O que é a LGPD? Entenda a Lei Geral de Proteção de Dados

Mulher escreve em caderno, como se estivesse revisando dados de usuários para se adequar à LGPD
Pontos principais do artigo:
  • LGPD é a sigla para a Lei Geral de Proteção de Dados. A Lei Federal 13.709/18 entrou em vigor em setembro de 2020 e determina regras para a coleta, o tratamento e o compartilhamento de dados pessoais por empresas e órgãos públicos;
  • A partir da LGPD, as empresas têm a obrigação de solicitar consentimento aos usuários para coletar dados pessoais, além de informar como eles serão utilizados e para quais fins;
  • Utilize nosso Gerador de política de privacidade para determinar como os dados pessoais dos usuários são coletados, usados e protegidos no seu site, cumprindo todas as regras da LGPD.

Antes de começarmos, um aviso: este artigo tem objetivo meramente informativo. A Nuvemshop não presta consultoria jurídica e não se responsabiliza por quaisquer ações tomadas com base no conteúdo deste post.

Sancionada em agosto de 2018 e em vigor desde o segundo semestre de 2020, a LGPD (Lei Geral de Proteção de Dados) foi criada para proteger os cidadãos brasileiros da exposição de suas informações pessoais, inibindo o uso indevido destes dados.

Nesse contexto, muitas questões mudaram para os e-commerces ou outros tipos de empresa que coletem dados de seus usuários, seja para enviar campanhas de marketing ou para concluir uma venda.

Se você está confuso sobre o que precisa fazer para agir de acordo com a Lei Geral de Proteção de Dados, acompanhe a leitura, pois, ao longo deste artigo, você confere um resumo prático sobre a LGPD. Para começar, assista ao vídeo abaixo!

Crie sua loja virtual e venda pela internet
Crie sua loja virtual e venda pela internet pelo seu computador

O que é LGPD?

LGPD (Lei Geral de Proteção de Dados) é o nome pelo qual ficou conhecida a Lei Federal 13.709/18. Essa é uma regulamentação sobre a forma como os dados pessoais são coletados, armazenados e compartilhados.

Baseada na GDPR — o Regulamento Geral sobre a Proteção de Dados da União Europeia, que entrou em vigor em 2018 por lá —, a LGPD surgiu como um complemento ao Marco Civil da Internet. Aqui no Brasil, ela foi sancionada em 2018 e entrou em vigor em setembro de 2020.

Após a sanção da lei, foi criada a Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Esse órgão é responsável pela orientação e fiscalização das novas regras, pelo recebimento de denúncias em caso do mau uso de dados pessoais e, a partir de agosto de 2021, pela aplicação de multas em caso de descumprimento da LGPD.

📹 Veja também: Lei Geral de Proteção de Dados (LGPD) na prática: o que é e como se adaptar?

A LGPD em resumo

De modo bastante resumido, pode-se dizer que a LGPD determina que:

  • As empresas não devem coletar mais dados pessoais que o necessário para realizar determinadas atividades;
  • Os usuários sempre devem dar seu consentimento ao fornecer esse tipo de informação e precisam ser notificados de forma clara sobre o motivo (finalidade) por que aqueles dados estão sendo pedidos;
  • Os detentores dos dados não podem usar as informações para outra finalidade que não a informada ao dono da informação;
  • Sempre que um usuário pedir acesso aos dados que uma empresa possui sobre ele, o negócio precisa fornecer estes dados em um prazo de até 15 dias;
  • As empresas precisam acatar os pedidos de exclusão dos dados pessoais de um usuário em até 15 dias.

💡 Saiba mais: O que é o Marco Civil da Internet?

O que diz a LGPD?

A LGPD traz em seu texto as bases legais sobre como os dados pessoais devem ser tratados pelas empresas e órgãos públicos. Ao contrário do que muita gente pensa, ela não visa a limitar determinados tipos de atividade, mas a regulamentá-las, tornando as regras claras tanto para os negócios quanto para seus consumidores.

Além disso, é importante ressaltar que a lei se aplica extraterritorialmente. Ou seja, ela regulamenta dados coletados no Brasil, mesmo que eles sejam armazenados em outros países.

Esclarecidos esses pontos iniciais, vamos conhecer os conceitos e princípios fundamentais definidos pela Lei Geral de Proteção de Dados:

O que são dados pessoais de acordo com a LGPD?

Entender o que se considera dados pessoais no contexto da LGPD é essencial para que agentes públicos saibam quais informações manuseiam e para que cidadãos estejam cientes sobre a utilização de suas informações.

