Histórico da proteção de dados
137
países com lei de privacidade
em 2021, segundo a UNCTAD
vigência plena no Brasil
2021
aprovada em 2018 (Lei 13.709)
objetivo da lei — art. 1º
Proteger a liberdade, privacidade e personalidade da pessoa natural
Linha do tempo
1890🇺🇸Right to Privacy
Primeira doutrina jurídica sobre privacidade
1948🌎Declaração Universal dos Direitos Humanos
Privacidade como direito fundamental
1970🇩🇪Lei de Hesse
Primeira lei de proteção de dados do mundo
1974🇺🇸Privacy Act
EUA regulamenta dados em arquivos federais
1988🇧🇷Constituição Federal
Art. 5º, X: intimidade e vida privada invioláveis
1995🇪🇺Diretiva 95/46/CE
União Europeia regula tratamento de dados
2014🇧🇷Marco Civil da Internet
Proteção de dados como princípio (art. 3º)
2016🇪🇺GDPR
Regulamento europeu — referência global para a LGPD
2018🇧🇷LGPD aprovada
Vigência plena a partir de agosto de 2021
Conceitos fundamentais — art. 5º
dado pessoal
Qualquer informação relacionada a pessoa natural identificada ou identificável
Exemplos: nome, CPF, e-mail, endereço, profissão, idade
dado pessoal sensível
Dados com potencial discriminatório
Inclui: origem racial, convicção religiosa, opinião política, filiação sindical, dados de saúde, dados biométricos, dados de crianças e adolescentes
titular de dados
Pessoa natural a quem se referem os dados pessoais
tratamento de dados
Toda operação realizada com dados pessoais
Coleta, acesso, classificação, exclusão e outros
Aplicação da lei — art. 3º
A LGPD aplica-se a qualquer operação de tratamento realizada por pessoa física ou jurídica, por meio digital ou físico, independente do país da sede ou localização dos dados, desde que o tratamento ocorra no território nacional ou envolva indivíduos localizados no Brasil.
a lei não se aplica a:
• Pessoas físicas para fins particulares e não econômicos
• Fins exclusivamente jornalísticos ou artísticos
• Fins acadêmicos (com exceção dos arts. 7º a 11)
• Segurança pública / esfera penal
ANPD — Autoridade Nacional de Proteção de Dados
função — art. 55-J
Zelar, regulamentar e fiscalizar o cumprimento da LGPD no Brasil
Acesso: www.gov.br/anpd/pt-br
Princípios da LGPD — art. 6º
Clique em um princípio para ver os detalhes:
Finalidade Tratamento para propósitos legítimos, específicos, explícitos e informados ao titular; sem possibilidade de tratamento posterior incompatível.
Necessidade Limitação do tratamento ao mínimo necessário para a realização das finalidades, com abrangência dos dados pertinentes e não excessivos.
Adequação Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
Transparência Garantia de informações claras, precisas e facilmente acessíveis sobre o tratamento, observado o segredo comercial do agente.
Segurança Medidas técnicas e administrativas para proteger os dados de acessos não autorizados e situações acidentais ou ilícitas. Envolve Confidencialidade, Integridade e Disponibilidade (tríade CID).
Prevenção Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Qualidade dos dados Garantia de exatidão, clareza, relevância e atualização dos dados, conforme a necessidade e o cumprimento da finalidade.
Responsabilização e prestação de contas Demonstração pelo agente da adoção de medidas eficazes e capazes de comprovar o cumprimento das normas.
Bases legais — arts. 7º e 11
O tratamento de dados só pode ser realizado quando enquadrado em uma das hipóteses legais previstas na LGPD. Dados sensíveis possuem bases mais restritas.
