A Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor em agosto de 2020 e afeta como seu site pode rastrear usuários no Brasil. Ele é modelado conforme o Regulamento Geral de Proteção de Dados da UE (GDPR).
Neste blogpost, traçamos um amplo panorama da LGPD (Lei Geral de Proteção de Dados Pessoais) – sua substância e consequências para a proteção de dados no Brasil e no resto do mundo.
Analisamos seus fundamentos e definições, os direitos com os quais capacita os titulares de dados, constituindo conformidade com a LGPD e como ela se compara ao GDPR europeu.
Torne-se compatível com a plataforma de gerenciamento de consentimento do Cookiebot (CMP).
Atualização: LGPD do Brasil já em vigor!
A LGPD do Brasil entrou em vigor em agosto de 2020 com um período de carência de 12 meses. A fiscalização começou em agosto de 2021 sendo liderada pela Autoridade Nacional de Proteção de Dados (ANPD) .
Se o seu site, empresa ou organização coleta e processa dados pessoais de indivíduos dentro dos territórios do Brasil, estar em conformidade com a LGPD do Brasil é uma necessidade legal.
Se você não se familiarizou com a LGPD ou buscou conformidade com a lei se coletar ou processar dados nos territórios do Brasil, leia a seguinte postagem no blog e experimente a plataforma de gerenciamento de consentimento Cookiebot (CMP) gratuitamente hoje para conformidade com a LGPD .
O Cookiebot CMP é construído em torno de uma tecnologia de varredura líder mundial que detecta e controla todos os cookies, rastreadores e cavalos de troia de terceiros em seu site – completamente plug-and-play e automatizado.
O Cookiebot CMP está em operação desde 2012 e oferece total conformidade com as principais leis de privacidade de dados, como o GDPR/ePR europeu, o CCPA da Califórnia e a LGPD do Brasil e muitas outras leis importantes de privacidade de dados.
Experimente o Cookiebot CMP gratuitamente para conformidade com a LGPD hoje
Meu site usa cookies?
No que diz respeito à LGPD, o Senado brasileiro aprovou em 31 de agosto de 2021 a PEC 17/19 .
Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais, além de estabelecer a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais.
Um dos objetivos da PEC é justamente garantir que não haja risco de estados e municípios legislarem ou interferirem na aplicação da LGPD.
Com a aprovação da PEC 17/19, são consolidadas normas, leis e regulamentos de proteção de dados pessoais, inclusive a LGPD, e inseridos no Código de Proteção do Consumidor (Código de Proteção do Consumidor), que dará mais garantias contra violações e fraudes tão comuns com os avanços tecnológicos atuais.
Experimente o Cookiebot CMP gratuitamente por 30 dias – ou para sempre, se você tiver um site pequeno.
LGPD – Lei de proteção de dados do Brasil
O Brasil tem mais de 140 milhões de usuários de internet. É o maior mercado de internet da América Latina e o quarto maior do mundo em número de usuários. O Brasil já possui mais de quarenta normas legais ao nível federal que tratam de diversas formas de proteção de dados e privacidade, causando um arcabouço legal cruzado.
No entanto, estes são de natureza sectorial, o que significa que se relacionam separada e especificamente com a banca, imobiliário, defesa do consumidor e afins.
A lei de proteção de dados do Brasil – a LGPD ( Lei Geral de Proteção de Dados Pessoais ) – pretende substituir esse cenário jurídico fragmentado por uma estrutura regulatória abrangente.
Qualquer coleta ou processamento de dados no Brasil é protegido pela LGPD, mesmo de processadores de dados fora do país.
Ele capacitará os indivíduos com um conjunto simplificado de direitos, em vez da proteção parcial das leis setoriais em vigor, hoje sendo moldado com grande inspiração do Regulamento Geral de Proteção de Dados da UE .
