O que é LGPD?
Você está ciente do que é LGPD e a quem se aplica? Leia tudo sobre as penalidades LGPD, dados pessoais sob a LGPD e muito mais aqui.
A LGPD é a lei geral de proteção de dados do Brasil. É a lei de privacidade de dados mais abrangente hoje em vigor no Brasil, impondo uma série de obrigações para as empresas, bem como concedendo direitos aos usuários da Internet.
A LGPD é considerado a resposta do Brasil ao GDPR, a lei de proteção de dados da UE. Esta regulamentação foi um marco, elevando a barreira da privacidade online internacionalmente. Leia mais sobre as principais semelhanças e diferenças entre LGPD e GDPR.
Como resultado, a LGPD foi sancionada em 2019. Ela entrou em vigor em maio de 2021, dando às empresas um período de 2 anos para se adaptarem às mudanças significativas que trouxe.
Sua aplicação teve início em agosto de 2021. Empresas e indivíduos aos quais se aplica esta lei devem se familiarizar com as obrigações decorrentes dela e cumpri-la. Caso contrário, eles podem ser multados.
Por que LGPD?
Antes da LGPD, o Brasil não tinha uma lei abrangente de privacidade de dados protegendo os direitos e liberdades dos indivíduos. O Brasil precisava de uma lei que permitisse aos usuários da Internet manter seus dados pessoais privados, a menos que eles consentissem em compartilhá-los ou se houvesse algum outro motivo legalmente prescrito para a coleta ou processamento de seus dados em seu próprio interesse ou no interesse público.
Além disso, o GDPR causou uma série de decisões de adequação para facilitar transferências internacionais de dados entre a UE e países terceiros de todo o mundo. O Brasil ainda não está nessa lista, o que é um obstáculo para as empresas brasileiras que atendem clientes da UE. No entanto, a aprovação do LGPD é um passo na direção certa em direção a uma decisão de adequação.
LGPD se aplica a minha empresa?
LGPD se aplica a empresas e indivíduos que processam dados pessoais, em que:
- O processamento de dados pessoais foi realizado no Brasil
- A atividade de processamento é realizada em qualquer parte do mundo com a finalidade de oferta ou fornecimento de bens ou serviços ou processamento de dados de pessoas físicas localizadas no Brasil, ou
- Os dados pessoais foram coletados no Brasil.
De forma simplificada, isso significa que o LGPD se aplica a você se:
- Você é uma empresa brasileira, ou
- Você coleta e processa os dados pessoais de cidadãos brasileiros.
A lei de privacidade do Brasil não faz diferença entre pequenas, médias e grandes empresas. Aplica-se a todos, desde que atendam aos critérios de aplicabilidade mencionados acima.
Quais são as exceções à aplicação de LGPD?
Existem algumas exceções para a aplicação da LGPD.
Se o processamento se enquadrar em qualquer uma das exceções listadas abaixo, o LGPD não se aplicará:
- o tratamento dos dados pessoais é efetuado por pessoa singular, única e exclusivamente para fins privados e não comerciais; ou
- os dados pessoais são tratados exclusivamente para um dos seguintes fins:
- expressão jornalística ou artística,
- investigação académica,
- segurança pública,
- defesa e segurança nacional,
- investigação e repressão de infracções penais.
O que precisamos para garantir conformidade LGPD?
A LGPD exige uma abordagem proativa das empresas e indivíduos aos quais se aplica. Portanto, você deve cumprir todos os requisitos LGPD para cumprir a lei.
No mínimo, você precisará:
- Ter uma política de privacidade compatível com LGPD
- Obter o consentimento dos usuários antes de usar cookies e tecnologias de rastreamento
- Atender às solicitações de titulares de dados enviadas pelos usuários
- Notificar autoridades e usuários em caso de violação de dados
- Transferir dados internacionalmente conforme prescrito com o LGPD
- Nomear um oficial de proteção de dados
Dependendo das circunstâncias em que sua empresa opera, talvez você precise cumprir outras obrigações também.
Quais são as penalidades LGPD por não conformidade?
A LGPD prescreve penalidades graves para empresas que não cumpram a lei.
