LGPD: o que é, direitos, obrigações e diferenças com o GDPR

A Lei Geral de Proteção de Dados (LGPD) transformou a forma como empresas e organizações tratam informações pessoais no Brasil. Este blog apresenta um guia completo sobre o tema, abordando o que é a LGPD, seus objetivos, os direitos dos titulares, as obrigações das empresas, as penalidades pelo descumprimento e as diferenças em relação ao GDPR, a legislação europeia. Com este conteúdo, você entenderá como garantir a conformidade e proteger dados pessoais de forma segura e eficiente.

O que é LGPD e qual é seu objetivo?

A Lei Geral de Proteção de Dados (LGPD) é a legislação brasileira que regula o uso, o tratamento e o armazenamento de dados pessoais. Seu objetivo principal é garantir a privacidade e a segurança das informações de indivíduos, promovendo transparência nas relações entre empresas e cidadãos. Além disso, busca estabelecer regras claras para o uso de dados, prevenindo abusos e fortalecendo os direitos dos titulares.

O que significa a LGPD?

A LGPD, sigla para Lei Geral de Proteção de Dados, é uma norma que define como dados pessoais podem ser coletados e utilizados no Brasil. A lei aplica-se tanto a meios digitais quanto físicos e abrange informações como nome, CPF, endereço, dados de localização, entre outros. 

A legislação também traz definições sobre dados sensíveis, que merecem maior proteção, como informações de saúde ou orientação sexual.

Quando a LGPD foi criada?

A LGPD foi sancionada em 14 de agosto de 2018, por meio da Lei nº 13.709. No entanto, sua aplicação efetiva iniciou-se apenas em setembro de 2020, após um período de adaptação para empresas e instituições. Desde então, a LGPD se tornou o principal marco regulatório sobre privacidade de dados no país, acompanhando tendências globais, como a GDPR na Europa.

Quem precisa cumprir a LGPD?

A LGPD se aplica a qualquer pessoa física ou jurídica que realiza o tratamento de dados pessoais no Brasil, independentemente do porte ou segmento da organização.

Isso inclui empresas privadas, órgãos públicos, ONGs e até profissionais autônomos. O objetivo é garantir que todas as entidades que lidam com informações de indivíduos respeitem os direitos estabelecidos pela lei.

Empresas obrigadas a seguir a LGPD

Todas as empresas que coletam, armazenam ou tratam dados pessoais estão sujeitas à LGPD. Isso inclui organizações de todos os setores, como varejo, saúde, tecnologia, educação e serviços financeiros. 

Mesmo negócios que atuam exclusivamente no ambiente digital precisam seguir as diretrizes da lei.

Além disso, empresas internacionais que oferecem produtos ou serviços para brasileiros também devem estar em conformidade, desde que tratem dados de titulares localizados no Brasil.

LGPD para pequenas empresas e MEIs

Pequenas empresas e MEIs também estão incluídos na LGPD, mas a lei prevê tratamento diferenciado para reduzir o impacto em negócios menores. Esses empreendimentos devem adotar medidas proporcionais ao volume de dados tratados, focando na implementação de boas práticas de segurança.

Por exemplo, um MEI que coleta apenas dados básicos para emissão de notas fiscais ainda precisa informar seus clientes sobre o uso dessas informações e garantir sua proteção.

Exemplos de quem está sujeito à LGPD

A LGPD abrange uma ampla gama de atividades e setores, incluindo:

• Lojas online que coletam dados para cadastro e envio de produtos.
• Clínicas médicas que armazenam informações sensíveis de saúde dos pacientes.
• Escolas e universidades que mantêm registros de alunos e responsáveis.
• Aplicativos de transporte ou delivery que processam dados de localização.

Quais são os direitos dos titulares na LGPD?

A LGPD garante aos titulares de dados pessoais uma série de direitos para proteger sua privacidade e oferecer maior controle sobre as informações compartilhadas. 

Esses direitos devem ser respeitados por todas as empresas e organizações que tratam dados pessoais, promovendo maior transparência e segurança nas relações entre titulares e instituições.

Direito de acesso e portabilidade de dados

Os titulares têm o direito de acessar os dados pessoais que estão sendo tratados por uma empresa ou organização. Isso inclui saber quais informações foram coletadas, como estão sendo usadas e por quanto tempo serão armazenadas.

