Lei Geral de Proteção de Dados (LGPD): Guia definitivo 2024

A Lei Geral de Proteção de Dados (LGPD) foi sancionada pelo Presidente da República no ano de 2018 e sofreu mudanças significativas no ano seguinte. A Medida Provisória nº 2869/2018 (que posteriormente foi convertida em Lei sob o nº 13.709/2018).

Lei Geral de Proteção de Dados (LGPD) Guia definitivo 2024
Lei Geral de Proteção de Dados (LGPD) Guia definitivo 2024. Foto: Vector stock illustration

O processo de adequação de uma empresa aos termos exigidos no corpo da LGPD exige um certo tempo, dedicação e conhecimento técnico sobre o assunto. Na maioria dos casos, faz-se esse processo com o acompanhamento de um advogado que tenha especialidade no assunto e conhecimento sobre tecnologia da informação (TI).

As empresas que não seguirem o exigido pela lei, estão sujeitas a multa que incidirá sobre o faturamento anual, que pode chegar a vários milhões de reais, a depender do porte da empresa. Por isso, adequar-se o mais rápido possível é o ideal para todos os que possuem a obrigação de observância aos artigos desta lei.

Aqui trataremos sobre as principais mudanças e de esclarecer as principais dúvidas advindas da LGPD, com intuito de facilitar o ajuste do seu site com o previsto legalmente.

O que é Lei Geral de Proteção de Dados – LGPD?

A LGPD é a sigla para a Lei Geral de Proteção de Dados, uma norma Federal válida em todo território nacional, sancionada desde o ano de 2018. Como o próprio nome já sugere, o seu objetivo principal é disciplinar a forma correta para proteção de dados pessoais coletados.

O que é Lei Geral de Proteção de Dados - LGPD?
O que é Lei Geral de Proteção de Dados – LGPD? Foto: Freepik

A Lei Geral de Proteção de Dados do Brasil teve grande inspiração na Lei da União Européia chamada Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR, sigla em inglês). 

Ambas as leis trouxeram novas obrigações de condutas para as empresas dos mais diversos portes. Junto com essas novas obrigações vieram duras sanções para os infratores, por isso muitas empresas já se adequaram à norma.

Noutras palavras, a LGPD chegou para trazer mais segurança, privacidade e transparência no tratamento dos dados dos usuários.

O que protege a Lei Geral de Proteção de Dados – LGPD?

A LGPD veio para revolucionar e garantir o direito fundamental à liberdade, privacidade e o desenvolvimento da personalidade da pessoa natural por meio do aumento da segurança dos dados pessoais.

O que protege a Lei Geral de Proteção de Dados - LGPD
O que protege a Lei Geral de Proteção de Dados – LGPD. Foto: Vector Stock Illustration

Assim, a Lei Geral de Proteção de Dados brasileira visa proteger todas as informações capazes de identificar um indivíduo. Essa proteção é feita através de várias previsões contidas na lei, como por exemplo, de como é feita a coleta dos dados, o armazenamento e muito mais.

É uma lei que vai além da mera disciplina de tratamento de dados, a LGPD traz consigo: 

  • Maior respeito a liberdade de expressão e opinião; 
  • Liberdade de informação; 
  • Liberdade de comunicação; 
  • Promove a cidadania e a dignidade de pessoas naturais;
  • Auxilia ainda na iniciativa privada, na livre concorrência e muito mais.

Com isso, vemos que a proteção de dados é uma lei que promove e protege uma série de Direitos Humanos, por isso deve ser tratada com tal seriedade.

Fiscalização do cumprimento da LGPD

A dúvida de muitos é como será a fiscalização dos cumprimentos e/ou descumprimentos da LGPD. Esse ponto é bastante simples de ser explicado, tendo em vista que há um órgão que ficará competente para supervisionar e zelar pelo previsto legalmente. 

