A Lei Geral de Proteção de Dados (LGPD) mudará completamente a natureza das relações digitais e trará muito mais segurança para a privacidade e para os dados dos cidadãos brasileiros.

No entanto, muitos advogados e profissionais do Direito ainda não compreendem quais serão os efeitos da nova Lei e como o mundo jurídico será impactado com ela.

Por essa razão, a equipe do Franco Advogados, um parceiro da Legalcloud, elaborou um texto muito completo para ajudar advogados e profissionais da tecnologia a se protegerem juridicamente e evitarem riscos futuros.

Que tal aprender mais sobre a LGPD?

Nesse texto, você:

  • Aprenderá o que é a LGPD
  • Saberá como é a aplicação da Lei Geral de Proteção de Dados
  • Conhecerá os principais pontos para o tratamento e cuidado com dados
  • Terá um passo a passo para se preparar para os efeitos da LGPD

O que é a LGPD?

No dia 14 de agosto de 2018, foi sancionada a Lei Geral de Proteção de Dados (“LGPD”, Lei n° 13.709/2018, publicada em 15/08/2018), que entraria em vigor em fevereiro de 2020, após um período de 18 meses para adaptação. No entanto, algumas mudanças legislativas permitiram, inicialmente, a alteração da entrada em vigor para Agosto de 2020. Atualmente, o início da vigência está modificado para Agosto de 2021, devido à MP 959/20, que ainda precisa ser votada pelo Congresso.

A nova lei introduz mudanças muito significativas, que deverão transformar radicalmente a abordagem da privacidade por parte de indivíduos, empresas e entes públicos. Não se trata apenas de uma questão tecnológica, mas de um desafio que envolverá toda a sociedade.

A LGPD é, assim como o Regulamento Geral sobre a Proteção de Dados (norma europeia que entrou em vigor em maio desde ano, também conhecida pelo acrônimo “GDPR”¹), uma norma baseada em princípios e, ao regular a proteção dos dados pessoais, garante direitos aos cidadãos e estabelece regras claras sobre as operações de tratamento realizadas por órgãos públicos ou privados.

Um princípio básico refere-se à responsabilização do controlador de dados (a quem competem as decisões referentes ao tratamento de dados pessoais), que deverá ser capaz de demonstrar que o processamento é realizado de acordo com a LGPD, de forma eficaz (prestação de contas). Adota-se uma perspectiva pela qual a privacidade deve ser respeitada desde a concepção dos serviços/produtos, uma premissa “cultural” para trilhar o caminho da conformidade.

Entretanto, a LGPD ainda não está finalizada. Certos aspectos da nova lei ainda estão sendo debatidos, mormente no que se refere à sua regulação e fiscalização. A necessidade de uma Autoridade Nacional de Proteção de Dados (e um possível Conselho auxiliar para propor estratégias e diretrizes), itens vetados pelo Governo por razões formais, está atualmente na agenda e espera-se, antes mesmo da entrada em vigor da lei, pela criação de tais órgãos (provavelmente por iniciativa do Poder Executivo)².

Isto significa que as empresas podem não ter, neste momento, todas as respostas ou condições de colocar tudo em ordem para a LGPD. Mas o fato é que 18 meses passam em um “piscar de olhos”: há muito trabalho a ser feito e os preparativos devem começar o quanto antes.

Por que uma LGPD agora?

Bem, alguns dizem que já vem tarde (e antes tarde do que nunca). A LGPD apresenta-se como um instrumento legal fundamental para o desenvolvimento da economia digital no Brasil, buscando proteger os direitos do cidadão em um ambiente regulamentado que ajude as empresas a inovarem, vindo substituir e/ou complementar uma estrutura regulatória setorial já existente³.

Quase todos os aspectos da nossa vida giram em torno de dados. De empresas marketing digital a bancos, comércio e governos – quase todos os serviços ou produtos que adquirimos envolvem a coleta e análise de dados pessoais. Toda vez que alguém clica em “comprar”, “reservar agora” ou “enviar”, por exemplo, mais dados pessoais são processados e armazenados, acrescentando informações a esse enorme e dinâmico conjunto de dados. E é disso que trata a LGPD: “dados pessoais” e como os coletamos, armazenamos, processamos e utilizamos.

