Guia para a Lei Geral de Proteção de Dados Pessoais (LGPD)
O que é a LGPD? Ela afeta seu negócio? Como ficar em conformidade com ela? Nas seções abaixo, respondemos essas perguntas de maneira fácil e compreensível.
A Lei Geral de Proteção de Dados Pessoais (LGPD) pode ser considerada a resposta brasileira ao GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia – com muitos alinhamentos da lei brasileira em relação à europeia, mas também com algumas diferenças. A intenção da lei é substituir ou complementar o atual panorama jurídico bastante disperso, que conta com mais de 40 especificações federais para o setor, e criar um marco regulatório.
O objetivo da LGPD é criar um marco regulatório para o uso pessoal de dados no Brasil, tanto on-line quanto off-line, nos setores públicos e privados.
De modo geral, a LGPD exige que os dados pessoais sejam tratados apenas para fins lícitos, específicos, explícitos e claramente definidos. Assim como o GDPR, aplicam-se também os princípios de transparência e minimização de dados (usar apenas os dados necessários).
Apesar de uma proposta anterior para postergar a data em que a LGPD entraria em vigor para dezembro, o senado votou que a sugestão fosse removida do Projeto de Lei da Conversão (PLV) 34/2020. A lei foi sancionada pelo presidente e teve o início de sua aplicação confirmado para 18 de setembro de 2020. Nesse cenário, foi emitido um decreto para a criação de uma Autoridade Nacional de Proteção de Dados (ANPD).
A APD brasileira (ANPD) publicou uma versão atualizada da “Orientação Brasileira Atualizada para Agentes de Processamento de Dados Pessoais e Encarregados da Proteção de Dados”, esclarecendo conceitos sob a LGPD e orientações anteriores. Leia as atualizações aqui.
Por exemplo, uma empresa da internet pode coletar suas informações de usuário por meio do seu website e armazená-las usando um serviço de nuvem terceiro. Nesse caso, a empresa da internet é a controladora de dados e a organização que realiza o serviço da nuvem é a operadora de dados.
Assim como o GDPR, a LGPD aplica-se a um escopo territorial que vai além do Brasil. Isso significa estar em conformidade com ela mesmo que você ou seu negócio não esteja localizado no Brasil. Na prática, a LGPD é aplicável se:
De modo geral, você pode assumir que a LGPD se aplica a você caso realize o tratamento de dados pessoais de quem mora no Brasil ou de qualquer indivíduo, independentemente de sua nacionalidade, que esteja em território brasileiro.
Existem algumas exceções de aplicabilidade da LGPD, mesmo nos casos em que o controlador de dados está no escopo territorial da lei. Essas exceções estão listadas abaixo. A LGPD não é aplicável se:
A LGPD usa dados pessoais em uma definição abrangente. Assim como o GDPR, os dados pessoais no contexto da LGPD referem-se a quaisquer dados que podem ser vinculados a um indivíduo identificado ou identificável. Em suma, são considerados dados pessoais todos os dados que podem ser relacionados a um indivíduo identificado ou identificável. Isso inclui fragmentos de dados que podem ser somados a outras informações para identificar qualquer indivíduo.
Dados realmente anonimizados (que não levam, direta ou indiretamente, em meios razoáveis, à identificação do indivíduo) são classificados como fora do escopo da LGPD. No entanto, se o processo de anonimização puder ser revertido ou se os dados forem usados para fins de perfis comportamentais, a LGPD ainda se aplica.
Exemplos de dados pessoais incluem (mas não se limitam a): dados de identidade básicos, como nomes, dados genéticos, biométricos e relacionados à saúde do usuário; dados da Web, como endereços IP e de e-mail pessoal, opiniões políticas e orientação sexual.
Exemplos de dados que não são pessoais incluem números de registro e endereços de e-mail genéricos da empresa, como info@empresa.com, e dados anonimizados.
A LGPD identifica dados pessoais “confidenciais” de modo diferente de dados pessoais “comuns” e aplica regras especiais aos dados confidenciais. Dados confidenciais são quaisquer dados relacionados a origem racial ou étnica, crença religiosa, opinião política, saúde ou vida sexual; ou dados que permitem a identificação incontestável e persistente do usuário, como dados genéticos ou biométricos.
Como o tratamento de dados confidenciais tende a expor mais o usuário a questões de discriminação, eles devem ser tratados com camadas extras de segurança e bases legais bastante específicas.
Geralmente, se o usuário (ou seus pais/guardião legal, caso seja menor de idade) tiver consentido com o tratamento em específico. Há exceções aplicáveis.
💡 Dica: você pode usar o menu flutuante à esquerda para pular para a próxima seção que desejar ler (e.g. “como ficar em conformidade”).