Alguns até chamam de“ RGPD do Brasil ”. E é verdade – se você já está em conformidade com o GDPR, você está principalmente dentro das disposições da LGPD… embora não completamente!
Existem algumas diferenças significativas entre a LGPD e o GDPR, que vamos resolver abaixo.
Experimente o Cookiebot CMP gratuitamente por 30 dias.
O que é a LGPD do Brasil?
A lei de proteção de dados do Brasil é a Lei Geral de Proteção de Dados Pessoais , que significa “lei geral de proteção de dados pessoais”.
É oficialmente abreviado para LGPDP , embora seja mais comumente conhecido e referido como LGPD ou Lei Geral de Proteção de Dados .
A Lei Geral de Proteção de Dados segue o modelo do GDPR europeu e cria uma estrutura legal de como os dados pessoais podem ser tratados no Brasil. Ele contém sessenta e cinco artigos.
A LGPD do Brasil está em vigor e em vigor
Inscreva-se no Cookiebot CMP gratuitamente para tornar seu site compatível com a LGPD
Conformidade com a LGPD no Brasil
A LGPD do Brasil (Lei Geral de Proteção de Dados ) confere aos titulares de dados nove direitos, define o que constituem dados pessoais, cria dez bases legais para o processamento lícito.
Atribui ainda às empresas e organizações a responsabilidade de nomear um Encarregado de Proteção de Dados (DPO) e institui a Autoridade Nacional de Proteção de Dados (ANPD) com poderes de supervisão, orientação e aplicação das suas sanções administrativas.
A LGPD do Brasil define um titular de dados como “uma pessoa física a quem os dados pessoais objeto de processamento se referem”. Em outras palavras, um indivíduo cujos dados estão sendo coletados e/ou processados é um titular de dados.
A LGPD do Brasil tem “aplicação transversal” e “multissetorial”, o que significa que se aplica tanto aos setores público e privado, quanto online e offline.
A LGPD do Brasil também tem “aplicação extraterritorial”, o que significa que sites, empresas ou organizações que processam dados pessoais de indivíduos no Brasil estão obrigados a cumprir a LGPD, independentemente de onde sejam de propriedade ou de onde sejam operados.
No artigo 3º, fica definido que a LGPD se aplica a:
- Processamento de dados dentro do território do Brasil,
- Processamento de dados de pessoas físicas que estejam no território do Brasil, independentemente de onde o processador de dados esteja localizado no mundo,
- Processamento de dados coletados no Brasil.
A LGPD do Brasil não protege apenas os brasileiros, mas todas as pessoas cujos dados são coletados ou processados em território nacional.
Isso significa que a LGPD do Brasil se aplica a qualquer pessoa física cujos dados tenham sido coletados ou estejam sendo processados dentro do território brasileiro, e não apenas cidadãos brasileiros!
Conformidade com a LGPD e adequação da UE
Não é nenhum segredo que a LGPD do Brasil (Lei Geral de Proteção de Dados) foi modelada de perto no GDPR com a intenção de facilitar para o Brasil alcançar o chamado acordo de adequação com a UE, garantindo um livre fluxo de dados entre os dois.
No entanto, algumas mudanças significativas foram feitas na lei em julho de 2019, quando foi sancionada pelo presidente Bolsonaro.
Isso inclui a remoção de uma disposição que obrigava empresas e organizações a revisar decisões automatizadas por máquina, a remoção de requisitos de habilidade técnica para oficiais de proteção de dados, bem como mudanças feitas no poder de fiscalização da próxima autoridade de proteção de dados do Brasil (ANPD).
No rascunho original, a Autoridade Nacional de Proteção de Dados (ANPD) tinha a opção de restringir o acesso de um processador de dados a bancos de dados e proibi-lo de processar dados pessoais completamente. Isso foi descartado quando Bolsonaro sancionou a versão final da LGPD.
