Iubenda logo
Crie Agora

Documentação

Tabela de conteúdos

O que é a LGPD e como ficar em conformidade com ela?

Guia para a Lei Geral de Proteção de Dados Pessoais (LGPD)

O que é a LGPD? Ela afeta seu negócio? Como ficar em conformidade com ela? Nas seções abaixo, respondemos essas perguntas de maneira fácil e compreensível.

Resumindo:

O que é a LGPD e quais os requisitos dela?

A Lei Geral de Proteção de Dados Pessoais (LGPD) pode ser considerada a resposta brasileira ao GDPR (Regulamento Geral sobre a Proteção de Dados) da União Europeia – com muitos alinhamentos da lei brasileira em relação à europeia, mas também com algumas diferenças. A intenção da lei é substituir ou complementar o atual panorama jurídico bastante disperso, que conta com mais de 40 especificações federais para o setor, e criar um marco regulatório.

O objetivo da LGPD é criar um marco regulatório para o uso pessoal de dados no Brasil, tanto on-line quanto off-line, nos setores públicos e privados.

De modo geral, a LGPD exige que os dados pessoais sejam tratados apenas para fins lícitos, específicos, explícitos e claramente definidos. Assim como o GDPR, aplicam-se também os princípios de transparência e minimização de dados (usar apenas os dados necessários).

Apesar de uma proposta anterior para postergar a data em que a LGPD entraria em vigor para dezembro, o senado votou que a sugestão fosse removida do Projeto de Lei da Conversão (PLV) 34/2020. A lei foi sancionada pelo presidente e teve o início de sua aplicação confirmado para 18 de setembro de 2020. Nesse cenário, foi emitido um decreto para a criação de uma Autoridade Nacional de Proteção de Dados (ANPD).

APD brasileira (ANPD) publicou uma versão atualizada da “Orientação Brasileira Atualizada para Agentes de Processamento de Dados Pessoais e Encarregados da Proteção de Dados”, esclarecendo conceitos sob a LGPD e orientações anteriores. Leia as atualizações aqui.

Definições especiais usadas abaixo
  • O termo “usuário” aqui significa uma pessoa física que tem seus dados pessoais controlados por um controlador ou operador (conhecido formalmente como o titular dos dados).
  • O termo “controlador de dados” significa qualquer pessoa física ou jurídica, pública ou privada, envolvida na definição da finalidade dos dados pessoais e das formas que eles serão processados.
  • O termo “operador de dados” ou “operador” significa qualquer indivíduo ou entidade legal envolvida no tratamento de dados legais em nome de um controlador.
  • O termo Autoridade de Proteção de Dados (APD) neste documento refere-se à Autoridade Nacional de Proteção de Dados (ANPD (link em inglês)).

Por exemplo, uma empresa da internet pode coletar suas informações de usuário por meio do seu website e armazená-las usando um serviço de nuvem terceiro. Nesse caso, a empresa da internet é a controladora de dados e a organização que realiza o serviço da nuvem é a operadora de dados.

A quais locais a LGPD se aplica? (Escopo territorial da LGPD)

Assim como o GDPR, a LGPD aplica-se a um escopo territorial que vai além do Brasil. Isso significa estar em conformidade com ela mesmo que você ou seu negócio não esteja localizado no Brasil. Na prática, a LGPD é aplicável se:

  • suas atividades de tratamento de dados são realizadas no Brasil (e.g. você usa servidores localizados no Brasil);
  • você oferece ou fornece bens, ou serviços a pessoas localizadas no Brasil, independentemente da nacionalidade delas;
  • você trata dados provenientes de pessoas localizadas no Brasil (mesmo no caso em que a pessoa está no país apenas no momento da coleta de dados e depois mude de localidade).

De modo geral, você pode assumir que a LGPD se aplica a você caso realize o tratamento de dados pessoais de quem mora no Brasil ou de qualquer indivíduo, independentemente de sua nacionalidade, que esteja em território brasileiro.