Conceitos-chave da LGPD
Os princípios do tratamento de dados são muito semelhantes aos do GDPR. Especificamente:
Os dados sob a LGPD podem ser tratados apenas se houver pelo menos uma base legal para fazê-lo.
As bases legais são:
*Não incluso como uma base legal no GDPR.
Como consentimento é um assunto crucial e bastante relevante quando se trata de tratamento online, destacaremos abaixo os requisitos específicos para o consentimento na LGPD.
Sob a LGPD, o consentimento deve ser “manifestação livre, informada e inequívoca” (artigo 5º, inciso XII). Isso significa que o consentimento não deve ser coagido. A ação de consentimento do usuário deve estar clara e os usuários precisam ser informados de maneira adequada antes de consentir. O consentimento também deve ser fornecido para um fim específico, além de oferecer aos usuários a revogação ou desistência do consentimento.
Sob a LGPD, o consentimento deve ser de manifestação livre, informada e inequívoca.
Em relação ao consentimento para crianças menores de 12 anos, é necessário solicitar o consentimento de um dos pais ou do guardião legal. Para adolescentes de 13 a 18 anos*, o consentimento pode ser dado contanto que o tratamento de seus dados pessoais seja efetuado com os melhores interesses. Será preciso realizar todos os esforços necessários (usando a tecnologia disponível) para verificar se a pessoa que consentiu realmente tem responsabilidade parental pela criança.
*Observação: no Brasil, a idade reconhecida para capacidade civil plena é de 18 anos.
Dados disponibilizados publicamente
A legislação anterior à LGPD permitia às empresas a coleta e o tratamento de dados pessoais disponíveis publicamente na internet ou em qualquer outra fonte de acesso público por qualquer motivo, entretanto, isso não é mais permitido sob a LGPD.
A LGPD estabelece que dados pessoais públicos possam ser coletados e usados somente de duas maneiras:
Observação: dado o que foi mencionado acima, a extração de dados por “raspagem” ou outro meio de coleta de dados disponíveis publicamente para marketing, por exemplo, estarão limitados sob a LGPD.
Dados confidenciais
Em relação aos dados confidenciais, o consentimento é dispensável somente se o tratamento for absolutamente necessário para:
Dados de crianças e adolescentes
Sob a LGPD, são aplicadas exceções ao requisito de consentimento para o tratamento de dados de crianças e adolescentes caso o tratamento seja necessário a fim de contatar os pais ou guardiões legais para proteger a criança. Os dados podem ser usados somente uma vez e não devem ser armazenados, nem compartilhados com terceiros sem o devido consentimento.
Sob a LGPD, usuários (“titulares dos dados”) têm direito a:
Caso a transferência de dados protegidos pela LGPD seja necessária para outros países além do Brasil, há algumas diretrizes a serem seguidas. A LGPD permite a transferência de dados pessoais entre países caso mediante garantia de um nível adequado de proteção desses dados.
Na prática, isso significa que a transferência é permitida se o país de destino é reconhecido por ter uma legislação que garante um nível adequado de proteção. A avaliação do nível de adequação do país de destino ou organização internacional é realizada pela Autoridade de Proteção de Dados (APD).
Se o nível de adequação não for atendido, ainda é possível transferir os dados ao exterior sob a garantia de pelo menos uma das seguintes condições:
Sob a LGPD, controladores e operadores de dados devem manter registros de suas atividades de tratamento de dados pessoais, especialmente quando o tratamento é baseado em interesse legítimo. Todos os controladores e operadores, independentemente do tamanho e da frequência do tratamento ou do tipo dos dados tratados, devem cumprir a obrigação de registro das atividades de tratamento de dados. No entanto, a Autoridade de Proteção de Dados pode considerar exceções.
Todos os controladores e operadores devem cumprir a obrigação de registro das atividades de tratamento de dados.
Em suma, o Relatório de Impacto à Proteção de Dados (RIPD) é um processo usado para ajudar o controlador a ficar em conformidade com as regras de privacidade de dados, garantindo que os princípios-chave sejam efetivamente atendidos.
Sob a LGPD, a documentação do RIPD geralmente contém a descrição das atividades de tratamento de dados pessoais que podem gerar riscos a direitos e liberdades civis, bem como medidas, salvaguardas e mecanismos para a mitigação de riscos.
O RIPD deve conter, no mínimo:
A lei não indica explicitamente quando um RIPD é necessário, mas a Autoridade de Proteção de Dados pode requisitar que um RIPD seja executado e fornecido pelo controlador de dados a qualquer momento.