Fiscalização do cumprimento da LGPD
Fiscalização do cumprimento da LGPD. Foto: Freepik

O órgão que é responsável por essa fiscalização é a Autoridade Nacional de Proteção de Dados (ANPD), ele é Federal e integrante da Presidência da República. Este é o ator principal na vigilância, orientação e aplicação de penalidades em caso de descumprimento.

Quem deve respeitar a LGPD?

Uma das principais dúvidas é sobre quem deve ou não seguir o que está positivado na lei, no entanto, as pessoas obrigadas e as que têm isenções estão nos artigos iniciais da Lei nº 13.853/2019.

Quem deve respeitar a LGPD?
Quem deve respeitar a LGPD? Foto: Freepik

No caput do artigo 3º da LGPD podemos observar que estão sujeitas a sofrerem as sanções legais pela inobservância às pessoas (naturais e/ou jurídicas, seja de direito público ou privado) que façam qualquer operação de tratamento.

Se aplica, inclusive, mesmo que o país da sede de quem faça essa operação de tratamento seja outro, que não o Brasil, com isso dizemos que é uma lei extraterritorial. No entanto, para ser aplicado nesses casos, existem as condicionantes, que estão nos incisos do já mencionado art. 3º.

Para isso, a operação de tratamento precisa ser realizada no Brasil, que essa operação tenha como finalidade a oferta ou o fornecimento de bens e/ou serviços que o tratamento de dados pessoais de pessoas no Brasil ou que esses dados tenham sido coletados em nosso país.

Vale destacar que a lei considera que são dados coletados no nosso território, aquele que o titular dos dados se encontre no Brasil durante essa coleta.

LGPD para sites

É bastante comum que os sites façam a coleta de dados dos seus usuários, e isso pode acontecer de várias formas. A maneira mais comum é através do Google Analytics ou por meio do preenchimento de algum formulário disponibilizado dentro do site, as principais coletas são de:

  • IP do aparelho usado para acessar;
  • E-mail e telefone;
  • Os cookies;
  • Informações pessoais (sensíveis ou não);
  • Dados biométricos;
  • Comportamento de navegação etc.

Como observamos logo acima, os sites devem também adequar-se ao previsto na Lei  Geral de Proteção de Dados. Para os que ainda não fizeram esse ajuste, reforçamos a importância dessa adequação, pois o proprietário do endereço eletrônico poderá sofrer sanções severas.

A forma que os sites coletam e armazenam esses dados pessoais é significativo para que não haja nenhum vazamento. Mas caso ocorra algum problema, a postura da pessoa responsável deve ser sempre para atenuar os danos causados.

Caso haja falha nesse segurança ou que haja o vazamento de dados justamente por não haver segurança, o indicado é assumir o erro e buscar solução o mais breve possível. Nesses casos é imprescindível que haja uma auditoria.  

Como adequar seu site a LGPD

Superada essa parte inicial, que aborda questões mais conceituais e introdutórias, é chegada a hora de aplicar o conhecimento adquirido. A partir daqui, veremos na prática como fazer a adequação do seu site e deixá-lo conforme as exigências legais.

Como adequar seu site a LGPD
Como adequar seu site a LGPD. Foto: Freepik

Agora, além de entender como acontece o processo de adequação, veremos as punições para quem não adequou ou que fez isso de forma ineficiente. 

Será feito a indicações de ferramentas que irão auxiliar durante essa fase, mas que fique claro que são ferramentas de terceiros. O que for indicado neste ebook é apenas uma lista exemplificativa e nada impede que outras alternativas sejam buscadas.

Manter-se atualizado sobre a LGPD é outra forma de não deixar brechas nesse processo de adequação. Com o conhecimento da Lei, torna-se mais fácil identificar erros que prejudicam a segurança dos dados coletados.

Para deixar o site completamente adequado, há que cumprir requisitos básicos, a saber:

  • Consentimento de Cookie;
  • Termos e condições;
  • Política de Privacidade;
  • Opções do visitante apagar os seus dados;
  • Opções do visitante pedir os seus dados;
  • Opções do visitante modificar os seus dados;
  • Sistema de aviso por violação de dados.