Exceções de aplicabilidade

Existem algumas exceções de aplicabilidade da LGPD, mesmo nos casos em que o controlador de dados está no escopo territorial da lei. Essas exceções estão listadas abaixo. A LGPD não é aplicável se:

  • o tratamento de dados pessoais é realizado por uma pessoa física, somente e exclusivamente para fins privados e não comerciais;
  • os dados pessoais são tratados apenas para os seguintes fins:
    • jornalísticos ou de expressão artística,
    • pesquisa acadêmica,
    • segurança pública,
    • segurança e defesa nacional.
    • investigação e processo de ofensas criminais.

O que são “dados pessoais” na LGPD?

A LGPD usa dados pessoais em uma definição abrangente. Assim como o GDPR, os dados pessoais no contexto da LGPD referem-se a quaisquer dados que podem ser vinculados a um indivíduo identificado ou identificável. Em suma, são considerados dados pessoais todos os dados que podem ser relacionados a um indivíduo identificado ou identificável. Isso inclui fragmentos de dados que podem ser somados a outras informações para identificar qualquer indivíduo.

E a LGPD em relação a dados anonimizados?

Dados realmente anonimizados (que não levam, direta ou indiretamente, em meios razoáveis, à identificação do indivíduo) são classificados como fora do escopo da LGPD. No entanto, se o processo de anonimização puder ser revertido ou se os dados forem usados para fins de perfis comportamentais, a LGPD ainda se aplica.

Exemplos de dados pessoais incluem (mas não se limitam a): dados de identidade básicos, como nomes, dados genéticos, biométricos e relacionados à saúde do usuário; dados da Web, como endereços IP e de e-mail pessoal, opiniões políticas e orientação sexual.
Exemplos de dados que não são pessoais incluem números de registro e endereços de e-mail genéricos da empresa, como info@empresa.com, e dados anonimizados.

Observação especial sobre dados confidenciais sob a LGPD

A LGPD identifica dados pessoais “confidenciais” de modo diferente de dados pessoais “comuns” e aplica regras especiais aos dados confidenciais. Dados confidenciais são quaisquer dados relacionados a origem racial ou étnica, crença religiosa, opinião política, saúde ou vida sexual; ou dados que permitem a identificação incontestável e persistente do usuário, como dados genéticos ou biométricos.

Como o tratamento de dados confidenciais tende a expor mais o usuário a questões de discriminação, eles devem ser tratados com camadas extras de segurança e bases legais bastante específicas.

Geralmente, se o usuário (ou seus pais/guardião legal, caso seja menor de idade) tiver consentido com o tratamento em específico. Há exceções aplicáveis.

💡 Dica: você pode usar o menu flutuante à esquerda para pular para a próxima seção que desejar ler (e.g. “como ficar em conformidade”).

PRINCIPAIS REQUISITOS DA LGPD E COMO SE TORNAR COMPATÍVEL

Conceitos-chave da LGPD

Princípios de tratamento

Os princípios do tratamento de dados são muito semelhantes aos do GDPR. Especificamente:

  • É necessário haver um propósito para o tratamento. Isso significa que qualquer atividade de tratamento de dados deve ser realizada para fins lícitos, específicos, explícitos e claramente informados. Não é permitido realizar nenhum tratamento adicional que não esteja alinhado com os fins comunicados inicialmente.
  • Adequação. A maneira como os dados serão tratados e os próprios dados tratados devem estar razoavelmente alinhados aos fins de tratamento.
  • Limitação das finalidades. É similar ao conceito de minimalização de dados sob o GDPR e, significa que voce deve limitar-se a usar apenas dodos necessários para atingir sua finalidade.
  • Liberdade para exercer os direitos e livre acesso à informação. Os usuários precisam conseguir exercer livremente seus direitos sob a LGPD e acessar de forma fácil e livre de encargos as informações sobre o tratamento de seus dados pessoais.
  • Qualidade dos dados. Você, o controlador de dados, deve garantir a precisão dos dados tratados e mantê-la atualizada e relevante, conforme os fins do tratamento.
  • Transparência. As informações sobre o tratamento de dados devem estar claras, precisas e facilmente disponíveis aos usuários. Os usuários também precisam conseguir acessar as informações sobre os terceiros com quem seus dados são compartilhados.
  • Segurança. O controlador de dados e todos os operadores precisam garantir a presença de medidas técnicas e organizacionais para proteger dados pessoais de: acesso não autorizado, destruição por acidente ou ilegal, perda, alteração e comunicação ou divulgação não autorizadas.
  • Prevenção. É responsabilidade do controlador de dados e do operador garantir que medidas técnicas e organizacionais estejam sendo colocadas em prática para evitar possíveis danos devido ao tratamento de dados pessoais;
  • Não discriminação. Nenhum tratamento de dados deve ser realizado para fins discriminatórios.
  • Responsabilidade. Como controlador de dados, você precisa estar em conformidade com a lei e conseguir provar isso legalmente.

