Perguntas e Respostas (FAQ)

A LGPD é a lei federal n.º 13.709/2018, também conhecida como Lei Geral de Proteção de Dados, aprovada em 14 de agosto de 2018, que entrou em vigor em 18 de setembro de 2020. Ela estabelece regras para o uso, coleta, armazenamento, compartilhamento e demais tratamentos de dados pessoais dos cidadãos por empresas públicas e privadas ou por profissionais liberais que tenham fins comerciais. Esta Lei tem como principais objetivos garantir mais privacidade, segurança, e transparência no uso de informações pessoais. Com a LGPD, o titular dos dados pessoais passa a ter o direito de consultar gratuitamente quais dos seus dados pessoais estão em posse de determinada organização, como estão sendo armazenados e até mesmo solicitar a retirada deles do sistema da referida organização.

Esses dados pessoais podem ser números de documentos como RG, CPF, PIS, endereço, ou aqueles considerados pela LGPD como dados pessoais sensíveis, por exemplo: origem racial ou étnica, filiação a organizações políticas ou religiosas, informações genéticas e de biometria ou de orientação sexual.

Em outras palavras, a LGPD dispõe sobre o tratamento de dados pessoais, nos meios digitais e físicos, por pessoa natural ou por pessoa jurídica de direito público, ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, visando proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, desde que:

I – a operação de tratamento seja realizada no território nacional;

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens, ou serviços, ou o tratamento de dados de indivíduos localizados no território nacional;

III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.

§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.

§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do art. 4º desta Lei.

Dados pessoais são todas as informações relacionadas a uma pessoa identificada ou identificável. Isso significa que o conceito é bastante abrangente e engloba até mesmo informações indiretas que possam permitir a identificação de alguém. Dentre os exemplos de dados pessoais, como já citado, temos: nome, prenome, RG, CPF, Matrícula, e-mail profissional, e-mail pessoal, título de eleitor, número de passaporte, endereço, estado civil, entre outros.

Dados pessoais sensíveis são todas as informações que se referem à origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicatos ou organizações com caráter religioso, filosófico ou político, dados relacionados à saúde ou à vida sexual, bem como informações genéticas ou biométricas, quando estão vinculados a uma pessoa identificável.

Para facilitar o entendimento, podemos dizer que os dados pessoais sensíveis são aqueles que, se divulgados ou utilizados indevidamente, podem causar discriminação ou expor os titulares a riscos e vulnerabilidades que afetam seus direitos e liberdades fundamentais.

A LGPD entrou em vigor em 18 de setembro de 2020, após o então Presidente Jair Bolsonaro sancionar o Projeto de Lei de Conversão n.º 34/2020, originado na Medida Provisória (MPV) n.º 959/2020, que deixou o Senado Federal, em 26 de agosto do mesmo ano.

De forma mais simples, quando falamos de titular, estamos nos referindo a você ou a qualquer outra pessoa natural que tenha dados pessoais e/ou dados pessoais sensíveis, sendo tratados, a luz do conceito de tratamento já exposto. Sendo assim, podem ser considerados titulares: funcionários, terceiros, colaboradores, clientes, pacientes, prospects, dentre outros.

O termo “pessoa natural” é uma expressão utilizada no campo jurídico para se referir a um indivíduo humano, ou seja, a uma pessoa física, em contraposição a uma pessoa jurídica (entidade legal, como uma empresa). Este termo se refere exclusivamente a um indivíduo vivo, ou seja, uma pessoa física que possui existência física e é capaz de ter direitos e obrigações. A pessoa natural é o ser humano enquanto indivíduo, com sua identidade, personalidade e capacidade jurídica.

As pessoas naturais são titulares de direitos fundamentais, como o direito à vida, à liberdade, à integridade física e psicológica, entre outros. Elas também possuem responsabilidades e deveres perante a sociedade e o Estado.

