O que é a Lei Geral de Proteção de Dados (LGPD)?

Products
By Use Cases By Roles
DataControls Cloud^TM
View
Learn more

Asset and Data Discovery

Discover Data Assets

Learn more

Data Access Intelligence & Governance

Identify which users have access to sensitive data and prevent unauthorized access

Learn more

Data Privacy Automation

PrivacyCenter.Cloud | Data Mapping | DSR Automation | Assessment Automation | Vendor Assessment | Breach Management | Privacy Notice

Learn more

Sensitive Data Intelligence

Discover & Classify Structured and Unstructured Data | People Data Graph

Learn more

Data Flow Intelligence & Governance

Discover & Classify Structured and Unstructured Streaming Data

Learn more

Data Consent Automation

First Party Consent | Third Party & Cookie Consent

Learn more

Data Security Posture Management

Protect data systems by discovering and automatically remediating misconfigurations

Learn more

Data Breach Impact Analysis & Response

Analyze impact of a data breach and coordinate response per global regulatory obligations

Learn more

Data Catalog

Automatically catalog enterprise datasets

Learn more

Data Lineage

Track changes and transformations of data throughout its lifecycle
Data Controls Orchestrator
View
DataControls Cloud^TM
View
Sensitive Data Intelligence
View

Asset Discovery
Data Discovery & Classification
Sensitive Data Catalog
People Data Graph
Learn more

Privacy

Automate compliance with global privacy regulations

Data Mapping Automation

View

Data Subject Request Automation

View

People Data Graph

View

Assessment Automation

View

Cookie Consent

View

Universal Consent

View

Vendor Risk Assessment

View

Breach Management

View

Privacy Policy Management

View

Privacy Center

View

Learn more

Security

Identify data risk and enable protection & control

Data Security Posture Management

View

Data Access Intelligence & Governance

View

Data Risk Managment

View

Data Breach Analysis

View

Learn more

Governance

Optimize Data Governance with granular insights into your data

Data Catalog

View

Data Lineage

View

Data Quality

View
Data Controls Orchestrator
View
Solutions
Technologies

Covering you everywhere with 1000+ integrations across data systems.

Snowflake

View

AWS

View

Microsoft 365

View

Salesforce

View

Workday

View

GCP

View

Azure

View

Oracle

View

Learn more

Regulations

Automate compliance with global privacy regulations.

US California CCPA

View

US California CPRA

View

European Union GDPR

View

Brazil’s LGPD

View

Thailand’s PDPA

View

China PIPL

View

Canada PIPEDA

View

Thailand PDPA

View

+ More

View

Learn more

Roles

Identify data risk and enable protection & control.

Privacy

View

Security

View

Governance

View

Marketing

View
Resources

Blog

Read through our articles written by industry experts

Videos

Solution and customer videos.

Collateral

Product brochures, white papers, infographics, analyst reports and more.

Knowledge Center

Learn about the data privacy, security and governance landscape.

Securiti Education

Courses and Certifications for data privacy, security and governance professionals.
Company

About Us

Learn all about Securiti, our mission and history

Partner Program

Join our Partner Program

Contact Us

Contact us to learn more or schedule a demo

News Coverage

Read about Securiti in the news

Press Releases

Find our latest press releases

Careers

Join the talented Securiti team

Depois do Regulamento Geral Europeu (GDPR) e da Lei de Proteção ao Consumidor da Califórnia (CCPA) - que foi posteriormente substituída pela Lei de Direitos de Privacidade do Consumidor (CPRA) - o Brasil sacudiu o campo da privacidade de dados e da indústria da Internet quando introduziu seu próprio regulamento abrangente de privacidade de dados, a Lei Geral de Proteção de Dados Pessoais (LGPD).

Breve História da LGPD

De acordo com estatísticas recentes, o Brasil tem 140 milhões de usuários de internet (a população do 10º maior país do mundo), o que o torna um dos maiores mercados de internet da América Latina e o quarto maior mercado do mundo.