O uso indevido de dados pessoais para influenciar eleições(4), a crescente aplicação de análise de dados e tomada de decisões por algoritmos no setor público, a possibilidade no aumento de casos de discriminação e avaliações errôneas por meio de dados(5), são apenas alguns exemplos que demonstram que o uso e controle de dados se tornou uma questão-chave do nosso tempo. Como cidadãos digitais, somos cada vez mais perfilados e categorizados de acordo com os dados que produzimos.

A internet alcançou níveis de sofisticação e disseminação que tornaram a regulação sobre o uso de dados pessoais extremamente necessária. A infraestrutura digital disponível hoje trouxe consigo tecnologias disruptivas baseadas no processamento de informações (e nossa crescente dependência tecnológica alimenta ainda mais a demanda massiva por dados), razão pela qual faz-se necessária uma melhor compreensão das implicações para a sociedade. É nesse contexto que se inserem as discussões que levaram à criação da LGPD.

O que diz a Lei Geral de Proteção de Dados?

Na sua essência, a LGPD é um novo conjunto de regras destinadas a dar aos cidadãos mais controle sobre seus dados pessoais e pretende simplificar o ambiente regulatório para as empresas, de forma que tanto os cidadãos como as empresas possam se beneficiar plenamente da economia digital.

Apresentamos a seguir um breve apanhado sobre os principais pontos da nova lei:

Âmbito de aplicação e extraterritorialidade

Um dos pontos mais importantes da nova lei é seu impacto transversal, visto que influenciará muitos setores da economia e a maior parte das entidades, públicas ou privadas, online ou offline (de P&D ao marketing, de clientes a empregados, de serviços à indústria). Encontra-se sob o escopo da norma qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados(6), desde que:

  1. a operação de tratamento seja realizada no território nacional;
  2. a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; e
  3. os dados pessoais objeto do tratamento tenham sido coletados no território nacional, isto é, quando o titular dos dados aqui se encontre no momento da coleta.

Seguindo a significativa extensão territorial positivada pela legislação europeia, a lei brasileira de proteção de dados estende sua aplicação a outros territórios. Isso porque, ao determinar os limites geográficos das atividades de tratamento, a LGPD não considera apenas o país onde estão localizados os titulares ou os dados. Simplificando, se os dados forem coletados ou processados no Brasil, ou se o tratamento tem por objetivo ofertar bens/serviços a pessoas localizadas no território nacional, aplica-se a LGPD.

Exceções à LGPD

A lei não se aplicará ao tratamento de dados pessoais quando(7):

  1. realizado por pessoa natural para fins particulares;
  2. realizado para fins jornalísticos ou artísticos ou acadêmicos;
  3. realizado para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais (que será objeto de lei específica); ou
  4. provenientes de fora do território nacional e que não seja objeto de comunicação, uso compartilhado com agentes de tratamento brasileiros ou objeto de transferência de dados com outro país que não o de proveniência, desde que este país de proveniência proporcione grau de proteção adequado aos da lei brasileira.

Dados Pessoais na Lei Geral de Proteção de Dados

A LGPD dispõe, de forma ampla, que dados pessoais são “qualquer informação relacionada a pessoa natural identificada ou identificável”. Uma informação que identifica uma pessoa pode ser um dado simples, como um nome, números ou outros identificadores. Em sendo possível identificar um indivíduo diretamente das informações processadas, essas informações podem ser dados pessoais(8). Se não for possível identificar diretamente um indivíduo a partir dessas informações, deverá ser ponderado se ele ainda é identificável, levando-se em consideração outras informações que poderão ser processadas em conjunto, através de meios razoáveis, para identificar esse indivíduo(9). Um nome ao lado de um endereço residencial, um perfil online que fornece um nome e a empresa para a qual a pessoa trabalha, um endereço de e-mail corporativo, registros de RH, listas de clientes, detalhes de um contato ou até endereços IP (endereço de protocolo da Internet) são exemplos de informações que, se combinadas, podem vir a identificar um indivíduo e, portanto, consideradas pessoais. Em assim sendo, seu tratamento demandará a fixação de bases legais específicas, dispostas na LGPD.

