A Lei Geral de Proteção de Dados (LGPD) trouxe mudanças significativas para empresas e profissionais do Direito. Com regras rígidas sobre o tratamento de dados pessoais, a legislação exige que advogados adotem novas práticas para garantir a conformidade e a segurança das informações de seus clientes.
Mas, na prática, o que a LGPD significa? Como ela afeta a rotina dos advogados e a prestação de serviços jurídicos? Neste artigo, exploramos o que é, quais os principais impactos da lei e como os profissionais do direito podem se adaptar a esse novo cenário.
O que é a Lei Geral de Proteção de Dados (LGPD)?
A Lei nº 13.709/2018, conhecida como LGPD, é a legislação que regula o tratamento de dados pessoais no Brasil, estabelecendo diretrizes sobre coleta, armazenamento, compartilhamento e descarte dessas informações.
Inspirada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), a LGPD tem como objetivo garantir mais transparência, segurança e controle aos titulares de dados, promovendo o uso responsável e ético das informações pessoais por empresas e instituições.
Qual é a importância da LGPD?
A LGPD foi criada em resposta ao avanço da sociedade digital e à crescente inovação tecnológica, com o intuito de garantir a liberdade, autonomia e intimidade das pessoas, protegendo-as de riscos como vazamentos de dados pessoais e manipulação da opinião pública.
A LGPD não é um tema trivial no Direito; ao contrário, ela representa um reconhecimento profundo de direitos fundamentais, que serão essenciais para o futuro dos negócios e da sociedade como um todo. As violações já ocorridas, como o vazamento de dados e os impactos na sociedade, reforçam a necessidade de uma regulamentação jurídica específica sobre a proteção dos dados pessoais.
A implementação da LGPD no Brasil não é uma invenção ou uma tentativa de “monitorar” as empresas, nem um novo campo do Direito. Seu foco está na proteção dos interesses dos indivíduos que se veem vulneráveis ao poder de grandes empresas na coleta e uso de seus dados pessoais.
Com isso em mente, é essencial que os planos de adequação à LGPD busquem efetivamente proteger os dados pessoais dos cidadãos, considerando também os interesses das empresas. O equilíbrio entre esses princípios é crucial para garantir que a proteção seja eficaz.
Quem deve cumprir a LGPD?
A LGPD se aplica a qualquer empresa, organização, órgão público ou profissional que realize o tratamento de dados pessoais no Brasil, independentemente do porte ou segmento de atuação. Isso inclui desde grandes corporações até pequenas empresas, startups e profissionais autônomos que lidam com informações de clientes, fornecedores ou colaboradores.
A lei abrange tanto dados coletados digitalmente quanto aqueles registrados em documentos físicos. Ou seja, qualquer atividade que envolva a obtenção, armazenamento, processamento ou compartilhamento de dados de indivíduos deve seguir as diretrizes da legislação.
As penalidades para quem não cumpre a LGPD incluem advertências, multas que podem variar de 2% do faturamento da empresa (limitadas a R$ 50 milhões por infração), bloqueio ou eliminação dos dados pessoais, e até a suspensão das atividades de tratamento de dados. A gravidade das penalidades depende da natureza da infração e da boa-fé da empresa em corrigir o problema.
Quais são os conceitos da LGPD
Entendidas as premissas que guiam as transformações da privacidade e da proteção de dados, cabe dizer que as atividades que tratam dados pessoais devem passar pelo crivo da LGPD. Isso impõe a necessidade de que os advogados conheçam, ainda que minimamente, seus conceitos principais e as medidas para salvaguardar os direitos dos titulares.
Neste ponto, é imprescindível entender os seguintes conceitos-chaves da LGPD:
Dado pessoal
Dado pessoal é todo dado que identifique ou possa identificar uma pessoa natural. Nesta categoria estão abrangidos todos os dados que possam ser relacionados a uma pessoa dentro de um contexto específico, desde documentos, números e endereços, até a utilização de cookies dentro de um site na web.
Nem todo dado pessoal está sob o domínio e a incidência da LGPD. Conforme dispõe o artigo 4º da LGPD, existem exceções para as quais a lei não se aplicará, tais como dados utilizados com fins artísticos, acadêmicos, jornalísticos, etc.
Dado pessoal sensível
É imprescindível determinar se a empresa, organização, escritório, etc, realiza a coleta de dados pessoais sensíveis e de crianças ou adolescentes.
Os dados pessoais sensíveis são dados de especial destaque e proteção jurídica dentro da LGPD. Conforme dispõe seu artigo 5º, II, são dados relativos à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”.
Note-se que esses dados possuem centralidade na norma, uma vez que podem ensejar a discriminação do seu titular.
Finalidade
É imprescindível entender com qual finalidade o tratamento dos dados é feito. A lei preceitua que as empresas, organizações, escritórios e outros agentes de tratamento devem minimizar a coleta de dados sempre que possível, coletando dados necessários, razoáveis e adequados às finalidades da atividade ou negócio.