Nos anos anteriores, o Brasil elaborou mais de 40 regulamentos legais com relação à privacidade de dados em nível federal, alguns que estabeleceram diretrizes gerais e alguns eram específicos do setor, levando a muitas sobreposições e conflitos entre diferentes leis entre os setores. O aspecto negativo dessas leis setoriais é que elas são aplicáveis a setores específicos e não oferecem proteção abrangente aos usuários e consumidores da Internet no Brasil. Também para organizações e empresas envolvidas em operações multissetoriais, cumprir todas essas diferentes leis e seus requisitos é uma tarefa cara e difícil. É por isso que a nova lei de proteção de dados do Brasil, conhecida como LGPD (Lei Geral de Proteção de Dados Pessoais), foi implementada para fornecer uma estrutura regulatória mais abrangente e geral para a privacidade de dados.

A LGPD foi aprovada pelo Congresso Nacional Brasileiro em 14 de agosto de 2018. Em agosto de 2020, o Presidente do Brasil aprovou a criação da autoridade reguladora independente federal - a Autoridade Nacional de Proteção de Dados (ANPD) - para interpretar e fazer cumprir a LGPD e atuar como autoridade supervisora nacional.

Apesar do início da pandemia COVID e de um atraso planejado na vigência até dezembro de 2020 ou maio de 2021, o LGPD foi sancionado e vigora desde 18 de setembro de 2020. As sanções previstas na lei não entrarão em vigor até 1º de agosto de 2021.

Influência do GDPR

É sabido que o LGPD foi elaborado e baseado no GDPR tanto que alguns o chamam de GDPR do Brasil. A LGPD contém 65 artigos que fornecem aos indivíduos direitos dos titulares dos dados, impõem obrigações às organizações para o processamento legal de dados pessoais, exigem notificação de violações de dados à autoridade supervisora e titulares dos dados afetados, criam uma autoridade supervisora nacional para interpretar e fazer cumprir a lei, regulamentar a transferência internacional de dados, definir diretrizes legais de coleta de consentimento e impor pesadas penalidades aos violadores semelhantes ao GDPR.

Essência da lei

LGPD provê:

9 tipos de solicitações de direitos de titulares de dados exercíveis por titulares de dados individuais;
10 bases legais para processamento legal;
Requisitos de divulgação obrigatórios e transparentes que as organizações devem incluir em sua política de privacidade;
Requisitos de coleta e gerenciamento de consentimento para organizações;
Requisito para as organizações nomearem um oficial de proteção de dados;
Direitos especiais para crianças;
Requisitos de segurança de dados e notificações de violação obrigatórias;
Regulamentos para transferências internacionais de dados;
Obrigação de as organizações fornecerem Avaliações de Impacto da Proteção de Dados (DPIAs) mediante solicitação da ANPD;
Poderes à ANPD para regulamentar a aplicação do ato, receber reclamações dos titulares dos dados e apurar qualquer entidade por suspeita de violação dos requisitos legais da LGPD;
Competência da ANPD para julgar os suspeitos de infração e impor várias penalidades e sanções se forem considerados não conformes.

Direito a ser informado sobre a existência do tratamento.

O direito de acessar os dados.

O direito de corrigir dados imprecisos, incompletos ou desatualizados.

O direito de bloquear, tornar anônimo ou excluir dados excessivos ou desnecessários ou dados que não estejam sendo processados em conformidade com LGPD.

Direito à portabilidade dos dados para outro serviço mediante pedido expresso.

O direito de exclusão de dados pessoais que são processados com o consentimento do titular dos dados.

O direito à informação sobre entidades privadas e públicas com as quais os dados são compartilhados.

O direito de ser informado sobre a possibilidade de negar o consentimento e as consequências de tal negação.

Direito de revogar o consentimento.

Definições da LGPD

A seguir estão 19 definições relativas à LGPD.

