A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) é a legislação brasileira que regula as atividades de tratamento de dados pessoais. Inspirada no Regulamento Geral de Proteção de Dados (GDPR) europeu, a LGPD estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo maior proteção e penalidades para o não cumprimento.
A LGPD se aplica a qualquer operação de tratamento de dados realizada por pessoa natural ou jurídica, de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território brasileiro, os dados tenham sido coletados no território brasileiro, ou o tratamento tenha por objetivo a oferta de produtos ou serviços para indivíduos localizados no Brasil.
Sanção da Lei nº 13.709/2018 (LGPD), publicada no Diário Oficial da União.
Criação da Autoridade Nacional de Proteção de Dados (ANPD) por meio da Medida Provisória nº 869/2018.
Conversão da MP 869/2018 na Lei nº 13.853/2019, que altera a LGPD e estabelece a ANPD como órgão da administração pública federal.
Estruturação da ANPD com a publicação do Decreto nº 10.474/2020.
Entrada em vigor da maioria das disposições da LGPD, exceto as sanções administrativas.
Início da vigência das sanções administrativas da LGPD, permitindo que a ANPD aplique multas e outras penalidades.
O tratamento de dados deve ter propósitos legítimos, específicos, explícitos e informados ao titular, não podendo ser utilizados para finalidades incompatíveis com as originais.
O tratamento deve ser compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento e as expectativas razoáveis do titular.
Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, abrangendo apenas os dados pertinentes, proporcionais e não excessivos.
Garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
Garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
Garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento.
Utilização de medidas técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais, implementando controles proativos.
Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos, respeitando a igualdade e os direitos fundamentais.
Demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.
A LGPD confere aos titulares de dados (pessoas naturais a quem os dados se referem) uma série de direitos que devem ser respeitados pelos controladores e operadores. Conhecer e implementar mecanismos para atender a esses direitos é fundamental para a conformidade com a lei.
Direito de confirmar a existência de tratamento de seus dados pessoais.
Direito de acessar os dados e obter informações sobre como são tratados.
Direito de solicitar a correção de dados incompletos, inexatos ou desatualizados.
Direito de solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei.
Direito à portabilidade dos dados para outro fornecedor de serviço ou produto.
Direito de solicitar a eliminação dos dados tratados com base no consentimento.
Direito de ser informado sobre compartilhamento de dados com entidades públicas e privadas.
Direito de revogar o consentimento a qualquer momento mediante manifestação expressa do titular.
Direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados que afetem seus interesses.
Identifique todos os dados pessoais que sua organização coleta e processa. Documente quais dados são coletados, de quem, por que, como são usados, onde são armazenados, com quem são compartilhados e por quanto tempo são mantidos. Este mapeamento é fundamental para entender o ciclo de vida dos dados e identificar áreas de risco.
Determine as bases legais para cada operação de tratamento de dados. A LGPD prevê dez bases legais, incluindo consentimento, legítimo interesse, execução de contrato, cumprimento de obrigação legal, entre outras. Cada operação de tratamento deve estar associada a pelo menos uma base legal válida.
Elabore ou atualize sua Política de Privacidade, Termos de Uso e outros documentos relacionados para refletir as práticas de tratamento de dados da organização de forma clara e acessível. Estabeleça políticas internas que definam responsabilidades, procedimentos e controles para proteção de dados.
Adote medidas técnicas e administrativas de segurança proporcionais aos riscos, como controles de acesso, criptografia, anonimização, pseudonimização, backups regulares, e processos para testar, avaliar e manter a segurança dos sistemas que armazenam dados pessoais.
Designe um Encarregado pelo Tratamento de Dados Pessoais (ou Data Protection Officer - DPO), responsável por atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD, e por orientar funcionários sobre práticas de proteção de dados.
