Guia da Lei Geral de Proteção de Dados Pessoais brasileira (LGPD)
Em que consiste a LGPD, será que o afeta e de que forma é possível cumprir a LGPD? Explicamos tudo de forma compreensível e fácil nas secções abaixo.
A Lei Geral de Proteção de Dados Pessoais brasileira (LGPD) pode ser considerada a resposta do Brasil ao RGPD – a lei brasileira alinha-se com a regulamentação europeia em vários aspetos, ao mesmo tempo que difere em outros. Destina-se a substituir ou complementar o seu atual quadro jurídico disperso (que inclui mais de 40 normas federais sectoriais) através de um regime jurídico central.
A LGPD visa criar um novo regime jurídico relativo à utilização de dados pessoais no Brasil, quer online quer offline, nos setores público e privado.
De um modo geral, a LGPD exige que apenas trate dados pessoais para propósitos (finalidades) legítimos, específicos, explícitos e informados de forma clara. Tal como no caso do RGPD, aplicam-se princípios de transparência e necessidade (minimização) dos dados (utilize apenas os dados de que necessita).
Apesar de uma proposta anterior no sentido de adiar a data de entrada em vigor da LGPD para dezembro, após uma votação pelo Senado, a proposta de adiamento foi retirada do Projeto de Lei de Conversão (PLV) 34/2020.
Mais tarde, o Presidente do Brasil aprovou o Projeto de Lei, tendo confirmado que a data de entrada em vigor da LGPD seria 18 de setembro de 2020. Neste contexto, foi promulgado um decreto para a criação da Autoridade Nacional de Proteção de Dados (ANPD).
A APD brasileira (ANPD) emitiu uma versão atualizada do seu “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”, esclarecendo conceitos nos termos da LGPD e orientações anteriores. Leia as atualizações aqui.
Por exemplo, uma empresa da Internet poderá recolher informações do titular através do seu website e armazená-las utilizando um serviço de cloud de terceiros. Neste cenário, a empresa da Internet consiste no controlador e a organização que opera o serviço de cloud consiste no operador.
Tal como sucede com o RGPD, o âmbito de aplicação territorial da LGPD ultrapassa o próprio território brasileiro. Isto significa que poderá ter de cumprir a LGPD mesmo que a sua empresa ou negócio não estejam localizados no Brasil. Em termos práticos, a LGPD aplica-se a si quando:
Em termos gerais, pode presumir-se que a LGPD se aplicará a si se tratar os dados pessoais de pessoas localizadas no Brasil ou se tratar os dados pessoais de qualquer pessoa, independentemente da sua nacionalidade, no território brasileiro.
Existem algumas exceções à aplicabilidade da LGPD, mesmo quando o controlador se enquadrar no âmbito de aplicação territorial da lei. Essas exceções são enumeradas abaixo. A LGPD não se aplica quando:
A LGPD utiliza uma definição ampla de dados pessoais. Tal como no RGPD, os dados pessoais no contexto da LGPD incluem quaisquer dados que possam ser relacionados com uma pessoa natural identificada ou identificável. De um modo geral, são considerados dados pessoais quaisquer dados relacionados com uma pessoa identificada ou identificável. Tal inclui partes de dados que possam ser combinados com outras informações para identificar qualquer pessoa.
Dados verdadeiramente anonimizados (dados que não possam conduzir, direta ou indiretamente, com meios razoáveis, à identificação de uma pessoa) não se enquadram no âmbito de aplicação da LGPD. Contudo, se o processo de anonimização puder ser revertido ou se os dados forem utilizados para propósitos de formação do perfil comportamental, a LGPD continuará a aplicar-se.
Exemplos de dados pessoais incluem (nomeadamente) dados de identidade básicos tais como nomes, saúde, dados genéticos, dados biométricos, dados da web tais como endereços IP, endereços de correio eletrónico pessoais, opiniões políticas e dados referentes à vida sexual.
