Guia da Lei Geral de Proteção de Dados (LGPD): Entenda como se adequar

Atualizado: 16 de Out de 2020

Autor: Alan Campos Elias Thomaz, professor e advogado com mais de 12 (doze) anos de experiência no setor de tecnologia, privacidade e proteção de dados, sócio fundados do AT | Alan Thomaz Advogados. Asessorou mais de dezenas de empresas em projetos de adequação à Lei Geral de Proteção de Dados, certificado como Fellow of Information Privacy (FIP), CIPM e CIPP/E pela International Association of Privacy Professionals (IAPP).


Introdução


A Lei Geral de Proteção de Dados (LGPD) estabelece regras detalhadas para que organizações realizem a coleta, uso, tratamento e armazenamento de dados pessoais no Brasil, impondo uma profunda transformação no sistema de proteção de dados do país, em boa medida alinhada com o recente Regulamento Europeu de Proteção de Dados (“GDPR”).

A LGPD afetará todos os setores da economia, inclusive as relações entre clientes e fornecedores de produtos e serviços, empregado e empregador e outras relações nas quais dados pessoas sejam coletados, tanto no ambiente digital, quanto fora dele.

A nova lei também cria um novo paradigma na legislação brasileira, seguindo tendências internacionais: os titulares dos dados como protagonistas com amplo controle acerca do tratamento de seus dados pessoais e as organizações com obrigações de documentar, dar maior transparência e prestar de contas sobre as práticas envolvendo o uso de dados pessoais.

As obrigações estabelecidas pela LGPD passaram a ser exigíveis a partir de setembro de 2020. O Autoridade de Proteção de Dados (“ANPD”) foi recentemente criada, sendo a entidade responsável por fornecer orientações de como a LGPD deve ser interpretada e aplicada, supervisionar o cumprimento da LGPD e, a partir de agosto de 2021, aplicar as sanções administrativas previstas na LGPD.


TERMINOLOGIA


A LGPD traz uma série de definições relevantes, que serão utilizadas ao longo desse Guia. Detalhamos a seguir algumas dessas definições.

O primeiro conceito relevante é o de dado pessoal. A LGPD define como “Dado Pessoal” toda informação relacionada a uma pessoa natural identificada ou identificável, ou seja, qualquer informação que possa ser relacionada uma pessoa, direta ou indiretamente. Exemplos de Dados Pessoais são o nome e o sobrenome, número do RG, CPF ou placa do veículo, perfis de comportamento, preferências pessoais, entre outras informações.

Alguns dados pessoais podem revelar aspectos da intimidade do indivíduo e assim recebem proteção especial pela LGPD.

São definidos como “Dados Sensíveis”, portanto, os dados pessoais sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a uma pessoa natural. O conceito abrange, por exemplo, os dados pessoais de colaboradores referentes aos históricos médicos para admissão, informações biométricas para o controle de entrada e saída da empresa, entre outras informações.


As operações realizadas com dados pessoais são chamadas de “Tratamento”. Tais operações de Tratamento incluem a coleta, produção, recepção, classificação, utilização, acesso, transferência, processamento, armazenamento, controle da informação, modificação, comunicação, transferência, difusão ou extração de Dados Pessoais. Em termos práticos, qualquer operação realizada com Dados Pessoais será considerada como um Tratamento.

A LGPD distingue em duas categorias aqueles que tratam dados pessoais. São os Controladores e os Operadores, que em conjunto são denominados “Agentes de Tratamento”. O “Controlador” é a pessoa ou empresa que tomará decisões referentes ao Tratamento de Dados Pessoais, enquanto o “Operador” é a pessoa (natural ou jurídica, de direito público ou privado) que realiza o Tratamento de dados pessoais em nome ou seguindo as instruções do Controlador.


ABRANGÊNCIA


A LGPD se aplica a qualquer operação de Tratamento realizada no território nacional ou mesmo fora do território nacional, independentemente de onde os agentes de Tratamento estão sediados ou os dados estão localizados, desde que:

o A operação de Tratamento seja realizada no território nacional;

o A atividade de Tratamento tenha por objetivo a oferta ou o fornecimento de bens e serviços no território brasileiro; e

o Os dados pessoais objeto do Tratamento tenham sido coletados no território brasileiro.