Dados pessoais sensíveis

A lei define quais são os dados pessoais considerados sensíveis (que podem ser rastreados até um indivíduo e que, se divulgados, podem resultar em danos)(10): dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso; dados filosóficos ou políticos; referentes à saúde ou à vida sexual, além de dados genéticos ou biométricos. A lei prevê tratamento diferenciado nesses casos (como, por exemplo, o consentimento a ser fornecido, de forma específica e destacada, para finalidades específicas(11)) e lista as hipóteses em que o tratamento poderá ocorrer sem o consentimento do titular(12).

Crianças e adolescentes

O tratamento de dados pessoais de crianças e adolescentes também merece tratamento especial deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal, salvo quando necessário para contatá-los(13). Deverão ser realizados esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis(14). Quanto às informações sobre o tratamento dos dados, deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características do usuário, de forma a proporcionar a informação necessária e adequada aos pais e à criança, sendo previsto, inclusive, o uso de recursos audiovisuais(15).

Dados anonimizados

A LGPD define não apenas o que são dados anonimizados (aqueles cujo titular não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento)(16), mas também o processo de anonimização (realizado através de meios técnicos razoáveis e disponíveis no momento do tratamento, resultando na impossibilidade de associação, direta ou indireta, a um indivíduo(17)). O objetivo da anonimização é proteger dados privados ou confidenciais, excluindo ou criptografando informações de identificação pessoal de um banco de dados sem perder a integridade dos dados coletados e compartilhados, fornecendo oportunidades para que os controladores utilizem os dados de maneiras mais inovadoras. Esse tipo de dado não será considerado pessoal, salvo quando o processo de anonimização puder ser revertido, utilizando exclusivamente meios próprios ou mediante esforços razoáveis(18) (a determinação do “razoável” deverá levar em consideração fatores objetivos, como custo e tempo para reverter o processo de anonimização)(19).

Tratamento de dados na LGPD

Considera-se “tratamento” toda a operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração(20).

Agentes do tratamento

São considerados agentes de tratamento: o “controlador” (pessoa física ou jurídica, de direito público ou privado, responsável pelas decisões referentes ao tratamento de dados pessoais) e o “operador” (pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do controlador)(21).

Fundamentos legais para o tratamento de dados na LGPD

A lei estabelece 10 bases legais para o processamento válido de dados pessoais(22) e a escolha das hipóteses mais apropriadas dependerão do propósito e relacionamento entre o titular e o controlador dos dados(23).

Assim, de acordo com a lei, o tratamento somente poderá ser realizado:

  1. mediante consentimento;
  2. para cumprimento de obrigação legal ou regulatória pelo controlador;
  3. pela administração pública, para tratamento de dados necessários a políticas públicas;
  4. para realização de estudos por órgão de pesquisa, sendo garantida a anonimização dos dados;
  5. quando necessário para a execução de contrato;
  6. exercício regular de direitos em processo judicial, administrativo ou arbitral;
  7. para a proteção da vida ou incolumidade física do titular ou terceiros;
  8. para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
  9. interesses legítimos do controlador ou de terceiro;
  10. proteção do crédito.

Vale ressaltar que o “legítimo interesse” constante no inciso IX é uma novidade no arcabouço jurídico brasileiro e ainda sem regulamentação específica. Embora pareça ser o mais “flexível” das bases legais, é necessário sopesar os interesses do controlador e os direitos dos titulares dos dados(24). A propósito da GDPR, foi proposto um teste para avaliar a verificação de legítimo interesse, consistente em três etapas: (i) identificar um interesse legítimo (de natureza comercial ou social, por exemplo), (ii) demonstrar que o processamento é necessário para alcançá-lo e (iii) equilibrá-los diante dos interesses e direitos dos indivíduos. Se o mesmo resultado puder ser obtido sem o processamento, então não haverá legítimo interesse(25).