Além disso, a LGPD assegura o direito à portabilidade dos dados, permitindo que os titulares solicitem a transferência de suas informações para outro fornecedor ou empresa. Esse direito é importante, por exemplo, em casos de mudança de prestadores de serviços, como operadoras de telefonia ou bancos.

Empresas devem disponibilizar um canal claro e acessível para atender a essas solicitações, garantindo que o processo seja ágil e seguro.

Direito à exclusão de dados

Outro direito fundamental garantido pela LGPD é o de solicitar a exclusão de dados pessoais. Os titulares podem requerer que suas informações sejam removidas de bancos de dados quando:

• O consentimento for revogado.
• O objetivo pelo qual os dados foram coletados tiver sido atingido.
• Houver uso irregular ou inadequado das informações.

No entanto, a exclusão pode não ser possível em situações específicas, como em casos em que a retenção dos dados é exigida por lei (ex.: registros fiscais) ou para cumprimento de obrigações contratuais.

Direito à informação sobre o uso de dados

A LGPD determina que os titulares têm o direito de saber como e por que seus dados estão sendo usados. Isso inclui detalhes como:

• Finalidade do tratamento.
• Empresas ou parceiros com quem os dados são compartilhados.
• Medidas de segurança adotadas para proteger as informações.

Essa transparência é alcançada por meio de políticas de privacidade e termos de uso, que devem ser claros e objetivos, permitindo que os titulares compreendam plenamente como seus dados estão sendo tratados.

Empresas também devem informar sobre qualquer incidente de segurança que possa comprometer os dados, como vazamentos ou acessos indevidos, garantindo que os titulares sejam comunicados rapidamente.

Quais são as obrigações das empresas segundo a LGPD?

A LGPD estabelece uma série de obrigações para empresas e organizações que realizam o tratamento de dados pessoais. 

Essas responsabilidades visam garantir a privacidade e a segurança das informações dos titulares, bem como aumentar a transparência nas relações com clientes, usuários e parceiros. Cumprir essas obrigações não é apenas uma exigência legal, mas também uma forma de reforçar a confiança e credibilidade no mercado.

Implementação de medidas de segurança

Empresas precisam adotar medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, vazamentos, perdas ou qualquer outro incidente de segurança. Entre as práticas recomendadas, destacam-se:

• Uso de ferramentas de criptografia para proteger informações sensíveis.
• Realização de testes periódicos de vulnerabilidade nos sistemas.
• Implementação de protocolos de acesso restrito, garantindo que apenas pessoas autorizadas manipulem os dados.
• Desenvolvimento de planos de resposta a incidentes, com ações rápidas em caso de vazamentos ou falhas de segurança.

Capacite sua equipe para lidar com os desafios da LGPD! Aprenda os princípios básicos de tratamento de dados com o curso gratuito Fundamentos da Ciência de Dados e assegure que sua empresa opere de forma ética e alinhada à legislação.

Nomeação de um DPO (Encarregado de Dados)

O Encarregado de Dados, ou DPO (Data Protection Officer), desempenha um papel central na adequação de empresas à LGPD. Ele é o profissional responsável por garantir que a organização siga as regras estabelecidas pela legislação, protegendo os direitos dos titulares e prevenindo possíveis violações.

Embora nem todas as empresas sejam obrigadas a nomear um DPO, especialmente pequenos negócios, a função é muito importante em empresas que lidam com grandes volumes de dados ou tratam informações sensíveis, como hospitais, instituições financeiras e plataformas digitais.

Qual papel do DPO?

A DPO tem diversas funções que incluem:

• Orientação interna: Capacitar e orientar os colaboradores da empresa sobre as boas práticas de proteção de dados, garantindo que todos compreendam a LGPD e suas implicações.
• Atendimento a titulares: Atuar como o principal ponto de contato para os titulares que desejam exercer seus direitos, como solicitações de exclusão ou acesso aos dados pessoais.
• Monitoramento de conformidade: Avaliar continuamente os processos internos da organização, assegurando que estejam alinhados às exigências da LGPD. Isso inclui auditar práticas de coleta e armazenamento de dados, além de sugerir melhorias.

Quando o DPO é obrigatório?