À luz da LGPD (Lei Geral de Proteção de Dados), o tratamento de dados pessoais ou dados pessoais sensíveis pode ser compreendido como todas as operações realizadas com essas informações. Isso inclui atividades como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Essa definição é bastante ampla e abrange todo o ciclo de vida de um dado, desde o momento em que é coletado até quando é eliminado. Em outras palavras, qualquer interação ou contato com um dado, seja através do WhatsApp, e-mail, voz, imagem ou vídeo, já pode ser considerado como um tratamento de dados.

Por exemplo, quando você envia uma mensagem pelo WhatsApp, está realizando uma operação de tratamento de dados, já que a informação é coletada, transmitida e armazenada pelo aplicativo. Da mesma forma, ao enviar um e-mail ou compartilhar uma foto, também estão ocorrendo operações de tratamento de dados.

A ANPD é o órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para sua implementação, no que se inclui a deliberação administrativa, em caráter terminativo, sobre a interpretação da lei e sobre as suas próprias competências e casos omissos (art. 55–K, parágrafo único; art. 55–J, xx).

Além disso, a ANPD detém competência exclusiva para aplicar as sanções administrativas previstas na LGPD, com prevalência de suas competências sobre outras correlatas de entidades e órgãos da administração pública no que se refere à proteção de dados pessoais (art. 55–K).

A Autoridade Nacional de Proteção de Dados (ANPD) possui competência originária, específica e uniformizadora no que concerne à proteção de dados pessoais e à aplicação da LGPD, previsão legal que deve ser interpretada para se compatibilizar com a atuação de outros entes públicos que possam eventualmente tratar sobre o tema. A esse respeito, a LGPD (art. 55–J, § 3º) estabelece que a ANPD deve atuar em coordenação e articulação com outros órgãos e entidades públicas, visando assegurar o cumprimento de suas atribuições com maior eficiência e promover o adequado funcionamento dos setores regulados.

Além da preocupação efetiva com a ANPD, as organizações precisam pensar em como elas se organizarão internamente com relação aos seus processos e fluxos que tratam dados pessoais. Pois, com a LGPD em vigor, qualquer titular de dado pessoal lesado, ou que se sinta lesado, poderá mover ação na esfera da justiça comum. Caso haja relações de consumo entre uma empresa e um titular, esta relação estará sujeita às sanções de outros órgãos como: PROCON, SENACON, ligado ao Ministério da Justiça e Segurança Pública (MJSP). Em casos mais específicos, órgãos como o Ministério Público (MP) e Tribunais de Conta também poderá atuar.

No final de 2018, na gestão do Presidente Michel Temer, foi editada a Medida Provisória n. 869/2018, que propôs a criação de uma Autoridade Nacional de Proteção de Dados Pessoais (ANPD). A MP foi aprovada pelo Congresso Nacional com modificações e convertida na Lei n.º 13.853, sancionada pelo Presidente Jair Bolsonaro em 9 de julho de 2019. Todavia, para que a Autoridade seja efetivamente criada, ainda é necessário um decreto presidencial estabelecendo os parâmetros da sua estrutura e a indicação de 5 diretores pela Presidência da República para comporem o Conselho Diretivo da ANPD. Após sua indicação, os 5 nomes também deverão ser aprovados pelo Senado Federal antes de serem efetivamente empossados.

A LGPD foi promulgada em 2018 e tem como objetivo regulamentar o tratamento de dados pessoais para garantir o livre desenvolvimento da personalidade e a dignidade da pessoa humana. Para isso, a lei estabelece uma série de regras a serem seguidas pelos Agentes de Tratamento (Controlador e Operador), incluindo o Poder Público.

O termo “Poder Público” é definido pela LGPD de forma ampla e inclui órgãos ou entidades dos entes federativos (União, Estados, Distrito Federal e Municípios) e dos três Poderes (Executivo, Legislativo e Judiciário), inclusive as Cortes de Contas e o Ministério Público (MP). Assim, os tratamentos de dados pessoais realizados por essas entidades e órgãos públicos devem observar as disposições da LGPD, ressalvadas as exceções previstas no art. 4º desta lei.

A LGPD visa, ainda, assegurar que dados pessoais e dados pessoais sensíveis sejam utilizados de forma transparente e com fins legítimos, ao mesmo tempo, garantindo os direitos dos titulares.