Princípios gerais da Lei Geral de Proteção de Dados

A LGPD é uma lei de cunho principiológico e, assim, traz em seu texto 10 princípios que devem ser considerados e observados nas atividades de tratamento de dados pessoais(26). São eles:

  • finalidade: o tratamento deve ser realizado para propósitos legítimos, específicos, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • adequação: o tratamento deve ser compatível com as finalidades informadas ao titular;
  • necessidade: o tratamento deve ser limitado ao mínimo necessário para a realização das finalidades;
  • livre acesso: deve ser garantida aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como o acesso à integralidade dos seus dados;
  • qualidade dos dados: deve ser garantida a exatidão, clareza, relevância e atualização dos dados;
  • transparência: deve ser garantida a prestação de informações claras e facilmente acessíveis pelos titulares;
  • segurança: deverão ser adotadas medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados;
  • prevenção: deverão ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • não discriminação: impossibilidade de tratamento para fins discriminatórios;
  • responsabilização e prestação de contas: demonstração de medidas eficazes para observar e comprovar o cumprimento das normas de proteção de dados pessoais.

Portabilidade de dados

Uma inovação da lei é o direito dado ao titular de obter seus dados pessoais através de um arquivo interoperável(27) (por exemplo, um arquivo .csv28), além de poder solicitar a transferência dos dados para outra organização(29). Constitui, assim, uma valiosa ferramenta de desenvolvimento e difusão de tecnologias com foco na privacidade do usuário, além de uma ferramenta para permitir que os indivíduos aproveitem a riqueza imaterial de seus dados pessoais: a possibilidade de poder transferir livremente os dados de um controlador para outro pode ser um instrumento de fomento à concorrência (observados os segredos comercial e industrial) e interoperabilidade entre plataformas, ao mesmo tempo em que reforça a capacidade de controle dos indivíduos sobre seus próprios dados(30).

Direitos do titular na LGPD

O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva, principalmente no que se refere à finalidade, forma e duração do tratamento, a identificação do controlador e seu contato, a informação sobre o uso compartilhado de dados e sua finalidade e as responsabilidades dos agentes de tratamento, além da menção explícita aos direitos do titular(31). São também garantidos ao titular, mediante requisição ao controlador, o direito de correção de seus dados, a eliminação de dados tratados com o consentimento do titular e a revogação do consentimento, sendo assegurado o direito de petição à autoridade nacional(32).

Consentimento

A concordância do titular quanto ao tratamento de seus dados pessoais deverá ocorrer de forma livre, informada, inequívoca e para uma finalidade determinada(33). O consentimento deverá ser fornecido por escrito (neste caso, de maneira destacada das demais cláusulas) ou por outro meio que demonstre a manifestação de vontade do titular(34), cabendo ao controlador o ônus da prova de que foi obtido na forma da lei(35). Serão consideradas nulas as autorizações genéricas para o tratamento de dados pessoais(36) e vedado o tratamento nos casos de vício de consentimento(37). O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular, ratificados os tratamentos realizados sob o amparo do consentimento anteriormente manifestado enquanto não houver requerimento da sua revogação(38).

Responsabilidade

Uma nova abordagem também envolve a responsabilidade por danos causados (patrimoniais, morais, individuais ou coletivos) pelos agentes de tratamento(39). A isto se acrescenta a responsabilidade solidária entre os sujeitos responsáveis(40) em determinados casos, a fim de garantir a efetiva indenização dos interessados. A lei também estabelece a possibilidade de inversão do ônus da prova em favor do titular dos dados, quando (i) for verossímil a alegação, (ii) houver hipossuficiência para fins de produção de prova ou (iii) quando a produção de prova pelo titular resultar-lhe excessivamente onerosa(41).

Término do tratamento

O tratamento deverá cessar quando alcançada a finalidade ou quando os dados deixarem de ser necessários ou pertinentes; ao fim do período de tratamento; mediante comunicação do titular; ou por determinação da autoridade nacional(42). Os dados devem ser eliminados após o término do tratamento, salvo exceções específicas(43).

Comunicação obrigatória

O controlador deverá comunicar, em prazo razoável, à autoridade nacional e ao titular sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante(44). A Autoridade Nacional verificará a gravidade do incidente e poderá determinar medidas como a ampla divulgação do fato em meios de comunicação, bem como outras medidas que entender necessárias para reverter ou mitigar os efeitos do incidente(45). Em situações como esta, pode haver um grande impacto negativo na reputação e na imagem da instituição envolvida (e, consequentemente, resultar em eventual desvalorização do valor de mercado e/ou perda da confiança por parte dos consumidores)(46).