A LGPD define alguns conceitos relacionados aos dados pessoais da seguinte forma:

Dado pessoal

É a informação da pessoa identificada ou identificável. Um dado identificável é aquele que, sozinho, não é capaz de reconhecer um indivíduo, mas que pode ser cruzado com outras informações e identificar a pessoa.

Com a Lei nº 13.709/2018, a proteção de dados tornou-se uma responsabilidade compartilhada entre cidadãos, administração pública e empresas que utilizam esses dados.

Assim, dados pessoais são aqueles que permitem a identificação, direta ou indireta, de uma pessoa natural. Exemplos incluem: nome e sobrenome, data e local de nascimento, RG, CPF, fotografia, endereço residencial, e-mail, entre outros.

Dado pessoal sensível

Entre os dados pessoais, existem os que demandam maior cuidado no tratamento, como os dados de crianças e adolescentes e os chamados “sensíveis”.

Toda informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa.

Dado anonimizado

A anonimização é uma técnica que remove ou modifica informações de forma a impedir a identificação do titular, garantindo a desvinculação do dado. Nesses casos, a LGPD não se aplica.

É importante destacar que um dado só é considerado anonimizado se não for possível, por meios técnicos ou outros, identificar o titular. Caso a identificação seja possível, o dado será considerado pseudonimizado e estará sujeito às regras da LGPD.

Dados públicos

O tratamento de dados pessoais públicos deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua divulgação.

A LGPD permite que uma organização trate dados tornados públicos pelo titular sem necessidade de novo consentimento, desde que o novo tratamento tenha uma finalidade legítima e específica e respeite os direitos do titular.

No entanto, se a organização desejar compartilhar esses dados com outras entidades, ela deve obter novo consentimento, exceto nos casos de dispensa previstos na Lei.

É relevante mencionar que a LGPD se relaciona com a Lei de Acesso à Informação (LAI), Lei nº 12.527/11, e com princípios constitucionais, como o inciso XXXIII do artigo 5º: “todos têm direito a receber dos órgãos públicos informações de seu interesse particular, ou de interesse coletivo ou geral, ressalvadas aquelas cujo sigilo seja imprescindível à segurança da sociedade e do Estado.”

Banco de dados

É o conjunto de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Isso, portanto, vale para softwares que armazenem esse tipo de informação, para planilhas de Excel e até mesmo para um negócio que possua o bom e velho caderninho de telefones com os dados dos clientes.

Quem são os agentes envolvidos no tratamento de dados?

Para entendermos os princípios da LGPD, também é importante conhecermos os agentes envolvidos nessa relação:

Titular

É o dono dos dados pessoais coletados. No caso da relação com uma empresa, por exemplo, seria o cliente.

Controlador

É a empresa ou pessoa que coleta os dados pessoais. É o controlador quem decide como essas informações serão coletadas, armazenadas e utilizadas.

Operador

O operador é a empresa ou pessoa que, de fato, vai tratar os dados pessoais, de acordo com o que foi decidido pelo controlador. Vale ressaltar que, em muitos casos, controlador e operador podem ser a mesma pessoa ou empresa.

Encarregado (DPO)

O encarregado é o indivíduo que será o ponto de contato entre a empresa, os clientes que solicitarem seus dados pessoais e a Autoridade Nacional de Proteção de Dados Pessoais (ANPD). Ele pode ser alguém interno ou, então, uma pessoa de fora, cujos serviços são contratados exclusivamente com esse fim, como um advogado, por exemplo.

Também pode ser chamado de DPO porque a LGPD se baseia no regimento da União Europeia e lá o encarregado é chamado de Data Protection Officer (ou “oficial de proteção de dados”, em tradução literal).

Quais são os princípios apresentados pela LGPD?

A LGPD traz dez princípios que devem reger o tratamento de dados pessoais. Apesar do nome “princípios”, vale ressaltar que eles não são opcionais, mas obrigatórios por se tratar de uma lei. São eles:

1. Finalidade

Os dados devem ser usados para propósitos legítimos e informados de forma específica ao usuário. Então, nada de usar textos genéricos para dizer ao cliente o que será feito das suas informações pessoais: seja preciso.

2. Adequação

As informações coletadas devem ser utilizadas única e exclusivamente para o fim declarado ao usuário no momento em que ele cedeu aqueles dados. Então, se precisar deles para outra coisa, será necessário perguntar novamente ao titular se ele está de acordo.

3. Necessidade

Não devem ser solicitados ao usuário mais dados que o necessário para determinada ação. Por exemplo, para que uma pessoa se cadastre em sua newsletter, você só precisa do nome e do e-mail. Então, não peça mais que isso.

4. Livre acesso

Sempre que quiserem saber, os titulares devem ter acesso a informações sobre quais, como e por quanto tempo seus dados pessoais serão utilizados pela empresa que os coletou.