Especificamente em relação ao Poder Público, a LGPD (art. 55–J, xi e xvi) prevê que a Autoridade Nacional de Proteção de Dados (ANPD) pode solicitar informe específico sobre o âmbito, a natureza dos dados e demais detalhes envolvidos na operação, bem como realizar auditorias sobre o tratamento de dados pessoais. Já o art. 52, § 3°, estabelece quais sanções podem ser aplicadas às entidades e aos órgãos públicos, com expressa exclusão das penalidades de multa simples ou diária previstas nesta Lei.

A LGPD é a primeira lei geral de proteção de dados no Brasil e, como tal, traz novos direitos aos indivíduos e requisitos de conformidade para organizações públicas e privadas. À medida que o Brasil se encaminha para uma sociedade e economia digitais, os brasileiros devem ser instruídos sobre seus direitos de proteção de dados. Eles devem ter um entendimento básico de como podem controlar seus dados pessoais, e devem ser capazes de confiar no ecossistema de proteção de dados. Por sua vez, as organizações devem ser conscientizadas de suas obrigações e responsabilidades para com os indivíduos. Elas devem tomar medidas protetivas adequadas e assumir as responsabilidades para poder gerar tal confiança nos meios digitais.

A LGPD é uma mudança cultural, de metodologia de trabalho e de processos. Sendo assim, mesmo em tempos de COVID-19 estas organizações podem:

• (i) capacitar seus colaborares que lidarão com o tema, já que se trata de um baixo investimento;
• (ii) revisitar seus processos;
• (iii) identificar quais deles tratam dados pessoais e/ou dados pessoais sensíveis;
• (iv) identificar quais ferramentas de TI são utilizadas, e quais destas estão ativas;
• (v) mapear se há compartilhamento de dados com terceiros;
• (vi) nomear um Encarregado, também conhecido como Data Protection Officer (DPO);
• (vii) Indicar um canal de contato para exercício de direitos dos titulares e estabelecer os processos de atendimento a tais direitos.

Não. A adequação à LGPD é muito mais que isso. Basicamente é uma jornada, que pode ser subdividida em: capacitação, mapeamento de riscos, adequação e auditoria de conformidade.

Embora a LGPD tenha sido inspirada no GDPR, e a semelhança de suas estruturas topológicas e de seus artigos serem notáveis, definitivamente são arcabouços jurídicos-regulatórios distintos. Mesmo se olharmos para o GDPR, de aplicação direta em todos os estados-membros da União Europeia, é possível identificar a influência da cultura em cada país nos resultados esperados das normas.

Comece pela capacitação de seus colaboradores. Esta capacitação permitirá a formação de key users que replicarão seus conhecimentos internamente. Indicamos a nossa capacitação Fundamentos do SGPI, conforme a LGPD, a norma ABNT NBR ISO/IEC 27701:2019 e demais normas relacionadas (Requisitos e Diretrizes), de 27h de duração. Ou, caso a verba para capacitação for limitada, indicamos a nossa capacitação na norma NBR ISO/IEC 29100:2020 – Estrutura de Privacidade.

Uma lei é uma prescrição escrita que emana da autoridade soberana de uma sociedade e impõe aos cidadãos a obrigação de submeter-se a ela, sob pena de sanções. Contudo, uma lei apenas informa o que quer, mas não como deve ser feito. O como deve ser feito pode ser obtido através das normas técnicas da ABNT e ISO. Tais normas são documentos estabelecidos por consenso de especialistas, e aprovado por organismos reconhecidos. Uma organização não precisa reinventar a roda, seja para se adequar, ou para adequar outras organizações. Começar pela NBR ISO/IEC 27701. Contudo, existem outras. Consulte nossa área #queromais.

As adequações são complexas e podem demorar vários meses, contudo convém que a sua adequação seja multidisciplinar. Sendo assim, sozinhos, nem o TI e nem o Jurídico resolverão os desafios relacionados ao arcabouço da LGPD. A sinergia de profissionais de diferentes áreas, se faz necessária.

