Iubenda logo
Comece a gerar

Documentação

Índice

Em que consiste a LGPD e de que forma é possível cumpri-la?

Guia da Lei Geral de Proteção de Dados Pessoais brasileira (LGPD)

 

Em que consiste a LGPD, será que o afeta e de que forma é possível cumprir a LGPD? Explicamos tudo de forma compreensível e fácil nas secções abaixo.

Resumidamente:

Em que consiste a LGPD e o que é que é necessário que faça?

A Lei Geral de Proteção de Dados Pessoais brasileira (LGPD) pode ser considerada a resposta do Brasil ao RGPD – a lei brasileira alinha-se com a regulamentação europeia em vários aspetos, ao mesmo tempo que difere em outros. Destina-se a substituir ou complementar o seu atual quadro jurídico disperso (que inclui mais de 40 normas federais sectoriais) através de um regime jurídico central.

A LGPD visa criar um novo regime jurídico relativo à utilização de dados pessoais no Brasil, quer online quer offline, nos setores público e privado.

De um modo geral, a LGPD exige que apenas trate dados pessoais para propósitos (finalidades) legítimos, específicos, explícitos e informados de forma clara. Tal como no caso do RGPD, aplicam-se princípios de transparência e necessidade (minimização) dos dados (utilize apenas os dados de que necessita).

Apesar de uma proposta anterior no sentido de adiar a data de entrada em vigor da LGPD para dezembro, após uma votação pelo Senado, a proposta de adiamento foi retirada do Projeto de Lei de Conversão (PLV) 34/2020.

Mais tarde, o Presidente do Brasil aprovou o Projeto de Lei, tendo confirmado que a data de entrada em vigor da LGPD seria 18 de setembro de 2020. Neste contexto, foi promulgado um decreto para a criação da Autoridade Nacional de Proteção de Dados (ANPD).

A APD brasileira (ANPD) emitiu uma versão atualizada do seu “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”, esclarecendo conceitos nos termos da LGPD e orientações anteriores.  Leia as atualizações aqui.

Definições especiais utilizadas abaixo
  • O termo “titular” neste contexto significa uma pessoa natural (singular) cujos dados pessoais são tratados por um controlador ou operador (subcontratante) (conhecido formalmente como o titular ou titular dos dados).
  • O termo “controlador” significa qualquer pessoa natural ou jurídica (coletiva), pública ou privada, envolvida na determinação do propósito e formas de tratamento dos dados pessoais.
  • O termo “operador” significa qualquer pessoa natural ou jurídica envolvida no tratamento de dados pessoais em nome do controlador..
  • O termo Autoridade de Proteção de Dados (APD) no presente documento refere-se à Autoridade Nacional de Proteção de Dados brasileira (ANPD)

Por exemplo, uma empresa da Internet poderá recolher informações do titular através do seu website e armazená-las utilizando um serviço de cloud de terceiros. Neste cenário, a empresa da Internet consiste no controlador e a organização que opera o serviço de cloud consiste no operador.

Onde se aplica a LGPD? (Âmbito de aplicação territorial da LGPD)

Tal como sucede com o RGPD, o âmbito de aplicação territorial da LGPD ultrapassa o próprio território brasileiro. Isto significa que poderá ter de cumprir a LGPD mesmo que a sua empresa ou negócio não estejam localizados no Brasil. Em termos práticos, a LGPD aplica-se a si quando:

  • as suas operações de tratamento (atividades de tratamento) de dados sejam realizadas no Brasil (por exemplo, se utilizar servidores localizados no Brasil);
  • ofereça ou forneça bens ou serviços a pessoas localizadas no Brasil, independentemente da sua nacionalidade; ou
  • trate dados que se refiram a pessoas localizadas no Brasil (mesmo que a pessoa só estivesse no Brasil no momento da recolha dos dados e desde então tenha mudado de localização).

Em termos gerais, pode presumir-se que a LGPD se aplicará a si se tratar os dados pessoais de pessoas localizadas no Brasil ou se tratar os dados pessoais de qualquer pessoa, independentemente da sua nacionalidade, no território brasileiro.