Lembrando que esses requisitos são cumulativos, a ausência de um deles é o suficiente para infringir a lei. Todos devem estar presentes e em local visível e acessível para todos os usuários.

Princípios da LGPD

Como tudo no direito, as leis também sofrem influências de diversos princípios, que são usados para nortear os legisladores. Esses princípios nos mostram qual a finalidade da lei e o que ela busca tutelar.

Com a LGPD não foi diferente, e do seu art. 6º podemos extrair de maneira explícita uma lista com dez princípios norteadores deste dispositivo, que devem ser levados em conta no processo de adequação que será visto adiante,  dentre eles:

  • Finalidade específica:  Este princípio norteia para que o tratamento dos dados seja feito dentro dos parâmetros legais específicos e que são explícitos ao titular dos dados e nunca de maneira diversa a essa.
  • Adequação: correlato ao anterior, aqui temos que esse processo de tratamento de dados deve se dar de acordo com a finalidade informada e consentida pelo titular dos dados.
  • Necessidade: por esse princípio, o tratamento dos dados está limitado ao mínimo necessário para realização de acordo com a finalidade inicial consentida.
  • Acesso livre: como o nome sugere, esse princípio garante aos titulares dos dados pessoais coletados, a consulta de forma descomplicada e gratuita sobre esse processo de tratamento de dados integralmente.
  • Qualidade de dados: relacionado com o anterior, esse traz aos titulares dos dados coletados, a garantia de exatidão e clareza da atualização, de acordo com que for necessário para o tratamento de dados atingir a finalidade inicial. 
  • Transparência: este reforça princípios anteriores, garante informações acessíveis, de forma clara, integral e precisa sobre o tratamento inerente aos seus dados. 
  • Segurança: por esse princípio fica assegurado a utilização de técnicas para proteger os dados pessoais coletados dos usuários, para evitar invasão, vazamento, alteração etc .
  • Prevenção: esse, assim como o anterior, traz a exigência de adoção de medidas para prevenir a invasão, vazamento, perda etc, dos dados coletados dos usuários.
  • Não discriminação: atraves deste fica assegurado que esses dados coletatos não podem ser utilizados com fins discriminatórios, ilícitos e/ou abusivos. 
  • Responsabilização: por fim, tratamos deste princípio, onde o agente deve demonstrar que adotou medidas eficazes para o tratamento dos dados coletados por ele e que estas atendem o previsto legalmente.

Com isso, reforçamos a importância de observar todos os princípios desta lei no processo de adequação e também durante o tratamento de dados.

Bases legais

A LGPD traz algumas bases legais, essas são resumidamente, as circunstâncias que autorizam a coleta e o tratamento dos dados pessoais dos usuários. Para cada finalidade, deverá ser justificada em uma das seguintes bases legais :

  • Consentimento do titular;
  • Legítimo Interesse;
  • Cumprimento de obrigação legal ou regulatória;
  • Uso compartilhado de dados pela administração pública;
  • Realização de estudos e pesquisas;
  • Execução ou preparação de contrato;
  • Exercício de direitos em processo;
  • Proteção da vida ou da incolumidade física;
  • Tutela de saúde do titular;
  • Proteção de crédito.

Vale lembrar que não há hierarquia entre as bases legais, devendo cada uma ser aplicada de acordo com a finalidade de cada tratamento. Outra coisa importante, é que essas bases não se cumulam, por isso só uma base legal pode ser aplicada a cada finalidade.

Agora é a hora de ver detalhadamente quando cada uma é aplicada.

Consentimento do titular

De longe, a base legal mais conhecida e detentora de maior número de mitos. O consentimento é apenas uma das bases legais, por isso, há situações em que a coleta e tratamento de dados pessoais se dará independentemente do consentimento do titular dos dados, que serão demonstradas em outros tópicos.