Base legal para o tratamento de dados sob a LGPD

Os dados sob a LGPD podem ser tratados apenas se houver pelo menos uma base legal para fazê-lo.

As bases legais são:

  • Consentimento do usuário
  • Cumprimento de uma obrigação legal ou regulamentar que se aplica ao controlador de dados
  • Execução de políticas públicas, em que as políticas públicas recebem o suporte de alguma lei, regulamento ou acordo contratual
  • Realização de estudos por órgãos de pesquisa, em que é possível garantir a anonimização dos dados pessoais em uso*
  • Cumprimento de um acordo contratual (ou suas atividades precursoras) do qual o usuário participa
  • Exercício comum dos direitos em processos judiciais, administrativos ou arbitrais*
  • Proteção da vida ou segurança física do usuário, ou terceiro
  • Proteção da saúde, em procedimentos realizados por profissionais, serviços ou autoridades da saúde*
  • Interesses legítimos do controlador de dados ou terceiro, exceto quando sobrepostos pelos interesses, direitos e liberdades do usuário
  • Proteção de crédito, incluindo as cláusulas da legislação em vigor*

*Não incluso como uma base legal no GDPR.

Consentimento sob a LGPD

Como consentimento é um assunto crucial e bastante relevante quando se trata de tratamento online, destacaremos abaixo os requisitos específicos para o consentimento na LGPD.

Sob a LGPD, o consentimento deve ser “manifestação livre, informada e inequívoca” (artigo 5º, inciso XII). Isso significa que o consentimento não deve ser coagido. A ação de consentimento do usuário deve estar clara e os usuários precisam ser informados de maneira adequada antes de consentir. O consentimento também deve ser fornecido para um fim específico, além de oferecer aos usuários a revogação ou desistência do consentimento.

Sob a LGPD, o consentimento deve ser de manifestação livre, informada e inequívoca.

Em relação ao consentimento para crianças menores de 12 anos, é necessário solicitar o consentimento de um dos pais ou do guardião legal. Para adolescentes de 13 a 18 anos*, o consentimento pode ser dado contanto que o tratamento de seus dados pessoais seja efetuado com os melhores interesses. Será preciso realizar todos os esforços necessários (usando a tecnologia disponível) para verificar se a pessoa que consentiu realmente tem responsabilidade parental pela criança.

*Observação: no Brasil, a idade reconhecida para capacidade civil plena é de 18 anos.

Dados disponibilizados publicamente

A legislação anterior à LGPD permitia às empresas a coleta e o tratamento de dados pessoais disponíveis publicamente na internet ou em qualquer outra fonte de acesso público por qualquer motivo, entretanto, isso não é mais permitido sob a LGPD.

A LGPD estabelece que dados pessoais públicos possam ser coletados e usados somente de duas maneiras:

  • para a mesma finalidade para a qual os dados foram tratados originalmente – nesse caso, o consentimento do usuário não é necessário;
  • para uma finalidade diferente, rigorosamente onde você, o controlador de dados, pode aplicar uma base legal válida legitimamente para o tratamento (veja mais abaixo).