Implemente procedimentos e sistemas que permitam atender às solicitações dos titulares de dados para exercer seus direitos, como acesso, correção, exclusão e portabilidade de dados, dentro dos prazos estabelecidos pela lei.
Revise contratos com fornecedores e parceiros que atuam como operadores de dados pessoais, incluindo cláusulas de proteção de dados e definindo claramente as responsabilidades de cada parte no tratamento de dados.
Desenvolva um plano de resposta a incidentes de segurança que estabeleça procedimentos claros para identificar, conter, investigar e notificar violações de dados pessoais à ANPD e aos titulares afetados, quando necessário.
Realize treinamentos regulares e campanhas de conscientização para garantir que todos os colaboradores compreendam a importância da proteção de dados, conheçam as políticas e procedimentos relevantes e saibam como lidar com dados pessoais de forma adequada.
Implemente processos de monitoramento contínuo do programa de privacidade, realize auditorias periódicas, acompanhe mudanças legislativas e atualize práticas e documentação conforme necessário para garantir conformidade sustentada.
O descumprimento das disposições da LGPD sujeita os responsáveis a sanções administrativas aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), sem prejuízo de sanções civis ou penais.
A ANPD pode aplicar as seguintes penalidades, que serão sempre precedidas de um processo administrativo que assegure o contraditório e a ampla defesa:
A ANPD considerará diversos fatores ao aplicar sanções, como a gravidade e natureza das infrações, a boa-fé do infrator, a adoção de medidas para minimizar danos, o grau de dano causado, a vantagem obtida ou pretendida, a condição econômica do infrator, a reincidência e o grau de cooperação com a autoridade.
Realizar um inventário completo dos dados pessoais tratados pela organização, incluindo categorias de dados, finalidades, fluxos de dados, bases legais e avaliação de riscos.
Desenvolver e implementar políticas de privacidade, termos de uso, políticas internas de segurança da informação e procedimentos para gestão do ciclo de vida dos dados.
Estabelecer procedimentos e canais claros para que os titulares possam exercer seus direitos, com prazos e responsabilidades bem definidos.
Implementar mecanismos adequados para obtenção e gestão de consentimento quando aplicável, e documentar as bases legais para todas as operações de tratamento.
Adotar medidas técnicas e organizacionais adequadas para proteger dados pessoais contra acessos não autorizados, incidentes e vazamentos.
Designar um Encarregado (DPO) e publicar seus dados de contato na política de privacidade e canais de comunicação da organização.
Revisar e atualizar contratos com terceiros que tratam dados pessoais em nome da organização, incluindo cláusulas específicas de proteção de dados.
Conduzir Relatórios de Impacto à Proteção de Dados em tratamentos que possam gerar riscos significativos aos titulares.
Estabelecer plano de resposta a incidentes de segurança, definindo procedimentos para documentação, contenção, avaliação de riscos e notificação.
Implementar programa contínuo de treinamento e conscientização sobre proteção de dados para todos os colaboradores da organização.
Plataformas que automatizam a descoberta, classificação e mapeamento de dados pessoais em toda a infraestrutura da organização, facilitando a criação e manutenção de inventários de dados.
Saiba maisSoluções que gerenciam a obtenção, armazenamento e rastreamento de consentimentos, permitindo que os titulares controlem suas preferências de privacidade de forma transparente.
Saiba maisFerramentas que automatizam o recebimento, triagem, encaminhamento e resposta às solicitações dos titulares para exercerem seus direitos sob a LGPD.
Saiba maisTecnologias que protegem dados pessoais através de criptografia, mascaramento, pseudonimização ou anonimização, reduzindo riscos em caso de violação.
Saiba maisPlataformas que auxiliam na condução de Relatórios de Impacto à Proteção de Dados (RIPD), identificando e avaliando riscos nos processos de tratamento.
Saiba maisSoluções integradas que gerenciam todos os aspectos do programa de privacidade, incluindo políticas, treinamentos, avaliações de risco e métricas de conformidade.
Saiba mais