Exceções à aplicabilidade da LGPD

Existem algumas exceções à aplicabilidade da LGPD, mesmo quando o controlador se enquadrar no âmbito de aplicação territorial da lei. Essas exceções são enumeradas abaixo. A LGPD não se aplica quando:

  • o tratamento dos dados pessoais seja realizado por pessoa natural para fins exclusivamente particulares e não económicos; ou
  • os dados pessoais sejam tratados para fins exclusivamente:
    • jornalísticos ou artísticos,
    • académicos,
    • segurança pública,
    • defesa nacional e segurança,
    • atividades de investigação e repressão de infrações penais.

O que são “Dados Pessoais” nos termos da LGPD?

A LGPD utiliza uma definição ampla de dados pessoais. Tal como no RGPD, os dados pessoais no contexto da LGPD incluem quaisquer dados que possam ser relacionados com uma pessoa natural identificada ou identificável. De um modo geral, são considerados dados pessoais quaisquer dados relacionados com uma pessoa identificada ou identificável. Tal inclui partes de dados que possam ser combinados com outras informações para identificar qualquer pessoa.

E em relação à LGPD e aos dados Anonimizados?

Dados verdadeiramente anonimizados (dados que não possam conduzir, direta ou indiretamente, com meios razoáveis, à identificação de uma pessoa) não se enquadram no âmbito de aplicação da LGPD. Contudo, se o processo de anonimização puder ser revertido ou se os dados forem utilizados para propósitos de formação do perfil comportamental, a LGPD continuará a aplicar-se.

Exemplos de dados pessoais incluem (nomeadamente) dados de identidade básicos tais como nomes, saúde, dados genéticos, dados biométricos, dados da web tais como endereços IP, endereços de correio eletrónico pessoais, opiniões políticas e dados referentes à vida sexual.
Exemplos de dados não pessoais podem incluir números de registo de empresas, endereços de correio eletrónico genéricos de empresas, tais como info@company.com, e dados anonimizados.

Nota especial relativamente aos dados sensíveis nos termos da LGPD

A LGPD identifica os dados “sensíveis” como distintos dos dados pessoais “normais”, aplicando normas especiais a esta categoria de dados pessoais. Dados sensíveis incluem quaisquer dados sobre origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde ou à vida sexual; ou dados que permitam a identificação inequívoca e persistente do titular, como os dados genéticos ou biométricos.

Dado que o tratamento de dados sensíveis é mais suscetível de expor o titular ao risco de discriminação, os dados sensíveis devem ser tratados com segurança adicional, existindo bases legais muito específicas para o tratamento.

De um modo geral, só é possível tratar dados sensíveis se o titular (ou um dos seus pais/tutores, no caso de menores de idade) tiver fornecido o seu consentimento para o tratamento específico. Aplicam-se algumas exceções.

💡 Dica: pode usar o menu flutuante à esquerda para saltar para as secções que pretende ler de seguida (por exemplo, “como cumprir”)

PRINCIPAIS REQUISITOS DA LGPD E COMO CUMPRIR A LGPD

Principais conceitos da LGPD

Princípios do Tratamento

Os princípios do tratamento de dados são muito semelhantes aos do RGPD. Nomeadamente:

  • Deve haver um propósito para o tratamento. Isto significa que qualquer operação de tratamento de dados deve ser realizada para propósitos legítimos, específicos, explícitos e informados de forma clara – não deve realizar qualquer tratamento adicional que não esteja alinhado com os propósitos inicialmente informados.
  • Adequação. Tanto a forma do tratamento dos dados, como os próprios dados tratados, devem estar justificadamente alinhados com os propósitos do tratamento.
  • Princípio da necessidade. É semelhante ao conceito de minimização dos dados nos termos do RGPD e significa simplesmente que deve limitar o tratamento aos dados necessários à realização dos propósitos do tratamento informados.
  • Liberdade no exercício dos direitos e livre acesso às informações. Os titulares devem poder exercer livremente os seus direitos nos termos da LGPD e ter pleno e fácil acesso a quaisquer informações sobre o tratamento dos seus dados pessoais – de forma gratuita.
  • Integridade/qualidade dos dados. O controlador deve garantir a exatidão dos dados tratados e mantê-los atualizados e relevantes, de acordo com a finalidade do seu tratamento.
  • Transparência. As informações sobre o seu tratamento de dados devem ser claras, precisas e facilmente acessíveis aos titulares. Os titulares devem igualmente poder aceder a informações sobre os terceiros com os quais os seus dados são partilhados.
  • Segurança. Tanto o controlador como quaisquer operadores devem garantir a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração e comunicação ou difusão não autorizadas;
  • Prevenção. É da responsabilidade tanto do controlador como do operador a adoção de medidas técnicas e administrativas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • Não discriminação. Impossibilidade de realização do tratamento para fins discriminatórios.
  • Responsabilização e prestação de contas. Na qualidade de controlador, deve cumprir a lei e ser capaz de o provar.