A Autoridade Nacional de Proteção de Dados (ANPD) pode emitir qualquer uma das seguintes penalidades:
- Notificação, junto com medidas corretivas e um prazo para implementá-las
- Multa de até 2% do faturamento anual, excluindo impostos limitados a 50 milhões de reais
- Multa diária limitada a 50 milhões de reais
- Publicação obrigatória sobre a violação
- Eliminação ou bloqueio dos dados pessoais a que se refere a violação.
A ANPD também poderá emitir qualquer uma das seguintes penalidades:
- Suspensão parcial do funcionamento da base de dados a que se refere a infração por no máximo 6 meses, com possibilidade de prorrogação por mais 6 meses ou até que o controlador sane a infração
- Suspensão de todas as atividades de processamento por 6 meses com possibilidade de prorrogação por mais 6 meses
- Proibição parcial ou total das atividades de processamento.
Se a violação resultar em danos para o titular dos dados, eles também podem abrir um processo e obter uma indenização por danos em tribunal.
Quem faz cumprir a lei de privacidade do Brasil?
A LGPD Brasil estabeleceu a ANPD como responsável por fiscalizar e fazer cumprir a LGPD. Este é o órgão oficial do governo que investiga as violações da LGPD e emite as penalidades correspondentes.
Na aplicação da lei e antes de aplicar a multa, a ANPD leva em consideração:
- Quão séria é a violação
- A boa fé do infrator, se houver
- A condição econômica do infrator, em particular, sua receita total
- Os benefícios obtidos com a violação
- Por quanto tempo e com que frequência a violação ocorreu
- A cooperação do violador
- As medidas técnicas e organizacionais para a prevenção de danos, se houver, e
- Implementação imediata de medidas corretivas ao tomar conhecimento da violação.
Os tribunais no Brasil são competentes quando o titular dos dados busca a indenização pela infração.
O que são dados pessoais segundo a LGPD?
LGPD define dados pessoais como qualquer informação relacionada a uma pessoa identificada ou identificável. A natureza das informações não importa, desde que possa identificar alguém, são dados pessoais.
Isso inclui informações que podem identificar uma pessoa diretamente, como nome pessoal, endereço de e-mail, número de identificação, número de telefone, etc.
Também inclui informações que, em combinação com outras informações, podem ser indicar uma pessoa específica. Isso inclui comportamento de compra, comportamento de navegação, etc.
É importante notar que dados irreversivelmente anonimizados não são dados pessoais. Se não puder ser revertido, não pode ser relacionado a uma pessoa.
Dados pseudonimizados ou reversivelmente anonimizados, por outro lado, podem ser relacionados a uma pessoa e, portanto, são considerados dados pessoais.
O que são dados pessoais confidenciais no LGPD Brasil?
LGPD define claramente as seguintes categorias como dados pessoais confidenciais:
- Origem racial ou étnica
- Crenças religiosas
- Opiniões políticas
- Filiação a um sindicato ou organização religiosa, filosófica ou política
- Dados de saúde ou vida sexual, ou
- Dados genéticos ou biométricos.
O processamento de dados pessoais confidenciais traz deveres adicionais em alguns casos.
O que são controladores e operadores sob o LGPD?
Um controlador é uma pessoa que decide por que, o quê e como coletar dados pessoais dos usuários.
Um operador é uma pessoa que processa dados em nome do controlador.
Se você dirige uma empresa SAAS ou uma loja de comércio eletrônico e coleta endereços de e-mail de usuários, você é o controlador de dados de endereços de e-mail e seus usuários.
Convertkit, Drip, Mailchimp ou outro provedor de e-mail é o seu operador. Eles processam esses dados para você, coletando, segmentando-os, automatizando campanhas de e-mail e assim por diante.
O operador processa dados pessoais apenas por meio de instruções por escrito do controlador. Na maioria das vezes, é na forma de um contrato de processamento de dados como parte dos Termos de Serviço. Às vezes, é um contrato separado. De qualquer forma, o operador não deve processar dados sem essas instruções.
Os operadores podem ainda contratar subcontratados para partes de seus processos. Por exemplo, muitos deles usam servidores de empresas como a AWS, onde armazenam e processam seus dados.