LGPD do Brasil em inglês
Uma tradução para o inglês do texto oficial da lei LGPD pode ser encontrada aqui, no entanto, observe que é uma minuta anterior e não a lei final, aprovada em julho de 2019. Algumas alterações foram feitas na lei, mas o escopo geral, fundamento e a redação permanece praticamente a mesma.
Veja o texto oficial da lei LGPD (em português)
LGPD do Brasil e Cookiebot CMP
Na Usercentrics , empresa-mãe do Cookiebot CMP, acompanhamos de perto a fase de implementação e aplicação da LGPD ( Lei Geral de Proteção de Dados ) do Brasil, pois trata da nossa área de atuação: proteção da privacidade.
O Cookiebot CMP é uma ferramenta que permite que os sites estejam em conformidade com o uso de cookies e rastreamento, conforme exigido pelo GDPR da UE e pelo próximo ePrivacy Regulation (previsto para 2021) e pela LGPD no Brasil.
O scanner Cookiebot CMP encontra todos os cookies e tecnologias de rastreamento semelhantes e retém automaticamente tudo até que os usuários dêem seu consentimento específico e inequívoco para quais tipos de cookies eles permitirão em seu navegador.
Banner de consentimento do Cookiebot CMP para controle total de cookies.
Visão geral da LGPD
A LGPD do Brasil ( Lei Geral de Proteção de Dados ) cria nove direitos para os titulares de dados.
Encontram-se no artigo 18.º e conferem aos indivíduos os direitos de:
- Confirmação da existência do tratamento dos seus dados,
- Acessar seus dados,
- Corrigir dados incompletos, imprecisos ou desatualizados,
- Anonimizar, bloquear ou excluir dados desnecessários, ou excessivos, ou dados que não estejam sendo processados em conformidade com a LGPD,
- Ter seus dados portáteis, ou seja, entregues a outro serviço ou processador, se solicitado,
- Ter seus dados apagados,
- Informações sobre entidades públicas e privadas com as quais o controlador compartilhou dados,
- Informações sobre a possibilidade de negar o consentimento e as consequências,
- Revogar o consentimento.
Estes são modelados de perto com os direitos que o GDPR confere aos cidadãos europeus e têm implicações diretas para proprietários e operadores de sites em todo o mundo, que processam e/ou coletam dados dentro do território do Brasil.
Isso significa que se você tem um site e esse site tem visitantes do Brasil, ou se você oferece serviços para pessoas físicas no Brasil, ou coleta e processa dados no Brasil, você precisa cumprir a LGPD.
Experimente o Cookiebot CMP gratuitamente por 30 dias
Visão geral da LGPD – dados pessoais
A LGPD ( Lei Geral de Proteção de Dados ) do Brasil define seus principais termos e conceitos em seu artigo 5º . Estes incluem dados pessoais, dados pessoais sensíveis, titular de dados e processador, entre outros.
Dados pessoais na LGPD
Os dados pessoais são definidos amplamente na LGPD.
A lei simplesmente afirma que dados pessoais são “ informações relativas a uma pessoa física identificada ou identificável ” ( artigo 5º, I ).
Isso pode ser qualquer coisa, desde nomes, números de identificação, dados de localização, identificadores on-line até fatos físicos, fisiológicos, genéticos, mentais, econômicos, culturais ou sociais, embora a LGPD não liste nenhum desses exemplos.
Guia orientativo da ANPD para proteção de dados pessoais sob a LGPD (em português)
Dados pessoais sensíveis na LGPD
Os dados pessoais sensíveis são definidos como uma subcategoria de dados pessoais e se aplicam quando os dados processados dizem respeito a “ origem racial ou étnica, crença religiosa, opinião política, filiação sindical ou religiosa, filosófica ou política, dados relativos à saúde ou vida sexual, genética ou dados biométricos ” ( Art. 5º, II ).
A LGPD especifica no artigo 11 as situações limitadas em que é permitido o processamento de dados pessoais sensíveis.
