LGPD e Proteção de Dados

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) regula o tratamento de dados pessoais no Brasil. Ela se aplica a qualquer pessoa física ou jurídica, de direito público ou privado, que realize operação de tratamento de dados pessoais — independentemente do porte da empresa. Isso inclui coleta, armazenamento, uso, compartilhamento e eliminação de dados.

O DPO (Data Protection Officer) ou Encarregado é a pessoa indicada pela empresa para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Toda empresa que trata dados pessoais deve designar um Encarregado, embora a ANPD tenha flexibilizado a exigência para empresas de pequeno porte (Resolução CD/ANPD nº 2/2022).

O mapeamento (data mapping) consiste em identificar todos os fluxos de dados pessoais: quais dados são coletados, por qual canal, para qual finalidade, com quem são compartilhados, onde são armazenados e por quanto tempo. Deve-se registrar a base legal de cada operação e classificar os dados por sensibilidade. Ferramentas como OneTrust e DataMap auxiliam no processo.

A LGPD (art. 48) exige comunicação à ANPD e aos titulares afetados em prazo razoável quando o incidente puder acarretar risco ou dano relevante. A comunicação deve conter: descrição do incidente, dados afetados, riscos, medidas adotadas e recomendações ao titular. A ausência de comunicação é uma infração autônoma que pode gerar sanções adicionais.

As sanções incluem advertência, multa simples de até 2% do faturamento (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio e eliminação de dados. A ANPD fiscaliza mediante denúncias, processos de ofício e planos de fiscalização. A dosimetria considera gravidade, boa-fé, reincidência e adoção de mecanismos de compliance.

Sim, a LGPD se aplica a todas as empresas, independentemente do porte. Porém, a Resolução CD/ANPD nº 2/2022 trouxe facilidades para agentes de tratamento de pequeno porte: dispensa de DPO dedicado, prazos maiores para atendimento de solicitações, registro simplificado e procedimentos de segurança proporcionais ao risco.

O controlador é quem decide sobre o tratamento dos dados pessoais (finalidade e meios). O operador realiza o tratamento em nome do controlador, seguindo suas instruções. A distinção é crucial porque define responsabilidades: o controlador responde diretamente perante o titular e a ANPD, enquanto o operador responde solidariamente quando descumpre obrigações legais ou instruções do controlador.