5. Qualidade dos dados

Garante exatidão, clareza, relevância e atualização dos dados pessoais ao titular conforme a necessidade e para o cumprimento da finalidade de seu tratamento. Ou seja, pedidos de atualização ou modificação das informações por parte dos clientes precisam ser acatados.

6. Transparência

Os titulares precisam ser informados de forma clara e precisa, em local de fácil acesso — nada de letrinhas miúdas no rodapé do site —, sobre como seus dados serão tratados e por quem.

7. Segurança

Controladores e operadores devem garantir a segurança e proteger os dados pessoais dos titulares de acessos não autorizados — como vazamentos, por exemplo.

A partir deste ponto, podemos ressaltar também que o compartilhamento de dados com terceiros ou a compra de listas de contato sem consentimento dos titulares se torna ilegal.

8. Prevenção

As empresas e pessoas detentoras de dados são responsáveis por prevenir danos causados pelo tratamento desses dados pessoais. Aqui, estamos falando de sistemas de segurança da informação e também da conscientização das pessoas que tratam desses dados.

9. Não discriminação

O princípio da discriminação impossibilita o tratamento de dados para fins discriminatórios ilícitos ou abusivos. Por exemplo, uma empresa de crédito que tenha conhecimento sobre uma dívida de um usuário não pode fazer uso desse dado para ofertar um empréstimo a juros mais altos do que ofereceria a outro cliente que não tivesse a mesma dívida.

💡 Saiba mais: Como conseguir um empréstimo para abrir uma empresa?

10. Responsabilização e prestação de contas

O último princípio da LGPD aponta que controladores e operadores passam a ser obrigados a demonstrar a adoção de medidas eficazes e devem ser capazes de comprovar o cumprimento das normas de proteção de dados pessoais.

O que muda com a LGPD?

A partir da LGPD, as empresas se veem obrigadas a informar os usuários sobre o que fazem com os dados pessoais deles e sempre pedir seu consentimento. Além disso, o cuidado com a segurança dessas informações deve ser redobrado. Por exemplo, se houver um vazamento, a ANPD deverá ser comunicada imediatamente.

A partir de setembro de 2021, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) pode penalizar os agentes (controladores e operadores) que descumpram a LGPD. As punições podem envolver:

  • Advertência;
  • Multa de até 2% do faturamento da empresa — com limite de R$ 50 milhões;
  • Bloqueio dos dados pessoais a que a irregularidade diz respeito até que a infração seja regularizada;
  • Eliminação dos dados pessoais a que se refere a infração.

Como se adequar à LGPD na prática?

Agora que já entendemos do que trata da lei, hora de entender como adequar seu negócio à LGPD na prática. Antes de conferir o passo a passo, tenha em mente que esse é um processo longo — deve levar meses — e que vai exigir consultoria jurídica para garantir que sua empresa cumpra com todos os requisitos, ok?

Ler a lei com atenção

Para começar a se adequar a uma lei, nada mais lógico do que ler o texto dessa lei com atenção. Pode ser chato e difícil, mas você precisa conhecer diretamente da fonte o que precisa fazer. Caso tenha dificuldades, anote suas dúvidas e tire-as com um advogado posteriormente.

👉 Leia a lei na íntegra

Fazer um inventário dos dados pessoais que sua empresa possui

Depois de entender que regras precisará cumprir, será necessário fazer um levantamento de quais dados pessoais sua empresa já possuía antes de a LGPD entrar em vigor. Com essas informações organizadas, você deve se perguntar:

  • Se ainda precisa de todos eles — em caso negativo, apague o que não usa;
  • Se os titulares desses dados deram consentimento para as ações que são realizadas com eles — se ainda não, você precisará pedir, informando para que os dados serão usados.

Identificar que dados você precisa coletar em suas ações

Agora, pensando nos dados que você vai coletar futuramente, você deve identificar quais serão necessários para cada tipo de ação. A partir daí, solicite apenas o necessário para cada uma.

Entender como esses dados são tratados na empresa

Além disso, você precisará entender o que será feito com cada informação pedida aos usuários. Isso porque será necessário informar às pessoas com que finalidade seus dados serão utilizados.

Isso vale também para o caso de seu site ter o Pixel do Facebook ou de outras empresas instalado para poder coletar dados de navegação de seus visitantes para as campanhas de remarketing, por exemplo. Você precisará informá-los sobre isso por meio de pop-ups ou de barras de avisos de cookies — que são essas informações sobre a navegação.

Oferecer uma política de privacidade condizente com a LGPD

A Política de Privacidade é um termo por meio do qual sua empresa comunica como coleta, gerencia, divulga e opera os dados dos usuários. Ou seja, com a Lei Geral de Proteção de Dados em vigor, é fundamental que as pessoas saibam exatamente como seus dados são tratados antes de fornecê-los.

