Como atender a Lei Geral de Proteção de Dados LGPD ? Lei n. 13.709/2018

Como atender a Lei Geral de Proteção de Dados – Lei n. 13.709/2018 (“LGPD”) ?

A Lei Geral de Proteção de Dados deve ser cumprida por empresas de grande, médio e pequeno porte, públicas ou privadas, inclusive por pessoas físicas. A lei também não faz qualquer distinção entre empresas do segmento industrial, de comércio ou prestação de serviços, ou seja, havendo o tratamento de dados pessoais, haverá a aplicação da lei, inclusive para dados não só registrados em meios digitais para também em meios físicos.

Mas o que devemos entender por tratamento de dados ? A lei define no inciso X, artigo 5º o tratamento como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Com esta definição para a atividade de “tratamento”, verificamos que todos os setores de uma empresa, RH; Logística; Marketing; Análise de Dados; Desenvolvimento de Software e TI; Jurídico; Compliance e etc. tratam de dados pessoais.

O objetivo desta lei é proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, estabelecendo regras e limites para empresas a respeito do “tratamento” a ser dispensado a estes dados, respeitando os princípios como como o da finalidade (propósitos legítimos), adequação (compatibilidade), necessidade (mínima coleta) e da transparência.


Os titulares de dados pessoais passam a ter os seguintes direitos: i) confirmação da existência de tratamento; (ii) acesso aos dados; (iii) correção de dados incompletos, inexatos ou desatualizados; (iv) anonimização; (v) portabilidade; (vi) eliminação; (vii) informação a respeito do compartilhamento de dados; (viii) possibilidade de receber informação sobre não fornecer o consentimento e suas consequências; (ix) revogação do consentimento

A lei traz os “agentes de tratamento de dados pessoais”, que correspondem às figuras do “controlador”, a quem competem as decisões referentes ao tratamento de dados pessoais, e a figura do “operador”, que realiza o tratamento de dados pessoais em nome do controlador. Há também o “encarregado”, “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”.


As empresas deverão evidenciar o cumprimento das novas regras para o tratamento de dados, adotando medidas de segurança, governança e boas práticas. Deverão contar com o “Encarregado” para orientação sobre as práticas a serem tomadas em relação à proteção de dados pessoais, bem como por orientar e avaliar o cumprimento da Lei, inclusive perante a Autoridade Nacional de Proteção de Dados (ANPD), entidade do governo que fiscalizará o cumprimento da Lei e aplicará sanções.

Importante destacar que a lei estabele tratamento mais rigoroso ao tratamento de “dados sensíveis”, que correspondem a “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”

As empresas deverão comprovar ao menos uma das seguintes bases legais para realizar o tratamento dados pessoais (art. 7º da LGPD):

I - consentimento pelo titular: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
II - cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas;
IV - para a realização de estudos por órgão de pesquisa;
V - para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
IX - quando necessário para atender aos interesses legítimos do controlador;
ou de terceiro, consideradas a partir de situações concretas, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito.


Quando os dados forem sensíveis, o tratamento somente poderá ocorrer nas seguintes hipóteses (art. 11 da LGPD):
I – consentimento pelo titular, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Também deverão ser implementados mecanismos/soluções de privacidade durante todo o ciclo de vida dos dados para garantira ao usuário a preservação e gerenciamento da privacidade e a coleta e tratamento de seus dados pessoais.

Os produtos e serviços devem considerar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (art. 46, §2º).

As infrações à LGPD sujeitam os agentes de tratamento a sanções administrativas (advertência, multa, publicização da infração, bloqueio de dados pessoais a que se refere à infração e eliminação de dados pessoais a que se refere à infração) sem prejuízo do dever de reparar os danos causados no exercício da atividade de tratamento, havendo uma regulamentação sobre a responsabilidade entre os agentes de tratamento.

Portanto, a proteção de dados pessoais deve ser inserida na realidade empresarial, com a inserção de ações, identificação de áreas afetadas pela novo regramento, sem esquecer legislações setoriais.

Medidas e controles devem ser criados em conformidade com a LGPD e regulamentos setoriais aplicáveis, realizando-se treinamentos, políticas e nomeando-se o “controlador”, “operador” e o “encarregado”.

Documentos jurídicos devem ser revistos ou criados para adequação aos padrões de proteção de dados, principalmente para aqueles que envolvam o tratamento e compartilhamento de dados pessoais, visando sempre a garantia do exercício dos direitos dos “titulares” e o atendimento das regras para o tratamento.