Base legal para o tratamento de dados nos termos da LGPD

Nos termos da LGPD, os dados só podem ser tratados se houver pelo menos uma base legal para o efeito.

As bases legais são as seguintes:

  • O consentimento do titular
  • O cumprimento de obrigação legal ou regulatória pelo controlador
  • A execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos
  • A realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais*
  • A execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular
  • O exercício regular de direitos em processo judicial, administrativo ou arbitral
  • A proteção da vida ou da incolumidade física do titular ou de terceiro
  • A tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária*
  • Os interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular
  • Proteção do crédito, inclusive quanto ao disposto na legislação pertinente*

*Não consta como base legal nos termos do RGPD.

Consentimento nos termos da LGPD

Dado que o consentimento é um tema essencial e frequentemente muito relevante no que respeita ao tratamento online, analisaremos de seguida os requisitos específicos do consentimento nos termos da LGPD.

Nos termos da LGPD, o consentimento deve ser uma manifestação “livre, informada e inequívoca”. Isto significa que o consentimento não deve ser coagido, que a manifestação do consentimento exigido ao titular deve ser clara e que os titulares devem ser adequadamente informados antes de fornecerem o consentimento. O consentimento deve igualmente ser fornecido para um propósito específico e os titulares devem sempre ter a possibilidade de revogar o consentimento.

Nos termos da LGPD, o consentimento deve ser uma manifestação livre, informada e inequívoca.

Relativamente ao consentimento de menores com idade inferior a 12 anos, deve obter o consentimento específico e em destaque de um dos pais ou tutores. O consentimento pode ser fornecido por um menor entre 13 e 18* anos de idade, desde que o tratamento dos seus dados pessoais seja realizado no seu melhor interesse. Deve realizar todos os esforços razoáveis (consideradas as tecnologias disponíveis) para verificar que o consentimento foi dado pelo responsável pela criança.

*Nota: No Brasil, a idade reconhecida para a plena capacidade contratual é de 18 anos.

Dados disponíveis ao público

A legislação anterior à LGPD permitia às empresas recolher e tratar dados pessoais disponibilizados ao público através da Internet ou de qualquer fonte pública por qualquer motivo. Contudo, nos termos da LGPD, tal já não é permitido.

Segundo as orientações da LGPD, os dados pessoais públicos só podem ser recolhidos e utilizados de duas formas:

  • para o mesmo propósito para o qual os dados foram inicialmente tratados – caso em que o consentimento do titular não é necessário; ou
  • para um propósito diferente, estritamente nos casos em que o controlador possa legitimamente aplicar uma base legal válida para o tratamento (saiba mais abaixo).

Nota: Tendo em consideração o acima exposto, a “extração” ou a recolha de dados disponíveis ao público para marketing, etc., será provavelmente limitada nos termos da LGPD.

Dados sensíveis

Relativamente ao tratamento de dados sensíveis, o consentimento pode ser evitado quando o tratamento for indispensável para:

  • cumprimento de obrigação legal ou regulatória pelo controlador;
  • tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  • realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  • proteção da vida ou da incolumidade física do titular ou de terceiro;
  • tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
  • exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; ou
  • prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrónicos, resguardados os direitos dos titulares e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular.

Dados de crianças

Nos termos da LGPD, aplicam-se exceções à exigência de consentimento para o tratamento dos dados de crianças quando o tratamento seja necessário para contactar os pais ou o responsável legal ou para sua proteção. Os dados só podem ser utilizados uma única vez e sem armazenamento, e em nenhum caso poderão ser repassados a terceiro sem o devido consentimento.