Esse consentimento não pode ser feito de qualquer forma, pois precisa atender alguns requisitos legais previstos na LGPD para estar devidamente adequado. Por isso, solicitar a permissão para realizar o tratamento desses dados é tão importante. Relacionado a isto, a autorização para o tratamento deve ser:

  • Livre: esse consentimento precisa ser uma escolha do usuário, não podendo ser coagido de qualquer forma para aceitar. Não pode ser um “tudo ou nada”, o titular dos dados deve ter o poder de escolha para escolher sobre os dados que autoriza ou não que seja feita a coleta e tratamento.
  • Informado: deve estar claro para o titular dos dados a serem coletados que ele está consentindo com a coleta. Portanto a política de privacidade enorme, numa forma rebuscada, letras pequenas, em local de difícil localização etc, são condutas terminantemente opostas ao que a lei exige.
  • Inequívoco: o consentimento não deve ser algo presumido. Deve ser sempre inequívoco, partir de uma ação clara onde o usuário indica que concorda com essa captação de dados, seja por meio de aceite no local de navegação, via e-mail, assinatura eletrônica etc.
  • Com fins específicos e determinados: Os motivos para ser coletado os dados do usuário deve ser específico e determinado. E em respeito aos princípios já demonstrados acima, esses dados não podem ser utilizados de maneira diversa à acordada pelo usuário.

Esse consentimento só não se faz necessário em raras exceções, como no caso deste processamento ser indispensável para cumprir exigências legais previstas na LGPD ou em lei anterior a ela, ou ainda no caso de dados que foram tornados públicos pelos usuários, seja para organização privada ou pública, antes do vigor da LGPD. Por isso, nesse caso não se exige um novo aceite, mas nada impede que seja feito.

Consentimento Retroativo

Como tratamos logo acima, os dados que foram cedidos pelos usuários anterior a essa lei, podem passar por um processo de consentimento retroativo. 

Assim como você pode ter uma lista de leads que foi comprada ou fruto de uma parceria externa, que pela LGPD lhe proíbe de fazer e-mail marketing. Por isso esse tópico é de grande importância, pois reduzirá os danos causados pelo vigor da lei.

A estratégia do consentimento retroativo é voltada para que esse público alvo possa consentir de forma livre, informada e inequívoca para que seus dados sejam coletados e passem por tratamento com fins específicos e determinados.

Isso tanto reforçará a captação desses dados anterior a LGPD como tornará novamente útil, contatos que, em regra, não poderiam mais ser utilizados. Reforçamos que esse contato pode ser feito para todos os usuários, mas recomenda-se apenas para os que não possuem base legal.

Ao enviar para os usuários que, em tese, seriam leads mortos, há uma boa chance de conseguir o consentimento e torná-los úteis novamente. Mas quando se faz isso com usuários que você já tem base legal, corre o risco destes pedirem para não serem mais contatados e ter o efeito inverso.

Legítimo Interesse

O legítimo interesse também foi uma base legal muito falada e talvez a mais controversa entre as dez. Por ter um conceito muito vago, sua aplicação é recomendada apenas quando não couber nenhuma das outras nove.

A LGPD nos traz que o legítimo interesse poderá ser usado para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:

  • Apoio e promoção de atividades do controlador; e
  • Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

Dito isto, é importante ter atenção ao escolher essa base legal como fundamento. Por fim, destacamos que a ANPD pode solicitar ao controlador Relatório de Impacto à proteção de dados pessoais, quando o tratamento estiver fundamentado nessa base legal.

Cumprimento de obrigação legal ou regulatória

Essa base legal tem como objetivo principal evitar o conflito da LGPD com outras legislações, anteriores ou posteriores à sua entrada em vigor. 

Com isso, essa base deve ser usada para justificar o tratamento de dados que forem obrigações previstas em Lei, como nos casos de coletar os dados para emitir a nota fiscal de uma venda. Outro exemplo é informar os dados dos colaboradores à Secretaria Especial do Ministério da Economia, Previdência Social etc.

