A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece regras sobre o tratamento de dados pessoais realizado por pessoas naturais ou jurídicas, de direito público ou privado, no Brasil. O objetivo principal é proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade.
A lei se aplica a operações de tratamento realizadas no território nacional, atividades que visem ofertar bens ou serviços a indivíduos no Brasil, ou quando os dados pessoais foram coletados no Brasil (Art. 3º). Ficam excluídos tratamentos para fins exclusivamente particulares e não econômicos, jornalísticos, artísticos, acadêmicos (com ressalvas), segurança pública, defesa nacional, segurança do Estado ou investigação penal (Art. 4º).
Definições Chave (Art. 5º):
Dado Pessoal: Qualquer informação relacionada a pessoa natural identificada ou identificável.
Dado Pessoal Sensível: Origem racial/étnica, convicção religiosa, opinião política, filiação sindical/religiosa/filosófica/política, dados de saúde/vida sexual, genéticos/biométricos.
Titular: Pessoa natural a quem os dados se referem.
Controlador: Decide sobre o tratamento dos dados.
Operador: Realiza o tratamento em nome do controlador.
Encarregado (DPO): Canal de comunicação entre controlador, titulares e ANPD.
Tratamento: Qualquer operação com dados pessoais (coleta, uso, armazenamento, eliminação, etc.).
Consentimento: Manifestação livre, informada e inequívoca do titular.
ANPD (Autoridade Nacional de Proteção de Dados): Órgão fiscalizador.
Princípios para o Tratamento (Art. 6º): O tratamento deve seguir princípios como finalidade (propósitos legítimos e informados), adequação (compatibilidade com a finalidade), necessidade (mínimo necessário), livre acesso (consulta facilitada ao titular), qualidade dos dados (exatidão, clareza), transparência (informações claras), segurança (medidas protetivas), prevenção (evitar danos), não discriminação e responsabilização (prestação de contas).
Bases Legais para Tratamento (Art. 7º): O tratamento só é permitido com base em hipóteses como:
Consentimento do titular;
Cumprimento de obrigação legal/regulatória;
Execução de políticas públicas pela administração pública;
Estudos por órgãos de pesquisa (preferencialmente anonimizados);
Execução de contrato ou diligências pré-contratuais a pedido do titular;
Exercício regular de direitos (processos judiciais, administrativos, arbitrais);
Proteção da vida ou incolumidade física;
Tutela da saúde;
Legítimo interesse do controlador ou terceiro (respeitando direitos do titular);
Proteção do crédito.
Tratamento de Dados Sensíveis (Art. 11): Exige consentimento específico e destacado do titular ou seu responsável legal, ou pode ocorrer sem consentimento em hipóteses restritas (obrigação legal, políticas públicas, estudos, exercício de direitos, proteção da vida, tutela da saúde, prevenção à fraude).
Tratamento de Dados de Crianças e Adolescentes (Art. 14): Deve ser realizado no melhor interesse do menor. Para crianças, exige consentimento específico de pelo menos um dos pais ou responsável legal. Informações sobre o tratamento devem ser claras e acessíveis.
Direitos do Titular (Art. 18): O titular pode solicitar a qualquer momento:
Confirmação da existência do tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
Portabilidade dos dados;
Eliminação dos dados tratados com consentimento;
Informação sobre compartilhamento com entidades públicas e privadas;
Informação sobre a possibilidade de não consentir e as consequências;
Revogação do consentimento.
As solicitações devem ser atendidas gratuitamente. A confirmação simplificada deve ser imediata; a declaração completa em até 15 dias (Art. 19).
Término do Tratamento (Art. 15): Ocorre quando a finalidade é alcançada, os dados não são mais necessários, fim do período de tratamento, comunicação do titular (revogação do consentimento) ou determinação da ANPD. Após o término, os dados devem ser eliminados, salvo exceções como cumprimento de obrigação legal ou estudo por órgão de pesquisa (Art. 16).
Agentes de Tratamento e Responsabilidade:
Controlador e Operador (Arts. 37-40): Devem manter registro das operações de tratamento. O Operador atua conforme instruções do Controlador.
Encarregado (DPO - Art. 41): Indicado pelo controlador, atua como canal de comunicação com titulares e ANPD. Sua identidade e contato devem ser públicos.
Responsabilidade e Ressarcimento (Arts. 42-45): Controlador e operador são responsáveis por danos causados em violação à LGPD, respondendo solidariamente em certos casos. Há excludentes de responsabilidade se provarem não ter realizado o tratamento, não ter havido violação ou culpa exclusiva do titular/terceiro.
Segurança e Boas Práticas:
Medidas de Segurança (Arts. 46-47): Agentes devem adotar medidas técnicas e administrativas para proteger os dados desde a concepção (privacy by design/default).
Incidentes de Segurança (Art. 48): O controlador deve comunicar à ANPD e ao titular a ocorrência de incidentes que acarretem risco ou dano relevante, em prazo razoável definido pela ANPD.
Governança (Art. 50): Encoraja a adoção de programas de governança em privacidade e boas práticas.
Transferência Internacional de Dados (Arts. 33-36): Permitida para países com nível adequado de proteção, ou mediante garantias (cláusulas contratuais padrão/específicas, normas corporativas globais, selos, etc.), consentimento específico do titular, ou outras hipóteses legais. A ANPD avalia o nível de proteção e as garantias.
Fiscalização e Sanções (Arts. 52-54): A ANPD fiscaliza e aplica sanções administrativas em caso de infração, que podem incluir:
Advertência;
Multa simples (até 2% do faturamento no Brasil, limitada a R$ 50 milhões por infração);
Multa diária;
Publicização da infração;
Bloqueio ou eliminação dos dados;
Suspensão do banco de dados ou da atividade de tratamento;
Proibição parcial ou total de atividades de tratamento.
As sanções são aplicadas após processo administrativo, considerando critérios como gravidade, boa-fé, vantagem auferida, condição econômica, reincidência, etc.
Alterações no Marco Civil da Internet (Art. 60): A LGPD altera a Lei nº 12.965/2014, reforçando o direito à exclusão definitiva de dados pessoais ao término da relação e proibindo o tratamento de dados excessivos.
