LGPD: Descrição da Lei de Proteção de Dados

O que é a LGPD?

A Lei Geral de Proteção de Dados Pessoais do Brasil, também conhecida como LGPD, foi implementada em 14 de agosto de 2018, após vários anos de debates e consultas. Esta lei de proteção de dados foi inspirada e é relativamente semelhante ao General Data Protection Regulation da União Europeia, também conhecido como GDPR. A nova lei de proteção de dados do Brasil entrou em vigor em maio de 2021 e exige que as empresas cumpram requisitos rigorosos relacionados ao processamento de informações pessoais e dados pessoais sensíveis.

O que são informações pessoais?

A LGPD também descreve o que são dados pessoais ou informações pessoais, semelhante à definição de informações pessoais no GDPR. A LGPD especifica que as informações pessoais ou dados pessoais podem se referir a qualquer informação que por si só ou combinada com outros dados permita identificar uma pessoa física ou sujeitá-la a um tratamento específico.

A LGPD se aplica a minha organização?

Seguem abaixo as diretrizes que definem a quem a LGPD se aplica:

A quem se aplica?

A LGPD deve ser cumprida por qualquer pessoa física ou jurídica, pública ou privada, que executem atividades de processamento de dados pessoais exercidas no Brasil, inclusive a coleta de informações pessoais, independentemente da localização da empresa. Empresas que oferecem ou fornecem mercadorias ou serviços no Brasil também estão sujeitas à LGPD.

Também é importante ressaltar que a LGPD não se aplica apenas a dados coletados dos cidadãos brasileiros. Qualquer pessoa que tem suas informações pessoais coletadas durante sua permanência no Brasil está protegida pela LGPD.

A quem não se aplica?

A LGPD não se aplica ao processamento de dados por pessoas que estejam processando dados para finalidades pessoais, para fins jornalísticos, artísticos, literários ou acadêmicos, ou em prol da segurança nacional, defesa nacional, segurança pública ou uma investigação criminal.

Conformidade com a LGPD: os nove direitos

De acordo com o artigo 18 da LGPD, os titulares dos dados detêm nove direitos fundamentais, incluindo:

  • Direito de acessar os dados

  • Direito de obter confirmação sobre a realização do processamento

  • Direito de corrigir dados incompletos, imprecisos ou desatualizados

  • Direito de anonimizar, bloquear ou excluir dados desnecessários ou excedentes, e também dados que não estejam sendo processados em conformidade com a LGPD

  • Direito de excluir dados pessoais processados com o consentimento do titular dos dados

  • Direito de fazer uso da portabilidade dos dados para outro provedor de serviços ou produtos mediante solicitação expressa

  • Direito de obter informações das entidades públicas e privadas com as quais o controlador dos dados tenha compartilhado os dados

  • Direito de obter informações sobre a possibilidade de negar o consentimento e as consequências de tal recusa

  • Direito de revogar o consentimento

A LGPD e as empresas

Confira a seguir tudo que você precisa saber sobre suas responsabilidades como empresa em relação à LGPD:

Obrigações das organizações

A LGPD prevê as seguintes obrigações para as empresas:

  • A pedido do titular dos dados, informar, corrigir, anonimizar, excluir ou fornecer uma cópia dos dados

  • Excluir os dados do clientes após a finalização do relacionamento em questão

  • Designar um DPO que seja responsável pelo recebimento de reclamações e comunicações

  • Adotar medidas de segurança técnicas e administrativas relativas aos dados para proteger as informações pessoais contra acesso não autorizado, acidentes, destruição e perda

  • Enviar uma notificação sobre a violação dos dados aos titulares dos dados e autoridades locais em caso de violação

Execução

O então Presidente do Brasil, Michel Temer, assinou no dia 28 de dezembro de 2018, pouco antes de deixar o cargo, um decreto para criação oficial da ANPD, a Autoridade Nacional de Proteção de Dados. O órgão é responsável pelo cumprimento de todos os aspectos da LGPD. Tecnicamente, trata-se de um órgão com total autonomia, embora seja diretamente vinculado ao gabinete do presidente.

O artigo 55(j) do Decreto nº 869/18 estabelece que a ANPD possui a autoridade de, entre outros:

  • Editar normas e procedimentos sobre a proteção de dados pessoais e privacidade;

  • Na esfera administrativa, deliberar sobre a interpretação da LGPD, incluindo nos casos em que a lei é omissa;

  • Solicitar informações sobre o processamento de dados pessoais dos operadores e controladores de dados;

  • Fiscalizar e impor sanções administrativas em caso de violações da LGPD;

  • Promover a proteção de dados e privacidade na sociedade brasileira; e

  • Elaborar estudos sobre práticas nacionais e internacionais de privacidade a proteção de dados e firmar parcerias com autoridades de outros países para ampliar a cooperação internacional.

Penalidades

Sob a LGPD Brasil, as multas e penalidades não são tão severas quanto as previstas no GDPR. As sanções administrativas da LGPD chegam ao máximo a 2% da receita da empresa brasileira ou até US$ 8,9 milhões por infração, comparadas com os 4% da receita global ou até US$ 23,8 milhões em caso falta de conformidade com o GDPR.

Como garantir a conformidade com a LGPD

Para estar em conformidade com a LGPD, sua empresa precisa criar o cargo de Chief of Data Treatment que é o responsável pela proteção de dados (DPO) e operações de processamento de dados. As responsabilidades do DPO incluem aceitar reclamações e comunicações dos titulares dos dados e do órgão nacional de proteção de dados, orientar os colaboradores sobre as boas práticas e exercer outras funções definidas pelo controlador ou descritas em regras complementares.

Em caso de violação dos dados, o controlador precisa enviar uma notificação sobre a violação dos dados à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular dos dados dentro de um prazo razoável caso a violação seja passível de causar danos ou colocar em risco os titulares dos dados. A mensagem de notificação sobre a violação deve conter informações sobre os titulares dos dados envolvidos, a natureza dos dados pessoais afetados, as medidas de segurança que foram tomadas, os riscos gerados pelo incidente, os motivos pelo atraso na comunicação, se houver, e as medidas de proteção da privacidade que foram ou serão adotadas.

Não são considerados dados pessoais, segundo a definição do Artigo 12 da LGPD:

“os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando puderem ser revertidos."

Com o mascaramento irreversível das informações pessoais e dados sensíveis, as organizações continuariam protegidas caso estes dados anonimizados fossem expostos durante uma violação acidental ou maliciosa.

Para obter mais informações sobre as melhores práticas de compliance, saiba como a Delphix permite, com sua Plataforma de Dados API-first, que as equipes encontrem e mascarem dados sensíveis para garantir a conformidade com as leis de proteção de dados.