Direitos do titular nos termos da LGPD

Nos termos da LGPD, os titulares (“titulares dos dados”) têm o direito de:

  • Confirmação. Os titulares têm o direito à confirmação da existência de tratamento.
  • Acesso. Os titulares têm o direito de aceder aos seus dados que estejam a ser tratados pelo controlador.
  • Portabilidade dos dados. Os titulares têm direito à portabilidade dos seus dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial.
  • Correção. Os titulares têm o direito de obter a correção dos dados pessoais que lhes digam respeito se estes estiverem inexatos ou incompletos.
  • Anonimização. Os titulares têm direito à anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
  • Eliminação. Os titulares têm direito à eliminação dos dados pessoais tratados com o seu consentimento.
  • Informação. Os titulares têm o direito de serem informados sobre os suboperadores e outros terceiros que acedam ou tratem os seus dados pessoais. Os titulares têm igualmente o direito de serem informados sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa (recusa).
  • Revogação. Os titulares têm o direito de revogar o consentimento.
  • Peticionar. Os titulares têm o direito de peticionar perante a Autoridade de Proteção de Dados (APD).
  • Oposição. Os titulares têm o direito a se oporem ao tratamento dos seus dados pessoais em caso de incumprimento do disposto na lei.
  • Solicitar a revisão. Os titulares têm direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Obrigações do controlador e do operador nos termos da LGPD

Transferências internacionais de dados

Caso necessite de transferir dados protegidos pela LGPD para fora do Brasil, há algumas orientações a ter em consideração. A LGPD permite a transferência internacional de dados pessoais se for proporcionado um grau de proteção de dados pessoais adequado.

Em termos práticos, isto significa que a transferência será permitida se for considerado que o país destinatário dispõe de uma legislação que proporcione um grau de proteção adequado. A avaliação do grau de adequação do país destinatário ou da organização internacional será realizada pela Autoridade de Proteção de Dados (APD).

Se o grau de adequação não for cumprido, poderá ainda ser possível transferir os dados para o estrangeiro se for preenchido um dos seguintes requisitos:

  • o controlador receba o prévio consentimento informado e explícito do titular – o qual deve ser distinguido claramentedas outras finalidades e pedidos de tratamento;
  • o controlador ofereça e comprove garantias de cumprimento da LGPD na forma de cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais ou normas corporativas globais;
  • a transferência dos dados cumpre princípios na forma de selos, certificados e códigos de conduta regularmente emitidos pela APD;
  • a APD autorize diretamente a transferência;
  • a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução (acusação), de acordo com os instrumentos de direito internacional;
  • a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • a transferência for necessária para a execução de política pública;
  • a transferência resultar em compromisso assumido em acordo de cooperação internacional;
  • a transferência seja essencial para cumprir uma obrigação legal do controlador ou necessária para o exercício de direitos em processo judicial ou arbitral; ou
  • a transferência seja necessária para cumprir um contrato com o titular.

Registos de tratamento de dados

Nos termos da LGPD, tanto os controladores como os operadores devem manter registos das operações de tratamento de dados pessoais que realizarem – especialmente quando baseado no legítimo interesse. Todos os controladores e operadores – independentemente da dimensão, frequência do tratamento ou categoria de dados tratados – devem cumprir esta obrigação de conservação de registos. Contudo, a Autoridade de Proteção de Dados pode conceder isenções.

Todos os controladores e operadores devem cumprir esta obrigação de conservação de registos.

Relatório de impacto à proteção de dados pessoais (Avaliação de impacto sobre a proteção de dados) (RIPDP)

Basicamente, um relatório de impacto à proteção de dados pessoais (RIPDP) consiste num processo que visa auxiliar o controlador a cumprir as normas de privacidade dos dados – assegurando que os princípios fundamentais são efetivamente respeitados.

Nos termos da LGPD, a documentação do RIPDP normalmente contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

O RIPDP deve incluir, pelo menos:

  • a descrição das categorias de dados tratados;
  • a metodologia utilizada para a recolha dos dados;
  • as medidas de segurança adotadas; e
  • a descrição das medidas adotadas para mitigar os riscos envolvidos no tratamento dos dados pessoais.

A lei não refere explicitamente quando um RIPDP é necessário. Contudo, a Autoridade de Proteção de Dados pode solicitar a realização e apresentação de um RIPDP a qualquer momento ao controlador.