Observação: dado o que foi mencionado acima, a extração de dados por “raspagem” ou outro meio de coleta de dados disponíveis publicamente para marketing, por exemplo, estarão limitados sob a LGPD.

Dados confidenciais

Em relação aos dados confidenciais, o consentimento é dispensável somente se o tratamento for absolutamente necessário para:

  • conformidade com obrigações legais de responsabilidade do controlador de dados;
  • tratamento compartilhado necessário para administração pública a fim de executar políticas públicas de atribuição legal ou regulamentar;
  • realização de estudos por um organismo de investigação – garantindo, sempre que possível, que os dados pessoais confidenciais sejam anonimizados;
  • proteção da vida ou segurança física de um usuário, ou terceiro;
  • proteção à saúde, exclusivamente em procedimentos realizados por profissionais, serviços ou autoridades de saúde;
  • supervisão à saúde em um procedimento realizado por profissionais ou entidades de saúde;
  • exercício comum de direitos – incluindo contratual, judicial, administrativo, bem como os garantidos via processo arbitral;
  • prevenção de fraude e segurança do usuário (e.g. para identificação e autenticação de registro em sistemas eletrônicos) – contanto que os direitos do usuário estejam protegidos, salvo disposição em contrário em relação aos direitos e liberdade do usuário.

Dados de crianças e adolescentes

Sob a LGPD, são aplicadas exceções ao requisito de consentimento para o tratamento de dados de crianças e adolescentes caso o tratamento seja necessário a fim de contatar os pais ou guardiões legais para proteger a criança. Os dados podem ser usados somente uma vez e não devem ser armazenados, nem compartilhados com terceiros sem o devido consentimento.

Direitos dos usuários sob a LGPD

Sob a LGPD, usuários (“titulares dos dados”) têm direito a:

  • Confirmação. Os usuários têm o direito de confirmar a existência de tratamento.
  • Acesso. Os usuários têm o direito de acessar os dados tratados pelo controlador de dados.
  • Portabilidade de dados. Os usuários têm o direito à portabilidade de seus dados a outro fornecedor de produtos ou serviços, mediante solicitação expressa, segundo as regulamentações da autoridade local e sujeito a sigilo comercial e segredo industrial.
  • Retificação. Os usuários têm o direito de ter seus dados pessoais retificados caso estejam incorretos ou incompletos.
  • Anonimização. Os usuários estão autorizados à anonimização, ao bloqueio e a eliminação de dados pessoais desnecessários ou em excesso, ou de qualquer dado que não seja tratado em conformidade com a LGPD.
  • Exclusão. Os usuários têm o direito de ter seus dados pessoais excluídos caso o tratamento dos dados tenha sido baseado no consentimento.
  • Informação. Os usuários têm o direito de serem informados sobre operadores secundários e outros terceiros que acessam ou tratam seus dados pessoais. Eles também têm o direito de serem informados sobre suas escolhas de consentimento e as consequências de recusá-lo.
  • Revogação. Os usuários têm o direito de revogar ou retirar o consentimento.
  • Reclamação. Os usuários têm o direito de escrever uma reclamação formal para a Autoridade de Proteção de Dados (APD).
  • Contestação. Os usuários têm o direito de se opor ao tratamento de seus dados pessoais em caso de não conformidade com a legislação.
  • Revisão. Os usuários têm o direito de solicitar revisão das decisões tomadas exclusivamente baseadas no tratamento automatizado de dados pessoais que afetam seus interesses. Isso inclui decisões usadas para definir o perfil pessoal, profissional, bem como de consumidor e de crédito, ou aspectos da personalidade.

Obrigações de controlador e operador sob a LGPD

Transferência de dados entre países

Caso a transferência de dados protegidos pela LGPD seja necessária para outros países além do Brasil, há algumas diretrizes a serem seguidas. A LGPD permite a transferência de dados pessoais entre países caso mediante garantia de um nível adequado de proteção desses dados.

Na prática, isso significa que a transferência é permitida se o país de destino é reconhecido por ter uma legislação que garante um nível adequado de proteção. A avaliação do nível de adequação do país de destino ou organização internacional é realizada pela Autoridade de Proteção de Dados (APD).