Portanto, todas as operações de venda de bens ou serviços, como por exemplo consórcios, financiamentos e seguros oferecidos no Brasil, estarão sujeitas à LGPD. Além disso, a lei é aplicada no Tratamento de dados pessoais realizado por qualquer meio, digital ou físico.

A LGPD engloba algumas exceções que entendemos ter pouca aplicação prática à empresas privadas.


PRINCÍPIOS

A LGPD estabelece dez princípios que trazem novas diretrizes e limitações sobre como os Dados Pessoais poderão ser coletados, tratados e compartilhados. Tais princípios são o fio condutor da nova lei, de modo que os Agentes de Tratamento devem adotar medidas capazes de demonstrar aderência a tais princípios.

Os princípios previstos na LGPD são:

o Finalidade: Qualquer dado pessoal tratado deve ter uma finalidade específica, devidamente explicada ao seu titular. Assim, o tratamento de Dados Pessoais deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, observadas as finalidades originárias;


o Adequação: o Tratamento de Dados Pessoais deve ser compatível com as finalidades informadas ao titular, de acordo com o contexto do Tratamento. As espécies de dados coletados/tratados devem ser adequadas à finalidade explicada ao titular;


o Necessidade: o Tratamento de Dados Pessoais deve ser limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do Tratamento de dados;


o Livre Acesso: é garantida aos titulares a consulta facilitada e gratuita sobre a forma e a duração do Tratamento, bem como sobre a integralidade de seus Dados Pessoais;


o Qualidade dos Dados: é garantido aos titulares que seus dados estejam exatos, claros, relevantes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade de seu Tratamento;


o Transparência: é garantido aos titulares o direito a informações claras, precisas e facilmente acessíveis sobre a realização do Tratamento e os respectivos agentes de Tratamento, observados os segredos comercial e industrial;


o Segurança: devem ser utilizadas medidas técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;


o Prevenção: devem ser adotadas medidas para prevenir a ocorrência de danos em virtude do Tratamento de Dados Pessoais;


o Não Discriminação: impossibilidade de realização de Tratamento para fins discriminatórios ilícitos ou abusivos; e


o Responsabilização e Prestação de Contas: demonstração, pelo agente de Tratamento, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de Dados Pessoais e, inclusive, da eficácia dessas medidas.


BASES LEGAIS


O Tratamento de Dados Pessoais apenas poderá ocorrer se justificado com base em uma ou mais bases legais previstas na LGPD. A LGPD estabelece dez hipóteses para o Tratamento de Dados Pessoais. São elas:


o Consentimento;

o Cumprimento de obrigação legal ou regulatória pelo controlador;

o Execução de contrato;

o Exercício regular de direitos em processo judicial, administrativo ou arbitral;

o Pela administração pública, quando necessário para execução de políticas públicas;

o Realização de estudos por órgãos de pesquisa;

o Proteção da vida;

o Tutela da saúde;

o Interesse legítimo do controlador ou de terceiro; e

o Proteção do crédito.


CONSENTIMENTO


A LGPD estabelece que o consentimento é a manifestação livre, informada e inequívoca que autoriza o Tratamento de Dados Pessoais para uma finalidade determinada. Autorizações genéricas, isto é, autorizações que não tem como escopo uma finalidade explícita e informada, serão nulas.

O consentimento deverá ser fornecido por escrito ou por qualquer outra ação afirmativa que demonstre a vontade do titular de dados. Um ponto relevante é que a LGPD não reconhece o consentimento implícito.

Além disso, o consentimento sempre será uma autorização precária, pois pode ser revogado a qualquer momento pelo titular, por procedimento gratuito e facilitado. Caso haja mudança na finalidade para o Tratamento de Dados Pessoais para o qual o consentimento do titular foi obtido e desde que essa mudança não seja compatível com o consentimento originalmente dado, o controlador deverá informar previamente o titular sobre as novas características do Tratamento ou obter novo consentimento, conforme o caso.

Na hipótese de dados tornados manifestamente públicos pelo próprio titular, o agente de Tratamento fica desobrigado de obter o consentimento para o Tratamento, observada a finalidade originária pela qual tais dados foram tornados públicos. Neste caso, devem ser observados também os demais direitos do titular e princípios estabelecidos pela LGPD.