As informações pessoais são definidas de forma semelhante na LGPD e GDPR, com pequenas diferenças.
Incluem “ consentimento específico e distinto ”, “ da administração pública para execução de políticas públicas ” e “ estudos realizados por entidade de pesquisa ”, este último mediante a garantia de que os dados serão anonimizados sempre que possível.
Dados anonimizados na LGPD
Esta subcategoria refere-se a “ dados relacionados a um titular de dados que não pode ser identificado ” com os meios técnicos do momento do processamento. Se os dados anonimizados são de alguma forma reversíveis, ou seja, se podem ser usados para identificar ou usados para perfis comportamentais, não são dados anonimizados.
Definições adicionais importantes para a LGPD (encontradas no artigo 5º)
- O processamento é definido pela LGPD como “qualquer operação realizada com dados pessoais”.
- O consentimento é definido pela LGPD como “manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para determinada finalidade”.
- Banco de dados é definido pela LGPD como um “conjunto estruturado de dados pessoais, mantidos em um ou vários locais, em suporte eletrônico ou físico”.
- O controlador é definido no lGPD como uma “pessoa física ou jurídica, de direito público ou privado, com competência para tomar as decisões relativas ao tratamento de dados pessoais”.
- Processador é definido pela LGPD como “pessoa física ou jurídica, de direito público ou privado, que processa dados pessoais em nome do controlador”.
- Diretor é definido na LGPd como uma “pessoa física, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares dos dados e a autoridade nacional” (ANPD).
A tradução da LGPD em inglês pelo IAPP varia ligeiramente do texto original em português, por exemplo, “Operador” é traduzido para “Controlador”.
Visão geral da LGPD – consentimento e bases legais para processamento
Das 10 bases legais para o processamento lícito que a LGPD estabelece, o consentimento é o primeiro.
Isso é muito importante para o nosso nicho no campo da privacidade, porque tem implicações diretas em como seu site pode definir cookies, processar dados do usuário e compartilhá-los com terceiros.
O artigo 8º da LGPD deixa claro que o consentimento não pode ser obtido por meio de “autorização genérica”, mas deve referir-se a finalidades particulares.
Isso significa que sites, empresas e organizações devem primeiro obter o consentimento específico e inequívoco do titular dos dados antes que qualquer processamento de dados pessoais seja permitido .
O consentimento deve ser revogável a qualquer momento e também deve ser fornecido pelo titular dos dados “por escrito ou por outros meios”, por exemplo, um banner de consentimento de cookies.
Ao processar dados pessoais, um site ou empresa, ou organização deve apresentar uma base legal específica.
A aplicação da LGPD é fiscalizada pela ANPD.
Os principais objetivos da ANPD são normatizar, estabelecer padrões técnicos, fiscalizar e auditar, educar sobre a lei e suas corretas aplicações, tratar de notificações de violação de dados e fazer cumprir suas sanções.
A autoridade nacional de proteção de dados está diretamente ligada ao gabinete da presidência.
Possui dois órgãos – o Conselho de Administração, composto por cinco membros com expertise na área de privacidade e proteção de dados, e o Conselho Nacional , um conselho consultivo de 23 membros com representação do governo, sociedade civil, instituições de pesquisa e setor privado.
Diretor de Proteção de Dados (DPO) e a LGPD
De acordo com a versão final da LGPD ( Lei Geral de Proteção de Dados ), as empresas serão responsáveis pela nomeação de um Data Protection Officer. Caberá a esta entidade garantir o cumprimento da LGPD para o controlador de dados, que os indica.
No rascunho original, certas habilidades técnicas eram necessárias para que um indivíduo se tornasse um DPO. Estes foram excluídos da versão final sancionada. Isso levou a críticas de especialistas em privacidade.
Multas da LGPD
A LGPD ( Lei Geral de Proteção de Dados ) é clara quando se trata das consequências do descumprimento da lei.
