Legislação Brasileira · Lei nº 13.709/2018

LGPD

Lei Geral de Proteção de Dados Pessoais

Entenda seus direitos e nossas obrigações conforme a Lei nº 13.709/2018, que regulamenta o tratamento de dados pessoais no Brasil.

Vigência: Setembro/2020 Supervisionada pela ANPD Inspirada no GDPR Europeu
65
Artigos na Lei
10
Capítulos
8
Direitos do Titular
2%
Multa máx. faturamento

O que é a LGPD?

A Lei Geral de Proteção de Dados Pessoais (LGPD)Lei nº 13.709/2018 — é a legislação brasileira que regula o tratamento de dados pessoais por pessoas físicas ou jurídicas, de direito público ou privado. Inspirada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), entrou em vigor em setembro de 2020 e suas sanções administrativas passaram a ser aplicáveis a partir de agosto de 2021.

A lei tem como objetivo proteger os direitos fundamentais de liberdade e privacidade dos cidadãos brasileiros e estrangeiros que tenham seus dados tratados no Brasil, estabelecendo um marco regulatório claro para todas as organizações que lidam com dados pessoais.

Âmbito de aplicação Art. 3°

A LGPD se aplica a qualquer operação de tratamento realizada por pessoa física ou jurídica, de direito público ou privado, independentemente do meio, do país de sede ou do país onde estejam localizados os dados, desde que:

  • A operação de tratamento seja realizada no território nacional
  • A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional
  • Os dados pessoais objeto do tratamento tenham sido coletados no território nacional

Princípios do Tratamento de Dados Art. 6°

O tratamento de dados pessoais deve observar os seguintes princípios:

I

Finalidade

Realização para propósitos legítimos, específicos, explícitos e informados ao titular

II

Adequação

Compatibilidade do tratamento com as finalidades informadas ao titular

III

Necessidade

Limitação do tratamento ao mínimo necessário para realização de suas finalidades

IV

Livre Acesso

Garantia de consulta facilitada e gratuita sobre a forma e duração do tratamento

V

Qualidade dos Dados

Garantia de exatidão, clareza, relevância e atualização dos dados

VI

Transparência

Garantia de informações claras, precisas e facilmente acessíveis ao titular

VII

Segurança

Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais

VIII

Prevenção

Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento

IX

Não Discriminação

Impossibilidade de realização do tratamento para fins discriminatórios ilícitos

X

Responsabilização

Demonstração pelo agente da adoção de medidas eficazes de conformidade

Definições de Dados Pessoais Art. 5°

📋 Dado Pessoal

Informação relacionada a pessoa natural identificada ou identificável. Ex: nome, CPF, e-mail, endereço IP, localização, dados biométricos.

🔴 Dado Pessoal Sensível

Dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dado referente à saúde ou à vida sexual, dado genético ou biométrico — sujeito a proteção reforçada.

✓ Dado Anonimizado

Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis. Não é considerado dado pessoal para fins da LGPD.

Bases Legais para o Tratamento Art. 7° e 11°

O tratamento de dados pessoais somente é permitido se fundamentado em uma das seguintes hipóteses legais:

I

Consentimento

Manifestação livre, informada e inequívoca pelo titular. Deve ser específico para determinada finalidade e pode ser revogado a qualquer momento.

II

Obrigação Legal ou Regulatória

Cumprimento de obrigação legal ou regulatória pelo controlador.

III

Execução de Políticas Públicas

Pela administração pública, para execução de políticas públicas previstas em leis e regulamentos.

IV

Estudos e Pesquisas

Realização de estudos por órgão de pesquisa, garantida a anonimização dos dados pessoais sempre que possível.

V

Execução de Contrato

Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular.

VI

Exercício Regular de Direitos

Em processo judicial, administrativo ou arbitral.

VII

Proteção da Vida

Proteção da vida ou da incolumidade física do titular ou de terceiro.

VIII

Tutela da Saúde

Exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

IX

Legítimo Interesse

Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular.

X

Proteção ao Crédito

Inclusive quanto às disposições pertinentes da Lei no 8.078/1990 (Código de Defesa do Consumidor).

Direitos do Titular dos Dados Art. 18°

O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

Confirmação e Acesso

Confirmar a existência de tratamento e acessar os dados

Correção

Corrigir dados incompletos, inexatos ou desatualizados

Anonimização e Eliminação

Anonimizar, bloquear ou eliminar dados desnecessários ou em desconformidade

Portabilidade

Portabilidade dos dados a outro fornecedor de serviço ou produto

Informação sobre Compartilhamento

Informação sobre entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados

Recusa e Consequências

Ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa

Revogação do Consentimento

Revogar o consentimento a qualquer momento, de forma gratuita e facilitada

Oposição ao Tratamento

Opor-se ao tratamento realizado com fundamento em outras bases legais, em caso de descumprimento

Prazo de resposta: O controlador deve responder às requisições do titular em até 15 dias, conforme regulamentação da ANPD.