Dados pessoais	Informações sobre uma pessoa física identificável ou identificada.
Dados pessoais sensíveis	Dados pessoais relativos à origem étnica ou racial, opinião política, crenças religiosas, filiação sindical ou filosófica, religiosa ou política, dados relativos à saúde ou dados genéticos ou biométricos relativos a uma pessoa singular.
Titular dos dados	Uma pessoa física cujos dados pessoais são objeto de processamento.
Consentimento	Manifestação livre, informada e inequívoca em que o titular dos dados concorda com o tratamento de dados pessoais para um determinado fim.
Processamento	Uma operação realizada com dados pessoais.
Banco de Dados	Conjunto estruturado de dados pessoais, mantidos em um ou vários locais, em suporte eletrônico ou físico.
Agentes de processamento	O controlador e o operador.
Controlador	Pessoa física ou jurídica, de direito público ou privado, com competência para deliberar sobre o tratamento de dados pessoais.
Operador	Pessoa física ou jurídica, de direito público ou privado, que trata os dados pessoais em nome do responsável pelo tratamento.
Encarregado	Pessoa física, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares dos dados e a autoridade nacional (ANPD).
Anonimização	Uso de técnicas disponíveis e razoáveis durante o processamento, através da qual os dados perdem a possibilidade de associação direta ou indireta com um indivíduo.
Bloqueio	Suspende temporariamente a operação de processamento através da retenção da base de dados ou dados pessoais.
Exclusão	Exclusão de um conjunto de dados mantidos em um banco de dados, independentemente do procedimento utilizado.
Transferência Internacional de Dados	Transferencia de dados pessoais para uma entidade internacional ou para um país estrangeiro do qual o país seja membro.
Uso Compartilhado de Dados	Comunicação, transferência internacional, disseminação, interconexão de dados ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas, em conformidade com as capacidades legais, ou entre estas e entidades privadas, reciprocamente, com autorização específica, para um ou mais tipos de processamento permitidos por essas entidades públicas, ou entre entidades privadas.
Avaliação do Impacto da Proteção de Dados	Documentação do controlador atribuído que contém a descrição no que diz respeito aos procedimentos de processamento de dados que podem representar riscos para os direitos fundamentais e as liberdades civis, bem como salvaguardas e mecanismos para mitigar o risco.
Órgão de Pesquisa	Órgão ou entidade da administração pública ou pessoa jurídica sem fins lucrativos de direito privado, legalmente constituída de acordo com a legislação brasileira, com sede e foro no País. Este órgão ou entidade inclui na sua missão institucional, nos seus objetivos sociais ou estatutários a investigação básica ou aplicada de natureza histórica, científica, tecnológica ou estatística; e (Nova Redação dada pela Lei nº 13.853 / 2019).
Autoridade Nacional	Órgão da administração pública responsável pelo monitoramento, fiscalização e implementação do cumprimento desta Lei em todo o território nacional. (Nova Redação dada pela Lei nº 13.853 / 2019).

Bases Legais de Processamento

A seguir estão as 10 bases legais de processamento:

Consentimento do titular dos dados
Cumprimento de uma obrigação legal do controlador
Executar as políticas previstas no regulamento, ou com base em acordos, contratos ou instrumentos semelhantes
Para realizar estudos de investigação por entidades que garantam o anonimato dos dados pessoais sempre que necessário
Executar procedimentos preliminares relacionados com um contrato do qual o titular dos dados seja parte
Exercer direitos de procedimentos administrativos, judiciais ou arbitrais
Para proteger a segurança física do terceiro ou titular dos dados
Para proteger a saúde, em procedimento realizado por profissionais de saúde ou por entidades de saúde
Atender interesses legítimos de terceiro ou controlador, exceto quando os direitos do titular que exigirem proteção de dados pessoais prevaleçam
Para garantir crédito

Autoridade Nacional de Proteção de Dados (ANPD)

A ANPD é uma entidade pública de administração, membro da Presidência da República. Tem como objetivo principal:

Interpretar a LGPD;
Conscientizar os titulares dos dados sobre seus direitos no LGPD;
Pedir às organizações para conduzir avaliações de impacto de proteção de dados (DPIAs) e auditar suas atividades de processamento de dados para garantir a conformidade;
Realizar consultorias públicas;
Criar normas para aplicação da LGPD e mantê-la atualizado quanto às tendências e tecnologias recentes;
Trabalhar com outros órgãos reguladores e fiscalizar as autoridades públicas às quais a LGPD se aplica;
Avaliar outras jurisdições se elas oferecem proteções adequadas aos dados dos titulares dos dados;
Para regular as transferências de dados transfronteiriças;
Empreender iniciativas de cooperação internacional com as autoridades de supervisão ou reguladores de privacidade de dados de outros países;
Promover e apoiar tecnologias e estudos que visem proporcionar aos titulares de dados um maior controlo sobre a sua privacidade;
Fazer cumprir a LGPD recebendo reclamações dos titulares dos dados;
Investigar e processar organizações infratoras e conduzir audiências antes de aplicar sanções e penalidades.