Transferências internacionais de dados

As hipóteses para transferência de dados pessoais (para país estrangeiro ou organismo internacional do qual o país seja membro)(47) são previstas de forma taxativa pela lei, devendo ocorrer apenas para aqueles que proporcionarem grau de proteção de dados pessoais adequado ao previsto na LGPD ou quando o controlador oferecer e comprovar a conformidade (através de disposições contratuais, normas corporativas, selos, certificados e códigos de conduta regularmente emitidos, com conteúdo definido ou verificado pela Autoridade Nacional)(48). Dentre as hipóteses legais, destaca-se também a necessidade de consentimento específico, em destaque e distinta de outras finalidades(49).

Encarregado pela Proteção de Dados

O EPD (semelhante à figura do DPO – Data Protection Officer, previsto na regulação europeia) é a pessoa natural, nomeada pelo controlador (empregado ou contratado externamento), que atuará como um canal de comunicação entre este, os titulares dos dados e a autoridade de proteção de dados(50). Será responsável por receber reclamações e comunicações de titulares e órgãos competentes, prestar esclarecimentos, adotar providências e orientar funcionários sobre as boas práticas, dentre outras atribuições(51). Sua identidade e informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no site do controlador(52). Por não fazer nenhum ressalva específica, a análise da LGPD leva ao entendimento de que qualquer entidade que processe dados pessoais deverá, sob quaisquer circunstâncias, indicar um EPD, cabendo, porém, à autoridade nacional estabelecer normas complementares sobre a definição e a atribuição da pessoa responsável (incluindo hipóteses de dispensa de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados)(53).

Relatório de Impacto à Proteção de Dados Pessoais (RIPDP)

Semelhante ao DPIA (Data Privacy Impact Assessment, previsto na GDPR), refere-se à documentação do controlador que contém a descrição das atividades de processamento de dados que podem gerar riscos aos titulares de dados, bem como informações sobre a implementação de medidas, salvaguardas e instrumentos de mitigação de danos(54). Nada mais é que uma ferramenta para ajudar a identificar e minimizar os riscos na proteção de dados, que poderá ser requerida pela ANPD, quando o tratamento tiver como fundamento o legítimo interesse do controlador(55).

Registro de operações de tratamento

O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado em seu legítimo interesse(56). Assim,

“toda e qualquer atividade de tratamento de dados pessoais deve ser registrada, desde a sua coleta até a sua exclusão, indicando quais tipos de dados pessoais serão coletados, a base legal que autoriza os seus usos, as suas finalidades, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento, e com quem os dados podem ser eventualmente compartilhados, metodologia também conhecida como ‘data mapping’”(57).

Requisitos de segurança da LGPD

Os agentes de tratamento devem adotar (e registrar) as medidas de segurança, técnicas e administrativas adotadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas (destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito)(58). Caberá à Autoridade Nacional de proteção de dados, por sua vez, dispor sobre padrões técnicos mínimos, levando em conta os princípios da LGPD e considerando a natureza dos dados manipulados, as características específicas do tratamento, o estado atual da tecnologia (especialmente em se tratando de dados sensíveis)(59).

Privacy by design

Os princípios gerais da LGPD e as medidas de segurança acima referenciadas deverão ocorrer desde a fase de concepção dos serviços e produtos até sua execução, garantindo desde o início dos direitos de privacidade e proteção de dados (privacy by design)(60).

Penalidades

A lei prevê a aplicação de sanções administrativas a serem aplicadas de acordo com cada caso concreto pela autoridade nacional, após conclusão de procedimento administrativo, garantida a ampla defesa(61). Dentre as sanções, estão previstas (i) advertência; (i) multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração; (iii) multa diária (limitada a este valor); (iv) publicização da infração e (v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização(62). Outras sanções previstas no projeto levado à sanção foram vetadas, conforme será analisado abaixo.

Período de transição e adaptação (vacatio legis) – ATUALIZADO

Inicialmente, a LGPD entraria em vigor após decorridos 18 meses de sua publicação oficial(63). Ou seja, as entidades teriam até o dia 15 de fevereiro de 2020 para se preparar.