Uso compartilhado de dados pela administração pública

Como o próprio nome já sugere, essa base legal não está disponível para o uso privado. Deve ser usado pelos órgãos da administração pública para adequar a forma de coleta e tratamento de dados, já que em tese, é o maior banco de dados, pois tem o registro de todos os cidadãos.

A administração pública fica desobrigada a seguir em algumas ocasiões, como podemos observar:

  • Segurança pública; 
  • Defesa nacional;
  • Segurança do Estado; ou
  • Atividades de investigação ou de repressão de infrações penais.

Com isso, vemos que estes entes agora são obrigados a se adequarem, há momentos de exceções e um último ponto, é que estes não são passíveis de punições administrativas. 

Realização de estudos e pesquisas

Essa outra base legal é utilizada por órgãos de pesquisas. Esses dados são utilizados para fins de estudos de órgãos que são credenciados oficialmente como órgão de pesquisa.

Um detalhe muito importante é que esses dados coletados devem ser anonimizados. Vemos isso principalmente em épocas de eleições, pesquisas que apontam a aceitação e rejeição de candidatos, sem identificar as pessoas que participaram da pesquisa. 

Execução ou preparação de contrato

Essa base legal é bastante semelhante à do Consentimento. Essa é utilizada para justificar o tratamento de dados onde o próprio titular “pede”, para garantir a execução do contrato ou de procedimentos preliminares. 

A principal diferença entre essa base e a do consentimento é que nesse caso a revogação dos dados fornecidos não se dará a qualquer tempo, pois a outra parte fica resguardada da manutenção desses dados pelo período estipulado em contrato.

Exercício de direitos em processo

Outra base legal presente na LGPD é o exercício regular de direitos em processos (judiciais, administrativos ou arbitrais). Foi acertadamente garantida pelo órgão legislador para garantir o direito à produção de prova nesses casos.

Com isso, não cabe a oposição de tratamento de dados pessoais para os casos em que uma das partes apresente provas que contenham os dados pessoais da outra parte nesses processos.

Proteção da vida ou da incolumidade física

Essa base legal trata-se de uma proteção a bens de elevado interesse público, como no caso da vida e a incolumidade física. 

É a autorização para tratar os dados pessoais do titular nos casos em que este estiver com a vida ou saúde física em perigo. Isso acontece sem necessidade de consentimento do titular inclusive para dados sensíveis, desde que necessários.

Um ótimo exemplo disso é um hospital que recebe um paciente inconsciente e desacompanhado, o identifica e consulta seu histórico médico para saber quais procedimentos e medicamentos poderão ser utilizados para lhe salvar.

Tutela de saúde do titular

Seguindo a mesma lógica do anterior, essa base legal vai proteger a saúde do titular dos dados, no entanto, ela tem o uso restrito para profissionais da área da saúde,  serviços de saúde e/ ou autoridade sanitária.

Assim como na anterior, pode ter tratado dados pessoais sensíveis do titular, mas isso deve ser indispensável para resguardar a saúde deste.

Proteção de crédito

Essa base é exclusiva da lei brasileira, pois em nenhuma das leis de proteção de dados dos outros países trouxeram a proteção de crédito como justificativa para tratar dados.

Essa base legal é utilizada para aprovar crédito, assim é possível fazer o tratamento dos dados dos titulares e consultá-los, para diminuir os riscos da operação.

Dados pessoais 

Os dados pessoais é o grande tema central da LGPD, pois tudo que a lei regula, é voltado para a sua proteção. Para melhor assimilação do conteúdo a ser tratado neste tópico, se faz importante conhecer a conceituação do que se tratam os dados pessoais, isso irá ajudar também no seu processo de adequação, para identificar quais dados são ou não protegidos por essa lei.

Na própria lei já vem definido o seu conceito como todo e qualquer dado relacionado a uma pessoa natural identificada ou identificável. A partir disso, já cai por terra a dúvida de muitos sobre se a LGPD protege dados de Pessoas Jurídicas, e a resposta óbvia é que não, já que a lei traz a expressão “pessoa natural”.

