Guia comentado da Lei Geral de Proteção de Dados – LGPD (13709/18)

A LGPD (Lei nº 13.709/2018) estabelece regras para a coleta, uso e armazenamento de dados pessoais no Brasil. Garante a privacidade e o controle das informações pelos titulares, promovendo segurança jurídica para empresas e órgãos públicos, e fortalecendo a proteção dos direitos fundamentais dos indivíduos.

A sociedade que vivemos, chamada sociedade de informações, é baseada no uso desenfreado de informações que nada mais são que dados organizados para um fim. 

A Lei nº. 13.709/18 foi criada para regular como os dados e as informações pessoais são tratados, dando aos seus titulares a ciência de quais dados estão sendo utilizados, porque, para que e até quando serão utilizados.

Neste artigo vamos falar mais sobre a aplicabilidade da lei e sua importância. Continue a leitura! 😉

O que é e para que serve a LGPD?

A Lei Geral de Proteção de Dados (Lei nº. 13.709/2018) comumente é chamada de “LGPD”, pois é uma norma reguladora da forma que os dados pessoais são tratados.

Nesta primeira frase temos dois conceitos importantes: dados pessoais e tratamento. 

Dados pessoais são todos os dados que identificam ou podem identificar uma pessoa natural, já o tratamento é absolutamente qualquer coisa que se pode fazer com os dados pessoais, desde sua coleta, armazenamento, até seu descarte.

Infelizmente as pessoas estão perdendo muito de sua privacidade através do uso desenfreado de seus dados pessoais e a LGPD veio para reforçar que essas informações pertencem ao titular e não ao controlador/operador.

Mais dois conceitos importantes mencionados aqui: titular é a pessoa natural que tem dados pessoais, ao passo que controlador/operador são as pessoas que tratam os dados pessoais dos titulares.

Então de forma resumida: a LGPD é uma legislação brasileira criada com o fim de proteger a privacidade dos titulares de dados pessoais através da concessão de maior controle de suas próprias informações.

O que é proibido na LGPD?

A LGPD tem como propósito regular a forma que os dados pessoais são tratados, e, como toda regulação, geram-se proibições. No entanto, todas as proibições têm como fundamento a proteção do titular.

A proibição mais importante, e que fundamenta toda a lei, é a regulação da forma de tratamento dos dados: os dados pessoais apenas podem ser tratados de acordo com o permitido por lei, ou seja, de acordo com as bases legais existentes na LGPD (art. 7º e 11º).

Mais abaixo falaremos um pouco sobre as bases de tratamento. Todas as outras proibições decorrem da violação dos dados pessoais, ou seja, seu tratamento indevido.

Quais são os princípios da LGPD?

O artigo sexto da LGPD apresenta os princípios que devem ser seguidos quando dados pessoais forem tratados, são eles:

Finalidade: 

Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Adequação: 

Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

Necessidade: 

Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

Livre acesso: 

Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Qualidade dos dados: 

Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

Transparência: 

Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

Segurança: 

Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção: 

Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Não discriminação: 

Impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos.

Responsabilização e prestação de contas: 

Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

O que são dados pessoais e dados pessoais sensíveis segundo a LGPD?

A LGPD aponta em seu art. 5º vários conceitos para melhor entendimento da lei. Dentre esses conceitos, aponta que os dados pessoais são toda informação que possam identificar uma natural.

Já os dados pessoais sensíveis são dados pessoais mais delicadas, vinculados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Os dados pessoais sensíveis foram especialmente destacados na LGPD em razão do potencial de dano que uma pessoa pode sofrer em caso de sua violação.

Quais são as bases legais para o tratamento de dados na LGPD?

As bases legais são as permissões legais que viabilizam o tratamento de dados pessoais e dados pessoais sensíveis. O art. 7º e o art. 11 falam em quais hipóteses os dados pessoais e dados pessoais sensíveis podem ser tratados.

Os dados pessoais podem ser tratados nas seguintes hipóteses:

• Consentimento do titular;
• Cumprimento de obrigações legais ou regulatórias;
• Execução, pela Administração Pública, de políticas públicas com o devido respaldo normativo;
• Realização de estudo por órgão de pesquisa, buscando, anonimizar os dados sempre que for possível;
• Quando a execução de fases pré, pós e contratual dependerem dos dados de titular que for parte;
• Para usar na defesa de seus interesses em processos judiciais, administrativos e arbitrais;
• Quando for necessário para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• Para tutelar a saúde do titular em procedimentos realizados por serviços e profissionais ligados à saúde e/ou autoridade sanitária;
• Para atender aos interesses legítimos do controlador ou de terceiro;
• Para proteção do crédito.

