Perguntas Frequentes

Confira aqui as dúvidas mais frequentes dos nossos usuários sobre a LGPD.

Do que trata a Lei Geral de Proteção de Dados Pessoais – LGPD?

A Lei Geral de Proteção de Dados – LGPD (Lei n. 13.709, de 2018), dispõe sobre o tratamento de dados pessoais das pessoas naturais, definindo as hipóteses em que tais dados podem legitimamente ser utilizados por terceiros e estabelecendo mecanismos para proteger os titulares dos dados contra usos inadequados.

A lei é aplicável ao tratamento de dados realizado por pessoas naturais ou por pessoas jurídicas de direito público ou privado, e tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Quando a LGPD entrou em vigor?

A lei entrou em vigor de maneira escalonada:

  • Em 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B, que tratam da constituição da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPDPP.
  • Em 18 de setembro de 2020, quanto aos demais artigos da lei, com exceção dos dispositivos que tratam da aplicação de sanções administrativas;
  • Em 1º de agosto de 2021, quanto aos arts. 52. 53 e 54, que tratam das sanções administrativas.

O que é tratamento de dados pessoais, de acordo com a LGPD?

Segundo a LGPD, tratamento de dados pessoais é toda operação realizada com  dados pessoais, como as que se referem a coleta, produção, recepção,  classificação, utilização, acesso, reprodução, transmissão, distribuição,  processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou  extração.

O que são dados pessoais?

A LGPD adota um conceito aberto de dado pessoal, definido como a informação  relacionada a uma pessoa natural identificada ou identificável.  Assim, além das informações básicas relativas ao nome, número de inscrição no  Registro Geral (RG) ou no Cadastro Nacional de Pessoas Físicas (CPF) e endereço  residencial, são também considerados dados pessoais outros dados que  permitam a identificação de um indivíduo, tais como a orientação sexual, a  filiação político-partidária, o histórico médico e também aqueles referentes aos  aspectos biométricos do indivíduo.  

Segundo a LGPD, poderão ser igualmente considerados como dados pessoais  aqueles utilizados para formação do perfil comportamental de determinada  pessoa natural, se identificada. 

O que são dados pessoais sensíveis?

Os dados pessoais sensíveis são aqueles aos quais a LGPD conferiu uma  proteção ainda maior, por estarem diretamente relacionados aos aspectos  mais íntimos da personalidade de um indivíduo. Assim, são dados pessoais  sensíveis aqueles relativos à origem racial ou étnica, convicção religiosa, opinião  política, filiação a sindicato ou a organização de caráter religioso, filosófico ou  político, dado referente à saúde ou à vida sexual, dado genético ou biométrico,  quando vinculado a um indivíduo.

Quais dados são protegidos pela LGPD?

A LGPD garante proteção a todos os dados cujos titulares são pessoas  naturais, estejam eles em formato físico ou digital. Assim, a LGPD não alcança os  dados titularizados por pessoas jurídicas – os quais não são considerados dados  pessoais para os efeitos da Lei.

Em que hipóteses pode ser realizado o tratamento de dados pessoais?

Com a entrada em vigor da LGPD, o tratamento de dados pessoais pode ser  realizado quando se verificar a ocorrência de qualquer uma das hipóteses previstas em seu artigo 7º ou, no caso de dados pessoais sensíveis, de uma das  hipóteses previstas no artigo 11º. Existem dez bases legais distintas para o  tratamento de dados pessoais e oito bases legais que legitimam o tratamento de  dados pessoais sensíveis. 

Vale notar que a LGPD é aplicável também aos dados cujo acesso é público e  àqueles tornados manifestamente públicos pelos titulares, resguardando-se a  observância dos princípios gerais e dos direitos dos titulares previstos na Lei.

Quais são as bases legais para o tratamento de dados pessoais?

O tratamento de dados pessoais (não sensíveis) poderá ser realizado em  qualquer uma das seguintes hipóteses, previstas no art. 7º da LGPD: 

  • Mediante o fornecimento de consentimento pelo titular; 
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador; 
  • Para a execução de políticas públicas, pela administração pública; 
  • Para a realização de estudos por órgão de pesquisa; 
  • Para a execução de contrato ou de procedimentos preliminares  relacionados a contrato do qual seja parte o titular, a pedido do titular dos  dados; 
  • Para o exercício regular de direitos em processo judicial, administrativo  ou arbitral; 
  • Para a proteção da vida ou da incolumidade física do titular ou de  terceiro; 
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por  profissionais de saúde, serviços de saúde ou autoridade sanitária; 
  • Para atender aos interesses legítimos do controlador ou de terceiro,  exceto no caso de prevalecer em direitos e liberdades fundamentais do  titular que exijam a proteção dos dados pessoais;  
  • Para a proteção do crédito.

Quais são os direitos dos cidadãos com a entrada em vigor da LGPD?

A LGPD prevê uma ampla gama de direitos dos titulares de dados, dentre os  quais podem ser destacados os seguintes: 