LEGÍTIMO INTERESSE


Na medida em que o Tratamento não possa ser justificado com base no consentimento do titular ou em outra base legal, o interesse legítimo do controlador de dados se torna uma importante base legal para justificar o Tratamento.

O Tratamento de Dados Pessoais necessário para atender ao interesse legítimo do controlador ou de terceiro é permitido pela LGPD, desde que tal Tratamento não viole os direitos e as liberdades fundamentais do titular.

O interesse legítimo poderá justificar o Tratamento a partir da análise da situação concreta e com base nos princípios da LGPD, podendo ser regulamentado pela ANPD. A título de exemplo, a LGPD estabelece um rol não taxativo de finalidades que podem vir a justificar o interesse legítimo do controlador ou de terceiros, como: (i) o apoio e promoção de atividades do controlador; (ii) a proteção, em relação ao titular dos dados, do exercício regular dos direitos ou prestação de serviços que beneficiem o Controlador, desde que respeitadas as legítimas expectativas do titular dos dados.

No caso de Tratamento de Dados Pessoais com fundamento no interesse legítimo do controlador, somente os dados estritamente necessários, considerando a finalidade pretendida, poderão ser utilizados.


BASES LEGAIS – DADOS SENSÍVEIS


As hipóteses de Tratamento de Dados Sensíveis são mais restritas e não permitem o Tratamento, por exemplo, com base no interesse legítimo e na proteção de crédito.

As bases legais para Tratamento de Dados Sensíveis são:

o Consentimento específico e destacado (ou seja, uma autorização específica neste sentido);

o Cumprimento de obrigação legal ou regulatória;

o Exercício regular de direitos, inclusive em contrato ou em processo judicial, administrativo ou arbitral;

o Tratamento compartilhado de dados necessários à execução de políticas públicas pela administração pública;

o Realização de estudos por órgãos de pesquisa;

o Proteção da vida;

o Tutela da saúde; e

o Prevenção à fraude e segurança do titular.

Sem prejuízo de justificar o Tratamento de Dados Sensíveis em uma das bases legais acima, a LGPD também traz uma vedação expressa à comunicação ou o uso compartilhado de Dados Sensíveis, entre Controladores, com o objetivo de obter vantagem econômica.


DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES


O Tratamento de Dados Pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse.

O Tratamento de Dados Pessoais de crianças deve ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo representante legal, sempre que o consentimento for a base legal aplicável. Neste caso, os controladores deverão realizar todos os esforços razoáveis para verificar que o consentimento foi realmente fornecido pelo representante legal da criança.

DIREITOS DOS TITULARES


Um dos principais objetivos da LGPD é conceder aos indivíduos maior controle sobre como seus Dados Pessoais são utilizados. Para tanto, a LGPD consolida e concede ao titular dos dados uma série de direitos, incluindo o direito de:


o Receber informações claras e completas sobre o Tratamento de dados;

o Confirmar a existência do Tratamento e acessar os Dados Pessoais Tratados;

o Corrigir dados incompletos, inexatos ou desatualizados;

o Solicitar a Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação;

o Portar os dados para outro fornecedor de serviço ou produto;

o Solicitar a eliminação dos Dados Pessoais tratados com o consentimento do titular, ressalvadas as hipóteses de guarda para cumprimento de obrigação legal ou regulatória;

o Receber informação a respeito do uso compartilhado de Dados Pessoais;

o Receber informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

o Revisão de decisões tomadas unicamente com base em Tratamento automatizados; e

o Revogar o consentimento, por procedimento gratuito e facilitado.


TRANSFERÊNCIA INTERNACIONAL


Caso Dados Pessoais sejam transferidos para fora do Brasil, ainda que para apenas uma operação de Tratamento (i.e., só armazenar, fazer backup, utilizar servidor ou prestador de serviço fora do Brasil), certos requisitos devem ser observados. Assim, a LGPD permite a transferência internacional nas seguintes hipóteses:


o Quando realizada para países ou organismos internacionais que proporcionem grau de proteção de Dados Pessoais adequados ao previsto na lei, a serem reconhecidos pela ANPD;

o Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei, através de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais ou selos, certificados e códigos de conduta regularmente emitidos, a serem aprovados pela ANPD;

o Quando autorizada a transferência pela ANPD;

o Quando o titular fornecer seu consentimento específico e em destaque para a transferência, tendo sido fornecida informação prévia e distinta de outras finalidades sobre o caráter internacional da operação;

o Quando necessário para cumprimento de obrigação legal ou regulatória pelo controlador;

o Para execução de contrato ou procedimentos relacionados ao contrato do qual seja parte o titular, desde que requerido pelo próprio titular; e

o Para exercício regular de direitos em processo judicial, administrativo ou arbitral.


