LGPD - Perguntas Frequentes

1. O que é a Lei Geral de Proteção de Dados (LGPD)?

A Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados (LGPD), regulamenta o uso de dados pessoais no Brasil e estabelece regras sobre o tratamento desses dados, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Cabe ressaltar que a LGPD versa sobre o tratamento de dados pessoais da pessoa física, não atingindo diretamente os dados de pessoas jurídicas.

2. Quem está sujeito à LGPD?

A LGPD abrange todas as atividades que envolvem tratamento em meio analógico ou digital de dados pessoais, sendo aplicada a pessoas físicas e jurídicas de direito público ou privado, para operações realizadas em território nacional.

A referida lei não se aplica quando o tratamento é feito por pessoa física para fins particulares e não econômicos (ex.: agendas telefônicas, e-mails, etc.), para fins exclusivamente jornalísticos, artísticos ou acadêmicos, e quando visem à segurança pública, defesa nacional e segurança do Estado ou atividades de prevenção e repressão criminal.

3. A partir de quando a LGPD entrou em vigor?

A LGPD entrou em vigor em 18 de setembro de 2020, com exceção das sanções, cuja vigência ficou prorrogada para 1º de agosto de 2021. 

4. As demais legislações continuarão a ter validade com a entrada da LGPD?

Sim, as demais legislações continuam em vigência, a LGPD não revogou nenhuma legislação. Dessa forma, as legislações terão que conviver em harmonia e serão trabalhadas em conjunto, conforme art. 64 da Lei.

Quanto a relação entre a LGPD e a LAI (Lei nº 12.527/2011), em resumo, podem ser consideradas como complementares, visto que a LAI garante transparência ao que deve ser público, e a LGPD, proteção para o que é da esfera privada dos cidadãos.

5. A Lei se aplica somente aos dados digitais?

Não, a LGPD se aplica a qualquer operação de tratamento de dados pessoais que tenham sido coletados dentro do território brasileiro ou que tenha como objetivo oferecer bens ou serviços a pessoas localizadas no Brasil, independentemente destes dados pessoais terem sido coletados offline ou online, em meios físicos ou digitais.

6. Quais conceitos da lei são importantes saber?

 Titular: pessoa natural a quem se referem os dados;

 Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

 Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

 Agentes de tratamento: o controlador e o operador;

 Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

 Dado pessoal sensível: dado pessoal que traz origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado à uma pessoa natural. São dados que podem trazer algum tipo de discriminação quando do seu tratamento;

 Tratamento: é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

7. Quais são os princípios relacionados à LGPD?

Finalidade: para o tratamento dos dados do titular, é necessário que o titular saiba exatamente para quais finalidades seus dados serão tratados. Caso o controlador ou os agentes que usam os dados do titular alterarem o escopo de utilização, é necessário que o titular seja comunicado. O princípio da finalidade pressupõe a realização do tratamento de dados com propósitos legítimos, específicos, explícitos e informados ao titular;

Adequação: o uso dos dados tem que ser compatível com a finalidade informada de acordo com o contexto do tratamento;

Necessidade: só é permitida a coleta dos dados que sejam necessários para aquele tratamento;

Livre acesso: garante para os titulares a consulta facilitada e gratuita sobre a forma e duração do tratamento de dados, bem como a integralidade dos seus dados pessoais que estão sendo tratados;

Qualidade dos dados: garante ao titular a exatidão, clareza, relevância e a atualização dos dados que estão sendo tratados de acordo com a necessidade de cumprir aquela finalidade de tratamento que foi informada;

Segurança: é necessário assegurar ao titular dos dados que, tanto na forma física como lógica, será mantida a segurança e proteção dos seus dados;

Transparência: garante ao titular que as informações serão claras, precisas, facilmente acessíveis, e, sobre a realização do tratamento, quais são os agentes, observado o segredo industrial e comercial;

Prevenção: é necessário possuir e comprovar que existem meios que mitigam riscos para o titular dos dados, com atuação preventiva;

Não-discriminação: não é permitido o tratamento de dados para fins de discriminação ilícita ou abusiva;

Responsabilização e prestação de contas: os agentes de tratamento têm que demonstrar que adotaram medidas eficazes e capazes de comprovar que foram observadas e cumpridas as normas de proteção de dados pessoais

8. O que compreende o Tratamento de Dados Pessoais?

O tratamento de dados é definido de forma bem abrangente pela LGPD, compreendendo todas as operações realizadas desde a coleta até a eliminação. Sendo assim, os atos de receber, acessar, arquivar ou armazenar dados pessoais estão contidos no conceito de tratamento.

9. Qual a necessidade do consentimento para tratamento de dados pessoais?

Consentimento são atos do titular de dados que demonstrem a sua manifestação de vontade em aceitar o tratamento do(s) dado(s) pessoal(is) fornecidos para uma determinada finalidade.

10. Em quais hipóteses não será exigido o consentimento para o tratamento de dados?

Será permitido o tratamento de dados pessoais, sem o consentimento do titular:

  • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da lei nº 9.307, de 23 de setembro de 1996 (lei de arbitragem) ;
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;     
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

É dispensada a exigência do consentimento para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.

A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas na Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.

O tratamento posterior dos dados pessoais para dados tornados públicos ou dispensados de consentimento poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos nesta Lei.      

