LGPD: Adequação e Sanções

A LGPD (Lei 13.709/2018) é a Lei Geral de Proteção de Dados Pessoais, que regula toda operação de tratamento de dados pessoais realizada no Brasil ou que envolva dados de pessoas localizadas em território nacional. Ela se aplica a qualquer empresa — independentemente do porte ou segmento — que colete, armazene, use, compartilhe ou elimine dados pessoais, tanto no ambiente digital quanto no físico. A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão responsável por fiscalizar o cumprimento da lei e aplicar sanções.

A Lei 13.709/2018 prevê sanções que vão desde advertência até multa simples de 2% do faturamento da empresa, limitada a R$ 50 milhões por infração, além de multa diária para compelir o cumprimento de obrigações. A ANPD também pode determinar a publicização da infração, o bloqueio e a eliminação dos dados pessoais tratados irregularmente. A dosimetria das sanções considera a gravidade da infração, a boa-fé do infrator, a adoção de mecanismos de compliance e a reincidência.

O DPO (Data Protection Officer), denominado Encarregado pela Lei 13.709/2018, é a pessoa indicada pelo controlador para atuar como canal de comunicação entre a empresa, os titulares de dados e a ANPD. Em regra, toda organização que trata dados pessoais deve designar um Encarregado. Contudo, a ANPD flexibilizou essa exigência por meio da Resolução CD/ANPD nº 2/2022, dispensando agentes de tratamento de pequeno porte de indicar DPO dedicado, desde que disponibilizem um canal de comunicação acessível aos titulares.

O mapeamento de dados (data mapping) consiste em identificar e documentar todos os fluxos de dados pessoais dentro da organização: quais dados são coletados, por quais canais, para quais finalidades, com quem são compartilhados, onde são armazenados e por quanto tempo são retidos. Para cada operação de tratamento, deve-se registrar a base legal correspondente, conforme o art. 7º da Lei 13.709/2018, e classificar os dados por nível de sensibilidade. O mapeamento é a base para a elaboração do RIPD (Relatório de Impacto à Proteção de Dados) e para demonstrar conformidade perante a ANPD.

O consentimento (art. 7º, I da Lei 13.709/2018) exige manifestação livre, informada, inequívoca e específica do titular, podendo ser revogado a qualquer momento. Já o legítimo interesse (art. 7º, IX) permite o tratamento sem consentimento quando necessário para finalidades legítimas do controlador, desde que não prevaleçam os direitos e liberdades fundamentais do titular. O uso do legítimo interesse exige a elaboração de um teste de balanceamento (LIA — Legitimate Interest Assessment) e sua documentação, pois a ANPD pode solicitar a comprovação da base legal a qualquer tempo.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Lei 13.709/2018 (art. 48) exige que o controlador comunique a ANPD e os titulares afetados em prazo razoável. A comunicação deve conter: descrição do incidente, tipos de dados afetados, medidas técnicas e de segurança adotadas, riscos envolvidos e providências tomadas para mitigar os danos. A omissão na comunicação configura infração autônoma e pode agravar significativamente as sanções aplicadas pela ANPD.

A Lei 13.709/2018 exige que controladores e operadores formalizem suas obrigações por meio de contratos ou instrumentos jurídicos que definam claramente: finalidade do tratamento, categorias de dados envolvidos, medidas de segurança exigidas, regras sobre suboperadores, obrigações de notificação de incidentes, direitos de auditoria e condições de devolução ou eliminação de dados ao término do contrato. Essa formalização, comumente chamada de DPA (Data Processing Agreement), é essencial para demonstrar conformidade e delimitar responsabilidades em caso de incidente, já que a ANPD pode responsabilizar solidariamente controlador e operador.