Indicação de um encarregado (encarregado da proteção de dados)

Nos termos da LGPD, o controlador deve indicar um encarregado. Não há exceções a esta regra. Os encarregados são responsáveis pelas seguintes funções:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • orientar os funcionários e os contratados do controlador a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • receber comunicações da APD e adotar as medidas relevantes; e
  • executar as demais atribuições “determinadas pelo controlador ou estabelecidas em normas complementares”.

Segurança e infrações dos dados

Nos termos da LGPD, os controladores, operadores ou qualquer outro agente envolvido no tratamento dos dados pessoais devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Qualquer incidente de segurança que possa acarretar risco ou dano aos titulares deverá ser comunicado à APD em prazo razoável.

A comunicação deverá mencionar, no mínimo:

  • a descrição da natureza dos dados pessoais afetados;
  • as informações sobre os titulares envolvidos;
  • a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
  • os riscos relacionados ao incidente;
  • os motivos da demora na comunicação do incidente à APD, no caso de a comunicação não ter sido imediata; e
  • as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Após a comunicação da violação, a APD poderá ordenar o controlador a divulgar o facto em meios de comunicação ou adotar outras medidas para mitigar os efeitos do incidente.

Transparência

Tal como sucede com o RGPD, a transparência constitui um princípio fundamental da LGPD. Nos termos da LGPD, os titulares têm direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva.

Estas divulgações incluem:

  • a finalidade específica do tratamento;
  • a forma e duração do tratamento;
  • a identificação do controlador;
  • as informações de contacto do controlador;
  • informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
  • as responsabilidades dos agentes que realizarão o tratamento;
  • os direitos do titular, com menção explícita aos direitos contidos no artigo 18.º da LGPD (referidos acima), como exercer esses direitos e se quaisquer dados pessoais serão tratados para satisfazer um pedido de exercício desses direitos.

Responsabilização e prestação de contas: privacidade desde a fase de conceção

A LGPD determina que tanto os controladores como os operadores poderão implementar processos e políticas internas que assegurem o cumprimento da lei.Tal inclui um programa de governança em privacidade e medidas que demonstrem a sua eficácia.

O programa de governança deve, no mínimo:

  • demonstrar o comprometimento do controlador em assegurar o cumprimento de normas e boas práticas;
  • ser aplicável a todo o conjunto de dados pessoais que estejam sob o controlo do operador em causa, independentemente do modo como se realizou a sua recolha;
  • ser adaptado à estrutura, à escala e ao volume das operações em causa, bem como à sensibilidade dos dados tratados;
  • estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
  • ter o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente;
  • assegurar que os mecanismos de participação do titular estejam integrados na estrutura geral de governança do programa e estabelecer e aplicar mecanismos de supervisão internos e externos;
  • contar com planos de resposta a incidentes e remediação; e
  • ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

O controlador deve ser capaz de demonstrar a efetividade do seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional.

Consequências do incumprimento

As consequências legais do incumprimento podem incluir multas de 2% do faturamento (volume de negócios) anual de uma empresa, até 50 milhões de reais (atualmente, cerca de 8 milhões de euros ou 9 milhões de dólares), por violação.Mas talvez igualmente preocupantes são as restantes potenciais medidas corretivas que poderão ser adotadas contra quem estiver em incumprimento.

As consequências legais do incumprimento podem incluir multas de 2% do faturamento anual de uma empresa, até 50 milhões de reais (8 milhões de euros)

Nos termos da LGPD, a Autoridade de Proteção de Dados brasileira dispõe de poderes para indicar a adoção de medidas corretivas que incluem advertências e multas, publicização da infração e bloqueio ou eliminação das operações de tratamento ou dados pessoais a que se refere a infração – isto significa que se a infração ocorreu em relação à recolha de endereços de correio eletrónico, o controlador em incumprimento pode correr o risco de perder toda a lista de endereços de correio eletrónico associada.A APD brasileira poderá igualmente ordenar a suspensão parcial do banco de dados (base de dados) a que se refere a infração pelo período máximo de 6 meses, interrompendo eventualmente quaisquer outras atividades que possam recorrer ao referido banco de dados.