Em relação aos dados pessoais sensíveis, além das hipóteses mencionadas anteriormente, será possível o tratamento de dados sem consentimento para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados na Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

 

11. Quais são os principais direitos do titular de dados?

  • Confirmação da existência do tratamento dos dados (transparência das informações);
  • Acesso aos dados;
  • Possibilidade de correção dos dados (incompletos, inexatos, desatualizados);
  • Possibilidade de anonimização, bloqueio ou eliminação dos dados que sejam desnecessários, excessivos ou tratados em desacordo com a LGPD;
  • Portabilidade dos dados, observados os segredos comercial e industrial;
  • Eliminação de dados, observado o art. 16 da LGPD;
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • Possibilidade de revogação do consentimento; e
  • Informação sobre a possibilidade de não fornecer consentimento.

12. Quais são as sanções administrativas previstas na LGPD?

A Lei nº 14.010/2020 prorrogou o início da vigência dos artigos relacionados às sanções administrativas da LGPD para 1º de agosto de 2021.

Neste primeiro momento a ANPD estará orientando e divulgando boas práticas em relação a LGPD.

As sanções administrativas aplicáveis a partir de 1º agosto de 2021 são:

  • Advertência;
  • Multa simples (até 2% do faturamento até o limite de R$ 50 milhões);
  • Multa diária;
  • Possibilidade de publicização da infração;
  • Bloqueio dos dados pessoais envolvidos;
  • Eliminação dos dados pessoais envolvidos;
  • Suspensão parcial, por até 06 (seis) meses do banco de dados envolvido; e
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

As metodologias e para o cálculo do valor-base das multas serão definidas pela ANPD, através de regulamento próprio.

 

13. Quais destas sanções são aplicadas aos órgãos públicos?

Os órgãos públicos estão sujeitos as seguintes sanções administrativas:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; 
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

As sanções poderão ser aplicadas às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011. 

14. O que ocorre quando houver infrações decorrentes do tratamento de dados pessoais efetuados por órgãos públicos?

Quando houver infração a LGPD em decorrência do tratamento de dados pessoais por órgãos públicos, a ANPD poderá enviar informe com medidas cabíveis para fazer cessar a violação.

A autoridade nacional poderá ainda solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelos órgãos públicos.

15. Em casos de irregularidade no tratamento de dados, quem será responsabilizado?

O art. 42 da LGPD estabelece que em caso de violação à lei, o controlador e o operador serão responsabilizados.

O operador responde solidariamente pelos danos causados quando descumprir as obrigações da LGPD ou quando não tiver seguido as instruções lícitas do controlador.

Os controladores que estiverem diretamente envolvidos no tratamento do qual decorrem danos ao titular de dados respondem solidariamente.

Não serão responsabilizados os agentes de tratamento que comprovarem a não realização do tratamento de dados pessoais que lhes é atribuído; que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação; que o dano é causado por culpa exclusiva do titular dos dados ou terceiros.

16. Qual o conceito de Encarregado de Dados? A quem cabe indicar? Poderá haver acúmulo de funções?

Encarregado de dados é a pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares de dados e a ANPD.

Caberá ao controlador indicar quem será o encarregado de dados.

Não há impedimento legal para que o Encarregado possua outras atribuições dentro do órgão ou entidade do Poder Executivo do Estado, desde que não haja conflito de interesses entre as atribuições das funções.

Para maiores informações sobre o encarregado de dados, recomendamos a leitura da Cartilha: Orientações aos Encarregados de Dados.

17. O Agente de Compliance pode ser designado como Encarregado de Dados?

Não há impedimento legal para que o Agente de Compliance dos órgãos e entidades do Estado sejam designados para a função de Encarregado de Dados, considerando a similitude de atribuições. Porém, caberá a cada órgão ou entidade do Estado efetuar esta escolha, de acordo com as exigências do perfil do indicado, observando o disposto na legislação (Lei nº 13.709/2018; Decreto Estadual nº 6.474/2020; Resolução CGE nº 13/2021), e prevenindo eventuais conflitos de interesses.

18. Quando deve ser realizado o tratamento de dados pelo Poder Público?

O tratamento de dados pessoais pelas pessoas jurídicas de direito público, deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.

Caberá ao Poder Público fornecer informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos.

19. É permitido o compartilhamento de dados entre os órgãos públicos?

Sim, desde que observados os seguintes requisitos, cumulativamente:

a) existência de finalidade específica no compartilhamento;

b) existência de base legal para os entes envolvidos (artigo 7º, inciso III e artigo 23 da LGPD, e art. 14 do Decreto Estadual nº 6.474/2020);

c) validação do compartilhamento decorrente do atendimento aos princípios de proteção de dados pessoais previstos no art. 6º da LGPD.

20. Autoridade Nacional de Proteção de Dados

A Autoridade Nacional de Proteção de Dados (ANPD) é um órgão vinculado à Presidência da República, dotada de autonomia técnica e decisória, com jurisdição no território nacional e com sede e foro no Distrito Federal, que tem o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural, orientada pelo disposto na Lei nº 13.709, de 14 de agosto de 2018, a LGPD.

A ANPD foi criada em 2020 e a sua estrutura organizacional está descrita no Decreto nº 10.474, de 26 de agosto de 2020. Suas principais atribuições estão detalhadas no art. 2º do referido decreto, e consistem, de maneira sintética, em: zelar pela Proteção de Dados Pessoais; elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;

Orientar os agentes na aplicação das normas e regulamentos afetos ao tema; cooperar com órgãos nacionais e internacionais no tema de Proteção de Dados Pessoais; dar tratamento a eventuais suspeitas de infração à legislação relativa à Proteção de Dados Pessoais, por meio de sua estrutura de análise e sanção administrativa; e outras atribuições previstas em Lei.