Apesar disso, uma alteração legislativa possibilitou que a norma entrasse em vigor apenas em Agosto de 2020, data essa que já estava sendo dada como certa por advogados e profissionais do ramo da tecnologia.

NO ENTANTO, uma nova Medida Provisória (MP 959/20) prorrogou NOVAMENTE a data de início de vigência da norma para Agosto de 2021.

ATENÇÃO: a MP 959/20 tem validade de 120 dias e precisa de confirmação durante esse período.

Vetos Presidenciais

A criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão que seria responsável pela fiscalização da lei, foi vetada devido a aspectos formais, relacionados à inconstitucionalidade do processo legislativo, por afronta ao artigo 61, §1º, II, “e”, cumulado com o artigo 37, XIX da Constituição Federal(65). No entanto, já foi sinalizado pelo Governo que a ANPD será criada por meio de uma lei separada, provavelmente através de iniciativa do Poder Executivo(66).

Foram vetados também artigos que previam a transferência de dados pessoais entre as autoridades públicas e as entidades privadas (não estão proibidas tais transferências, mas se darão sob bases jurídicas diversas) e transparência na utilização de dados compartilhados entre entes públicos. Outros artigos vedados previam penas de suspensão e proibição – total ou parcial – das atividades de processamento e armazenamento de dados pessoais, sob a justificativa de que tais previsões poderiam gerar insegurança aos responsáveis por essas informações, bem como impossibilitar a utilização e tratamento de bancos de dados essenciais a diversas atividades (a exemplo das aproveitadas pelas instituições financeiras, dentre outras) acarretando prejuízo à estabilidade do sistema financeiro nacional(67).

Próximos passos da Lei Geral de Proteção de Dados

A Autoridade Nacional de Proteção de Dados, quando criada (64), será uma autoridade pública independente para supervisionar e fiscalizar a execução da lei. Embora seu formato ainda não esteja definido, deverá funcionar da mesma forma que outras agências reguladoras, podendo estabelecer diretrizes para a proteção de dados pessoais no Brasil. Em síntese, ela deverá garantir a proteção de dados pessoais, elaborar a “Política Nacional de Proteção e Privacidade de Dados”, conforme definido em lei, monitorar, fiscalizar e aplicar sanções em caso de infração, dentre outras atividades. A lei que criar a ANPD provavelmente criará também o Conselho Nacional de Proteção de Dados (CNPD), órgão consultivo de composição multissetorial(68), que poderá prestar esclarecimentos e propor estratégias, realizar estudos e disseminar conhecimentos sobre proteção de dados no Brasil(69).

Como visto, as empresas deverão buscar a conformidade à lei e aceitar um novo paradigma cultural no que se refere ao uso apropriado de dados pessoais. Em sua essência, a LGPD modificará drasticamente a maneira como as empresas gerenciam, usam, armazenam, protegem e processam dados pessoais. Nesse sentido, a implementação da LGPD pode representar para as empresas não apenas uma barreira regulatória, mas uma verdadeira uma vantagem competitiva com potencial para criar um nível respeitável de confiança e reputação junto à sociedade.

Como se preparar para a LGPD? PASSO A PASSO

Antes de embarcar em um projeto para atingir a conformidade com a LGDP é muito importante garantir o compromisso da alta administração. Este é, provavelmente, o fator mais significativo que poderá conduzir as entidades a um projeto de operação (e posterior implementação) bem-sucedido.

As primeiras questões que a alta gerência fará sobre o projeto provavelmente serão: (i) quais requisitos deverão ser cumpridos, (ii) quanto irá custar; e (iii) quando deverá estar pronto?

O ponto mais importante é que a conformidade à LGPD não é opcional e as multas previstas em caso de descumprimento são altas. Os requisitos a serem observados e os custos de adequação irão depender da avaliação de cada negócio, mas todos deverão estar em conformidade com a norma até meados de fevereiro de 2020.

Sumarizamos abaixo, em 8 tópicos, alguns insights destinados a fornecer um ponto de partida razoável para iniciar um projeto de conformidade à LGPD:

1. Estabelecer as necessidades e o contexto

Reunir as equipes e mapear a situação interna no que se refere às operações de processamento de dados, a fim de compreender em que medida a LGPD se aplica a seu negócio.

