LGPD na prática: como empresas devem proteger dados pessoais

Publicado em 21 de janeiro de 2024 | Tempo de leitura: 11 minutos

A **Lei Geral de Proteção de Dados (LGPD - Lei 13.709/2018)** transformou a maneira como empresas e organizações lidam com informações pessoais no Brasil. A lei estabelece regras claras sobre a coleta, uso, armazenamento e compartilhamento de dados, colocando o titular no centro das decisões. Para as empresas, o **compliance com a LGPD** não é apenas uma obrigação legal, mas uma necessidade estratégica para construir confiança e evitar sanções severas.

Obrigações Fundamentais da LGPD para Empresas

A LGPD se aplica a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou jurídica, de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

1. Base Legal para o Tratamento

Toda e qualquer operação de tratamento de dados deve estar amparada em uma das **10 bases legais** previstas na LGPD (Art. 7º). As mais comuns para empresas são:

  • **Consentimento:** O titular autoriza o tratamento para finalidades específicas.
  • **Execução de Contrato:** O tratamento é necessário para cumprir um contrato com o titular.
  • **Obrigação Legal:** O tratamento é exigido por lei (ex: dados fiscais, trabalhistas).
  • **Legítimo Interesse:** O tratamento é necessário para atender a interesses legítimos do controlador ou de terceiros, desde que não viole os direitos e liberdades fundamentais do titular.

2. Princípios da Lei

As empresas devem seguir rigorosamente os **10 princípios** da LGPD, como a **Finalidade** (tratamento para propósitos legítimos e específicos), **Adequação** (compatibilidade do tratamento com as finalidades informadas), **Necessidade** (uso mínimo de dados) e **Segurança** (adoção de medidas técnicas e administrativas para proteger os dados).

3. Direitos dos Titulares

As empresas devem garantir o livre exercício dos **direitos dos titulares** (Art. 18), como o direito de acesso, correção, eliminação, portabilidade e revogação do consentimento. É fundamental estabelecer canais de comunicação claros e eficientes para atender a essas solicitações.

Medidas Práticas de Compliance

A adequação à LGPD exige uma abordagem multidisciplinar, envolvendo áreas jurídica, de TI e de gestão. O processo de compliance geralmente inclui:

1. Mapeamento de Dados (Data Mapping)

O primeiro passo é identificar **quais dados** a empresa coleta, **onde** eles estão armazenados, **como** são tratados, **por que** são coletados (base legal) e **com quem** são compartilhados. O mapeamento de dados é a espinha dorsal do projeto de adequação.

2. Análise de Riscos e Impacto (DPIA/RIPD)

A empresa deve realizar uma **Avaliação de Impacto à Proteção de Dados Pessoais (DPIA)** para identificar e mitigar riscos em operações de tratamento que possam gerar alto risco aos direitos dos titulares. Isso inclui a análise de medidas de segurança e a definição de planos de resposta a incidentes.

3. Implementação de Medidas de Segurança

A LGPD exige a adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas. Isso inclui:

  • **Anonimização e Pseudonimização:** Técnicas para desvincular o dado do titular.
  • **Controles de Acesso:** Limitar o acesso aos dados apenas a funcionários que realmente precisam deles.
  • **Criptografia:** Proteger dados em trânsito e em repouso.
  • **Políticas de Backup e Recuperação de Desastres.**

4. Documentação e Governança

A empresa deve manter um registro detalhado de todas as operações de tratamento de dados (Art. 37), além de políticas de privacidade claras, termos de uso e procedimentos internos. A documentação é essencial para demonstrar o compliance à **Autoridade Nacional de Proteção de Dados (ANPD)**.

O Papel do Encarregado (DPO)

O **Encarregado pelo Tratamento de Dados Pessoais (DPO - Data Protection Officer)** é a pessoa indicada pela empresa para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Suas responsabilidades incluem:

  • Aceitar reclamações e comunicações dos titulares.
  • Receber comunicações da ANPD.
  • Orientar os funcionários sobre as práticas de proteção de dados.
  • Executar as demais atribuições determinadas pelo controlador.

Sanções e Consequências do Descumprimento

O descumprimento da LGPD pode acarretar sanções administrativas aplicadas pela ANPD, que incluem:

  • **Advertência:** Com prazo para adoção de medidas corretivas.
  • **Multa Simples:** De até 2% do faturamento da empresa no seu último exercício, limitada a R$ 50 milhões por infração.
  • **Multa Diária:** Para forçar a correção da irregularidade.
  • **Publicização da Infração:** Tornar pública a infração após devidamente apurada.
  • **Bloqueio ou Eliminação dos Dados Pessoais** a que se refere a infração.

Além das sanções administrativas, a empresa pode ser responsabilizada civilmente por danos morais e materiais causados aos titulares dos dados em decorrência de incidentes de segurança ou tratamento inadequado.

LGPD e o Google AdSense

Para empresas que utilizam serviços como o Google AdSense, o compliance com a LGPD é crucial. O Google exige que os editores obtenham o **consentimento explícito** dos usuários para a coleta e uso de dados para fins de publicidade personalizada. Isso geralmente é feito através de um **banner de consentimento de cookies (CMP - Consent Management Platform)**, que deve ser implementado de forma transparente e que permita ao usuário aceitar ou recusar o uso de cookies de rastreamento.

Aviso Legal: Este conteúdo tem finalidade informativa e educativa. Não substitui uma consulta jurídica personalizada. A adequação à LGPD é um processo contínuo e complexo que exige o acompanhamento de profissionais especializados.

Perguntas Frequentes

Qualquer informação relacionada a pessoa natural identificada ou identificável. Exemplos: nome, CPF, RG, endereço, e-mail, telefone, dados de localização, dados de saúde, dados biométricos, etc.
Sim. A LGPD se aplica a todas as empresas que realizam tratamento de dados pessoais, independentemente do porte. A ANPD pode estabelecer regras mais flexíveis para microempresas e empresas de pequeno porte, mas a obrigação de proteger os dados e respeitar os direitos dos titulares permanece.
Dados sensíveis são aqueles que podem gerar discriminação, como origem racial ou étnica, convicção religiosa, opinião política, saúde ou vida sexual, e dados genéticos ou biométricos. O tratamento de dados sensíveis é mais restrito e exige bases legais específicas.
É qualquer evento que resulte na destruição, perda, alteração, acesso não autorizado ou tratamento ilícito de dados pessoais. Em caso de incidente com risco ou dano relevante aos titulares, a empresa deve comunicar a ANPD e o titular em prazo razoável.
É uma base legal que permite o tratamento de dados para finalidades legítimas, como apoio e promoção de atividades do controlador, desde que não se sobreponha aos direitos e liberdades fundamentais do titular. Seu uso exige a realização de um Teste de Balanceamento e a transparência com o titular.

Artigos relacionados: Vazamento de dados | Segurança de dados pessoais | Nossos serviços

Sua Empresa Está em Compliance com a LGPD?

Conte com nossa consultoria especializada para adequação e proteção de dados.

Falar com Especialista