Exemplos de dados não pessoais podem incluir números de registo de empresas, endereços de correio eletrónico genéricos de empresas, tais como info@company.com, e dados anonimizados.
A LGPD identifica os dados “sensíveis” como distintos dos dados pessoais “normais”, aplicando normas especiais a esta categoria de dados pessoais. Dados sensíveis incluem quaisquer dados sobre origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde ou à vida sexual; ou dados que permitam a identificação inequívoca e persistente do titular, como os dados genéticos ou biométricos.
Dado que o tratamento de dados sensíveis é mais suscetível de expor o titular ao risco de discriminação, os dados sensíveis devem ser tratados com segurança adicional, existindo bases legais muito específicas para o tratamento.
De um modo geral, só é possível tratar dados sensíveis se o titular (ou um dos seus pais/tutores, no caso de menores de idade) tiver fornecido o seu consentimento para o tratamento específico. Aplicam-se algumas exceções.
💡 Dica: pode usar o menu flutuante à esquerda para saltar para as secções que pretende ler de seguida (por exemplo, “como cumprir”)
Principais conceitos da LGPD
Os princípios do tratamento de dados são muito semelhantes aos do RGPD. Nomeadamente:
Nos termos da LGPD, os dados só podem ser tratados se houver pelo menos uma base legal para o efeito.
As bases legais são as seguintes:
*Não consta como base legal nos termos do RGPD.
Dado que o consentimento é um tema essencial e frequentemente muito relevante no que respeita ao tratamento online, analisaremos de seguida os requisitos específicos do consentimento nos termos da LGPD.
Nos termos da LGPD, o consentimento deve ser uma manifestação “livre, informada e inequívoca”. Isto significa que o consentimento não deve ser coagido, que a manifestação do consentimento exigido ao titular deve ser clara e que os titulares devem ser adequadamente informados antes de fornecerem o consentimento. O consentimento deve igualmente ser fornecido para um propósito específico e os titulares devem sempre ter a possibilidade de revogar o consentimento.
Nos termos da LGPD, o consentimento deve ser uma manifestação livre, informada e inequívoca.
Relativamente ao consentimento de menores com idade inferior a 12 anos, deve obter o consentimento específico e em destaque de um dos pais ou tutores. O consentimento pode ser fornecido por um menor entre 13 e 18* anos de idade, desde que o tratamento dos seus dados pessoais seja realizado no seu melhor interesse. Deve realizar todos os esforços razoáveis (consideradas as tecnologias disponíveis) para verificar que o consentimento foi dado pelo responsável pela criança.
*Nota: No Brasil, a idade reconhecida para a plena capacidade contratual é de 18 anos.
Dados disponíveis ao público
A legislação anterior à LGPD permitia às empresas recolher e tratar dados pessoais disponibilizados ao público através da Internet ou de qualquer fonte pública por qualquer motivo. Contudo, nos termos da LGPD, tal já não é permitido.
Segundo as orientações da LGPD, os dados pessoais públicos só podem ser recolhidos e utilizados de duas formas:
Nota: Tendo em consideração o acima exposto, a “extração” ou a recolha de dados disponíveis ao público para marketing, etc., será provavelmente limitada nos termos da LGPD.
Dados sensíveis
Relativamente ao tratamento de dados sensíveis, o consentimento só pode ser evitado quando o tratamento for indispensável para:
Dados de crianças
Nos termos da LGPD, aplicam-se exceções à exigência de consentimento para o tratamento dos dados de crianças quando o tratamento seja necessário para contactar os pais ou o responsável legal ou para sua proteção. Os dados só podem ser utilizados uma única vez e sem armazenamento, e em nenhum caso poderão ser repassados a terceiro sem o devido consentimento.
Nos termos da LGPD, os titulares (“titulares dos dados”) têm o direito de:
Caso necessite de transferir dados protegidos pela LGPD para fora do Brasil, há algumas orientações a ter em consideração. A LGPD permite a transferência internacional de dados pessoais se for proporcionado um grau de proteção de dados pessoais adequado.