Agentes de Tratamento

Titular

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento

Controlador

Pessoa que toma as decisões referentes ao tratamento de dados pessoais

Operador

Pessoa que realiza o tratamento de dados em nome do controlador

Encarregado (DPO — Data Protection Officer)

Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Sua indicação deve ser tornada pública pelo controlador, de forma clara e objetiva.

Segurança e Boas Práticas Cap. VII

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Incidentes de Segurança

Em caso de ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o controlador deverá comunicar o incidente à ANPD e ao titular. A comunicação deve ser feita em prazo razoável definido pela ANPD e deve mencionar, no mínimo:

  • A descrição da natureza dos dados pessoais afetados
  • As informações sobre os titulares envolvidos
  • A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados
  • Os riscos relacionados ao incidente
  • Os motivos da demora, no caso de a comunicação não ter sido imediata
  • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo

Transferência Internacional de Dados Cap. V

A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

  • Para países ou organismos internacionais que proporcionem grau de proteção adequado ao previsto na LGPD
  • Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios e direitos do titular previstos na lei, mediante cláusulas contratuais específicas, normas corporativas globais ou selos, certificados e códigos de conduta reconhecidos pela ANPD
  • Quando a transferência for necessária para cooperação jurídica internacional entre órgãos públicos
  • Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência
  • Quando necessária para a execução de contrato ou de procedimentos preliminares relacionados a contrato

ANPD — Autoridade Nacional de Proteção de Dados Cap. IX

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública federal responsável por zelar pela proteção dos dados pessoais e por fiscalizar o cumprimento da LGPD. Entre suas competências estão:

  • Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade
  • Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação
  • Apreciar petições de titular contra controlador após comprovada reclamação
  • Promover nas populações o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais
  • Editar normas e procedimentos sobre proteção de dados pessoais
  • Solicitar às entidades do Poder Público a elaboração de relatório de impacto à proteção de dados pessoais

Sanções Administrativas Art. 52°

Os agentes de tratamento que descumprirem a LGPD ficam sujeitos às seguintes sanções administrativas, aplicáveis pela ANPD:

I

Advertência

Com indicação de prazo para adoção de medidas corretivas

II

Multa simples

Até 2% do faturamento da pessoa jurídica de direito privado no Brasil, limitada ao total de R$ 50.000.000,00 por infração

III

Multa diária

Observado o limite total de R$ 50.000.000,00 por infração

IV

Publicização da infração

Após devidamente apurada e confirmada a sua ocorrência

V–X

Medidas de bloqueio e suspensão

Bloqueio dos dados pessoais, eliminação, suspensão parcial ou total do banco de dados, suspensão por até 6 meses das atividades de tratamento, proibição parcial ou total das atividades de tratamento

A Self.bi e a Conformidade com a LGPD

A plataforma Self.bi, desenvolvida pela BBI Solutions, foi construída com privacidade e conformidade em seu núcleo (Privacy by Design). Adotamos os mais altos padrões para garantir o cumprimento integral da LGPD.

Consentimento Gerenciado

Sistema transparente de coleta e gestão de consentimentos, com revogação facilitada

Minimização de Dados

Coletamos apenas os dados estritamente necessários para as finalidades declaradas

Portal do Titular

Canal dedicado para o exercício de todos os direitos previstos no Art. 18 da LGPD

Segurança por Design

Criptografia, controle de acesso RBAC e auditoria de logs em toda a plataforma

DPO Designado

Encarregado de Proteção de Dados nomeado e disponível para atendimento ao titular

Contratos com Operadores

Todos os prestadores de serviço possuem cláusulas contratuais de conformidade com a LGPD

Nosso DPO e Canal de Atendimento ao Titular

Para exercer seus direitos como titular, registrar reclamações ou obter informações sobre como tratamos seus dados pessoais, entre em contato com nosso Encarregado de Proteção de Dados:

Empresa Controladora

BBI Solutions

Autoridade Supervisora

ANPD · anpd.gov.br

Caso não obtenha resposta satisfatória do controlador no prazo legal, você tem o direito de peticionar à ANPD. Acesse: gov.br/anpd

Voltar ao Início Ver Política de Privacidade Lei Completa (PDF)