01

Lei Geral de
Proteção de Dados
Lei 13.709/2018
02

Sumário
Introdução

Introdução...................................................................................................................... 04
Capítulo 1 - Aplicação e não aplicação da Lei............................................................. 06
Capítulo 2 - O conceito de dados e as personas envolvidas................................... 08
Capítulo 3 - Quando e como utilizar dados pessoais............................................... 10
Capítulo 4 - Setores envolvidos: como preparar a sua empresa?........................... 13
Capítulo 5 - Por onde começar.................................................................................... 16
Capítulo 6 - Penalidades............................................................................................... 31
Capítulo 7 - Conclusão.................................................................................................. 33
Sobre este ebook.......................................................................................................... 34
Sobre a BSA................................................................................................................... 34
03

Introdução Introdução
04

Breve contexto da LGPD

Influenciada pela regulação Europeia GDPR

(General Data Protection Regulation), a LGPD
(Lei Geral de Proteção de Dados - Lei
13.709/2018) foi promulgada com o objetivo
de proteger os direitos de liberdade e
privacidade das pessoas.

Ela estabelece as normas aplicáveis para o

tratamento de dados de Pessoas Físicas:
coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou
controle da informação, modificação,
comunicação, transferência, difusão ou
extração.

Introdução
05

Introdução Capítulo 1

Aplicação e não
aplicação da Lei
06

Aplicação e não aplicação da Lei

A LGPD se aplica ao tratamento de dados pessoais, inclusive os digitais, por:

Pessoa natural - chamada Pessoa Física. E por Pessoa Jurídica de Direito Privado,
Pessoa Jurídica de Direito Público, ou seja, que são empresas.
entidades governamentais.

É importante ressaltar que a aplicação da Lei independe do país de sede ou onde estejam localizados
os dados, contanto que essas informações pessoais tenham sido coletadas ou tratadas no Brasil e o
tratamento tenha a finalidade de ofertar ou fornecer bens ou serviços.

A Lei não se aplica ao tratamento de dados pessoais realizado por Pessoa Física para fins pessoais e
não econômicos, ou apenas para fins jornalísticos, artísticos ou acadêmicos, ou ainda pelo governo
em atividades de segurança (ex.: defesa nacional, investigações e repressão penal).

De modo geral, há ainda pontos específicos para certos dados estrangeiros que não serão cobertos
neste ebook.

Também é importante lembrar que todos os dados que forem anonimizados (ou seja, que não
possam identificar indivíduos) de forma irreversível não são considerados dados pessoais para fins
dessa legislação.

Capítulo 1
07

Introdução Capítulo 2

O conceito de dados
e as personas envolvidas
08

O conceito de dados e as personas envolvidas

Os dados pessoais dizem respeito às informações que se relacionem, identifiquem e/ou possam
identificar uma Pessoa Física, que na lei é definida como o Titular dos Dados.

Eles são classificados como Dados Gerais (nome, RG, endereço, etc.) ou Dados Sensíveis, que são
aqueles que denominam a origem racial ou étnica, convicção religiosa, opinião política, filiação a
sindicato ou a organização de caráter religioso, filosófico ou político, além dos que se referem à
saúde ou à vida sexual, genética ou biometria.

Tais dados pessoais podem estar armazenados conjuntamente de modo estruturado em bancos de
dados físicos ou eletrônicos, em um ou em vários lugares diferentes, sendo mantidos por pessoas
físicas ou jurídicas a quem competem as decisões referentes ao tratamento de dados pessoais, que
a Lei define como o controlador desses dados.

O controlador, por sua vez, pode tratar os dados pessoais diretamente ou por meio de contratados
com essa finalidade. Em ambos os casos, aquele que realiza o tratamento dos dados pessoais é
chamado de operador. Por essa razão, em alguns casos, a figura do controlador e do operador se
misturam na mesma pessoa.

Como responsável final pelo uso dos dados pessoais, o controlador deve ter um encarregado, que
será o seu representante na comunicação com o Titular dos Dados Pessoais, bem como com as
autoridades governamentais e fiscalizatórias.
Capítulo 2
09

Introdução Capítulo 3

Quando e como
utilizar dados pessoais
10

Quando e como utilizar dados pessoais

A LGPD traz diversas hipóteses de utilização e tratamento dos dados pessoais. Neste ebook
focamos naquelas que se aplicam principalmente aos médios e pequenos empresários.
Acompanhe:

Você pode utilizar dados pessoais sempre que tiver consentimento por escrito do Titular (ou
por outro modo que demonstre sua vontade, como por exemplo uma autorização eletrônica)
Nas situações:

Para execução de contrato do qual o Titular faça

parte
E para atendimento de interesses legítimos de sua
empresa e/ou para proteção do crédito

No entanto, é importante ressaltar que no caso de

dados sensíveis, o consentimento deve ser dado de
forma específica e destacada, indicando a finalidade a
qual se destina o tratamento dessas informações!

Capítulo 3
11

Quando e como utilizar dados pessoais

Em qualquer hipótese, o Titular sempre terá o direito ao acesso aos seus dados pessoais, bem
como à forma como estão sendo tratados.