Já os dados pessoais sensíveis possuem uma possibilidade legal de utilização mais restrita, veja-se:

• Consentimento do titular.

Sem consentimento apenas quando for indispensável para:

• Cumprimento de obrigação legal ou regulatória;
• Execução, pela Administração Pública, de políticas públicas com o devido respaldo normativo;
• Realização de estudo por órgão de pesquisa, buscando, anonimizar os dados sempre que for possível;
• Para o exercício regular de direitos, seja judicialmente, seja extrajudicialmente, inclusive em processos administrativos e arbitrais;
• Quando for necessário para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• Para tutelar a saúde do titular em procedimentos realizados por serviços e profissionais ligados à saúde e/ou autoridade sanitária;
• Para prevenir fraude e para a segurança do titular, em procedimentos de identificação e autenticação de cadastro em sistemas eletrônicos.

Quais são os impactos da LGPD para as pessoas Jurídicas e Físicas?

A LGPD vem impactar significativamente as pessoas, sejam jurídicas, sejam físicas (naturais). As pessoas naturais são o principal objeto de proteção desta lei, assim, como titulares de dados (pessoais e pessoais sensíveis), passam a ter reconhecido que esses dados são de sua titularidade e não de quem os usa (os trata).

Essa proteção é muito importante porque viabiliza que as pessoas naturais possam exercer seus direitos decorrentes desta lei, em especial a proteção de seus próprios dados.

Por outro lado, tanto as pessoas físicas quanto as pessoas jurídicas que tratam dados pessoais passam a ter deveres e responsabilidades decorrentes deste tratamento.

Todos estes deveres têm como fundamento um tratamento adequado e respeitoso, de acordo com a lei, dos dados dos titulares e responsabilidades decorrentes de violação dos dados pessoais.

Destaca-se que a violação de dados pessoais é o mero tratamento sem fundamento, ou seja, sem uma base legal que lhe viabilize este ato.

Diante disso, essas pessoas que tratam os dados (Controladores e Operadores) passam a ter alguns deveres, dentre os quais podemos elencar:

• A grande maioria das pessoas que trabalham com dados pessoais devem ter um encarregado (muitas vezes chamado de DPO) seja internalizado, seja terceirizado, gerando um custo neste sentido. Este encarregado, que pode ser pessoa física ou jurídica, deverá ter aptidões Jurídicas, de Tecnologia da Informação (TI) e de Relações Públicas;
• Deverá ser elaborado e executado um plano de segurança da informação;
• Deverá ser elaborado e executado um plano de privacidade e proteção de dados cíclico e contínuo;
• Todos os documentos e relações jurídicas do controlador/operador deverão passar por um processo de revisão focado na privacidade e proteção de dados pessoais;
• Todos os softwares e parte de TI deverão passar por um processo de revisão focado na privacidade e proteção de dados pessoais.

Percebe-se, assim, um grande impacto no mercado como um todo, pois quase todos os empreendimentos tratam dados pessoais ou dados pessoais sensíveis.

Quais são as sanções e penalidade da LGPD?

A proteção dos dados das pessoas naturais passará a ser prioridade em 10 a cada 10 empresas, seja pelo amor ou seja pela dor. As empresas podem optar por proteger os dados pessoais das pessoas naturais porque é uma coisa certa a ser feita ou porque poderão ser sancionadas.

As sanções decorrerão tanto de medidas diretas dos titulares de dados através de vários tipos de ações, dentre elas as ações de indenização, como por penalidades aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD).

A LGPD aponta vários tipos de penalidades em seu art. 52, como por exemplo advertência, multa diária, publicização de infrações.

Destaque-se que a grande maioria das pessoas tem como maior medo a penalidade de multa que pode chegar a até 2% (dois por cento) do faturamento anual para cada evento de violação de dados.

No entanto, existe uma penalidade muito pior que a maioria das pessoas não estão levando em consideração: a suspensão do direito de tratar dados.

Esta penalidade é muito pior que a multa porque a penalidade financeira pode virar dívida ativa, virar execução fiscal, e acabar demorando anos para ser paga, no entanto mas a penalidade de suspensão do direito de tratar dados pode, em muitos casos, paralisar a atividade empresarial, e, consequentemente, zerando o faturamento, o que, a curto prazo, pode inviabilizar a atividade e gerar seu encerramento.

Como os advogados podem atuar na área de privacidade e proteção de dados (LGPD)?