Obrigação legal ou regulatória
Execução de políticas públicas
Estudos por órgãos de pesquisa
Exercício regular de direitos
Prevenção a fraude / segurança
Agentes de tratamento — art. 5º
Controlador
Decide
- Define finalidade e meios do tratamento
- Fornece instruções ao operador
- Atua em nome próprio
- Responde perante titulares e ANPD
Operador
Executa
- Realiza tratamento em nome do controlador
- Segue instruções do controlador
- Sem poder de decisão próprio
- Pode ser pessoa física ou jurídica
Co-controlador
Compartilha a decisão
- Mais de um controlador com poder de decisão
- Objetivo em comum sobre o mesmo tratamento
Exemplo de cadeia
Loja (controlador)
→
CRM SaaS (operador)
→
Servidor (suboperador)
Responsabilidades do controlador
Comprovar o consentimento do titular
Comunicar incidentes à ANPD
Atender titulares de dados
Nomear Encarregado (DPO) — obrigatório exceto pequeno porte
Manter registro das operações de tratamento (ROPA)
Reparar danos aos titulares
Direitos dos titulares — arts. 17 a 22
Art. 17: Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e os direitos fundamentais de liberdade, de intimidade e de privacidade. O titular não transfere a propriedade de seus dados ao permitir seu tratamento.
Direitos do art. 18 — exercidos gratuitamente, a qualquer momento, mediante requisição ao controlador (prazo: 15 dias)
I
Confirmação de existência
Saber se seus dados são tratados pelo controlador
II
Acesso aos dados
Obter cópia completa em formato eletrônico ou impresso, incluindo origem, critérios e finalidade do tratamento
III
Correção
Solicitar correção de dados incompletos, inexatos ou desatualizados
IV
Anonimização, bloqueio ou eliminação
Quando dados forem desnecessários, excessivos ou tratados em desconformidade com a LGPD
V
Portabilidade
Transferir seus dados a outro fornecedor de serviço (regulamentação da ANPD define o formato)
VI
Eliminação após revogação
Quando o consentimento é retirado, os dados coletados com base nele devem ser eliminados
VII
Informação sobre compartilhamento
Saber com quais entidades públicas e privadas o controlador compartilhou seus dados
VIII
Informação sobre não consentimento
Ser informado sobre a possibilidade de não fornecer consentimento e quais são as consequências
IX
Revogação do consentimento
Retirar o consentimento a qualquer momento, de forma gratuita e facilitada
X
Peticionar à ANPD
Apresentar reclamação diretamente à ANPD contra o controlador em caso de descumprimento
Direitos especiais
art. 20 — revisão de decisões automatizadas
Solicitar revisão de decisões tomadas com base em tratamento automatizado (profiling)
Inclui decisões que afetam perfil pessoal, profissional, de consumo, de crédito ou aspectos da personalidade
art. 21 — proteção no exercício de direitos
Dados usados para o exercício regular de direitos não podem ser utilizados em prejuízo do titular
art. 22 — tutela coletiva
A defesa dos direitos dos titulares pode ser exercida em juízo de forma individual ou coletiva
Por meio de Defensoria Pública, Ministério Público, Procon, IDEC ou diretamente pelo Judiciário
Encarregado (DPO) — art. 41
Definição — art. 5º, VIII: Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
Atribuições legais — art. 41, §2º
Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
Receber comunicações da ANPD e adotar as providências necessárias
Orientar funcionários e contratados sobre práticas de proteção de dados
Executar demais atribuições determinadas pelo controlador ou por normas complementares
Auxiliar na análise de contratos e cláusulas relacionadas à proteção de dados (Guia ANPD)
Apoiar na comunicação de incidentes de segurança à ANPD
Características do cargo
Quem pode ser
Pessoa física ou jurídica
Interno ou externo (DPO as a Service). Sem pré-requisitos legais, mas exige conhecimento especializado em proteção de dados
Divulgação obrigatória
Identidade e contato públicos
Preferencialmente no site do controlador, de forma clara e acessível
Responsabilidade
Não é o responsável legal pelo tratamento
A responsabilidade é do controlador e do operador. O DPO orienta e intermedia
Conflito de interesses
Deve ser evitado
Não indicar quem decide sobre dados (CEO, CFO, head de TI, RH) para evitar supervisão de si mesmo
Obrigatoriedade — Res. CD/ANPD nº 2/2022
Grandes e médias empresas
Entidades sem fins lucrativos
Mesmo dispensadas, a indicação do encarregado é considerada boa prática e pode reduzir sanções. Em qualquer caso, o controlador deve manter um canal de comunicação com os titulares.