Sob a LGPD, você, o controlador de dados, deve indicar um Oficial de Proteção de Dados (“DPO” em inglês e “encarregado” no texto da LGPD). Não há exceções a esta regra. Este oficial é um indivíduo responsável pelos seguintes itens:
Sob a LGPD, controladores de dados, operadores, ou quaisquer outros agentes envolvidos no tratamento de dados pessoais precisam implementar medidas técnicas, administrativas e de segurança para proteger os dados pessoais contra acessos não autorizados e qualquer tipo de tratamento ilegítimo acidental ou proposital, como destruição, perda, alteração e transferência.
Todos os incidentes que podem gerar riscos ou danos aos usuários devem ser reportados dentro de um período razoável para a APD.
A comunicação deve incluir, no mínimo:
Após receber a notificação da violação, a APD pode exigir que o controlador alerte a mídia ou tome outros passos para mitigar os efeitos danosos do incidente.
Assim como no GDPR, um dos princípios chave da LGPD é a transparência. Sob a LGPD, os usuários têm direito ao acesso facilitado às informações sobre o tratamento de seus dados, que devem ser disponibilizados de forma clara e adequada
Essas informações incluem:
A LGPD diz que os controladores de dados e os operadores podem colocar em prática processos internos e políticas de privacidade que garantem a conformidade com a lei. Isso inclui um programa de governança de privacidade e medidas que evidenciam sua eficácia.
O programa de governança deve, no mínimo:
O controlador de dados deve conseguir demonstrar a eficácia de seu programa de governança de privacidade quando necessário, especialmente se solicitado pela autoridade de proteção de dados.
As consequências legais da não conformidade podem incluir multas de 2% da receita bruta anual de uma companhia, podendo chegar até 50 milhões de reais, por cada violação. Mas tão preocupante quanto a multa podem ser as outras ações corretivas que podem ser tomadas contra os que forem julgados violadores.
As consequências legais da não-conformidade podem incluir multas de 2% da receita bruta anual, até 50 milhões de reais
Sob a LGPD, a APD possui poderes corretivos que incluem emitir alertas e multas, publicização da violação e bloqueio ou exclusão das atividades de tratamento, ou dados pessoais ligados à infração. Isto significa que se a infração ocorreu em relação à obtenção de endereços de e-mail, o controlador de dados infrator arrisca perder toda a lista de e-mails. A APD pode ainda exigir que o banco de dados envolvido com a não-conformidade seja parcialmente suspenso por até 6 meses, potencialmente interrompendo outras atividades que façam uso desse banco de dados.
Por fim, assim como a GDPR, a LGPD permite aos usuários a abertura de processos para indenizações civis pela violação da lei de privacidade.
Identificar (e documentar) suas bases legais para processar dados pessoais. Controladores de dados precisam definir uma base legal para cada atividade de tratamento e documentá-la em seus registros.
Manter um registro das atividades de tratamento de dados (exigido sob o Art. 37). Embora a LGPD não inclua requisitos específicos para o formato ou conteúdo destes registros, eles serão provavelmente similares aos registros de tratamento exigidos sob o Art. 30 do GDPR. A iubenda facilita a criação e manutenção de registros de tratamento de dados. Leia mais aqui.
Incluir avisos exigidos em sua política de privacidade. Exigido (sob o Art. 9) para atender aos requisitos de transparência da LGPD. Leia sobre nosso gerador e a configuração de apenas um clique para incluir avisos da LGPD.
Coletar e manter provas de consentimento válidas (exigido sob o Art. 8). Assim como com o GDPR, a LGPD atribui a você, o processador de dados, a responsabilidade de demonstrar provas de consentimento válidas. A iubenda facilita a criação e manutenção de registros de tratamento de dados. Leia mais aqui.
Nomear um oficial de proteção de dados (DPO, em inglês) (exigido sob o Art. 41). UnSob a LGPD, todos os controladores de dados devem nomear um DPO, que será responsável pelas atividades descritas nesta seção. Atualmente, a lei não requer que o DPO resida fisicamente no Brasil e também deixa aberta a possibilidade para que o controlador nomeie um consultor individual terceiro como seu DPO.
Desenvolver políticas internas e procedimentos para honrar os direitos dos usuários e atender pedidos relacionados. Controladores de dados precisam atender de forma satisfatória os titulares dos dados que realizarem pedidos de exercer seus direitos sob a LGPD, incluindo acesso, anonimização, exclusão e portabilidade.
Implementar um protocolo de segurança. Tanto os controladores quanto os operadores devem adotar medidas de segurança criadas para proteger dados pessoais. A APD poderá fornecer diretrizes de padrões técnicos mínimos futuramente. Outras estruturas legais sob leis brasileiras podem fornecer mais orientações sobre padrões atuais, como o Marco Civil da Internet (que define princípios, garantias, direitos e deveres para os usuários da internet no Brasil).
Desenvolver um plano para resposta a incidentes e remediações (de acordo com o Art. 50). Controladores e operadores devem criar um plano de resposta a incidentes que garante que o controlador será capaz de atender aos requisitos para a comunicação obrigatória de incidentes (veja abaixo).