Estar em compliance com os arcabouços da LGPD é algo que demanda um monitoramento e melhoria contínua, é um esforço que nunca acaba.

O compartilhamento de dados pessoais é a operação de tratamento pela qual órgãos e entidades públicos conferem permissão de acesso ou transferem uma base de dados pessoais a outro ente público, ou a entidades privadas, visando ao atendimento de uma finalidade pública. De forma mais específica, a LGPD utiliza o termo “uso compartilhado de dados”, definido como a “comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

• ( a ) Formalização e registro: O uso compartilhado de dados pessoais pelo Poder Público deve ser formalizado, seja em atenção às normas gerais que regem os procedimentos administrativos, seja em atenção à obrigatoriedade de registro das operações de tratamento, conforme disposto no art. 37 da LGPD. Para tanto, recomenda-se a instauração de processo administrativo, do qual constem os documentos e as informações pertinentes, incluindo análise técnica e jurídica, conforme o caso, que exponham a motivação para a realização do compartilhamento e a sua aderência à legislação em vigor. Além disso, recomenda-se que o compartilhamento seja estabelecido em ato formal, a exemplo de contratos, convênios ou instrumentos congêneres firmados entre as partes. Outra possibilidade é a expedição de decisão administrativa pela autoridade competente, que autorize o acesso aos dados e estabeleça os requisitos definidos como condição para o compartilhamento;
• ( b ) Objeto e finalidade: Independentemente da opção adotada para a formalização e registro, os dados pessoais, objeto de compartilhamento, devem ser indicados de forma objetiva e detalhada, limitando-se ao que for estritamente necessário para as finalidades do tratamento, consoante com o princípio da necessidade. Por sua vez, a finalidade deve ser específica, com a indicação precisa, por exemplo, de qual iniciativa, ação ou programa será executado, ou, ainda, de qual atribuição legal será cumprida mediante o compartilhamento dos dados pessoais. Nessa linha, o art. 26 da LGPD estabelece que “o uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no art. 6º desta Lei.” Finalidades descritas de forma genérica ou indeterminada contrariam as disposições da LGPD, além de precedentes firmados pelo Supremo Tribunal Federal (STF) em casos similares;
• ( c ) Hipótese legal de Tratamento: O terceiro requisito a ser atendido para o uso compartilhado de dados pessoais pelo Poder Público é a definição da base legal, conforme art. 7º ou, no caso de dados sensíveis, art. 11 da LGPD, nos termos das orientações apresentadas. Recomenda-se, nesse sentido, que o ato que autoriza ou formaliza o compartilhamento contenha expressa indicação da base legal utilizada;
• ( d ) Duração do tratamento: O tratamento de dados pessoais é um processo com duração definida, após o qual, em regra, os dados pessoais devem ser eliminados, observados as condições e os prazos previstos em normas específicas que regem a gestão de documentos e arquivos. Vale ressaltar que o art. 16 da LGPD estabelece hipóteses gerais em que é autorizada a conservação de dados pessoais. A delimitação do período de duração do uso compartilhado dos dados também é relevante para o fim de reavaliação periódica do instrumento que autorizou o compartilhamento, incluindo a possibilidade de sua adequação a novas disposições legais e regulamentares ou a previsão de novas medidas de segurança, segundo as tecnologias disponíveis. Portanto, o instrumento que autoriza ou formaliza o compartilhamento deve estabelecer, de forma expressa, o período de duração do uso compartilhado dos dados, além de esclarecer, conforme o caso, se há a possibilidade de conservação ou se os dados pessoais e/ou dados pessoais sensíveis devem ser eliminados após o término do tratamento;
• (e) Transparência e direitos dos titulares: Os atos que regem e autorizam o compartilhamento de dados pessoais devem prever as formas de atendimento ao princípio da transparência (art. 6º, vi), assegurando a disponibilização de informações claras, precisas e facilmente acessíveis aos titulares sobre a realização do compartilhamento e sobre como exercer seus direitos, conforme as orientações. Constitui uma boa prática divulgar, na página eletrônica dos órgãos e das entidades responsáveis, as informações pertinentes, nos termos do art. 23, i, da LGPD. Adicionalmente, recomenda-se que sejam delimitadas as obrigações das partes no que se refere: (i) à divulgação das informações exigidas pela LGPD; e (ii) às responsabilidades e aos procedimentos a serem observados visando ao atendimento de solicitações apresentadas pelos titulares;
• ( f ) Prevenção e segurança: Também é importante serem estabelecidas as medidas de segurança, técnicas e administrativas, que serão adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 6º, vii, e 46, da LGPD). Estas medidas, que devem ser proporcionais aos riscos às liberdades civis e aos direitos fundamentais dos cidadãos envolvidos no caso concreto, deverão estar previstas nos atos que regem e autorizam o compartilhamento dos dados;
• ( g ) Outros requisitos: Além dos supracitados, pode ser necessário atender a outros requisitos, que decorram das peculiaridades do caso concreto ou de determinações provenientes de normas específicas. É o caso de eventual novo compartilhamento ou transferência posterior dos dados pessoais e/ou dados pessoais sensíveis, a ser efetuado pelo recebedor destes dados, no âmbito do próprio setor público ou para entes do setor privado. Entre outras possibilidades, o instrumento que rege o uso compartilhado dos dados pode vedar a realização de novo compartilhamento ou, ainda, autorizá-lo sob determinadas condições, observadas as normas aplicáveis. Por exemplo, no caso de dados pessoais disponibilizados para a realização de estudos em saúde pública, a LGPD veda que o órgão de pesquisa responsável transfira os dados a terceiro(s) (art. 13, § 2º).