Por isso, os controladores deverão sempre ter em mente, ao implementar fluxos e processos de
tratamento de dados pessoais, que é imprescindível haver o fácil acesso à consulta dessas
informações e à explicação aos titulares delas quando eles solicitarem.

Lembre-se:

O Titular sempre é dono dos dados pessoais e ele pode estabelecer como e
qual o tratamento pode ser dado a essas informações que lhe pertencem!

Capítulo 3
12

Introdução Capítulo 4

Setores envolvidos:
como preparar a sua empresa?
13

Setores envolvidos: como preparar a sua empresa?

A Lei entrará em vigor em sua integralidade em agosto de 2020 e até lá as empresas deverão se
adequar, estabelecendo a governança e estruturas responsáveis pelo tratamento de dados
pessoais que possuam e que venham a possuir.

Essas estruturas, bem como as regras internas aplicáveis, dependerão de diversos fatores
específicos de cada empresa, por exemplo: mercado em que atua, quantidade e detalhes dos
dados pessoais que coleta e utiliza, controles existentes, dentre outros.

Independentemente disso, há alguns pontos que devem ser observados em todo e qualquer plano
de administração e gerenciamento de dados pessoais:

Conhecimento do assunto pela liderança Estabelecimento de Políticas e Controles

(gestor, diretor, etc.) da empresa Treinamento e comunicação
Análise detalhada dos dados, fluxos, Monitoramento e resposta
responsabilidades e riscos

Capítulo 4
14

Setores envolvidos: como preparar a sua empresa?

Tudo se inicia com um compromisso - o da alta liderança da empresa no que diz respeito à
legislação e seu cumprimento.

Esse é um passo fundamental para que se dissemine por toda a empresa a importância do tema
“privacidade de dados”, fazendo com que todos os empregados entendam e estejam engajados
com a proteção dos dados pessoais.

Capítulo 4
15

Introdução Capítulo 5

Por onde começar

16

Por onde começar

PASSO Os controladores devem considerar os padrões, boas práticas

01
e governança na implementação de seu programa de
privacidade, que deve ser iniciado pelo mapeamento das
informações existentes (gap analysis).

Na sequência, é preciso fazer a revisão, adequação e

elaboração de políticas, procedimentos, contratos e fluxos
internos. Nessa etapa, não se esqueça de sempre manter o
maior número de registros escritos sobre essas atividades, afinal,
isso será a base para demonstrar a efetividade de seu programa e
compromisso na implementação das medidas de controle e
mitigação perante as autoridades competentes.

Capítulo 5
17

Por onde começar

PASSO É justamente nesta etapa que a empresa deve estabelecer – e

02
todos seus empregados devem entender – por exemplo, quais
são as informações consideradas como dados pessoais, como
devem ser tratadas, quem, como e quando podem ser acessadas,
utilizadas e por quanto tempo devem permanecer na empresa.

PASSO Feito isso, devem ser implementadas as medidas

03
administrativas e de segurança, preferencialmente
informatizadas, de um modo que garanta a proteção aos
dados pessoais existentes bem como àqueles que venham a ser
coletados e tratados daí por diante.

Capítulo 5
18

Por onde começar

PASSO Uma vez estabelecida a infraestrutura necessária ao

04
cumprimento da legislação, chega o momento de comunicar e
treinar continuamente as diversas áreas da empresa para que
estejam familiarizadas e entendam seus papéis e
responsabilidades no tratamento dos dados pessoais.

O cumprimento à LGPD deve envolver toda a empresa e não

apenas uma área ou departamento.

Vamos a alguns exemplos do que essas figuras corporativas

devem fazer:

Capítulo 5
19

Por onde começar

Alta liderança (presidência, vice-presidências e diretorias)

Conhecer, adotar e divulgar o tema de privacidade

na empresa
Criar as estruturas necessárias para
implementação do programa de governança e
proteção de dados
Nomear e apoiar o responsável pelo tema de
proteção de dados na empresa

Capítulo 5
20

Por onde começar

Média liderança (gerências, supervisores e encarregados)

Adotar e replicar as regras de governança junto aos

empregados
Garantir o trânsito de conhecimento sobre o tema e
a implementação das regras de privacidade em
cada departamento da companhia

Capítulo 5
21

Por onde começar

Jurídico/compliance

Revisar, adequar e elaborar políticas,

procedimentos, contratos e fluxos internos
necessários ao cumprimento da legislação
Monitorar as atividades e garantir a contínua
melhora nos processos internos

Capítulo 5
22

Por onde começar

Tecnologia da Informação

Apresentar e implementar as soluções tecnológicas

e de segurança para garantir o gerenciamento
eficiente e proteção dos dados pessoais
Estabelecer plano de gerenciamento de crises

Capítulo 5
23

Por onde começar

Comunicação Interna

Desenvolver o plano de comunicação inicial e

contínua sobre o programa
Divulgar as boas práticas e mensagens da alta e
média lideranças