Após a criação da LGPD, abriu-se mais um ramo para especialização de advogados: privacidade e proteção de dados.

Importante ressaltar que o advogado que queira entrar nesta área de atuação não poderá se concentrar apenas em estudos jurídicos. Será de essencial importância ter conhecimentos de segurança da informação, de tecnologia, de tratos interpessoais, ou seja: o advogado deverá ser multidisciplinar!

Não adianta uma pessoa ter apenas conhecimentos jurídicos para tratar de privacidade e proteção de dados, pois a aplicação prática desses conceitos passa necessariamente pela segurança de informação.

Não é necessário ser advogado para fazer uma adaptação de um Controlador/Operador à LDPG, apesar de normalmente ser advogado ou alguém da área de TI.

Assim, como qualquer pessoa que tenha conhecimentos para trabalhar na privacidade e proteção de dados pode o fazer, o advogado deve se adaptar. 

Não pode mais ser um profissional que atua apenas na área jurídica, deve estudar e se adaptar ao mercado, aprendendo várias outras habilidades que justifiquem sua atuação neste ramo e, assim, acabará se destacando.

Ao estudar este nicho e aprender as várias habilidades necessárias, tanto em hard skills quanto em soft skill, o advogado prestará inicialmente três tipos de serviços:

1. Trabalhar como Encarregado: Ao trabalhar como encarregado poderá atuar apenas em uma empresa ou trabalhar para várias ao mesmo tempo oferecendo seu trabalho de Encarregado as a service;
2.  Prestar consultoria de privacidade e proteção de dados;
3. Trabalhar na implantação de um plano de adequação do controlador/operador à LGPD.

Uma questão é certa: para prestar qualquer um destes serviços o advogado deve se qualificar. Para tanto, é importante que busque se certificar com cursos e provas específicas para tanto.

O próximo ano pode ser mais leve com o Astrea

Comece 2026 com mais tempo, controle e tranquilidade na sua advocacia

Experimentar grátis

Quais outras leis brasileiras abordam a proteção de dados além da LGPD?

Apesar de ter sido criada a Lei Geral de Proteção de Dados no Brasil, isso não quer dizer que não existiam normas esparsas que protegiam os dados pessoais antes desta data.

A própria constituição de 1988 protege a intimidade e a vida privada, apontando sobre o habeas data. Diga-se de passagem, que a foi criada a lei 9507/1997 regulando o habeas data, que dispõe sobre correção e acesso a dados pessoais.

O Estatuto da Criança e do Adolescente (ECA), lei 8.096, foi promulgado em 1990, constando direitos de privacidade das pessoas que tenham até 18 (dezoito) anos.

Os requisitos para se fazer interceptação telefônicas passou a ser regulado em 1996, pela Lei 9296/96.

No setor financeiro existia a Lei Complementar 105/2001, que fala sobre o sigilo das operações financeiras e a Resolução 4658/2018 do Bacen que fala sobre proteção cibernética das instituições financeiras.

O Código Civil foi promulgado em 2002 com disposições sobre a inviolabilidade da vida privada e direitos sobre a individualidade e a intimidade

No setor médico, existe a Resolução 1821/2007, que regula a procedimentos de segurança para a digitalização e armazenamento de prontuários médicos

A lei de Acesso à Informação, Lei 12.527, promulgada em 2011, desassocia os dados pessoais dos dados denominados comuns e aponta como devem ser tratados.

Em 2012 foi criada a lei Carolina Dieckmann (lei nº.12.737) que criou crime de invasão de equipamentos e dispositivos de informática para invadir a privacidade das pessoas

Em 2013 foi criado o Decreto 7.962, que regula o comércio eletrônico obrigando o fornecedor a assegurar a privacidade de seus consumidores.

Finalmente, em 2014 foi criado o Marco Civil da Internet (regulado pelo Decreto 8.771/2016) que estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil.

Como as empresas podem se adequar à LGPD?

Para que os Controladores e Operadores possam se adequar à LGPD é simples, mas não é fácil.

É simples porque basta seguir os preceitos descritos na LGPD e efetuar o tratamento de dados de forma correta, atender às solicitações dos titulares e ANPD, bem como se preparar em caso de violação dos dados pessoais.

No entanto, não é fácil porque demanda, antes de mais nada, uma mudança de mentalidade.

Os Controladores e Operadores devem ter em mente, e exercer essa mentalidade, que os dados são dos titulares, somente assim, passará a ter respeito a estes dados.