Por outro lado, tal como sucede no RGPD, a LGPD permite aos titulares com uma causa de pedir que deduzam pedidos de indemnização (por danos patrimoniais ou extrapatrimoniais) por incumprimento da lei da privacidade.

Como cumprir a LGPD

Lista de verificação de conformidade com a LGPD

Identifique (e registe) as suas bases legais para o tratamento dos dados pessoais. Os controladores devem determinar uma base legal para cada operação de tratamento e registar a base legal nos seus registos de tratamento.

Manter um registo das operações de tratamento de dados pessoais (tal como exigido nos termos do artigo 37.º). Embora a LGPD não preveja requisitos específicos para a forma ou conteúdo destes registos, serão provavelmente semelhantes ao registo de tratamento exigido nos termos do artigo 30.º do RGPD.A iubenda facilita a criação e gestão de registos de tratamento de dados. Saiba mais aqui.

Inclua as divulgações necessárias na sua política de privacidade. É necessário que cumpra os requisitos de transparência da LGPD (artigo 9.º). Saiba mais sobre a nossa configuração de divulgações da LGPD com um clique do Gerador de Políticas de Privacidade.

Recolha e mantenha provas de consentimento válidas (exigido nos termos do artigo 8.º). Tal como sucede com o RGPD, nos termos da LGPD, o ónus de provar o consentimento válido recai sobre si, o controlador. A iubenda torna a criação e gestão de registos de consentimento incrivelmente fácil. Saiba mais aqui.

Indique um encarregado – exigido nos termos do artigo 41.º. Nos termos da LGPD, todos os controladores são obrigados a indicar um encarregado, que será responsável pelas atividades aqui referidas. Atualmente, a lei não exige que o encarregado se encontre fisicamente localizado no Brasil, e deixa ainda em aberto a possibilidade de os controladores indicarem consultores terceiros como seu encarregado.

Crie políticas e procedimentos internos para respeitar os direitos dos titulares e satisfazer os respetivos pedidos dos titulares. Os controladores devem razoavelmente satisfazer os pedidos dos titulares dos dados relativos ao exercício dos seus direitos nos termos da LGPD, incluindo o acesso, correção, anonimização, eliminação e portabilidade.

Implemente um protocolo de segurança. Tanto os controladores como os operadores devem adotar medidas de segurança para salvaguardar e proteger os dados pessoais. A APD poderá fornecer orientações para padrões técnicos mínimos no futuro. Outros regimes jurídicos nos termos da legislação brasileira fornecem orientações adicionais relacionadas com os padrões existentes, tais como o Marco Civil da Internet (que estabelece princípios, garantias, direitos e deveres para os utilizadores da internet no Brasil).

Crie um plano de resposta a incidentes e remediação (nos termos do artigo 50.º). Os controladores e operadores devem implementar um plano de resposta a incidentes que assegure que o controlador seja capaz de cumprir os requisitos obrigatórios de comunicação de incidentes (veja abaixo).

Se uma infração dos dados acarretar um risco ou prejuízo significativo para os titulares, deverá notificar a APD e os titulares (nos termos do artigo 50.º).

Elabore relatórios de impacto à proteção de dados pessoais (RIPDP). OsRIPDP poderão ser obrigatórios em situações consideradas de risco ou, mediante solicitação da autoridade, quando o tratamento dos dados tiver como fundamento o seu interesse legítimo.

Implemente a privacidade desde a conceção e por defeito. Nos termos da LGPD, é obrigatório adotar medidas desde a fase de conceção que assegurem a proteção dos dados pessoais. Em termos práticos, as configurações pré-definidas devem ser as que assegurem o grau de proteção mais elevado.

Cumpra os requisitos das transferências internacionais de dados. Certifique-se de que tem conhecimento de quaisquer limitações aplicáveis às transferências internacionais de dados e cumpra as disposições aplicáveis. Mais informações aqui.

De que modo a iubenda pode ajudá-lo a preencher os requisitos da LGPD

No que respeita à conformidade, um dos passos fundamentais é assegurar que os seus documentos preenchem os requisitos legais. Na iubenda, adotámos uma abordagem abrangente da conformidade com a lei dos dados.Criamos soluções tendo em consideração a regulamentação mais rigorosa, proporcionando-lhe opções completas de personalização consoante o que necessitar.Ajudamo-lo a cumprir as suas obrigações legais, a reduzir o seu risco de litígios e a proteger os seus clientes — criando confiança e credibilidade.

