais com finalidade jornalística ou artísticas: Os dados com finalidade jornalística ou artística não são obrigados a respeitar as regras da LGPD, segundo a liberdade de expressão e de imprensa, que traz a Carta Magna do nosso país. Além disso, o jornalismo é um meio de fiscalizar a democracia e informar os cidadãos dos fatos que ocorrem. Outro fator que embasa a não incidência para o jornalismo é o interesse público.
• Dados pessoais para fins acadêmicos: Os dados pessoais que tiverem finalidade absolutamente acadêmica, e apenas para pesquisa, sem nenhuma finalidade econômica ou comercial,  não são regidos pela lei. Além disso, é importante lembrar,  que os dados  ainda que acadêmicos,  quando forem participar de qualquer etapa do tratamento, devem ser anonimizados.
• Dados pessoais de fora do território nacional sem comunicação ou compartilhamento de empresas brasileiras:  A LGPD não se aplica aos dados pessoais que as empresas brasileiras, que são contratadas por empresas estrangeiras para fazer o tratamento desses dados, os devolvendo ao país de origem, desde que esse país tenha uma legislação de proteção de dados.
• Dados pessoais com finalidade de defesa nacional, segurança pública, segurança do Estado e atividades de investigação e repressão de infrações penais: Os dados pessoais para finalidade acima citadas, são isentos da aplicabilidade, sendo previsto inclusive no artigo 4°, parágrafo 1° da LGPD, que os dados com as finalidades supracitadas terão uma legislação específicas e serão tratados pelo Poder Público. 
• Dados pessoais e extraterritoriais: Os dados pessoais que foram coletados fora do território brasileiro, sem comunicação ou compartilhamento com agentes brasileiros, ou transferidos de maneira internacional não há aplicabilidade da LGPD, visto que os dados não são provenientes do território brasileiro e não serão tratados no Brasil.

Princípios da Lei

 A LGPD em buscando de facilitar o entendimento de como deve acontecer o tratamento dos dados pessoais, traz princípios para nortear as práticas e a boa conduta das pessoas físicas e jurídicas que utilizam dados pessoais.

 Princípio da boa-fé

 O princípio da boa-fé, muito conhecido, por fazer parte de diferentes áreas do direito, também está presente na LGPD, onde fica claro que é além de ser um elemento ético das relações, é um princípio que orienta a forma como deve acontecer a interpretação jurídica, levando em consideração a lealdade que deve existir entre as partes.

 Esse princípio traz consigo deveres que devem ser respeitados pelas pessoas a quem se aplica essa legislação, como o cuidado com os dados, o sigilo dos dados pessoais, a prestação de contas, entre outras responsabilidades éticas.

 Princípio da finalidade

 O princípio da finalidade, adequação e  necessidade, estão presentes na legislação de proteção aos dados e tem ligação direta com o titular dos dados, pois eles estão associados diretamente ao que prevê o artigo 5, X da Carta Magna. ⁵

 O princípio da finalidade consiste na ideia que de informar ao titular dos dados qual será a finalidade da utilização das suas informações.

 Assim, de acordo com esse princípio os dados devem ser tratados, respeitando a função especifica informada ao seu titular, sendo proibido que aconteça posteriormente tratamento com finalidade diferente da apresentada.

O artigo 8º, paragrafo 4º da LGPD, deixa isso claro, ao discorrer que o titular dos dados precisa ter ciência de todas as formas e detalhes de como serão utilizados seus dados, por isso o tratamento diverso dos dados, é contrária a previsão legal e pode gerar serias consequências, onde diz:

§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.

 Princípio da adequação

Esse princípio tem vínculo com a justificativa da pessoa jurídica ou pessoa física, que utiliza os dados para uma finalidade. A adequação diz respeito a compatibilidade da empresa com os dados pessoais que são necessários serem informados a ela, ou que ela coleta.

Sendo assim, é necessário que os dados coletados sejam justificáveis de serem requisitados pela empresa ou pessoa física, que irá os utiliza.