A partir desta mudança de mentalidade passa-se a fazer um plano de adequação à LGPD.

Este plano de adequação possui alguns caminhos:

• Mapeamento de dados pessoais (assim é possível saber quais dados estão sendo tratados, porque estão sendo tratados, por quanto tempo estão sendo tradados…);
• Com base no mapeamento de dados faz-se uma análise preliminar e começa-se a fazer um tratamento adequado, de acordo com a LGPD, apontando a base legal, definindo razões, porquês e prazos para o tratamento;
• Devem ser criados documentos jurídicos para a adequação, dentre eles política de privacidade, termo de consentimento (quando for o caso), política de gestão de dados, política de  cookies, plano de resposta a incidentes com dados e falhas de segurança;
• Revisão de todos os contratos para sua adequação à LGPD;
• Análise e promoção de adequação de segurança de dados;
• Nomeação de encarregado (quando for exigível);
• Treinamento de pessoal;
• Elaboração de protocolos para resposta a titulares e à ANPD;
• Monitoramento contínuo para que os preceitos da adequação sejam mantidos.

Quais são os custos envolvidos na adequação à LGPD?

A adequação à LGPD envolve custos. Quem trata dados deve fazer um plano de adequação à LGPD e, caso não possua o conhecimento adequado, deve buscar quem o tenha, e, provavelmente, terá gastos com isso.

Outros custos podem envolver:

1. A contratação de um Encarregado (DPO) ou consultoria especializada;
2. Investimentos em tecnologia como a aquisição de softwares para controle dos dados, segurança e procedimentos internos;
3. Investimento em pessoal com treinamentos de colaboradores e elaboração de testes;
4. Possíveis certificações.

Quais são as responsabilidades específicas de um Encarregado de Dados (DPO)?

Os Encarregados podem ser tanto pessoas físicas quanto jurídicas e devem possuir conhecimentos específicos multidisciplinares. Os Encarregados devem possuir:

• Conhecimento jurídico, para avaliar a adequação jurídica do Controlador ou Operador às normas de privacidade e proteção de dados;
• Conhecimento tecnológico, para avaliar se o Controlador ou Operador possuem adequação em termos de segurança da informação;
• Conhecimento de relações públicas, uma vez que é a pessoa indicada pelos Controladores e Operadores para fazerem uma interlocução entre estes e a ANPD ou Titulares.

Diante desses conhecimentos o Encarregado deverá prestar esclarecimentos e orientações aos colaboradores do Controlador ou Operador sobre privacidade e proteção de dados.

Conclusão

Não existe volta: a LGPD veio para ficar e não tem como fugir. É necessário que as pessoas se adaptem à lei para agir dentro da legalidade e proteger seu principal ativo: as pessoas (colaboradores ou terceiros) que possuem dados tratados por elas.

Ao agir de forma legal, evita-se exposição de danos e penalidade severas que podem inviabilizar os negócios. Não é interessante que pessoas queiram simplesmente se aventurar nessa área. 

Caso queiram atuar efetivamente em Privacidade e Proteção de dados devem imergir nessa área de cabeça, de forma que a pessoa, em especial o advogado, deve fazer vários estudos, se tornar multidisciplinar, para poder prestar o melhor serviço possível para o controlador/operador e cuidar do Titular como ele merece.

Mais conhecimento para você

• A importância da relação entre as áreas de direito e tecnologia;
• Tudo o queprecisa saber sobre direito digital
• Mandado de segurança: como funciona, tipos e modelo gratuito
• Saiba mais sobre a dignidade da pessoa humana e o mínimo existencial
• Entenda o que é a herança digital e qual a sua regulamentação
• Política de privacidade: o que é, objetivo e caso do Threads

Gostou do artigo e quer evoluir a sua advocacia?

Assine grátis a Aurum News e receba uma dose semanal de conteúdo no seu e-mail! ✌️

Qual seu e-mail?

Endereço de e-mail inválido ou incorreto

Quantos processos você ou
seu escritório acompanham?

Selecione os processos

• Mais de 1000 processos
• De 501 a 1000 processos
• De 151 a 500 processos
• De 41 a 150 processos
• Até 40 processos
• Atuo apenas no consultivo
• Ainda sou estudante de direito
• Não sou da área jurídica

Selecione algum processo

Assinar grátis Assinar

Ao se cadastrar você declara que leu e aceitou a política de privacidade e cookies do site.

E você, já está apostando nas oportunidades que a LGPD está trazendo aos advogados? Compartilhe nos comentários abaixo a sua experiência! 😉