2. Identificar os riscos

Realizar um gap assessment (parte legal e técnica) para identificar as providências a serem adotadas.

3. Analisar e avaliar os riscos

Analisar e definir as bases legais para tratamento; avaliar os mecanismos de segurança das bases de dados.

4. Definir o projeto de acordo com os riscos

Definir responsabilidades; nomear um EPD; readequar e documentar os processos internos de tratamento de dados.

5. Educar funcionários

Incentivar a adoção de boas práticas e a mudança na cultura interna (através de treinamentos periódicos, por exemplo) e externa.

6. Implementar o projeto desenvolvido

Elaborar ou revisar (i) políticas de privacidade (internas e externas) e (ii) contratos com colaboradores e terceiros que impliquem no processamento de dados (operadores), assegurando-se dos meios para garantir sua execução.

7. Registrar o processo

Documentar as análises e procedimentos e implementar o Registro de Processamento de Dados.

8. Monitorar e notificar

Organizar uma política de tratamento dos incidentes para garantir o cumprimento de requisitos de comunicação às autoridades em caso de vazamentos ou uso indevido de dados pessoais.


Iremos monitorar as atualizações sobre o assunto e informaremos no caso de qualquer desenvolvimento relevante.
Em caso de dúvidas, entre em contato conosco.

Autoria: Maria Fernanda Hosken Perongini e Franco Advogados

     www.francoadv.com

AVISO LEGAL: Este documento tem como objetivo único fornecer informações sobre o assunto em referência. Nenhuma parte de seu conteúdo deverá ser interpretada como aconselhamento ou parecer jurídico. Orientações legais devem ser obtidas por meio de nossos advogados no contexto de uma relação advogado-cliente.


A Legalcloud conta com tecnologia jurídica para auxiliar todos os operadores de direito. Quer simular seus prazos processuais com segurança? Utilize a Calculadora de Prazos Legalcloud.