Dentro do assunto de dados pessoais, encontramos ramificações, que  merecem uma atenção especial. Temos então os dados sensíveis e os de criança e adolescente.

Esses dados necessitam de uma forma diferenciada de tratamento de dados e, é justamente nesses pontos, que muitas tentativas de adequações falham.

Dados sensíveis 

Como dito, os dados sensíveis requerem uma atenção especial por parte de quem faz a coleta e o tratamento. Mas a primeira dúvida que surge, é quais dados são considerados sensíveis pela lei.

A resposta está na própria lei, e aqui veremos todos esses dados listados:

  • Referente à origem racial ou étnica; 
  • Religião e filiação a organização de caráter religioso; 
  • Opinião política; 
  • Filiação sindical, filosófica ou política;
  • Referente à saúde ou à vida sexual, 
  • Dado genético ou biométrico, quando vinculado a uma pessoa natural.

Sabendo quais são, a preocupação agora é como deve ser a coleta e o processamento desses dados. 

As hipóteses para o tratamento desses dados são: Com consentimento do titular, que deve ser de forma específica e destacada, sem esquecer das finalidades específicas. E sem consentimento do titular, quando for indispensável, nos seguintes casos:

  • Cumprimento de obrigação legal ou regulatória pelo controlador;
  • Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  • Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  • Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  • Proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou     
  • Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Como observado, as hipóteses diferem dos dados comuns e seguem diferindo quando se trata de dados de crianças e adolescentes, como veremos logo a seguir.

Dados de criança e adolescente

No tocante aos dados das crianças e adolescentes, a regra é obter o consentimento específico e em destaque, para a coleta e tratamento dos dados, de pelo menos de um dos pais ou dos seus responsáveis legais. 

O controlador deve cuidar para que o consentimento dado seja realmente de pelo menos um dos pais ou representante legal.

Os controladores dos dados pessoais de menores devem manter sempre pública todas as informações sobre a coleta, bem como a forma de sua utilização e também como os responsáveis podem fazer valer os seus direitos.

Em alguns casos o consentimento não é necessário, a saber: para contatar os pais e/ou o responsável legal, utilizados apenas uma vez e sem armazenar, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento.

Todas as informações de tratamento de dados de crianças e adolescentes devem atender requisitos como:

  • Simples;
  • Claras;
  • Acessíveis;

Levando ainda em consideração as seguintes características do usuário, para proporcionar a informação necessária aos pais ou ao responsável legal e de maneira adequada ao entendimento da criança e/ou adolescente.

  • Físico-motoras; 
  • Perceptivas; 
  • Sensoriais; 
  • Intelectuais; 
  • Mentais;
  • Recursos audiovisuais (quando adequado).

Portanto, para os sites que fazem essa captação de dados, deve atender os requisitos para não infringir a LGPD.

Atores da relação

É de muita importância conhecer e entender os atores dessa relação de coleta e tratamento de dados. Isso irá facilitar o entendimento da lei e consequentemente esse processo de adequação será menos dificultoso de compreender e aplicar.

  • Controlador: é a pessoa (física ou jurídica, privada ou pública), responsável por definir como será o processo de tratamento dos dados pessoais coletados do usuário.
  • Operador: este não toma decisões sobre os dados. É a empresa responsável por realizar o processamento dos dados pessoais conforme as recomendações do controlador.
  • Encarregado: mesmo lembrado por poucos, o encarregado, conhecido também como Data Protection Officer (DPO), até então é um agente obrigatório nessa relação para todas as empresas, mas a lei traz uma ressalva que poderá ser listado algumas isenções, no entanto, até lá, a obrigação segue para todos.

Em resumo, o encarregado ou DPO é um ponte que intermedia a relação entre a empresa, os titulares dos dados e as autoridades. Esse profissional deve treinar a equipe para que mantenham-se todos em conformidade com a LGPD.