Por esse motivo, você precisa disponibilizar esse termo para que as pessoas leiam e deem seu consentimento no momento em que preencherem qualquer tipo de formulário com seus dados.

💡Saiba mais: Como fazer uma política de privacidade para e-commerce?

👉 Ferramenta grátis: Gerador de Política de Privacidade

Crie sua loja virtual e venda pela internet
Crie sua loja virtual e venda pela internet pelo seu computador

Readequar processos internos que lidem com dados

A partir da identificação realizada nos passos anteriores, hora de arregaçar as mangas e colocar o que você organizou em prática.

Crie os pop-ups com as informações sobre sua Política de Privacidade e explicitando para que cada dado é usado. Além disso, uma boa ideia é criar formulários em que o usuário precisa consentir (por meio do double opt-in, ou aquele quadradinho de seleção que ele precisa ticar ✔️) para receber comunicações da sua empresa, por exemplo.

Rever contratos que envolvam a transferência de dados

Apesar de a consultoria jurídica ser indicada ao longo do processo, este passo vai exigir o serviço de um advogado. Isso porque será necessário rever se algum dos contratos da sua empresa envolve a transferência ou o compartilhamento de dados pessoais. Caso algum deles trate disso, é bem provável que ele precise ser modificado.

Realizar treinamentos internos sobre o tratamento de dados

Além de organizar os dados pessoais que sua empresa possui, criar formulários, Política de Privacidade etc, é fundamental orientar as pessoas que trabalham com você sobre como essas informações devem ser tratadas.

Afinal, não adianta criar as condições necessárias para seguir a LGPD e sua equipe não colocá-las em prática.

💡 Saiba mais: O que é política de privacidade e como criar uma?

Definir um encarregado (ou DPO)

Por fim, uma boa ideia é já definir quem será o encarregado em seu negócio. Desse modo, caso algum cliente peça informações sobre seus dados pessoais ou seja necessário prestar algum esclarecimento à ANPD, o responsável já saberá o que deve fazer e o processo se dará de forma mais ágil.

Tudo certo sobre o que é LGPD?

Esperamos que este guia tenha esclarecido suas dúvidas sobre o que é LGPD, como a Lei Geral de Proteção de Dados (LGPD) impacta as empresas e o que deve ser feito para regularizar seu negócio.

Ainda não vende pela internet? Experimente a Nuvemshop! Crie sua loja virtual grátis hoje mesmo e experimente todas as funcionalidades da plataforma. É fácil, rápido e sem a necessidade de conhecimentos técnicos. 💙

Aqui você encontra:
Perguntas frequentes sobre LGPD

LGPD (Lei Geral de Proteção de Dados) é o nome pelo qual ficou conhecida a Lei Federal 13.709/18. Essa é uma regulamentação sobre a forma como os dados pessoais são coletados, armazenados e compartilhados.

As empresas não devem coletar mais dados pessoais que o necessário para realizar determinadas atividades; os usuários sempre devem dar seu consentimento ao fornecer esse tipo de informação e precisam ser notificados de forma clara sobre o motivo (finalidade) por que aqueles dados estão sendo pedidos; os detentores dos dados não podem usar as informações para outra finalidade que não a informada ao dono da informação; sempre que um usuário pedir acesso aos dados que uma empresa possui sobre ele, o negócio precisa fornecê-los em um prazo de até 15 dias e as empresas precisam acatar os pedidos de exclusão dos dados pessoais de um usuário em até 15 dias.

A partir da LGPD, as empresas se veem obrigadas a zelar pelos dados pessoais que trata. A partir de setembro de 2021, a ANPD pode penalizar quem descumprir a lei. As punições podem envolver:

  • Advertência;
  • Multa de até 2% do faturamento da empresa — com limite de R$ 50 milhões;
  • Bloqueio dos dados pessoais a que a irregularidade diz respeito até que a infração seja regularizada;
  • Eliminação dos dados pessoais a que se refere a infração.

Ler a lei com atenção, fazer um inventário dos dados pessoais que sua empresa tem, identificar que dados você precisa coletar em suas ações, entender como esses dados são tratados na empresa, oferecer uma política de privacidade condizente com a LGPD, readequar processos internos que lidem com dados, rever contratos que envolvam a transferência de dados, realizar treinamentos internos sobre o tratamento de dados e definir um encarregado (DPO).

Faça como milhares de negócios e crie a sua loja

Criar loja grátis

Nosso site utiliza cookies para te proporcionar uma melhor experiência. Ao acessar o site da Nuvemshop, você concorda com a nossa Política de Privacidade e Cookies