1 General Data Protection Regulation. A versão em português (de Portugal) está disponível em [https://eurlex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=PT].
2 MAZUI, Guilherme; CASTILHOS, Roniara. Temer sanciona com vetos lei de proteção de dados pessoais. Disponível em: [https://g1.globo.com/politica/noticia/2018/08/14/temer-sanciona-lei-de-protecao-de-dadospessoais.ghtml]. Acesso em 18/08/2018.
3 MONTEIRO, Renato L. Lei Geral de Proteção de Dados do Brasil – Análise. Disponível em: [https://baptistaluz.com.br/institucional/lei-geral-de-protecao-de-dados-do-brasil-analise/]. Acesso em
20/08/2018.
4 MARTÌ, Silas. Entenda o escândalo do uso de dados do Facebook. Folha de São Paulo, 22.03.2018. Disponível em: [https://www1.folha.uol.com.br/mercado/2018/03/entenda-o-escandalo-do-uso-de-dados-dofacebook.shtml]. Acesso em 20/08/2018.
5 WORKFRONT. Data Discrimination: the dark side of big data. Disponível em:
[https://www.workfront.com/blog/data-discrimination-the-dark-side-of-big-data]. Acesso em 20/08/2018.
6 Lei 13.709/2018. Art. 3°.
7 Lei 13.709/2018. Art. 4°.
8 ICO – Information Commissioner’s Office. What is personal data? Disponível em: [https://ico.org.uk/fororganisations/guide-to-the-general-data-protection-regulation-gdpr/key-definitions/what-is-personal-data/]. Acesso em 17/08/2018.
9 Idem.
10 Sensitive information. Disponível em: [https://whatis.techtarget.com/definition/sensitive-information]. Acesso
em 20/08/2018.
11 Lei 13.709/2018. Art. 11, I.
12 Idem. Art. 11, II.
13 Ibid. Art. 14, §1°.
14 Ibid. Art. 14, §5°.
15 Ibid. Art. 14, §6°.
16 Lei 13.709/2018. Art. 5°, III.
17 Idem. Art. 5°, XI.
18 Ibid. Art. 12.
19 Ibid. Art. 12, §1°.
20 Ibid. Art. 5°, X.
21 Ibid. Art. 5°, VI, VII e IX.
22 Ibid. Art. 7°.
23 ICO. Lawful basis for processing. Disponível em: [https://ico.org.uk/for-organisations/guide-to-the-generaldata-protection-regulation-gdpr/lawful-basis-for-processing/]. Acesso em 20/08/2018.
24 ICO. Legitimate interests. Disponível em: [https://ico.org.uk/for-organisations/guide-to-the-general-dataprotection-regulation-gdpr/lawful-basis-for-processing/legitimate-interests/]. Acesso em 17/08/2018.
25 Idem.
26 Lei 13.709/2018. Art. 6°.
27 Idem. Art. 25.
28 ICO. Your right to data portability. Disponível em: [https://ico.org.uk/your-data-matters/your-right-to-dataportability/]. Acesso em 20/08/2018.
29 Lei 13.709/2018. Art. 18, V.
30 Paul De Hert et al. The right to data portability in the GDPR: Towards user-centric interoperability of digital services. Computer Law & Security Review. Volume 34, Issue 2, Abril 2018. Disponível em:
[https://www.sciencedirect.com/science/article/pii/S0267364917303333]. Acesso em 17/08/2018.
31 Lei 13.709/2018. Art. 9° c/c art. 18.
32 Idem. Art. 18, §1°.
33 Ibid. Art. 5°, XII.
34 Ibid. Art. 8°, caput e §1°.
35 Ibid. Art. 8°, §2°.
36 Lei 13.709/2018. Art. 8, §4°.
37 Idem. Art. 8, §3°.
38 Ibid. Art. 8, §5°.
39 Ibid. Art. 42.
40 Ibid. Art. 42, §1°, I e II.
41 Ibid. Art. 42, §2°.
42 Ibid. Art. 15.
43 Ibid. Art. 16.
44 Ibid. Art. 48, caput e §1°.
45 Ibid. Art. 48, §2°.
46 MONTEIRO, Renato L. Op. cit.
47 Lei 13.709/2018. Art. 5°, XV.
48 Idem. Art. 33 c/c art. 35.
49 Ibid. Art. 33, VIII.
50 Ibid. Art. 5°, VIII.
51 Ibid. Art. 41, §2°, I a IV.
52 Ibid. Art. 41, §1°.
53 Lei 13.709/2018. Art. 41, §3°.
54 Idem. Art. 5, XVII.
55 Ibid. Art. 10, §3°. Para maiores informações sobre a metodologia do DPIA, vide [https://ico.org.uk/fororganisations/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessmentsdpias/how-do-we-carry-out-a-dpia/]. Acesso em 18/08/2018.
56 Ibid. Art. 37.
57 MONTEIRO, Renato L. Op. cit.
58 Lei 13.709/2018. Art. 46.
59 Lei 13.709/2018. Art. 46, §1°.
60 Idem. Art. 46, §2°. Vide também ICO. Data protection by design and default. [https://ico.org.uk/fororganisations/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/dataprotection-by-design-and-default/]. Acesso em 18/08/2018.
61 Ibid. Art. 52, §1°.
62 Ibid. Art. 52.
63 Ibid. Art. 65.
64 Ibid. Art. 63.
65 BRASIL. Legislação Informatizada. Lei nº 13.709, de 14 de agosto de 2018 – Veto. Disponível em:
[http://www2.camara.leg.br/legin/fed/lei/2018/lei-13709-14-agosto-2018-787077-veto-156214-pl.html]. Acesso
em 17/08/2018.
66 Idem.
67 Ibid.
68 Contribuições da ABRANET à Comissão Especial de Tratamento e Proteção de Dados Pessoais (PL
4060/2012 | PL 5276/2016) da Câmara dos Deputados. Disponível em: [http://www2.camara.leg.br/atividadelegislativa/comissoes/comissoes-temporarias/especiais/55a-legislatura/pl-4060-12-tratamento-e-protecao-dedados-pessoais/documentos/outros-documentos/ABRANET.pdf]. Acesso em 18/08/2018.
69 Cf. artigos 58 e 59 do PL 53 (vetados). Disponível em: [https://www.conjur.com.br/dl/redacao-final-pl-protecaodados.pdf]. Acesso em 18/08/2018

Share via