Após conhecer os atores desta relação, damos um passo a mais para aprofundar no mundo da LGPD, com isso, agora iremos ver detalhadamente uma etapa muito importante que deve ser realizada logo no início da adequação, o mapeamento de dados.

Direitos dos titulares

Os direitos dos titulares de dados pessoais é assunto exclusivo de um capítulo da LGPD. Eles são claros e devem ser prontamente atendidos, quando solicitado pelo titular do dado.

O exercício desses direitos pode ser de forma individual, quando feita pelo próprio titular dos dados, ou de forma coletiva, através de órgãos que podem desempenhar essa função, como OAB, Procon, Ministério Público, Defensoria Pública etc.

Dentre os direitos dos titulares temos:

  • Confirmar a existência do tratamento de seus dados;
  • Acessar os dados coletados e armazenados pelo controlador;
  • Corrigir os dados incompletos, inexatos e/ou desatualizados;
  • Anonimizar, bloquear ou eliminar os dados considerados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Fazer a portabilidade de seus dados pessoais a outro fornecedor de serviço;
  • Eliminar os dados pessoais quando retirado o consentimento dado anteriormente;
  • Relação de com quem seus dados foram compartilhados;
  • Ser informado que poderá negar consentimento e quais suas consequências;
  • Revogar o consentimento.

As empresas devem ter a disposição um encarregado, que será o mediador entre o controlador, titular de dados e Autoridade Nacional de Tratamento de Dados. Esse encarregado recebe as solicitações e prontamente deve atendê-las.

O ideal é ter um canal de atendimento voltado apenas para o tratamento de dados e que esses canais estejam em locais acessíveis ao titular.

Transferência de dados

O compartilhamento de dados é outro ponto bastante delicado e que merece total atenção para estar devidamente adequado com a LGPD. Muitos mitos cercam esse tema, por isso se faz tão importante redobrar a atenção.

A transferência de dados de dados com terceiros pode acontecer mediante consentimento prévio do titular, de forma expressa, para fim específico, salvo nos casos previstos que dispensem esse consentimento.

No geral, é comum que os sites utilizem plugins para melhorar o desempenho e a experiência do usuário com a plataforma. Outro exemplo é um ecommerce que passa o endereço do cliente para a transportadora realizar a entrega.

São muitos os casos possíveis, no entanto, todos eles devem passar pelo consentimento do títular dos dados.

Sanções para o descumprimento da LGPD

As sanções administrativas para quem descumprir o previsto na Lei nº 13.709/2018, que como visto, será aplicada pelo órgão Federal Autoridade Nacional de Proteção de Dados (ANPD), serão efetuadas a partir do dia 1º de agosto de 2021.

Sanções para o descumprimento da LGPD
Sanções para o descumprimento da LGPD. Foto: Freepik

No entanto, antes de chegar nas penalidades mais duras, a ANPD irá fazer uma advertência e a indicação do que está em desacordo com a previsão legal. Superado esse primeiro momento, serão aplicadas as multas (que podem ser simples ou diária), além das suspensões e/ou proibição (parcial ou total) do banco de dados e/ou do direito de fazer o tratamento.

A multa simples vai de 2% do faturamento anual da pessoa jurídica de direito privado, além dos grupos e/ou conglomerados que estejam no território brasileiro. O teto dessa multa é de 50 milhões de reais e esses valores são por cada infração. No caso da aplicação da multa diária, o teto da multa também observa o mesmo parâmetro da anterior.

Deverá ser feita a publicização da infração após ter sido confirmada a sua ocorrência, além dos bloqueios dos dados pessoais relacionados à falha e a sua eliminação.