O sistema de penalidades varia de –
- Avisos emitidos em caso de infrações e descumprimento com a intenção de que a entidade adote medidas corretivas.
- Multas diárias.
- Multa de até 2% do faturamento anual no Brasil ou R$ 50 milhões por infração, ap. 11 milhões de euros.
As multas máximas chegam a 50 milhões de reais ou 2% do faturamento anual de uma empresa por infração à LGPD.
É responsabilidade da ANPD aplicar tais sanções no Brasil.
LGPD x GDPR
A LGPD ( Lei Geral de Proteção de Dados ) foi informada e moldada pelo GDPR ( Regulamento Geral de Proteção de Dados) da UE que veio antes dela. Também tem jurisdição global, uma vez que qualquer site em qualquer lugar que processe dados pessoais de indivíduos no Brasil é obrigado a cumpri-la.
LGPD vs GDPR – direitos do titular dos dados
Em primeiro lugar, quando se trata do número de direitos concedidos aos titulares de dados em cada lei, a LGPD e o GDPR variam um pouco, mas apenas superficialmente: o GDPR fornece aos titulares de dados oito direitos fundamentais, enquanto a LGPD concede nove direitos.
Isso ocorre em parte porque a LGPD dividiu o “ direito de ser informado ” mais geral do GDPR em “direito de ser informado das partes com quem o controlador compartilhou os dados” e o “direito de ser informado sobre a possibilidade de negando o consentimento”.
LGPD vs GDPR – bases legais para processamento de dados
Em segundo lugar, a LGPD difere apenas superficialmente do GDPR quando se trata de sua estrutura para o que constitui as bases legais para o processamento de dados. Novamente, a LGPD e o GDPR basicamente se alinham, com pequenas variações.
Onde o GDPR tem seis bases legais para processamento, a LGPD tem dez (conforme descrito acima).
Novamente, o GDPR e a LGPD basicamente se alinham, mas a LGPD divide a redação mais geral do GDPR em disposições mais específicas.
A base legal do GDPR de “ salvar a vida de alguém ” foi dividida em primeiro “proteger a vida ou a segurança física” e em segundo lugar “proteger a saúde, em procedimento realizado por profissionais de saúde ou por entidades de saúde” na LGPD.
Outras divisões incluem do GDPR “ necessário para realizar uma tarefa de interesse público ” em LGPD “para executar políticas públicas” e “para realizar estudos por entidades de pesquisa”. Além disso, a LGPD inclui uma base legal que o GDPR não possui, a base da proteção ao crédito.
Além disso, a LGPD inclui uma base legal que o GDPR não possui de forma alguma, a base de proteção ao crédito .
LGPD vs GDPR – dados pessoais
Dados pessoais têm uma definição mais ampla na LGPD do que no GDPR.
De acordo com a LGPD, dados pessoais são tudo o que se refere a uma pessoa física identificável. No GDPR, isso é especificado com exemplos como nomes, endereços, sexo.
O GDPR da UE tem mais “dentes” do que a LGPD do Brasil quando se trata de aplicação.
Os dados confidenciais são – como no GDPR – uma categoria separada dos dados pessoais que incluem dados sobre raça, etnia, crenças religiosas, convicções políticas, saúde, sexualidade, genética e biometria. As restrições para processamento de dados confidenciais na LGPD são mais rígidas do que no GDPR.
A LGPD não dá nenhuma definição ou disposição sobre dados pseudonimizados , assim como o GDPR, exceto no contexto de pesquisas feitas por organizações de saúde pública. Onde o GDPR é muito específico em seus requisitos para o processamento de dados pessoais para fins de marketing , a LGPD não especifica nada.
LGPD vs GDPR – DPO, DPIA e violações de dados
No GDPR, o chamado DPIA (Data Protection Impact Assessment) é instituído para avaliar os riscos potenciais do processamento de dados. Também exige que os processadores notifiquem suas respectivas autoridades de proteção de dados se forem avaliados altos riscos associados ao processamento de dados.