Capítulo 5
24

Por onde começar

Recursos Humanos

Treinar e capacitar os empregados com relação aos

temas de privacidade
Garantir o tratamento de dados pessoais dos
empregados

Capítulo 5
25

Por onde começar

Marketing

Considerar a privacidade no que se refere à oferta

de produtos e serviços
Exigir o cumprimento da legislação com relação
a dados em mailing e divulgação

Capítulo 5
26

Por onde começar

Comercial

Gerenciar a base de clientes considerando as regras

de privacidade e governança

Capítulo 5
27

Por onde começar

Atendimento ao consumidor

Capacitar equipes para responder a dúvidas de

privacidade
Ser o ponto inicial de contato e distribuição de
tarefas com relação aos direitos do titular de dados
junto à empresa

Capítulo 5
28

Por onde começar

Encarregado de proteção de dados

Atender a reclamações e comunicações dos

titulares e das autoridades públicas, prestar
esclarecimentos e adotar providências
Orientar os empregados a respeito da proteção de
dados pessoais

Capítulo 5
29

Por onde começar

PASSO Finalmente, implementado o programa de privacidade, a

05
empresa deve voltar seus olhos ao conceito de melhoria contínua,
para que monitore continuamente as atividades relacionadas ao
assunto.

Isso vai contribuir para garantir a evolução e constante aderência

à Lei, bem como estabelecer um plano de contingenciamento na
hipótese de uma perda ou vazamento de informações.

Capítulo 5
30

Introdução Capítulo 6

Penalidades
31

Penalidades

A LGPD estabelece penalidades que podem ser aplicadas no caso de descumprimento das regras.

As multas variam de advertência até multas (que podem ser diárias) de até 2% (dois por cento) do
faturamento da pessoa jurídica até o limite de R$ 50 milhões por infração.

Vale observar que o intuito da Lei é criar uma cultura de governança no ambiente brasileiro
de negócios e que por isso as penalidades levarão em conta diversos critérios objetivos, por
exemplo: a gravidade das infrações e dos direitos pessoais afetados, o grau do dano causado e a
proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Nesse mesmo sentido, reforçando a intenção legal de valorizar essa cultura de cumprimento, há
diversos fatores mitigadores de penalidade relacionados diretamente ao fato de o controlador
demonstrar seu empenho na observância da Lei.

Alguns exemplos: a boa-fé e cooperação do infrator, a adoção de política de boas práticas e

governança, bem como mecanismos e procedimentos internos capazes de minimizar os danos e,
ainda, a imediata adoção de medidas corretivas.

Capítulo 6
32

Introdução Capítulo 7

Conclusão
33

Conclusão

A Lei Geral de Proteção de Dados se apresenta como uma legislação moderna e alinhada a outras
normas internacionais e deverá ser adotada por todas as empresas brasileiras.

Sua finalidade é proteger os direitos à liberdade e privacidade das pessoas por meio da adoção
de medidas que garantam o correto tratamento de dados pessoais e dados pessoais sensíveis.

Como temos no país uma grande diversidade de empresas, seja por segmentação, tamanho, tipo
de negócio, posicionamento mercadológico, dentre outros critérios, a implementação de
programas de governança para proteção de dados poderá variar consideravelmente entre
elas.

Assim, o adequado é que as empresas contratem serviços profissionais para auxiliá-las nessa
jornada e garantam a compatibilidade com as regras estabelecidas na lei.

Vale, por fim, observar que ainda há diversos pontos da legislação que dependem de validação
legislativa (como no caso dos pontos alterados por Medidas Provisórias) motivo pelo qual este guia
deverá ser revisado de tempos em tempos.

Capítulo 7
34

Introdução
Sobre este ebook

As informações contidas aqui têm como fonte a Esper, Paranhos, Gushiken Advogados I EPG Advogados. O conteúdo dele
se destina principalmente a pequenas e médias empresas no mercado brasileiro e dá uma visão geral da LGPD, portanto,
não deve ser usado como base de orientação jurídica para fins legais.

Sobre a BSA

A BSA | The Software Alliance é a principal defensora do setor global de software perante governos e mercado internacional.

Seus membros estão entre as empresas mais inovadoras do mundo, criando soluções de software que estimulam a
economia e melhoram a vida moderna.

Com sede em Washington/DC e operações em mais de 60 países, a BSA é pioneira em programas de conformidade que
promovem o uso legal de software e defende políticas públicas que promovem a inovação tecnológica e o crescimento da
economia digital.

Acesse: www.bsa.org.br

Sobre o Esper, Paranhos, Gushiken Advogados | EPG Advogados

EPG é um escritório de advocacia formado por profissionais com larga experiência e atuação em posições de liderança em
escritórios de advocacia, empresas brasileiras, europeias e americanas, além de entidades empresariais.

Estruturado para apoiar clientes de diversos portes e compreendendo os desafios que enfrentam internamente, o escritório
atua em três principais pilares: direito empresarial, governança e relações institucionais.

Acesse: www.epgadvogados.com.br
www.bsa.org