SEGURANÇA


A LGPD estabelece que as organizações devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (“Incidentes”).

Tais medidas deverão ser adotadas desde a fase de concepção do produto ou do serviço até a sua execução. Essa abordagem é denominada Privacy by Design.

Tal regra é propositalmente ampla, deixando a cargo da ANPD definir posteriormente e de tempos em tempos quais são as medidas técnicas e organizacionais adequadas para cada tipo de indústria ou negócio.

A ANPD poderá dispor sobre padrões técnicos mínimos para tornar essa regra mais objetiva, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia.


NOTIFICAÇÃO DE INCIDENTES


A LGPD impõe às organizações o dever de comunicar em prazo razoável à ANPD e aos titulares sobre Incidentes que possam acarretar risco ou dano relevante aos titulares.

A depender da gravidade do incidente, a ANPD poderá determinar a adoção de determinadas providências, como por exemplo a ampla divulgação do fato em meios de comunicação, e medidas para reverter ou mitigar os efeitos do Incidente.

Esta comunicação deverá conter no mínimo, as seguintes informações:

o descrição da natureza dos Dados Pessoais afetados;

o os titulares envolvidos;

o as medidas técnicas e de segurança utilizadas para a proteção dos dados;

o os riscos relacionados ao Incidente;

o os motivos da demora, no caso de a comunicação não ter sido imediata; e

o as medidas adotadas para reverter ou mitigar os efeitos do prejuízo causado pelo Incidente.


SANÇÕES E AÇÕES JUDICIAIS


Além da responsabilidade de indenizar o titular dos dados em ações individuais propostas pelos próprios titulares, pelo ministério público e demais entidades responsáveis pela defesa de direitos coletivos, a LGPD prevê sanções de caráter administrativo a serem aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), conforme indicadas abaixo:


o Advertência, com indicação de prazo para adoção de medidas corretivas;

o Multa de até 2% do faturamento no último exercício da empresa ou do grupo no Brasil, limitada, no total, a R$ 50 milhões, por infração;

o Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

o Bloqueio dos Dados Pessoais correspondentes à infração até a sua regularização; e

o Eliminação dos Dados Pessoais correspondentes à infração.

Enquanto as ações individuais e coletivas já são possíveis, as sanções poderão ser aplicadas somente a partir de agosto de 2021. As sanções administrativas podem ser aplicadas cumulativamente, considerando a gravidade e extensão da infração.


ADEQUAÇÃO À LGPD


Considerando as obrigações já expostas neste Guia e outras previstas na LGPD, a empresa deve (lista não exaustiva):

o Definir e documentar cada operação de Tratamento de Dados Pessoais e Dados Sensíveis em uma das bases legais previstas na LGPD;

o Indicar o Encarregado pelo Tratamento dos Dados Pessoais (“Encarregado”) , que deve atuar como canal de comunicação entre o controlador e os titulares e a ANPD. A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador;

o Elaborar políticas corporativas de segurança de informação, retenção de dados e uso adequado de dados pessoais, como medida organizacional para proteger os dados pessoais;

o Elaborar e disponibilizar aos empregados e clientes uma política de privacidade;

o Criar mecanismos internos para observar com os direitos dos titulares, como o direito ao acesso aos dados pessoais;

o Adotar uma das bases legais que justificam a transferência internacional de dados, quando aplicável;

o Elaborar um plano de resposta a Incidentes, para comunicar a ANPD e titulares em caso de Incidentes; e

o Revisar os contratos com fornecedores e prestadores de serviço que envolvam o compartilhamento de dados pessoais - a responsabilidade é solidária entre aquele que compartilha e recebe os dados pessoais.