O que é LGPD? Guia Completo para Empresários

Entenda a Lei Geral de Proteção de Dados (LGPD), suas exigências, como adequar sua empresa e as penalidades para quem descumprir a legislação.

Por Gabriel Bezerra

A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 13.709/2018, é a legislação brasileira que regulamenta o tratamento de dados pessoais por empresas e organizações. Desde sua entrada em vigor, todas as empresas que coletam, armazenam, processam ou compartilham dados pessoais de clientes, funcionários ou fornecedores são obrigadas a cumprir suas exigências, sob pena de multas que podem chegar a R\$ 50 milhões por infração.

Neste guia completo, vamos explicar os principais conceitos da LGPD, as obrigações que ela impõe às empresas, como adequar seu negócio e as consequências do descumprimento.

Conceitos fundamentais da LGPD

Para entender a LGPD, é essencial dominar seus conceitos-chave:

  • Dados Pessoais: qualquer informação relacionada a uma pessoa natural identificada ou identificável. Incluem nome, CPF, e-mail, telefone, endereço, dados de localização, cookies de navegação e até mesmo endereço IP.
  • Dados Pessoais Sensíveis: categoria especial de dados que recebe proteção reforçada. Incluem origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados referentes à saúde ou vida sexual, dados genéticos ou biométricos.
  • Titular dos Dados: a pessoa natural a quem os dados se referem. No contexto empresarial, são seus clientes, funcionários, fornecedores e qualquer pessoa cujos dados a empresa trate.
  • Controlador: pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados pessoais. Na maioria dos casos, a própria empresa é o controlador.
  • Operador: pessoa natural ou jurídica que realiza o tratamento de dados em nome do controlador. Por exemplo, um provedor de e-mail marketing que processa dados de clientes da empresa.
  • Tratamento: qualquer operação realizada com dados pessoais, incluindo coleta, armazenamento, uso, compartilhamento, transmissão, eliminação e muitas outras.
  • Encarregado (DPO): pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Autoridade Nacional de Proteção de Dados).

As bases legais para tratamento de dados

A LGPD estabelece dez bases legais que autorizam o tratamento de dados pessoais. Toda operação de tratamento deve ser justificada por pelo menos uma delas:

  1. Consentimento: manifestação livre, informada e inequívoca do titular concordando com o tratamento. Deve ser específico para finalidades determinadas e pode ser revogado a qualquer momento.
  2. Cumprimento de obrigação legal ou regulatória: quando o tratamento é necessário para cumprir uma exigência legal. Exemplo: manter dados de funcionários para obrigações trabalhistas.
  3. Execução de políticas públicas: aplicável ao setor público.
  4. Estudos por órgão de pesquisa: com anonimização dos dados sempre que possível.
  5. Execução de contrato: quando o tratamento é necessário para cumprir um contrato com o titular. Exemplo: processar dados de entrega de um produto comprado.
  6. Exercício regular de direitos: em processos judiciais, administrativos ou arbitrais.
  7. Proteção da vida: quando necessário para proteger a vida do titular ou de terceiro.
  8. Tutela da saúde: exclusivamente em procedimentos realizados por profissionais de saúde.
  9. Legítimo interesse: quando o tratamento atende a interesses legítimos do controlador, respeitando os direitos do titular. Precisa de análise (LIA - Legitimate Interest Assessment).
  10. Proteção do crédito: para análise de crédito e prevenção a fraudes.

A automação com inteligência artificial pode auxiliar no mapeamento automatizado de dados pessoais tratados pela empresa, na classificação por base legal e na gestão de consentimentos, reduzindo significativamente o esforço de conformidade.

Como adequar sua empresa à LGPD: passo a passo

A adequação à LGPD é um processo que envolve toda a empresa. Veja os passos essenciais:

  • Mapeamento de dados: identifique todos os dados pessoais que sua empresa coleta, onde estão armazenados, quem tem acesso, com quem são compartilhados e qual a base legal para cada tratamento. Esse inventário é a base de todo o processo de adequação.
  • Revisão de processos: avalie cada processo que envolve dados pessoais e verifique se está em conformidade. Elimine coletas desnecessárias, implemente controles de acesso e defina períodos de retenção.
  • Atualização de documentos: revise e atualize políticas de privacidade, termos de uso, contratos com fornecedores e funcionários. Inclua cláusulas de proteção de dados em todos os contratos relevantes.
  • Implementação de medidas de segurança: adote medidas técnicas e administrativas para proteger os dados contra acessos não autorizados, vazamentos e perdas. Criptografia, controle de acesso, backups e monitoramento são fundamentais.
  • Nomeação do Encarregado (DPO): designe uma pessoa responsável pela proteção de dados na empresa e publique seus dados de contato.
  • Treinamento da equipe: todos os funcionários que lidam com dados pessoais devem ser treinados sobre as práticas de proteção de dados e suas responsabilidades.
  • Plano de resposta a incidentes: prepare um plano para agir rapidamente em caso de vazamento ou incidente de segurança envolvendo dados pessoais.

Para mais informações sobre compliance e gestão empresarial, acesse a seção Foundations do nosso blog.

Perguntas Frequentes

A LGPD se aplica a pequenas empresas?

Sim, a LGPD se aplica a todas as empresas que tratam dados pessoais, independentemente do porte. Porém, a ANPD publicou regulamentações com tratamento diferenciado para agentes de pequeno porte (microempresas, empresas de pequeno porte, startups e pessoas naturais que tratam dados com fins econômicos). Essas empresas podem ter processos simplificados de adequação, prazos diferenciados e, em alguns casos, dispensa da obrigação de nomear um encarregado de dados. Isso não significa isenção da lei, mas sim procedimentos proporcionais ao porte.

Quais são as penalidades pelo descumprimento da LGPD?

As sanções administrativas previstas na LGPD incluem: advertência com prazo para adoção de medidas corretivas; multa simples de até 2% do faturamento da pessoa jurídica (limitada a R\$ 50 milhões por infração); multa diária; publicização da infração (dano reputacional); bloqueio dos dados pessoais; eliminação dos dados pessoais; suspensão parcial do banco de dados; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Além das sanções administrativas, a empresa pode sofrer ações judiciais individuais ou coletivas de titulares prejudicados.

Preciso de um advogado especializado para adequar minha empresa à LGPD?

Depende do porte e complexidade da operação. Pequenas empresas com tratamento de dados simples podem iniciar a adequação com recursos próprios, seguindo guias disponibilizados pela ANPD e por entidades como o SEBRAE. Porém, para empresas que tratam grandes volumes de dados, dados sensíveis ou que realizam operações complexas de tratamento, é altamente recomendável contar com consultoria jurídica especializada em proteção de dados. A Impero Solutions pode ajudar a automatizar processos de conformidade e monitoramento contínuo da LGPD.