Quais são os princípios da lei de privacidade do Brasil para processamento de dados?
LGPD é baseado em dez princípios de processamento de dados. Os controladores e operadores devem organizar o processamento de dados de acordo com esses princípios. São eles:
- Propósito. Deve haver um propósito por trás de cada atividade de processamento. Você pode processar dados para análises, estatísticas, marketing ou outros fins, mas não deve processar dados sem nenhum propósito.
- Adequação. Os dados de seu processo devem ser adequados para a finalidade de processamento para a qual o usuário foi informado no momento da coleta. Se você disse ao usuário que precisa do endereço de e-mail para enviar um boletim informativo, essa é a única finalidade para a qual você pode processar o endereço de e-mail.
- Necessidade. O processamento de dados deve ser necessário para o efeito. Além disso, você precisa coletar e processar apenas a quantidade mínima de dados necessária para seus objetivos.
- Acesso livre. Você deve permitir que os usuários acessem os dados que você controla.
- Qualidade dos dados. Os dados precisam ser precisos e atualizados.
- Transparência. Você precisa fornecer aos usuários informações sobre a coleta e o processamento de dados, o que na prática significa fornecer a eles uma política de privacidade de fácil leitura.
- Segurança. Os dados devem ser protegidos contra violações e outros riscos de segurança.
- Prevenção. Os controladores e operadores precisam evitar danos antes que ocorram.
- Não discriminação. O processamento não deve resultar em discriminação contra os usuários de nenhuma forma.
- Responsabilidade e prestação de contas. A LGPD o responsabiliza, o que significa que você precisa ser capaz de provar sua conformidade às autoridades e aos usuários a qualquer momento.
Quais são as bases legais para processar legalmente dados pessoais sob a LGPD?
Para processar legalmente os dados pessoais, deve haver bases jurídicas válidas para o processamento. A LGPD exige que os dados pessoais só possam ser processados com base em pelo menos uma das seguintes bases jurídicas:
- Consentimento do titular dos dados. O titular dos dados deve dar consentimento para o tratamento dos seus dados pessoais.
- Cumprimento das obrigações legais ou regulamentares. O processamento pode ser baseado em obrigações legais e regulamentares que o controlador deve cumprir.
- Execução de políticas públicas. O processamento é efetuado pelas autoridades públicas no cumprimento da sua finalidade pública, em benefício do interesse público, para efeitos de exercício de competências legais ou de exercício de atribuições legais de serviço público.
- Estudos de entidades de pesquisa. Os dados pessoais são processados exclusivamente dentro da entidade de pesquisa e estritamente para fins de realização de estudos e pesquisas. A entidade de pesquisa deve garantir o anonimato dos dados pessoais, sempre que possível.
- Execução de um contrato. O processamento é necessário para a execução de um contrato ou procedimentos preliminares relacionados com um contrato do qual o titular dos dados seja parte, a pedido do titular dos dados.
- Exercer direitos em processos judiciais, administrativos ou arbitrais. O processamento é realizado para o exercício regular de direitos em processos judiciais, administrativos e arbitrais.
- Proteção da vida ou segurança física. O processamento é realizado com o objetivo de proteger a vida ou a segurança física do titular dos dados ou de terceiros.
- Proteção da saúde. Os dados pessoais são processados em um procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade de saúde
- Interesses legítimos do controlador ou terceiro. Os dados pessoais são processados com base nos interesses legítimos do responsável pelo tratamento ou de terceiros, desde que os direitos e liberdades do titular dos dados não se sobreponham aos do responsável pelo tratamento do terceiro.
- Para a proteção do crédito. Esta base jurídica diz respeito principalmente a instituições financeiras e permite o tratamento de dados pessoais para proteção de crédito nos termos de legislação específica.
O que é a Política de Privacidade LGPD?
Uma política de privacidade LGPD é o documento que o ajuda a cumprir o requisito de transparência, ou seja, informar os usuários sobre suas práticas de privacidade. A política de privacidade deve conter certos elementos para estar em conformidade. Esses elementos são:
- Identidade e informações de contato do controlador, ou seja, sua identidade
- Objetivo do processamento
- Quais tipos de dados são coletados e processados
- Tipo e duração do processamento
- Com quem os dados são compartilhados, ou seja, os operadores, e
- Direitos do titular dos dados.