 Veja o exemplo:

Um e-commerce que vende móveis planejados, dificilmente necessitará saber dados a respeito da saúde dos seus clientes, por esse motivo, se for realizada coleta de dados a respeito da saúde do cliente nesse caso, fica clara que o princípio da adequação não está sendo respeitado.

Princípio da necessidade

Nesse princípio fica estabelecido que as pessoas jurídicas ou físicas que utilizarão os dados, devem usar apenas o que for necessário e correspondente com  suas finalidades, proporcionais as relações criadas com o proprietário dos dados, sem utilizar de forma excessiva os dados pessoais.

É importante lembrar, que quanto mais informações, dados forem utilizados para realizar o tratamento, maior é a responsabilidade de segurança que se deve ter.

Outros Principios:

 Principio da qualidade de dados

A qualidade de dados estabelece que os dados pessoais do cliente ou usuário, devem estar sempre atualizados e conter informações verdadeiras, garantindo clareza, exatidão dos dados de acordo com a finalidade do tratamento.

Princípio da transparência dos dados

As informações utilizadas e vinculadas nos meios de comunicação por qualquer empresa ou site, que utilize dados devem ser verdadeiras, claras e precisas.

Esse principio estabelece ainda, que os dados não podem ser repassado para terceiros de forma oculta.

Princípio de livre acesso de dados

A empresa deve permitir que a pessoa física de quem foram coletados os dados, tenha acesso aos seus dados de forma livre e gratuita, sempre que desejar, podendo buscar informações inclusive, de como e para qual finalidade estão sendo utilizados os seus dados e a forma de tratamento, inclusive o tempo que eles serão utilizados.

Princípio da prevenção

Esse princípio norteia,  que as empresas devem agir de forma previa para que não acorra nenhum problema com o tratamento dos dados pessoais, sendo uma maneira de lembrar que a empresa deve agir antes de qualquer problema existir.

Princípio da segurança

Nesse principio é assegurado que a empresa deve ter meios e tecnologias que protegem todo e qualquer dado pessoal que realizem tratamento, de ser acessado por terceiros, sendo esse terceiro autorizado ou não.

 Por meio do principio da segurança é estabelecido ainda que deve tomar medidas para resolver qualquer situação acidental, como por exemplo, perda ou comunicação de dados.

Principio da não-discriminação

 Os dados pessoais sensíveis, são os dados que são utilizados frequentemente de má-fé para discriminação, pois eles tratam da origem racial, opinião politica, entre outros.

Esse principio é um meio de proteção para que isso não ocorra, já que estabelece que os dados pessoais nunca podem ser utilizados de forma discriminatória ou possibilitar qualquer forma de abuso contra seus titulares.

Principio da responsabilização e prestação de contas

Através desse principio, fica claro que as empresas devem demonstrar que adotaram todas as medidas para respeitar o que prevê a LGPD, podendo demonstrar através de treinamentos feitos em equipe, utilização dos sistemas que garanta segurança aos dados.

Já a prestação de contas, deve acontecer por meio da entrega de um relatório a ANPD, como prevê o artigo 5º, XVII da legislação geral de proteção de dados. ⁶

 Perguntas frequentes:

 Como posso coletar dados pessoais respeitando a lei?

 Para coletar dados pessoais, seja através de formulário, de dados informados em uma compra, ou por qualquer outro meio, é necessário que as empresas e organizações disponibilizem um termo de consentimento do uso dos dados para seus clientes, ou usuários (no caso de sites), para solicitar assim, a permissão do titular dos dados para utilizá-los, ou realizar qualquer etapa do tratamento.

 Existe uma maneira de diminuir a multa pela não adequação a LGPD?

 Sim, algumas atitudes podem ser tomadas para diminuir a multa que acontece pelo desrespeito do que prevê a LGPD, como a adoção de medidas corretivas de forma imediata, cooperação da empresa, organização, do infrator, mecanismos de proteção internos que possibilitem diminuir os danos já causados e previnam que ele aconteça novamente.

 Ficou alguma dúvida? Deixe seu comentário abaixo que nossa equipe responderá o mais breve possível.