Em termos práticos, isto significa que a transferência será permitida se for considerado que o país destinatário dispõe de uma legislação que proporcione um grau de proteção adequado. A avaliação do grau de adequação do país destinatário ou da organização internacional será realizada pela Autoridade de Proteção de Dados (APD).
Se o grau de adequação não for cumprido, poderá ainda ser possível transferir os dados para o estrangeiro se for preenchido um dos seguintes requisitos:
Nos termos da LGPD, tanto os controladores como os operadores devem manter registos das operações de tratamento de dados pessoais que realizarem – especialmente quando baseado no legítimo interesse. Todos os controladores e operadores – independentemente da dimensão, frequência do tratamento ou categoria de dados tratados – devem cumprir esta obrigação de conservação de registos. Contudo, a Autoridade de Proteção de Dados pode conceder isenções.
Todos os controladores e operadores devem cumprir esta obrigação de conservação de registos.
Basicamente, um relatório de impacto à proteção de dados pessoais (RIPDP) consiste num processo que visa auxiliar o controlador a cumprir as normas de privacidade dos dados – assegurando que os princípios fundamentais são efetivamente respeitados.
Nos termos da LGPD, a documentação do RIPDP normalmente contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
O RIPDP deve incluir, pelo menos:
A lei não refere explicitamente quando um RIPDP é necessário. Contudo, a Autoridade de Proteção de Dados pode solicitar a realização e apresentação de um RIPDP a qualquer momento ao controlador.
Nos termos da LGPD, o controlador deve indicar um encarregado. Não há exceções a esta regra. Os encarregados são responsáveis pelas seguintes funções:
Nos termos da LGPD, os controladores, operadores ou qualquer outro agente envolvido no tratamento dos dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Qualquer incidente de segurança que possa acarretar risco ou dano aos titulares deverá ser comunicado à APD em prazo razoável.
A comunicação deverá mencionar, no mínimo:
Após a comunicação da violação, a APD poderá ordenar o controlador a divulgar o facto em meios de comunicação ou adotar outras medidas para mitigar os efeitos do incidente.
Tal como sucede com o RGPD, a transparência constitui um princípio fundamental da LGPD. Nos termos da LGPD, os titulares têm direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva.
Estas divulgações incluem:
A LGPD determina que tanto os controladores como os operadores poderão implementar processos e políticas internas que assegurem o cumprimento da lei.Tal inclui um programa de governança em privacidade e medidas que demonstrem a sua eficácia.
O programa de governança deve, no mínimo:
O controlador deve ser capaz de demonstrar a efetividade do seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional.
As consequências legais do incumprimento podem incluir multas de 2% do faturamento (volume de negócios) anual de uma empresa, até 50 milhões de reais (atualmente, cerca de 8 milhões de euros ou 9 milhões de dólares), por violação.Mas talvez igualmente preocupantes são as restantes potenciais medidas corretivas que poderão ser adotadas contra quem estiver em incumprimento.
As consequências legais do incumprimento podem incluir multas de 2% do faturamento anual de uma empresa, até 50 milhões de reais (8 milhões de euros)
Nos termos da LGPD, a Autoridade de Proteção de Dados brasileira dispõe de poderes para indicar a adoção de medidas corretivas que incluem advertências e multas, publicização da infração e bloqueio ou eliminação das operações de tratamento ou dados pessoais a que se refere a infração – isto significa que se a infração ocorreu em relação à recolha de endereços de correio eletrónico, o controlador em incumprimento pode correr o risco de perder toda a lista de endereços de correio eletrónico associada.A APD brasileira poderá igualmente ordenar a suspensão parcial do banco de dados (base de dados) a que se refere a infração pelo período máximo de 6 meses, interrompendo eventualmente quaisquer outras atividades que possam recorrer ao referido banco de dados.