Esses são apenas os elementos essenciais para a conformidade. Você é livre para adicionar mais informações se quiser aumentar sua transparência, mas não é obrigatório.
No entanto, se algum desses elementos estiver faltando na política de privacidade, ele não será compatível com LGPD.
Precisamos obter o consentimento dos usuários para o uso de cookies de acordo com a LGPD Brasil?
Sim, você precisa do consentimento prévio dos usuários antes da coleta de seus dados pessoais. E você tem que solicitar e obter dados de forma específica para estar em conformidade com a lei.
O consentimento deve ser:
- Fornecido por escrito. Isso também inclui meios eletrônicos, como clicar no botão ACEITAR COOKIES.
- Informado. Você precisa informar os usuários sobre suas práticas de privacidade antes ou no momento de pedir consentimento. Você pode fazer isso fornecendo um link para sua política de privacidade no banner do seu cookie. Assim, você fornecerá as informações necessárias no momento da coleta.
- Específico. Você precisa de consentimento específico para cada propósito de processamento específico. Significa consentimento separado para análises, marketing, preferências ou outro propósito. O consentimento geral não é legal.
- Retirado facilmente. Você deve fornecer aos usuários a oportunidade de retirar o consentimento dado anteriormente.
Se você processar dados de crianças, poderá precisar do consentimento dos pais. Se as crianças forem menores de 13 anos, você precisa do consentimento dos pais em qualquer caso. Se eles têm de 13 a 17 anos, você precisa do consentimento dos pais, a menos que o processamento não seja de interesse da criança.
Quais são os direitos LGPD dos titulares de dados ?
A LGPD capacita os usuários com direitos de titulares de dados para permitir que eles responsabilizem os controladores e operadores.
Os direitos do titular dos dados LGPD incluem o direito de:
- Confirmação da existência de processamento
- Acesso seus próprios dados pessoais
- Correção de dados incompletos, imprecisos ou desatualizados
- Recusa de processamento
- Apagamento de dados (o direito de ser esquecido)
- Anonimato, bloqueio ou exclusão de dados desnecessários, excessivos ou processados em violação do LGPD
- Portabilidade de dados
- Saber com quem os dados foram compartilhados
- Informações sobre a possibilidade de recusar o consentimento para o processamento e as consequências de fazê-lo
- Remoção de consentimento e
- Revisão as decisões com base no processamento automático.
O que precisamos fazer quando um usuário enviar uma solicitação de titular dos dados?
Os usuários podem enviar uma solicitação de titular de dados para exercer seus direitos de titular de dados. Quando um usuário seu realiza uma solicitação você deve atendê-la o mais rápido possível. Não existe um prazo específico para a resposta, mas você precisa fazer isso em um prazo razoável.
Ao receber a solicitação, primeiro você precisa confirmar a identidade do usuário, pois não deseja permitir o acesso aos dados para a pessoa errada (isso seria uma violação de dados).
A resposta ao pedido deve ser gratuita e escrita de forma simples e fácil de compreender.
Precisamos de um oficial de proteção de dados (DPO)?
Sim, você precisa de um oficial de proteção de dados. Ao contrário do GDPR, o LGPD obriga todas as empresas a nomear um DPO.
O DPO é responsável por:
- aceitar reclamações e comunicações dos titulares dos dados, prestar esclarecimentos e adotar medidas;
- receber comunicações da autoridade nacional e adotar medidas;
- orientar os funcionários e contratados da entidade sobre as práticas a serem tomadas em relação à proteção de dados pessoais; e
- cumprir as demais atribuições previstas pela ANPD.
Podemos transferir dados pessoais para fora do Brasil livremente?
As transferências de dados dentro do Brasil são livres, mas a transferência internacional está sujeita a requisitos legais.
Uma transferência de dados ocorre quando:
- O controlador coleta dados pessoais no Brasil e os armazena no exterior
- O controlador compartilha dados pessoais com operadoras localizadas no exterior, o que exige que os dados sejam transferidos para o exterior para fins de processamento.