Eis o que precisa para começar com a conformidade completa:

Política de Privacidade

Todas as políticas de privacidade geradas com a iubenda permitem-lhe cumprir a LGPD, uma vez que incluem a opção de aplicar facilmente as normas legais definidas pela LGPD aos titulares do Brasil.

Com o nosso Gerador de Políticas de Privacidade e de Cookies é possível criar uma política de privacidade elegante, redigida por advogados e rigorosa e integrá-la de forma harmoniosa com o seu website ou aplicação. Pode simplesmente adicionar qualquer uma das várias cláusulas previamente elaboradas com um simples clique ou escrever facilmente as suas próprias cláusulas personalizadas utilizando o formulário incorporado.

A nossa solução facilita-lhe o preenchimento dos requisitos da LGPD, com ativação com um só clique para:

  • Apresentar linguagem, divulgações e instruções relacionadas com a LGPD, nos termos exigidos por lei; e
  • Atualizar automaticamente a sua política de privacidade incorporada com o texto da LGPD uma vez ativada no gerador – não há necessidade de reintegrar o código no seu site!

A política de privacidade inclui ainda a opção de adicionar uma política de cookies (é necessário incluí-la se o seu website ou aplicação estiver a utilizar cookies e tiver titulares da UE). As políticas são personalizáveis em função das suas necessidades e geridas remotamente por uma equipa jurídica internacional.

 

Para mais informações sobre políticas de privacidade clique aqui.

Internal Privacy Management

A implementação do cumprimento da LGPD pode revelar-se um desafio técnico em termos práticos. Isto aplica-se, em particular, à gestão interna da privacidade.

A nossa solução ajuda-o a registar e gerir facilmente todas as operações de tratamento dos dados para que possa facilmente cumprir os requisitos obrigatórios da LGPD e cumprir as suas obrigações legais. Permite-lhe criar registos das operações de tratamento:adicione operações de tratamento a partir de mais de 1700 opções previamente preparadas, divida-as por área (subdivisões nas quais as operações de tratamento dos dados são as mesmas), designe operadores e outras funções de membros, e documente bases legais e outros registos exigidos pela LGPD.

Para obter uma lista completa das funcionalidades da ferramenta Internal Privacy Management clique aqui ou leia o guia aqui.

Gestão do consentimento e conservação de registos detalhados sobre o mesmo

De modo a cumprir as leis sobre privacidade, tais como a LGPD e o RGPD, deve manter uma prova do consentimento, por forma a demonstrar que o consentimento foi recolhido nos termos da lei.

A nossa Consent Database simplifica este processo, ajudando-o a armazenar a prova de consentimento e a gerir facilmente as preferências de consentimento e privacidade para cada um dos seus titulares.Permite-lhe controlar todos os aspetos do consentimento (incluindo o aviso legal ou de privacidade, bem como o formulário de consentimento que foi apresentado ao titular no momento da recolha do consentimento) e as preferências relacionadas expressas pelo titular.

Para a utilizar, basta ativar a Consent Database no seu painel de controlo e obter a chave API. De seguida, instale através da API HTTP ou do widget JS e já está; poderá consultar os consentimentos a qualquer momento e mantê-los atualizados.

Para obter uma lista completa das funcionalidades da Consent Database clique aqui ou leia o guia aqui.

Privacy Controls and Cookie Solution

💡 Did you know that The Brazilian data protection authority (ANPD) has published new guidance on cookies? You need to display a cookie banner and ask for your users’ consent before installing non-necessary cookies. For more on this, check out our Brazil: New Cookie Requirements guide here 

Our Cookie Solution is easy to generate! Plus, you can customize your cookie banner, seamlessly collect consent and implement prior blocking with asynchronous re-activation.

Faça com que o seu site cumpra a LGPD em minutos

Comece a gerar

Tenha em atenção que, periodicamente, as leis são alteradas e atualizadas. Assim, importa garantir que as suas políticas preenchem os requisitos mais recentes. Por este motivo, utilizamos a incorporação e NÃO copiar e colar. Com este método, pode ter a certeza de que a sua política está atualizada e a ser gerida à distância pela nossa equipa jurídica.

Veja ainda