Para que as sanções sejam aplicadas, deverá passar por procedimento administrativo que oportunize direitos constitucionais ao infrator, como o direito à ampla defesa, que será de forma gradativa (isolada ou cumulativa) e de acordo com cada caso, seguindo os seguinte critérios: 

  • Gravidade e natureza da infração cometida; 
  • Se houve boa-fé por parte do infrator; 
  • Se houve alguma vantagem pretendida ou adquirida com a infração; 
  • Reincidência ou não; 
  • O grau do dano causado; 
  • Se houve mecanismos e ações para atenuar o dano causado; 
  • Políticas de boas práticas e governança; 
  • Instantânea adoção de medidas corretivas; e 
  • Proporcionalidade entre a penalidade e o dano causado.

Por isso, não há mais tempo a perder, a adequação do seu site com o previsto na LGPD deve acontecer imediatamente. Por mais que haja uma oportunização inicial para se regularizar, a demora para de regularizar pode custar muito caro para sua empresa.

O que fazer caso ocorra o vazamento de dados?

O comportamento da empresa quando ocorre algum vazamento de dados, independente do grau, é decisivo para diminuir os danos e, como já visto, é fator levado em consideração no momento de aplicar a penalidade.

A segurança dos dados coletados é indiscutivelmente responsabilidade de quem faz a coleta, mas tanto para evitar danos aos usuários quanto a própria empresa, detalharemos quais devem ser os procedimentos adotados nessa situação.

Identificação do vazamento

A primeira etapa é focada basicamente em descobrir os problemas de segurança que resultaram na vulnerabilidade dos dados. 

Para que essa fase seja satisfatória, é interessante ter ferramentas capazes de gerar relatórios, monitoramentos e avisos sobre o uso indevido, invasão etc.

Os colaboradores devem estar cientes que, ao tomar ciência de qualquer falha de sistema, invasão e/ou vazamento de dados (ou semelhantes) deve avisar imediatamente, antes que tome proporções irremediáveis.  

A paralisação dos sistemas afetados, bem como redefinir todas as senhas pode ajudar a prevenir o agravamento do caso.

Análise dos danos causados

Nesse momento, identificado que realmente houve a falha na segurança, a empresa tem que atribuir uma resposta imediata para evitar que os danos sejam agravados. Mesmo que sejam paliativos, tem que se fazer cessar todas as falhas.

Feito isto, é a hora de investigar a fundo o que deu origem a esta falha para resolver definitivamente, caso ainda não tenha sido feito. Com o mapeamento de todo o sistema, quase sempre se identifica a brecha usada pelo invasor, isso deve ser levado em consideração para a regularização.

Superado, comunique a todos, principalmente os envolvidos, da realidade dos fatos e o grau do dano causado. A transparência é muito importante em todas as etapas que envolvem a LGPD.

Aviso à Autoridade Nacional de Proteção de Dados (ANPD)

A etapa mais controversa, sem sombra de dúvidas, é ter que notificar a Autoridade Nacional de Proteção de Dados (ANPD). No entanto, a lei é omissa em relação a forma que esse comunicado deve ser feito, bem como o tempo hábil para que seja feito.

Paulo Nascimento

Paulo Nascimento

Advogado inscrito na OAB/RN sob o nº 17.985. Graduado em Direito em 2019. Pós-Graduado em Direito Civil e Empresarial 2021. Pós-Graduando em Direito Digital. Pós-Graduando em Lei Geral de Proteção de Dados.
AVISO LEGAL

Através do nosso blog, os usuários têm acesso a informações atualizadas sobre conteúdos relevantes do nicho jurídico, mas destacamos que todo conteúdo tratado aqui, tem fim meramente informativo, baseado no que já é de conhecimento público, ou seja, não é informação privilegiada ou promessa de quaisquer serviços aqui mostrado. Com isso, o Lumos Jurídico não assume obrigações de terceiros que porventura, forem mencionados em nossos artigos.

O Lumos Jurídico e suas empresas coligadas se eximem de qualquer responsabilidade referentes a prejuízos, diretos ou indiretos, que decorreram da utilização de seu conteúdo. Dúvidas, sugestões e reclamações, entre em contato com l[email protected]

LUMOS JURÍDICO.

Legal
Fale conosco
Contato