Se uma violação de dados apresenta risco ou dano significativo para usuários, você deve notificar a APD e os usuários (de acordo com o Art. 50).
Elaborar relatórios de impacto à proteção de dados (RIPDs). RIPDs podem ser obrigatórios em situações caracterizadas como arriscadas ou, sob o pedido da autoridade, em casos nos quais o tratamento de dados é baseado em interesse legítimo.
Definir privacidade como padrão. Sob a LGPD, é obrigatório habilitar medidas de privacidade por padrão, que garantem a proteção de dados pessoais. Na prática, as configurações “de fábrica” devem ser aquelas que garantem o maior nível de proteção possível.
Atender a requisitos para transferência de dados entre países. Garanta que você esteja ciente de possíveis limites em transferências de dados entre países e fique em conformidade com as provisões relevantes. Mais detalhes aqui.
Em termos de conformidade, um dos primeiros passos é ter a certeza de que seus documentos estão alinhados com os requisitos da lei.
Na iubenda, temos uma abordagem abrangente para conformidade com as leis de dados. Construímos soluções tendo em mente os regulamentos mais rigorosos, dando a você todas as opções para personalizar conforme necessário. Ajudamos você a cumprir suas obrigações com a lei, reduzir seu risco de litígios e proteger seus clientes, criando confiança e credibilidade.
Todos os documentos da iubenda estão disponíveis para serem gerados em português do Brasil e em outras sete línguas.
Veja os primeiros passos para ficar 100% em conformidade:
Todas as políticas de privacidade geradas com a iubenda permitem que você esteja em conformidade com a LGPD, visto que elas oferecem a opção de facilmente aplicar os padrões legais definidos pela LGPD a usuários brasileiros.
Com o Gerador de Políticas de Privacidade e Cookies, você pode criar um documento preciso, escrito e verificado por advogados e facilmente integrá-lo ao seu site ou aplicativo. Você pode simplesmente adicionar quaisquer cláusulas disponíveis com apenas um clique, ou escrever suas próprias cláusulas personalizadas utilizando o formulário integrado.
Nossa solução facilita atender aos requisitos da LGPD, com ativação em apenas um clique para:
O gerador de políticas de privacidade também possui a opção de incluir uma Política de Cookies (necessária se seu website ou app usa cookies e tem usuários na Europa). As políticas de privacidade e cookies são personalizáveis às suas necessidades sendo mantidas sempre atualizadas por uma equipe internacional de advogados.
Para ver mais informações sobre as políticas de privacidade, clique aqui.
Atender ao regulamento da LGPD pode ser um desafio de um ponto de vista técnico e em termos práticos. E pode ser um desafio ainda maior quando se deve gerenciar privacidades internamente.
Nossa solução fornece uma maneira descomplicada de gravar e gerenciar todas as suas atividades de tratamento de dados, para você poder atender aos requisitos obrigatórios da LGPD facilmente. Ela permite que você crie registros de atividades de tratamento: adicionar mais de 1500 opções prontas, dividi-las por área (subdivisões dentro das quais as atividades de tratamento de dados são as mesmas), atribuir quem serão os operadores de dados e outras funções e documentar suas bases legais e outros registros exigidos pela LGPD.
Para conferir uma lista completa de funcionalidades da ferramenta de Gerenciamento Interno de Privacidade, clique aqui ou leia aqui nosso guia.
Para estar em conformidade com leis de privacidade como a LGPD e o GDPR, você precisa manter provas de consentimento para poder demonstrar que este foi coletado de maneira legal.
A Consent Database da iubenda simplifica este processo ao criar uma maneira fácil de armazenar provas de consentimento e gerenciar consentimentos e preferências de privacidade para cada um de seus usuários. Ela permite que você rastreie cada aspecto do consentimento (incluindo o aviso de privacidade e o formulário de consentimento apresentado ao usuário no momento da coleta de consentimento) e as preferências relacionadas escolhidas pelo usuário.
Para usá-la, basta ativar a Consent Database dentro de seu dashboard e pegar uma chave API e então instalá-la via um API HTTP ou um widget JS, pronto! Você poderá resgatar consentimentos a qualquer momento e mantê-los atualizados.
Veja uma lista de todas as funcionalidades da Consent Database aqui, ou leia o nosso guia aqui.
💡 Se você opera no Brasil ou tem usuários brasileiros, é recomendado que você exiba um banner de cookies e solicite o consentimento dos seus usuários antes de instalar quaisquer cookies não técnicos.
O nosso Privacy Controls and Cookie Solution é super fácil de criar! Além disso, você pode personalizar o seu banner de cookies, coletar consentimento sem problemas e implementar bloqueio prévio com reativação assíncrona.