  • acesso facilitado às informações sobre o tratamento de seus dados, que  deverão ser disponibilizadas de forma clara, adequada e ostensiva; 
  • confirmação da existência de tratamento; 
  • acesso aos dados; 
  • correção de dados incompletos, inexatos ou desatualizados; 
  • anonimização, bloqueio ou eliminação de dados desnecessários,  excessivos ou tratados em desconformidade com o disposto nesta Lei; 
  • portabilidade dos dados a outro fornecedor de serviço ou produto,  mediante requisição expressa, de acordo com a regulamentação da  autoridade nacional, observados os segredos comercial e industrial;
  • eliminação dos dados pessoais tratados com o consentimento do titular,  exceto nas hipóteses previstas no art. 16 da LGPD; 
  • informação das entidades públicas e privadas com as quais o controlador  realizou uso compartilhado de dados; 
  • informação sobre a possibilidade de não fornecer consentimento e sobre  as consequências da negativa; 
  • revogação do consentimento, mediante manifestação expressa do titular,  por procedimento gratuito e facilitado; 
  • peticionamento em relação aos seus dados contra o controlador, perante  a autoridade nacional e perante os organismos de defesa do consumidor; 
  • oposição a tratamento realizado com fundamento em uma das hipóteses  de dispensa de consentimento, em caso de descumprimento ao disposto  na LGPD; 
  • solicitação de revisão de decisões tomadas unicamente com base em  tratamento automatizado de dados pessoais que afetem seus interesses,  incluídas as decisões destinadas a definir o seu perfil pessoal, profissional,  de consumo e de crédito ou os aspectos de sua personalidade;
  • fornecimento, mediante solicitação, de informações claras e adequadas a  respeito dos critérios e dos procedimentos utilizados para a decisão  automatizada, observados os segredos comercial e industrial.

O que é a Autoridade Nacional de Proteção de Dados Pessoais – ANPD?

A ANPD é o órgão da administração pública federal responsável por zelar pela  proteção de dados pessoais e por implementar e fiscalizar o cumprimento da  LGPD no Brasil. 

Qual é o papel da Autoridade Nacional de Proteção de Dados – ANPD?

A missão institucional da ANPD é assegurar a mais ampla e correta observância  da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos  fundamentais de liberdade, privacidade e livre desenvolvimento da  personalidade dos indivíduos.  

O art. 55-J da LGPD estabelece as principais competências da ANPD, dentre as  quais se destacam as seguintes:

  • elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais  e da Privacidade; 
  • fiscalizar e aplicar sanções em caso de tratamento de dados realizado em  descumprimento à legislação, mediante processo administrativo que  assegure o contraditório, a ampla defesa e o direito de recurso;
  • promover na população o conhecimento das normas e das políticas  públicas sobre proteção de dados pessoais e das medidas de segurança;
  • estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, os quais  deverão levar em consideração as especificidades das atividades e o porte  dos responsáveis; 
  • promover ações de cooperação com autoridades de proteção de dados  pessoais de outros países, de natureza internacional ou transnacional;
  • editar regulamentos e procedimentos sobre proteção de dados pessoais e  privacidade, bem como sobre relatórios de impacto à proteção de dados  pessoais para os casos em que o tratamento representar alto risco à  garantia dos princípios gerais de proteção de dados pessoais previstos  nesta Lei; 
  • ouvir os agentes de tratamento e a sociedade em matérias de interesse  relevante e prestar contas sobre suas atividades e planejamento; ∙ editar normas, orientações e procedimentos simplificados e  diferenciados, inclusive quanto aos prazos, para que microempresas e  empresas de pequeno porte, bem como iniciativas empresariais de  caráter incremental ou disruptivo que se autodeclararem startups ou  empresas de inovação, possam adequar-se à Lei;  
  • deliberar, na esfera administrativa, em caráter terminativo, sobre a  interpretação da LGPD, as suas competências e os casos omissos; ∙ articular-se com as autoridades reguladoras públicas para exercer suas  competências em setores específicos de atividades econômicas e  governamentais sujeitas à regulação;
  • implementar mecanismos simplificados, inclusive por meio eletrônico,  para o registro de reclamações sobre o tratamento de dados pessoais em  desconformidade com esta Lei. 

A ANPD pode aplicar sanções pelo descumprimento da lei?

Cabe lembrar, em primeiro lugar, que os dispositivos da LGPD que tratam de  sanções administrativas somente entrarão em vigor em 1o de agosto de 2021.  Após essa data, a ANPD poderá aplicar, após procedimento administrativo que  possibilite a ampla defesa, às seguintes sanções administrativas: 

  • advertência, com indicação de prazo para adoção de medidas corretivas; ∙ multa simples, de até 2% (dois por cento) do faturamento da pessoa  jurídica de direito privado, grupo ou conglomerado no Brasil no seu  último exercício, excluídos os tributos, limitada, no total, a R$  50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária, observado o limite total a que se refere o inciso II;
  • publicização da infração após devidamente apurada e confirmada a sua  ocorrência; 
  • bloqueio dos dados pessoais a que se refere a infração até a sua  regularização; 
  • eliminação dos dados pessoais a que se refere a infração; 
  • suspensão parcial do funcionamento do banco de dados a que se refere a  infração pelo período máximo de 6 (seis) meses, prorrogável por igual  período, até a regularização da atividade de tratamento pelo  controlador; 
  • suspensão do exercício da atividade de tratamento dos dados pessoais a  que se refere a infração pelo período máximo de 6 (seis) meses,  prorrogável por igual período; 
  • proibição parcial ou total do exercício de atividades relacionadas a  tratamento de dados. 

A LGPD determina que a ANPD deverá editar regulamento próprio sobre sanções  administrativas, que deverá ser objeto de consulta pública, contendo as  metodologias que orientarão o cálculo do valor-base das sanções de multa. Tais  metodologias devem ser previamente publicadas e devem apresentar  objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções  de multa, que deverão conter fundamentação detalhada de todos os seus  elementos, demonstrando a observância dos critérios previstos na LGPD. Nos termos da Lei, a aplicação de sanções requer, ainda, criteriosa apreciação e  ponderação de inúmeras circunstâncias, dentre as quais a gravidade e a natureza  das infrações e dos direitos pessoais afetados, a condição econômica do infrator,  o grau do dano, a cooperação do infrator, a adoção de política de boas práticas e  governança e a pronta adoção de medidas corretivas.