Diretrizes para transferência de dados transfronteiriços

A LGPD também regula a transferência internacional de dados pessoais do Brasil para outros países e jurisdições de maneira semelhante ao GDPR. As transferências transfronteiriças só podem ocorrer se:

A transferência de dados pessoais for para organizações em jurisdições que tenham um nível adequado de proteção
Garantias adequadas de conformidade estão em vigor com os direitos do titular dos dados fornecidos pela LGPD, incluindo:
- Cláusulas contratuais específicas
- Cláusulas contratuais padrão
- Normas corporativas globais
- Selos emitidos regularmente
A transferência é necessária para a cooperação jurídica internacional
A transferência é necessária para proteger a vida ou a segurança física do titular de dados ou de terceiros
Autorização fornecida pela ANPD
A transferência está sujeita a obrigação
A transferência é necessária para a atribuição legal de serviço público ou execução de ordem pública.

Obrigações da LGPD

A LGPD impõe obrigações às organizações que tratam e processam dados de titulares brasileiros. Alguns dos requisitos mais importantes são:

O processamento só pode acontecer sob uma das bases legais.
Os oficiais de proteção de dados devem ser atribuídos por controladores de dados.
As Avaliações de Impacto da Proteção de Dados (DPIAs) devem ser realizadas quando exigidas pela ANPD.
Devem ser adotadas medidas de segurança razoáveis para proteger os dados do usuário.
Em caso de violação, as operadoras e controladores devem fornecer notificações de violação à ANPD e aos usuários afetados.
Os operadores e controladores devem manter registros das atividades de processamento de dados.

Diretrizes de segurança sob a LGPD

A seguir estão algumas diretrizes de segurança importantes na LGPD:

Deve haver um controle estrito sobre as pessoas que têm acesso aos dados, definindo a responsabilidade das pessoas e têm privilégios de acesso exclusivos para determinados usuários
Implementação de mecanismos de autenticação para acesso a registros
Criação de inventário detalhado de acesso a registros de conexão e acesso a aplicativos
Uso de técnicas de gerenciamento de registros que garantam a inviolabilidade dos dados, como criptografia ou medidas de proteção equivalentes.

Requisitos de Notificação de Violação

Os Controladores de Dados são obrigados a notificar imediatamente a ANPD e os titulares dos dados afetados sobre incidentes de segurança que possam criar risco ou danos relevantes aos titulares dos dados.
A ANPD deve verificar a gravidade do incidente, se necessário para salvaguardar os direitos dos titulares dos dados, podendo ordenar que o controlador adote medidas para mitigar ou reverter o possível dano ao titular dos dados.
A Notificação enviada pelo controlador de dados deve, no mínimo:
- Definir a natureza dos dados pessoais dos indivíduos afetados;
- Fornecer informações sobre os titulares dos dados envolvidos;
- Indicar as medidas de segurança tomadas pelo controlador de dados para proteger os dados afetados;
- Descrever os riscos para o titular dos dados gerados pelo incidente;
- Fornecer razões para qualquer atraso na comunicação da notificação;
- Estabelecer medidas que foram ou serão adotadas pelo controlador de dados para proteger os titulares de dados afetados de danos futuros.

Isenções de tratamento de dados sensíveis

O artigo 11º menciona a situação limitada em que os dados sensíveis podem ser tratados. São eles:

Quando o titular de dados ou o seu representante legal consentir específica e distintamente, para os fins específicos,
Sem o consentimento do titular dos dados, nas situações em que seja indispensável para:
- Cumprimento do controlador
- Tratamento compartilhado de dados na administração pública
- Estudos realizados por entidade de investigação
- Exercício regular dos direitos
- Proteger a vida ou a segurança das pessoas
- Garantir a prevenção a fraude

As multas máximas podem chegar a até 50 milhões de reais ou 2% do faturamento anual de uma empresa por violação da LGPD. Caberá à ANPD fazer cumprir tais sanções.

A LGPD (Lei Geral de Proteção de Dados) foi elaborada de acordo com o GDPR da UE. A LGPD tem jurisdição global, o que significa que qualquer site que processe dados pessoais de pessoas físicas no Brasil deve obedecer.

Para saber mais sobre LGPD, bem como outras regulamentações de privacidade em todo o mundo, e o que sua organização pode fazer para cumpri-la, inscreva-se para obter uma cópia gratuita do livro PrivacyOps.