Deve ficar claro, em suma, quais dados pessoais serão compartilhados, bem como por que e para que serão compartilhados. Por exemplo, o ato formal pode prever que “serão compartilhados com a Entidade Pública x os dados pessoais que constam da base de dados do Órgão Público y, consistentes em nome, CPF e endereço residencial, para a finalidade específica de realização de cadastro e identificação de cidadãos aptos ao recebimento do benefício social de que trata a Lei n.º xyz”. Por fim, em qualquer hipótese, deve ser avaliada a compatibilidade entre a finalidade original da coleta e a finalidade do compartilhamento dos dados.

Proposta de Emenda Constitucional (PEC) n.º 17 de 2019, conhecida como PEC 17/2019 é um pilar fundamental para a concretização do arcabouço jurídico regulatório da proteção e privacidade de dados pessoais, pois ela eleva a proteção de dados pessoais a um direito e garantia Constitucional e fixa a competência privativa da União para legislar sobre o tema, assim como também estabelece que a ANPD deverá ser uma entidade independente, integrante da administração pública federal indireta e submetida a regime autárquico especial. A PEC 17/2019 teve origem no Senado Federal, já foi analisada pela Comissão Especial na Câmara dos Deputados e aguarda sua votação no Plenário.

É com eles que o seu navegador pode contar a um site que você já esteve ali ou que adicionou um item ao carrinho de compras em uma loja virtual, por exemplo.

“Não existe na LGPD uma regulamentação que obrigue de forma explícita esses avisos de cookies, mas a legislação tem medidas que implicam em maior transparência em maior lealdade com o usuário”, explica Danilo Doneda, advogado e professor no IDP (Instituto Brasiliense de Direito Público).

“Pelo fato dos sites precisarem ser mais claros e transparente, esses avisos são uma forma de mostrarem que estão se preocupando com a coleta de dados. O Regulamento Europeu, GDPR, tem obrigações nesse sentido e muitas empresas brasileiras estão fazendo isso porque já fazem na Europa”, completou Doneda.

A observância dos princípios (art. 6º, LGPD) constitui parte essencial do tratamento de dados pessoais. Os princípios previstos na LGPD deverão observar a boa-fé e estão descritos, a seguir:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Como regra geral, os princípios devem ser interpretados em conjunto e de forma sistemática com as disposições do Capítulo IV da LGPD (arts. 23 a 30), no qual se encontram normas específicas direcionadas ao Poder Público.