A Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018 - estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo obrigações e responsabilidades a todas as organizações que processam dados de brasileiros.
Fundamentos da LGPD
A LGPD se aplica a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou jurídica, de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados.
Dados Pessoais vs. Dados Sensíveis
Dados Pessoais: Informações relacionadas a pessoa natural identificada ou identificável (nome, CPF, e-mail, endereço, etc.)
Dados Sensíveis: Informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados genéticos, biométricos, saúde ou vida sexual.
Bases Legais para Tratamento de Dados
O tratamento de dados pessoais somente poderá ser realizado mediante uma das seguintes bases legais:
- Consentimento: Manifestação livre, informada e inequívoca do titular
- Cumprimento de obrigação legal: Exigido por lei ou regulamento
- Execução de contrato: Necessário para cumprir contrato do qual o titular é parte
- Exercício regular de direitos: Em processo judicial, administrativo ou arbitral
- Proteção da vida: Tutela da saúde em procedimento realizado por profissionais de saúde
- Legítimo interesse: Para atender interesses legítimos do controlador ou de terceiros
Direitos dos Titulares
A LGPD garante diversos direitos aos titulares de dados, incluindo:
- Confirmação da existência de tratamento
- Acesso aos dados
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados
- Portabilidade dos dados
- Informação sobre compartilhamento de dados
- Revogação do consentimento
Passos para Adequação à LGPD
1. Mapeamento de Dados
Identifique todos os dados pessoais coletados, processados e armazenados. Documente que dados são coletados, de onde vêm, como são utilizados, onde são armazenados, com quem são compartilhados e por quanto tempo são mantidos.
2. Nomeação do Encarregado (DPO)
Designe um Data Protection Officer (DPO). Esta pessoa será o canal de comunicação entre a empresa, os titulares de dados e a ANPD (Autoridade Nacional de Proteção de Dados).
3. Revisão de Políticas e Contratos
Atualize suas políticas de privacidade, termos de uso, e contratos com fornecedores, parceiros e funcionários para garantir conformidade com a LGPD.
4. Implementação de Medidas de Segurança
Adote medidas técnicas e administrativas: criptografia em trânsito e repouso, controles de acesso baseados em funções, logs e monitoramento de atividades, backup e recuperação de dados, e testes regulares de segurança.
5. Gestão de Consentimento
Implemente mecanismos para obter, registrar e gerenciar consentimentos de forma clara, específica e destacada. Garanta que os titulares possam revogar o consentimento facilmente.
6. Processo de Resposta a Requisições
Estabeleça procedimentos para atender às solicitações dos titulares de dados (acesso, correção, exclusão, portabilidade) dentro dos prazos estabelecidos pela lei.
7. Plano de Resposta a Incidentes
Desenvolva um plano de resposta para vazamentos e incidentes, incluindo procedimentos de notificação à ANPD e aos titulares afetados.
8. Treinamento e Conscientização
Capacite todos os colaboradores sobre a LGPD, suas responsabilidades e as boas práticas de proteção de dados.
Sanções e Penalidades
O descumprimento da LGPD pode resultar em:
- Advertência com indicação de prazo para adoção de medidas corretivas
- Multa simples de até 2% do faturamento (limitada a R$ 50 milhões por infração)
- Multa diária
- Publicização da infração
- Bloqueio ou eliminação dos dados pessoais
- Suspensão parcial ou total das atividades de tratamento de dados
Conclusão
A conformidade com a LGPD não é apenas uma obrigação legal, mas também uma oportunidade para fortalecer a confiança dos clientes e parceiros. A adequação é um processo contínuo que requer comprometimento da alta direção e de toda a organização.