No entanto, a LGPD permite a transferência de dados pessoais para o exterior nos seguintes casos:
- A ANPD autoriza o repasse
- A transferência é feita conforme acordo internacional entre o Brasil e o outro país
- Os dados são transferidos a um país ou uma organização que forneça um nível suficiente de proteção de dados de acordo com os padrões LGPD
- O controlador fornece garantias de proteção de dados (como cláusulas contratuais padrão)
- A transferência é necessária para a cooperação jurídica internacional de órgãos de inteligência ou de acusação
- A transferência é necessária para a proteção da vida ou segurança do titular dos dados ou de terceiros
- O titular dos dados deu consentimento explícito, informado e específico para a transferência
- É necessário para a execução de um contrato
- Para a implementação de políticas públicas ou fins semelhantes
- Para fins de conformidade do controlador.
O que devemos fazer em caso de violação de dados?
A LGPD obriga as empresas a implementar medidas técnicas, organizacionais e administrativas para evitar violações de dados.
Quando essas medidas não ajudam e ocorre uma violação de qualquer maneira, a LGPD exige que as empresas investiguem o caso e, se ele representar um risco ou causar danos significativos aos usuários, informá-los e às autoridades o mais rápido possível.
Não há um prazo rígido para informar os usuários e as autoridades sobre a violação, mas quanto antes você fizer isso, melhor.
O relatório deve conter detalhes sobre o incidente, como categorias de dados afetados, as medidas tomadas para proteger os dados e mitigar a violação, os motivos do atraso do relatório (se houver) e outros.
Você pode informá-los por qualquer meio de comunicação.
Como comparar GDPR V. LGPD?
A LGPD foi feito para seguir o exemplo do GDPR, portanto, a comparação GDPR v. LGPD mostra muitas semelhanças entre as duas leis.
As semelhanças incluem:
- Política de privacidade
- Base jurídica necessária para processamento
- A exigência de consentimento prévio para o uso de cookies
- Instruções escritas necessárias para processamento de dados
- Direitos do titular dos dados
- Limitações às transferências internacionais de dados
- Requisitos de notificação de violação de dados
- Abordagem proativa necessária para evitar violações e outros.
Por outro lado, existem algumas diferenças, como:
- Diferentes requisitos para obter consentimento
- Ausência de prazos para responder às solicitações dos titulares dos dados
- Ausência de prazos para notificações de violação de dados e outros.
Em geral, aqueles que cumprem o GDPR não terão dificuldade em cumprir o LGPD também. No entanto, o cumprimento do GDPR não significa o cumprimento do LGPD e vice-versa. Você ainda tem trabalho a fazer para conformidade com LGPD.
Como comparar LGPD V. CCPA?
A comparação entre LGPD e CCPA mostra claramente que essas duas leis têm abordagens significativamente diferentes na proteção de dados.
Essas diferenças incluem:
- ALGPD adota a abordagem opt-in para processamento de dados, enquanto CCPA adota a abordagem opt-out
- A LGDP se concentra na proteção dos dados pessoais, enquanto o CCPA se concentra na proteção do consumidor
- A CCPA não tem regras de notificação de violação de dados
- A CCPA não limita as transferências internacionais de dados
- A CCPA não impõe multas pesadas e outras penalidades.
Como resultado, o cumprimento das duas leis ao mesmo tempo requer duas abordagens diferentes. A conformidade com uma delas não o torna compatível com o outro.
Existe software de conformidade LGPD para tornar meu negócio compatível?
Claro. A Secure Privacy fornece às empresas software de conformidade LGPD para atender perfeitamente aos requisitos prescritos pela lei.
Ele permite que você:
- Solicite consentimento de maneira legal
- Mantenha registros de consentimentos
- Automatize o bloqueio de cookies
- Gere uma política de privacidade compatível com LGPD
- Receba e responda às solicitações dos titulares dos dados.
É fácil começar. Veja as opções de planos da Secure Privacy
Você pode iniciar um teste gratuito aqui.
Quer experimentar a
Secure Privacy?
Tenha o seu banner de cookies grátis instalado e funcionando hoje!