Se o nível de adequação não for atendido, ainda é possível transferir os dados ao exterior sob a garantia de pelo menos uma das seguintes condições:

  • o controlador de dados recebe o consentimento informado, explícito e prévio do usuário, que deve estar separado de outros fins e solicitações de tratamento;
  • o controlador de dados garante a conformidade com a LGPD através de uma seção contratual dedicada, cláusulas contratuais padrão, ou regras corporativas globais;
  • a transferência de dados atende os padrões determinados em certificados válidos e códigos de conduta regularmente aprovados pela APD;
  • a APD autoriza diretamente a transferência;
  • a transferência é necessária para cooperação legal internacional entre órgãos de inteligência pública, investigação e processos penais (conforme a legislação internacional);
  • a transferência é necessária para proteger a vida ou a segurança física de um usuário, ou terceiro;
  • a transferência é necessária para assegurar o cumprimento da política pública;
  • a transferência resulta em um comprometimento firmado em um acordo de cooperação internacional;
  • a transferência é fundamental para atender as obrigações legais do controlador de dados ou é necessária para o exercício de direitos em processos judiciais ou arbitrais;
  • a transferência é necessária para cumprir um acordo contratual com o usuário.

Registros do tratamento de dados

Sob a LGPD, controladores e operadores de dados devem manter registros de suas atividades de tratamento de dados pessoais, especialmente quando o tratamento é baseado em interesse legítimo. Todos os controladores e operadores, independentemente do tamanho e da frequência do tratamento ou do tipo dos dados tratados, devem cumprir a obrigação de registro das atividades de tratamento de dados. No entanto, a Autoridade de Proteção de Dados pode considerar exceções.

Todos os controladores e operadores devem cumprir a obrigação de registro das atividades de tratamento de dados.

Relatório de Impacto à Proteção de Dados (RIPD)

Em suma, o Relatório de Impacto à Proteção de Dados (RIPD) é um processo usado para ajudar o controlador a ficar em conformidade com as regras de privacidade de dados, garantindo que os princípios-chave sejam efetivamente atendidos.

Sob a LGPD, a documentação do RIPD geralmente contém a descrição das atividades de tratamento de dados pessoais que podem gerar riscos a direitos e liberdades civis, bem como medidas, salvaguardas e mecanismos para a mitigação de riscos.

O RIPD deve conter, no mínimo:

  • uma descrição das categorias de dados tratados;
  • os métodos utilizados para a coleta de dados;
  • as medidas de segurança utilizadas;
  • uma descrição das medidas utilizadas para mitigar os riscos envolvidos no tratamento de dados pessoais.

A lei não indica explicitamente quando um RIPD é necessário, mas a Autoridade de Proteção de Dados pode requisitar que um RIPD seja executado e fornecido pelo controlador de dados a qualquer momento.

Indicação de um oficial de proteção de dados

Sob a LGPD, você, o controlador de dados, deve indicar um Oficial de Proteção de Dados (“DPO” em inglês e “encarregado” no texto da LGPD). Não há exceções a esta regra. Este oficial é um indivíduo responsável pelos seguintes itens:

  • receber reclamações e comunicações dos usuários titulares dos dados, providenciando esclarecimentos e tomando medidas cabíveis relevantes;
  • advertir os funcionários e prestadores de serviço do controlador de dados no que diz respeito a medidas que devem ser tomadas para a proteção dos dados pessoais tratados;
  • receber comunicações da APD e tomar as medidas necessárias; e
  • realizar quaisquer outros deveres como determinados pelo controlador de dados ou estabelecidos em regras complementares.

Segurança e violação de dados

Sob a LGPD, controladores de dados, operadores, ou quaisquer outros agentes envolvidos no tratamento de dados pessoais precisam implementar medidas técnicas, administrativas e de segurança para proteger os dados pessoais contra acessos não autorizados e qualquer tipo de tratamento ilegítimo acidental ou proposital, como destruição, perda, alteração e transferência.