A necessidade de nomear um DPO depende do tipo e da escala de tratamento de dados realizado pela empresa. A nomeação é obrigatória em casos como:

• Empresas que tratam grande volume de dados pessoais.
• Instituições que processam dados sensíveis, como clínicas e hospitais.
• Negócios que atuam como intermediários de informações, como plataformas digitais.

Já para pequenas empresas, a exigência pode ser flexibilizada, desde que adotem outras medidas de conformidade com a LGPD.

Elaboração de políticas de privacidade

As empresas precisam criar e divulgar políticas de privacidade claras e acessíveis para informar os titulares sobre como seus dados estão sendo coletados, armazenados e utilizados. As políticas que devem incluir informações como:

• Finalidade do uso dos dados.
• Tempo de retenção das informações.
• Terceiros com quem os dados podem ser compartilhados.
• Direitos dos titulares e como exercê-los.

A transparência nesse processo é essencial para garantir que os titulares tenham ciência de como suas informações estão sendo tratadas. Além disso,as empresas precisam manter os termos atualizados, refletindo qualquer mudança no tratamento de dados ou na legislação.

Quais são as penalidades por não cumprir a LGPD?

O descumprimento da Lei Geral de Proteção de Dados (LGPD) pode gerar penalidades graves para empresas e organizações, variando de advertências a multas. As sanções previstas buscam incentivar a conformidade e proteger os direitos dos titulares, garantindo que as informações pessoais sejam tratadas com segurança e responsabilidade.

Multas previstas pela LGPD

A LGPD estabelece diferentes tipos de sanções administrativas para empresas que violam suas regras, sendo as principais:

• Advertência: Notificação formal para que a empresa corrija práticas inadequadas dentro de um prazo específico.
• Multa simples: Penalidade de até 2% do faturamento bruto anual da empresa, limitada a R$ 50 milhões por infração.
• Multa diária: Aplicada em casos de descumprimento contínuo, com valores definidos pela Autoridade Nacional de Proteção de Dados (ANPD).
• Bloqueio de dados: Suspensão do uso de dados pessoais até que a empresa demonstre conformidade.
• Eliminação de dados: Obrigação de apagar informações coletadas de forma irregular.

Como exemplo de casos de penalidades podemos citar, e-commerce com vazamentos de dados, uso irregular de dados para marketing e instituição financeira com falha na proteção de dados.

Qual a diferença entre LGPD e GDPR?

A LGPD (Lei Geral de Proteção de Dados) e o GDPR (General Data Protection Regulation) são legislações que têm como objetivo regular o tratamento de dados pessoais, promovendo a privacidade e a proteção das informações. 

Apesar de terem propósitos semelhantes, existem diferenças importantes entre as duas, principalmente devido aos contextos legais e culturais de cada região.

Algumas das principais diferenças entre LGPD e GDPR

Autoridade reguladora:

• No GDPR, cada país da União Europeia possui uma autoridade de supervisão independente, enquanto a ANPD (Autoridade Nacional de Proteção de Dados) é a única responsável pela aplicação da LGPD no Brasil.

Dados sensíveis:

• Ambas as leis tratam dados sensíveis de forma mais rigorosa, mas o GDPR detalha com maior precisão as categorias de dados sensíveis, incluindo crenças políticas e biometria.

Prazo para notificação de incidentes:

• No GDPR, empresas devem notificar autoridades sobre incidentes de dados em até 72 horas. Já na LGPD, não há um prazo específico, ficando a critério da ANPD definir os prazos conforme o caso.

DPO (Data Protection Officer):

• O GDPR exige a nomeação de um DPO em uma ampla gama de situações. Na LGPD, essa exigência é mais flexível, especialmente para pequenas empresas e MEIs.

Sanções financeiras:

• No GDPR, as multas podem atingir até 4% do faturamento global anual ou 20 milhões de euros, o que for maior. Na LGPD, o limite é de 2% do faturamento bruto da empresa no Brasil, limitado a R$ 50 milhões por infração.

Contexto cultural e socioeconômico:

• A LGPD considera as especificidades do mercado brasileiro, como a necessidade de tratamento diferenciado para pequenos negócios e maior flexibilidade em determinados pontos.

Entender as diferenças entre a LGPD e o GDPR é importante para empresas globais que precisam cumprir ambas as legislações, garantindo que seus processos estejam alinhados com as exigências locais.

Leia mais:

• Ciência de Dados: guia completo
• Segurança de dados e a importância de se proteger na internet