Por outro lado, tal como sucede no RGPD, a LGPD permite aos titulares com uma causa de pedir que deduzam pedidos de indemnização (por danos patrimoniais ou extrapatrimoniais) por incumprimento da lei da privacidade.
Identifique (e registe) as suas bases legais para o tratamento dos dados pessoais. Os controladores devem determinar uma base legal para cada operação de tratamento e registar a base legal nos seus registos de tratamento.
Manter um registo das operações de tratamento de dados pessoais (tal como exigido nos termos do artigo 37.º). Embora a LGPD não preveja requisitos específicos para a forma ou conteúdo destes registos, serão provavelmente semelhantes ao registo de tratamento exigido nos termos do artigo 30.º do RGPD.A iubenda facilita a criação e gestão de registos de tratamento de dados. Saiba mais aqui.
Inclua as divulgações necessárias na sua política de privacidade. É necessário que cumpra os requisitos de transparência da LGPD (artigo 9.º). Saiba mais sobre a nossa configuração de divulgações da LGPD com um clique do Gerador de Políticas de Privacidade.
Recolha e mantenha provas de consentimento válidas (exigido nos termos do artigo 8.º). Tal como sucede com o RGPD, nos termos da LGPD, o ónus de provar o consentimento válido recai sobre si, o controlador. A iubenda torna a criação e gestão de registos de consentimento incrivelmente fácil. Saiba mais aqui.
Indique um encarregado – exigido nos termos do artigo 41.º. Nos termos da LGPD, todos os controladores são obrigados a indicar um encarregado, que será responsável pelas atividades aqui referidas. Atualmente, a lei não exige que o encarregado se encontre fisicamente localizado no Brasil, e deixa ainda em aberto a possibilidade de os controladores indicarem consultores terceiros como seu encarregado.
Crie políticas e procedimentos internos para respeitar os direitos dos titulares e satisfazer os respetivos pedidos dos titulares. Os controladores devem razoavelmente satisfazer os pedidos dos titulares dos dados relativos ao exercício dos seus direitos nos termos da LGPD, incluindo o acesso, correção, anonimização, eliminação e portabilidade.
Implemente um protocolo de segurança. Tanto os controladores como os operadores devem adotar medidas de segurança para salvaguardar e proteger os dados pessoais. A APD poderá fornecer orientações para padrões técnicos mínimos no futuro. Outros regimes jurídicos nos termos da legislação brasileira fornecem orientações adicionais relacionadas com os padrões existentes, tais como o Marco Civil da Internet (que estabelece princípios, garantias, direitos e deveres para os utilizadores da internet no Brasil).
Crie um plano de resposta a incidentes e remediação (nos termos do artigo 50.º). Os controladores e operadores devem implementar um plano de resposta a incidentes que assegure que o controlador seja capaz de cumprir os requisitos obrigatórios de comunicação de incidentes (veja abaixo).
Se uma infração dos dados acarretar um risco ou prejuízo significativo para os titulares, deverá notificar a APD e os titulares (nos termos do artigo 50.º).
Elabore relatórios de impacto à proteção de dados pessoais (RIPDP). OsRIPDP poderão ser obrigatórios em situações consideradas de risco ou, mediante solicitação da autoridade, quando o tratamento dos dados tiver como fundamento o seu interesse legítimo.
Implemente a privacidade desde a conceção e por defeito. Nos termos da LGPD, é obrigatório adotar medidas desde a fase de conceção que assegurem a proteção dos dados pessoais. Em termos práticos, as configurações pré-definidas devem ser as que assegurem o grau de proteção mais elevado.
Cumpra os requisitos das transferências internacionais de dados. Certifique-se de que tem conhecimento de quaisquer limitações aplicáveis às transferências internacionais de dados e cumpra as disposições aplicáveis. Mais informações aqui.