Todos os incidentes que podem gerar riscos ou danos aos usuários devem ser reportados dentro de um período razoável para a APD.

A comunicação deve incluir, no mínimo:

  • uma descrição da natureza dos dados pessoais afetados;
  • informações dos usuários afetados;
  • informações sobre as medidas técnicas e de segurança usadas para proteger os dados (sujeita a sigilo comercial e segredo industrial);
  • riscos relacionados ao incidente;
  • razões para qualquer atraso na comunicação do incidente à APD (em casos nos quais a comunicação não foi imediata);
  • as medidas que foram ou serão adotadas para reverter ou mitigar danos.

Após receber a notificação da violação, a APD pode exigir que o controlador alerte a mídia ou tome outros passos para mitigar os efeitos danosos do incidente.

Transparência

Assim como no GDPR, um dos princípios chave da LGPD é a transparência. Sob a LGPD, os usuários têm direito ao acesso facilitado às informações sobre o tratamento de seus dados, que devem ser disponibilizados de forma clara e adequada

Essas informações incluem:

  • a finalidade específica do tratamento;
  • o tipo de tratamento e sua duração;
  • detalhes identificadores do controlador de dados;
  • informações de contato do controlador de dados;
  • informações sobre todos com os quais os dados foram compartilhados e a explicação sobre o porquê;
  • as responsabilidades de quaisquer operadores de dados ou agentes que executarão o tratamento;
  • os direitos de usuários (titulares dos dados), com menções explícitas dos direitos providenciados no Art. 18 da LGPD, como exercer estes direitos, e se quaisquer dados pessoais serão tratados para responder a um pedido para exercer esses direitos.

Prestação de contas: privacidade como escolha padrão

A LGPD diz que os controladores de dados e os operadores podem colocar em prática processos internos e políticas de privacidade que garantem a conformidade com a lei. Isso inclui um programa de governança de privacidade e medidas que evidenciam sua eficácia.

O programa de governança deve, no mínimo:

  • Mostrar o comprometimento do controlador de dados para garantir conformidade com as regras e boas práticas;
  • Ser aplicável ao conjunto completo de dados pessoais sob o controle de um processador de dados específico – independentemente dos meios utilizados para a coleta de dados;
  • Ser adaptado à estrutura, escala e volume particulares das operações, bem como à sensibilidade dos dados que estão sendo tratados;
  • Estabelecer políticas de privacidade e proteções adequadas, baseadas em um processo de avaliação sistemática dos impactos e riscos para a privacidade;
  • Ter o propósito de criar um relacionamento de confiança com o usuário, através de transparência;
  • Garantir que os mecanismos para a participação do usuário estejam integrados na estrutura do programa de governança, e estabelecer e aplicar mecanismos de supervisão internos e externos;
  • Ter planos e soluções para reagir a incidentes;
  • Ser constantemente atualizado com base na informação obtida através de monitoramento contínuo e de avaliações periódicas.

O controlador de dados deve conseguir demonstrar a eficácia de seu programa de governança de privacidade quando necessário, especialmente se solicitado pela autoridade de proteção de dados.

Consequências da não conformidade

As consequências legais da não conformidade podem incluir multas de 2% da receita bruta anual de uma companhia, podendo chegar até 50 milhões de reais, por cada violação. Mas tão preocupante quanto a multa podem ser as outras ações corretivas que podem ser tomadas contra os que forem julgados violadores.

As consequências legais da não-conformidade podem incluir multas de 2% da receita bruta anual, até 50 milhões de reais

Sob a LGPD, a APD possui poderes corretivos que incluem emitir alertas e multas, publicização da violação e bloqueio ou exclusão das atividades de tratamento, ou dados pessoais ligados à infração. Isto significa que se a infração ocorreu em relação à obtenção de endereços de e-mail, o controlador de dados infrator arrisca perder toda a lista de e-mails. A APD pode ainda exigir que o banco de dados envolvido com a não-conformidade seja parcialmente suspenso por até 6 meses, potencialmente interrompendo outras atividades que façam uso desse banco de dados.