Automatizando operações de privacidade em sua organização

A prática multidisciplinar para aumentar o valor de confiança de sua marca e cumprir as regulamentações de privacidade.

Get the Book

“Aproveitando os conceitos de PrivacyOps deste livro em toda a nossa organização, fomos capazes de não apenas economizar tempo e dinheiro, mas também mitigar os riscos associados aos métodos manuais de gerenciamento de privacidade.”

- Marty Collins, Diretor Jurídico e de Privacidade, Quebre, Inc

Lista de Verificação de Conformidade Básica com a LGPD

A LGPD tem uma série de regulamentações que as organizações precisam estar cientes para estar em conformidade com esta legislação. A seguir está uma lista de verificação rápida que pode ser um trampolim para a conformidade com o LGPD.

Mapeie as maneiras como sua organização armazena e processa dados:
A primeira etapa em direção à conformidade é ser capaz de rastrear constantemente onde os dados são armazenados e como são processados dentro da organização.
Aborde os direitos de dados que os titulares têm sobre seus dados:
As organizações precisam estar cientes dos direitos de titulares de dados e honrá-los no caso de um titular decidir exercer esses direitos.
Garantir que a segurança dos dados com controles de segurança apropriados esteja em vigor:
É fundamental que os controles de segurança apropriados estejam em vigor para proteger os dados dos titulares contra acesso não autorizado ou violação.
Crie um sistema para lidar com as violações de dados:
As violações de dados são quase inevitáveis e as organizações precisam ter um plano em vigor no caso de ocorrer uma violação - desde tomar os esforços de mitigação adequados a notificar os titulares dos dados afetados - o não cumprimento dessas atividades pode sair muito caro para a organização.
Realize Avaliações de Impacto de Proteção de Dados regularmente:
É importante que uma organização esteja sempre ciente de sua posição em relação à privacidade e segurança de dados, por isso é recomendável executar DPIAs regulares em suas atividades de processamento.
Contrate um oficial de proteção de dados, se necessário:
Um oficial de proteção de dados é necessário para uma organização, uma vez que suas tarefas se concentram exclusivamente na privacidade de dados - recomenda-se que um seja contratado para auxiliar nos requisitos de conformidade LGPD.
Revisar contratos de processamento de dados:
As organizações precisam fazer um acordo por escrito entre os operadores e controladores e garantir que realizem as auditorias necessárias das atividades de seus operadores para garantir que não estejam em conformidade com a lei.
Renovar sua política de privacidade com base no LGPD:
Finalmente, as organizações precisam refazer sua política de privacidade e alinhá-la com os padrões LGPD de transparência e divulgações necessárias.

Automação para a conformidade

Securiti é uma solução de conformidade premiada que gira em torno do conceito de PrivacyOps. A arquitetura PrivacyOps considera a utilização de automação robótica, inteligência artificial e aprendizado de máquina. Este sistema automatiza a maioria das tarefas, liberando recursos para outras operações de negócios.

A Securiti ajuda as empresas a mapear dados em uma rede de sistemas internos e externos e a montar um gráfico de dados para vincular os dados pessoais a cada indivíduo. Ele também pode realizar avaliações internas automatizadas de políticas, bem como de fornecedores terceirizados, gerenciar consentimento e fazer muito mais! É a ferramenta definitiva para a conformidade com LGPD, bem como com qualquer outra regulamentação de privacidade de dados no mundo.

Para saber como a Securiti pode ajudá-lo em sua jornada em direção à conformidade, enquanto implementa o gerenciamento de privacidade de forma eficiente, solicite uma demonstração hoje.

Aplicável a todas as empresas que processam dados pessoais de titulares de dados residentes no Brasil, independentemente da localização da empresa.

As multas podem chegar a 2% do faturamento anual no Brasil ou R50 milhões por infração, o que aproxima a € 7,5 milhões.

Brasil tem mais de 140 milhões de usuários de internet.

Algumas pessoas chamam o LGPD de “GDPR do Brasil”. Se você já é compatível com o GDPR, está dentro da maioria das disposições do LGPD.

LGPD entrou em vigor em 18 de Setembro de 2020.

At Securiti, our mission is to enable enterprises to safely harness the incredible power of data and the cloud by controlling the complex security, privacy and compliance risks.