No que respeita à conformidade, um dos passos fundamentais é assegurar que os seus documentos preenchem os requisitos legais. Na iubenda, adotámos uma abordagem abrangente da conformidade com a lei dos dados.Criamos soluções tendo em consideração a regulamentação mais rigorosa, proporcionando-lhe opções completas de personalização consoante o que necessitar.Ajudamo-lo a cumprir as suas obrigações legais, a reduzir o seu risco de litígios e a proteger os seus clientes — criando confiança e credibilidade.
Eis o que precisa para começar com a conformidade completa:
Todas as políticas de privacidade geradas com a iubenda permitem-lhe cumprir a LGPD, uma vez que incluem a opção de aplicar facilmente as normas legais definidas pela LGPD aos titulares do Brasil.
Com o nosso Gerador de Políticas de Privacidade e de Cookies é possível criar uma política de privacidade elegante, redigida por advogados e rigorosa e integrá-la de forma harmoniosa com o seu website ou aplicação. Pode simplesmente adicionar qualquer uma das várias cláusulas previamente elaboradas com um simples clique ou escrever facilmente as suas próprias cláusulas personalizadas utilizando o formulário incorporado.
A nossa solução facilita-lhe o preenchimento dos requisitos da LGPD, com ativação com um só clique para:
A política de privacidade inclui ainda a opção de adicionar uma política de cookies (é necessário incluí-la se o seu website ou aplicação estiver a utilizar cookies e tiver titulares da UE). As políticas são personalizáveis em função das suas necessidades e geridas remotamente por uma equipa jurídica internacional.
Para mais informações sobre políticas de privacidade clique aqui.
A implementação do cumprimento da LGPD pode revelar-se um desafio técnico em termos práticos. Isto aplica-se, em particular, à gestão interna da privacidade.
A nossa solução ajuda-o a registar e gerir facilmente todas as operações de tratamento dos dados para que possa facilmente cumprir os requisitos obrigatórios da LGPD e cumprir as suas obrigações legais. Permite-lhe criar registos das operações de tratamento:adicione operações de tratamento a partir de mais de 1700 opções previamente preparadas, divida-as por área (subdivisões nas quais as operações de tratamento dos dados são as mesmas), designe operadores e outras funções de membros, e documente bases legais e outros registos exigidos pela LGPD.
Para obter uma lista completa das funcionalidades da ferramenta Internal Privacy Management clique aqui ou leia o guia aqui.
De modo a cumprir as leis sobre privacidade, tais como a LGPD e o RGPD, deve manter uma prova do consentimento, por forma a demonstrar que o consentimento foi recolhido nos termos da lei.
A nossa Consent Database simplifica este processo, ajudando-o a armazenar a prova de consentimento e a gerir facilmente as preferências de consentimento e privacidade para cada um dos seus titulares.Permite-lhe controlar todos os aspetos do consentimento (incluindo o aviso legal ou de privacidade, bem como o formulário de consentimento que foi apresentado ao titular no momento da recolha do consentimento) e as preferências relacionadas expressas pelo titular.
Para a utilizar, basta ativar a Consent Database no seu painel de controlo e obter a chave API. De seguida, instale através da API HTTP ou do widget JS e já está; poderá consultar os consentimentos a qualquer momento e mantê-los atualizados.
Para obter uma lista completa das funcionalidades da Consent Database clique aqui ou leia o guia aqui.
💡 Did you know that The Brazilian data protection authority (ANPD) has published new guidance on cookies? You need to display a cookie banner and ask for your users’ consent before installing non-necessary cookies. For more on this, check out our Brazil: New Cookie Requirements guide here →
Our Cookie Solution is easy to generate! Plus, you can customize your cookie banner, seamlessly collect consent and implement prior blocking with asynchronous re-activation.
Tenha em atenção que, periodicamente, as leis são alteradas e atualizadas. Assim, importa garantir que as suas políticas preenchem os requisitos mais recentes. Por este motivo, utilizamos a incorporação e NÃO copiar e colar. Com este método, pode ter a certeza de que a sua política está atualizada e a ser gerida à distância pela nossa equipa jurídica.