Informativo LGPD

Requisitos importantes previstos na LGPD

A LGPD impõe obrigações para controladores e operadores. Impõe também certas exigências a organizações para que as pessoas físicas possam reivindicar seus direitos estabelecidos na lei.

  1. Direitos individuais
  2. A LGPD concede determinados direitos aos titulares de dados. A intenção é proteger os dados pessoais deles, sem exigir cidadania ou residência no Brasil para que a pessoa se qualifique como titular nos termos da LGPD. Segundo a lei, os titulares têm o direito de receber um aviso adequado dos direitos que têm.
  3. A LGPD permite que os titulares recebam os seguintes itens de um controlador com relação a seus dados pessoais:
  4. Confirmação quanto à existência de tratamento de dados pessoais;
  5. Correção de dados incompletos, inexatos ou desatualizados;
  6. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
  7. Portabilidade dos dados;
  8. Eliminação dos dados pessoais tratados com o consentimento do titular (ressalvadas algumas exceções);
  9. Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  10. Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa;
  11. Revogação do consentimento
  12. A LGPD confere aos titulares o direito de se opor e restringir o tratamento de seus dados pessoais, e permite que as pessoas físicas solicitem a eliminação de seus dados pessoais. Além disso, o direito de acesso é reconhecido tanto pelo GDPR quanto pela LGPD. Portanto, as organizações devem conceder aos titulares acesso a seus próprios dados pessoais quando requerido. Ainda assim, há algumas diferenças entre o GDPR e a LGPD, inclusive quanto ao prazo de resposta de uma solicitação de acesso. Em geral, as organizações sujeitas ao GDPR precisam responder a solicitações de acesso em um prazo de 30 dias contados a partir do recebimento da solicitação. No entanto, a LGPD define um prazo de 15 dias, enquanto solicitações relativas ao exercício de outros direitos devem ser atendidas imediatamente. É importante observar que as solicitações dos titulares de dados nos termos da LGPD são um tópico da lei que ainda requer regulamentação da ANPD.
  13. Expectativas internas para a sua organização
  14. Comunicações obrigatórias: como no GDPR, as organizações precisam comunicar ao titular sobre seus direitos previstos na LGPD, e isso inclui todos os direitos acima. Essas comunicações obrigatórias devem constar da política de privacidade ou ser apresentada no ato da coleta dos dados pessoais.
  15. Atendimento aos direitos dos titulares: conforme já mencionado, a LGPD exige que as organizações assimilem os direitos dos titulares. Além disso, as organizações precisam ter um processo para atender os titulares que reivindicam seus direitos.
  16. Opt-out: o direito de opt-out não é limitado a nenhuma atividade específica de tratamento, sendo aplicável a qualquer atividade.  
  17. Fundamentos legais para o tratamento de dados: a LGPD exige que as organizações tenham um fundamento legal válido para tratar dados pessoais.  
  18. Encarregado da Proteção de Dados (“EPD”): a LGPD exige que as organizações indiquem um encarregado da proteção de dados.
  19. Transferência de dados: segundo a LGPD, os dados pessoais só podem ser transferidos a outros países que garantirem um grau de proteção adequado (uma lista de tais países ainda será publicada pela ANPD) ou sempre que houver garantias de cumprimento pertinentes (isto é, cláusulas-padrão contratuais, cláusulas contratuais específicas, normas corporativas globais, códigos de conduta e mecanismos de certificação). A LGPD é silente quanto aos mecanismos e às exigências das garantias de cumprimento.
  20. Requisitos de cookies: a LGPD se baseia no modelo de riscos, semelhante ao que é exigido das organizações para o cumprimento do GDPR. As organizações que tratam dados pessoais são incentivadas a implementar medidas de segurança correspondentes ao nível de risco de suas atividades de tratamento de dados.

Diferenças entre a LGPD e o GDPR

O GDPR e a LGPD são legislações bem parecidas. No entanto, há algumas diferenças entre elas. Por exemplo, o GDPR reconhece seis finalidades legais para o tratamento, enquanto a LGPD tem dez. Por outro lado, a LGPD é mais flexível quanto à avaliação de equilíbrio de interesse legítimo. E mais: o prazo de comunicação de ocorrências de incidente de segurança é diferente entre as duas legislações. Nos termos do GDPR, os controladores precisam comunicá-las às autoridades fiscalizadoras no prazo de 72 horas, enquanto a LGPD prevê que essa comunicação deve ser feita à autoridade fiscalizadora e aos titulares em um prazo razoável. Por fim, uma grande diferença entre as duas legislações é que a LGPD obriga as organizações a indicarem um encarregado da proteção de dados, enquanto o GDPR não impõe essa obrigação a todos os controladores.

O que acontecerá se eu descumprir a LGPD?

No momento, a fiscalização da ANPD só começa a partir de 1º de agosto de 2021, quando as disposições sobre as sanções administrativas da LGPD entram em vigor.  Para organizações que infringirem a LGPD, há a previsão de sanções que podem incluir multas de até 2% do faturamento da pessoa jurídica no Brasil no ano fiscal anterior, limitada, no total, a R$ 50.000.000,00 por infração.

Considerando que a ANPD acabou de ser estabelecida, ainda há muitas dúvidas sobre como a autoridade funcionará na prática administrando essas sanções.

DPO (Encarregado de Dados)?

Nosso DPO: Laerte Jr. Paludetto.

Isenção de responsabilidade

**Isenção de responsabilidade: este site não é um resumo completo da Lei Geral de Proteção de Dados (“LGPD”) nem um conselho jurídico para sua organização cumpri-la. Ele apenas apresenta informações básicas para ajudar você a entender melhor a LGPD e como ela pode se aplicar à sua organização. Estas informações jurídicas não são equivalentes a conselhos jurídicos, em que um advogado aplica a lei às suas circunstâncias específicas. Portanto, você deve consultar um advogado caso queira um conselho sobre a sua interpretação destas informações ou sobre a precisão delas. Não é recomendável que você confie nesta página como um conselho jurídico nem como um endosso de quaisquer entendimentos jurídicos. Embora a LGPD tenha influências do GDPR, as organizações que já cumprem o GDPR não necessariamente estão de acordo com a LGPD. Além disso, a aplicação e as regulamentação da LGPD ainda não foram finalizadas; portanto, a TalkAll continuará monitorando a evolução tanto da LGPD quanto de suas regulamentações. A TalkAll continuará atualizando esta página conforme o necessário.