A LGPD também institui DPIAs, mas não especifica como devem ser utilizadas, nem estabelece requisitos para notificação de quaisquer autoridades de supervisão.
A LGPD torna obrigatório que as empresas tenham um Data Protection Officer (DPO), enquanto isso só é exigido em determinadas circunstâncias no GDPR.
As limitações de tempo para a notificação de violações de dados são definidas no GDPR como 72 horas, enquanto a LGPD exige que as violações de dados sejam relatadas às autoridades em “tempo razoável”.
LGPD x GDPR – multas
Em comparação com o GDPR, a LGPD é muito menos severa em sua capacidade de multar e penalizar violações e não conformidades.
As multas máximas por não conformidade com o GDPR são fixadas em € 20 milhões ou 4% do faturamento global anual de uma empresa. A LGPD define suas multas máximas em 50 milhões de reais brasileiros (cerca de € 11 milhões) ou 2% do faturamento anual de uma empresa no Brasil por violação.
LGPD vs GDPR – aplicações territoriais
A LGPD trata a transferência de dados pessoais internacionalmente da mesma forma que o GDPR, avaliando se o país estrangeiro possui um nível adequado de leis de proteção de dados em vigor. E claro, com base no consentimento prévio, específico e expresso do titular dos dados.
No entanto, a LGPD (diferente do GDPR) não regulamenta a transmissão de dados pelo Brasil sem processamento adicional.
Resumo
Com a nova lei de proteção de dados do Brasil Lei Geral de Proteção de Dados Pessoais (LGPDP), o país está recebendo uma nova estrutura legal para proteção de dados que vai além do alcance setorial, inclui todo o processamento e coleta de dados dentro do território nacional e pode muito bem chegar a uma decisão de adequação com a UE, uma vez que a LGPD segue o modelo de seu irmão europeu, o GDPR.
Experimente o Cookiebot CMP gratuitamente para conformidade com a LGPD hoje
Perguntas frequentes
O que é a LGPD?
A LGPD (Lei Geral de Proteção de Dados Pessoais) é a lei federal de privacidade de dados do Brasil que rege todo o processamento de dados pessoais no país. Foi aprovada em agosto de 2018 e entrou em vigor em agosto de 2020. A LGPD concede a indivíduos no Brasil nove direitos exigíveis sobre seus próprios dados pessoais.
Experimente o Cookiebot CMP gratuitamente por 30 dias para conformidade com a LGPD
O que são dados pessoais sob a LGPD?
A LGPD define dados pessoais como qualquer tipo de informação relativa a uma pessoa física identificada ou identificável. Isso inclui qualquer coisa, desde nomes, endereços, dados de localização, informações sobre fatos físicos, genéticos, mentais, econômicos, culturais ou sociais, bem como identificadores online, como endereços IP, cookies, navegador e histórico de pesquisa.
Teste gratuitamente para ver quais dados pessoais seu site processa
Quem é obrigado a cumprir a LGPD?
Qualquer site, empresa ou organização que processe dados pessoais dentro do território brasileiro é obrigado a cumprir a LGPD – mesmo os processadores de dados estrangeiros. A LGPD tem aplicação extraterritorial, o que significa que sites de qualquer lugar do mundo terão que cumprir a LGPD se processarem dados pessoais de pessoas físicas dentro do Brasil.
Experimente hoje mesmo o teste gratuito de conformidade do Cookiebot CMP
Como meu site pode se tornar compatível com a LGPD?
Seu site deve ter uma base legal para o processamento de dados pessoais de indivíduos dentro do Brasil. Seu site é obrigado a solicitar e obter o consentimento claro e inequívoco de seus usuários antes de ser legalmente autorizado a processar quaisquer dados pessoais, por exemplo, por meio de cookies e rastreadores em operação em seu site.