Sanções administrativas — art. 52
R$ 50.000.000
Multa máxima por infração
Advertência com prazo para correção
Multa simples de até 2% do faturamento
Bloqueio dos dados pessoais
Eliminação dos dados pessoais
Proibição parcial ou total de atividades
Fluxo do processo sancionador
1
Origem do processo
Pela própria ANPD, por monitoramento ou por requerimento do titular / denúncia
2
Análise de admissibilidade
Fase preparatória opcional caso faltem indícios suficientes
3
Processo Administrativo Sancionador
Julgado pela Coordenação-Geral de Fiscalização da ANPD
4
Resultado: arquivamento ou sanção
Decisão passível de recurso ao Conselho Diretor da ANPD
A adoção de boas práticas e governança é critério considerado na aplicação das sanções (art. 52, §1º, IX).
Incidentes de segurança
definição — Res. CD/ANPD nº 15/2024
Qualquer evento adverso confirmado relacionado à violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade de dados pessoais
Quando comunicar à ANPD?
Apenas quando o incidente puder acarretar risco ou dano relevante aos titulares — afetando significativamente seus interesses ou direitos fundamentais, ou envolvendo dados sensíveis, de crianças/adolescentes/idosos.
Processo de comunicação
1
Identificação do incidente
Confirmação do evento adverso com violação de dados pessoais
2
Avaliação de risco
Verificar se há risco relevante aos titulares para determinar obrigatoriedade
3
Comunicação à ANPD
Em até 3 dias úteis pelo site gov.br/anpd — feita pelo controlador ou encarregado
4
Avaliação pela ANPD
ANPD pode determinar providências; inação pode abrir processo administrativo sancionador
Boas práticas (art. 50)
Políticas e procedimentos internos de proteção
Privacy by Design — privacidade desde a concepção
Alinhamento com ISO/IEC 27001
Gestão de contratos com terceiros
Cultura organizacional de proteção de dados
Ações educativas para funcionários
Projeto ROPA — art. 37
ROPA (Record of Processing Activities) = Registro de Operações de Tratamento de Dados Pessoais. Documento que detalha todo o ciclo de vida dos dados pessoais na organização — da coleta à exclusão.
Fundamento legal
Art. 37 da LGPD
Controlador e operador devem manter o registro, especialmente quando a base legal for legítimo interesse
Quem elabora
Controlador e operador
Pode ser solicitado pela ANPD a qualquer momento para verificar conformidade
O que deve constar no ROPA
Agentes de tratamento
Finalidade
Base legal
Categorias de dados
Dados sensíveis
Categorias de titulares
Período de retenção
Local de armazenamento
Compartilhamento
Transferência internacional
Medidas de segurança
Critérios de descarte
Como construir o ROPA
01 — Mapeamento
Identificar todas as atividades
Levantar cada processo que envolva dados pessoais, de cadastros de clientes a câmeras de segurança
02 — Responsáveis
Definir controlador e operador
Indicar claramente quem decide (controlador) e quem executa (operador) em cada tratamento
03 — Finalidade
Documentar base legal e propósito
Para cada atividade: qual hipótese do art. 7º ou 11 autoriza o tratamento e qual é a finalidade
04 — Retenção
Definir ciclo de vida
Quanto tempo cada dado fica armazenado e como será descartado ou anonimizado
05 — Segurança
Registrar medidas adotadas
Controles técnicos e administrativos implementados para proteção de cada categoria de dados
06 — Atualização
Manter o documento vivo
Revisar periodicamente; qualquer novo processo ou mudança deve refletir no ROPA imediatamente
Exemplo de registro
ControladorFlores de Abril Ltda.
FinalidadeGestão comercial e emissão de nota fiscal
Base legalExecução de contrato (art. 7º, V)
Dados tratadosNome, CPF, e-mail, endereço
TitularesClientes pessoas físicas
Retenção5 anos após encerramento do contrato
OperadoresSistema CRM (SaaS)
SegurançaCriptografia em trânsito, acesso por senha, backup diário
O ROPA é um dos primeiros documentos solicitados pela ANPD em uma fiscalização. Empresas sem ROPA atualizado ficam expostas a multas, bloqueio de dados e sanções reputacionais. Pode ser feito em planilha, documento Word ou plataforma especializada.
ROPA vs. RIPD
ROPA
Registro contínuo de todas as atividades
Documento operacional, sempre atualizado. Base para demonstrar conformidade cotidiana
RIPD / DPIA
Relatório de Impacto pontual
Exigido quando o tratamento pode gerar alto risco a direitos fundamentais ou for baseado em legítimo interesse