Por fim, assim como a GDPR, a LGPD permite aos usuários a abertura de processos para indenizações civis pela violação da lei de privacidade.

Como atender aos requisitos da LGPD

Lista de verificação de ações necessárias para ficar em conformidade com a LGPD

Identificar (e documentar) suas bases legais para processar dados pessoais. Controladores de dados precisam definir uma base legal para cada atividade de tratamento e documentá-la em seus registros.

Manter um registro das atividades de tratamento de dados (exigido sob o Art. 37). Embora a LGPD não inclua requisitos específicos para o formato ou conteúdo destes registros, eles serão provavelmente similares aos registros de tratamento exigidos sob o Art. 30 do GDPR. A iubenda facilita a criação e manutenção de registros de tratamento de dados. Leia mais aqui.

Incluir avisos exigidos em sua política de privacidade. Exigido (sob o Art. 9) para atender aos requisitos de transparência da LGPD. Leia sobre nosso gerador e a configuração de apenas um clique para incluir avisos da LGPD.

Coletar e manter provas de consentimento válidas (exigido sob o Art. 8). Assim como com o GDPR, a LGPD atribui a você, o processador de dados, a responsabilidade de demonstrar provas de consentimento válidas. A iubenda facilita a criação e manutenção de registros de tratamento de dados. Leia mais aqui.

Nomear um oficial de proteção de dados (DPO, em inglês) (exigido sob o Art. 41). UnSob a LGPD, todos os controladores de dados devem nomear um DPO, que será responsável pelas atividades descritas nesta seção. Atualmente, a lei não requer que o DPO resida fisicamente no Brasil e também deixa aberta a possibilidade para que o controlador nomeie um consultor individual terceiro como seu DPO.

Desenvolver políticas internas e procedimentos para honrar os direitos dos usuários e atender pedidos relacionados. Controladores de dados precisam atender de forma satisfatória os titulares dos dados que realizarem pedidos de exercer seus direitos sob a LGPD, incluindo acesso, anonimização, exclusão e portabilidade.

Implementar um protocolo de segurança. Tanto os controladores quanto os operadores devem adotar medidas de segurança criadas para proteger dados pessoais. A APD poderá fornecer diretrizes de padrões técnicos mínimos futuramente. Outras estruturas legais sob leis brasileiras podem fornecer mais orientações sobre padrões atuais, como o Marco Civil da Internet (que define princípios, garantias, direitos e deveres para os usuários da internet no Brasil).

Desenvolver um plano para resposta a incidentes e remediações (de acordo com o Art. 50). Controladores e operadores devem criar um plano de resposta a incidentes que garante que o controlador será capaz de atender aos requisitos para a comunicação obrigatória de incidentes (veja abaixo).

Se uma violação de dados apresenta risco ou dano significativo para usuários, você deve notificar a APD e os usuários (de acordo com o Art. 50).

Elaborar relatórios de impacto à proteção de dados (RIPDs). RIPDs podem ser obrigatórios em situações caracterizadas como arriscadas ou, sob o pedido da autoridade, em casos nos quais o tratamento de dados é baseado em interesse legítimo.

Definir privacidade como padrão. Sob a LGPD, é obrigatório habilitar medidas de privacidade por padrão, que garantem a proteção de dados pessoais. Na prática, as configurações “de fábrica” devem ser aquelas que garantem o maior nível de proteção possível.

Atender a requisitos para transferência de dados entre países. Garanta que você esteja ciente de possíveis limites em transferências de dados entre países e fique em conformidade com as provisões relevantes. Mais detalhes aqui.

Como a iubenda pode ajudar você a atender os requisitos da LGPD

Em termos de conformidade, um dos primeiros passos é ter a certeza de que seus documentos estão alinhados com os requisitos da lei.
Na iubenda, temos uma abordagem abrangente para conformidade com as leis de dados. Construímos soluções tendo em mente os regulamentos mais rigorosos, dando a você todas as opções para personalizar conforme necessário. Ajudamos você a cumprir suas obrigações com a lei, reduzir seu risco de litígios e proteger seus clientes, criando confiança e credibilidade.

Todos os documentos da iubenda estão disponíveis para serem gerados em português do Brasil e em outras sete línguas.

Veja os primeiros passos para ficar 100% em conformidade:

Política de Privacidade

Todas as políticas de privacidade geradas com a iubenda permitem que você esteja em conformidade com a LGPD, visto que elas oferecem a opção de facilmente aplicar os padrões legais definidos pela LGPD a usuários brasileiros.

Com o Gerador de Políticas de Privacidade e Cookies, você pode criar um documento preciso, escrito e verificado por advogados e facilmente integrá-lo ao seu site ou aplicativo. Você pode simplesmente adicionar quaisquer cláusulas disponíveis com apenas um clique, ou escrever suas próprias cláusulas personalizadas utilizando o formulário integrado.

Nossa solução facilita atender aos requisitos da LGPD, com ativação em apenas um clique para:

  • exibir avisos, instruções e textos relacionados à LGPD conforme os requisitos da lei;
  • atualizar automaticamente sua política de privacidade já integrada, adicionando trechos referentes à LGPD, sem precisar reintegrar o código ao seu site!

O gerador de políticas de privacidade também possui a opção de incluir uma Política de Cookies (necessária se seu website ou app usa cookies e tem usuários na Europa). As políticas de privacidade e cookies são personalizáveis às suas necessidades sendo mantidas sempre atualizadas por uma equipe internacional de advogados.

 

Para ver mais informações sobre as políticas de privacidade, clique aqui.

Ferramenta de Gerenciamento de Privacidade Interna (IPM, em inglês)

Atender ao regulamento da LGPD pode ser um desafio de um ponto de vista técnico e em termos práticos. E pode ser um desafio ainda maior quando se deve gerenciar privacidades internamente.

Nossa solução fornece uma maneira descomplicada de gravar e gerenciar todas as suas atividades de tratamento de dados, para você poder atender aos requisitos obrigatórios da LGPD facilmente. Ela permite que você crie registros de atividades de tratamento: adicionar mais de 1500 opções prontas, dividi-las por área (subdivisões dentro das quais as atividades de tratamento de dados são as mesmas), atribuir quem serão os operadores de dados e outras funções e documentar suas bases legais e outros registros exigidos pela LGPD.

Para conferir uma lista completa de funcionalidades da ferramenta de Gerenciamento Interno de Privacidade, clique aqui ou leia aqui nosso guia.

Gerenciando consentimentos e mantendo registros detalhados

Para estar em conformidade com leis de privacidade como a LGPD e o GDPR, você precisa manter provas de consentimento para poder demonstrar que este foi coletado de maneira legal.

A Consent Database da iubenda simplifica este processo ao criar uma maneira fácil de armazenar provas de consentimento e gerenciar consentimentos e preferências de privacidade para cada um de seus usuários. Ela permite que você rastreie cada aspecto do consentimento (incluindo o aviso de privacidade e o formulário de consentimento apresentado ao usuário no momento da coleta de consentimento) e as preferências relacionadas escolhidas pelo usuário.

Para usá-la, basta ativar a Consent Database dentro de seu dashboard e pegar uma chave API e então instalá-la via um API HTTP ou um widget JS, pronto! Você poderá resgatar consentimentos a qualquer momento e mantê-los atualizados.

Veja uma lista de todas as funcionalidades da Consent Database aqui, ou leia o nosso guia aqui.

Privacy Controls and Cookie Solution

💡 Se você opera no Brasil ou tem usuários brasileiros, é recomendado que você exiba um banner de cookies e solicite o consentimento dos seus usuários antes de instalar quaisquer cookies não técnicos.

O nosso Privacy Controls and Cookie Solution é super fácil de criar! Além disso, você pode personalizar o seu banner de cookies, coletar consentimento sem problemas e implementar bloqueio prévio com reativação assíncrona.

Deixe seu site em conformidade com a LGPD em minutos

Comece agora