Base legal
É necessário enquadrar sua coleta de dados pessoais em alguma base legal prevista pela LGPD. O consentimento não é necessário na maioria das situações. A LGPD trabalha com várias bases legais para realização da coleta de dados pessoais triviais. É importante que o advogado estude quais são as bases adequadas a sua atividade e aos negócios de seus clientes.
Saiba mais: Consentimento ou Legítimo Interesse – como utilizar as bases legais da LGPD
Atuação transparente
É importante atuar com transparência e accountability perante o titular, explicando, sempre que possível, o modo de processamento dos dados e medidas adotadas para a sua proteção.
Neste sentido, caso o agente de tratamento faça a utilização de aplicações de Inteligência Artificial, o titular terá direito de solicitar a revisão dessas “decisões” tomadas unicamente com base em tratamento automatizado.
Os dados pessoais coletados devem ser apropriados e compatíveis com a finalidade declarada. Ou seja, a forma como as informações são tratadas deve estar alinhada com o propósito informado ao titular, sem desvios ou usos inesperados.
Prazos
É necessário imputar prazos para o armazenamento e descarte dos dados pessoais segundo o contexto do negócio ou atividade. Esse tempo deverá levar em consideração as necessidades da empresa e as obrigações legais e regulatórias que serão desempenhadas futuramente pelo agente de tratamento, isto é, pela empresa, escritório, organização, etc.
Compartilhamento de dados e Segurança
É necessário avaliar se há compartilhamento de dados, transferência internacional de dados ou operações entre joint-controllers. Para este caso, normas específicas da LGPD serão aplicadas exigindo medidas de salvaguarda e responsabilização.
As organizações devem adotar medidas técnicas e administrativas para proteger os dados contra acessos não autorizados, vazamentos, perdas ou qualquer forma de tratamento inadequado. Isso envolve o uso de criptografia, políticas de acesso restrito, auditorias regulares e outras práticas de segurança da informação.
Canais de comunicação
É imprescindível instituir canais de comunicação por meio dos quais o titular de dados poderá exercer seu direito ao acesso de dados, retificação ou exclusão. Assim, caso o titular deseje saber quais são os dados armazenados sobre ele, demandar a sua correção ou exclusão, deverá contar com canais específicos para tanto.
Encarregado de Dados Pessoais ou DPO
É necessário que as empresas, organizações ou serviços que se enquadrem como agentes de tratamento, ou seja, aqueles que coletam dados pessoais, nomeiem um “Encarregado de Dados Pessoais” ou “Data Protection Officer (DPO)”.
O Encarregado de Dados Pessoais deverá ser responsável pelas operações de tratamento, além de realizar a interface com os titulares, bem como atender a Autoridade Nacional de Dados Pessoais (ANPD) sempre que necessário.
Necessidade
A coleta e o processamento de dados devem se limitar ao estritamente necessário para atingir a finalidade pretendida. Isso significa que não se deve solicitar informações excessivas ou irrelevantes para a atividade em questão, reduzindo riscos de exposição e garantindo maior proteção ao titular.
Como as empresas podem se adequar a LGPD
Para garantir a conformidade com a LGPD, as empresas precisam adotar uma série de medidas que assegurem a proteção dos dados pessoais.
Veja quais os principais fatores para sua empresa se adequar a esta lei:
Mapeamento de dados e segurança da informação
Para construir um mapa ou inventário de dados pessoais, o profissional do Direito deve estabelecer um diálogo claro com os envolvidos no negócio. Há diversas metodologias para data mapping, disponíveis em guias como os da Secretaria do Governo Digital e organizações internacionais como a ICO, do Reino Unido.
A maioria das metodologias utiliza entrevistas com líderes dos processos que coletam dados pessoais, abordando aspectos como tipos de dados, processamento, finalidade e transferência. Esse mapeamento permite compreender o ambiente de dados da empresa e adequá-lo à LGPD.
É essencial relacionar os processos mapeados às vulnerabilidades de segurança da informação, tornando decisivas as entrevistas com responsáveis de TI. A empresa deve garantir segurança em seus sistemas, redes e equipamentos, prevenindo vazamentos e ataques.
Recomenda-se a realização de testes de intrusão (pentest) para avaliar a segurança do ambiente informacional. A conformidade com a LGPD exige não apenas ajustes documentais, mas também a proteção efetiva dos sistemas. Assim, advogados e profissionais de TI devem atuar juntos para garantir total adequação à legislação.
Veja também: Indicadores jurídicos e KPIs para escritórios de advocacia
Construção de um plano de melhoria
Depois de mapear os dados pessoais e avaliar a segurança da informação, o profissional de privacidade pode identificar vulnerabilidades, como:
- Acesso excessivo a dados pessoais por funcionários sem necessidade;
- Coleta de dados pessoais além do necessário;
- Ausência de um procedimento padrão para a coleta de dados;
- Armazenamento indefinido de dados em locais de fácil acesso;
- Compartilhamento de dados sem controle ou regulação;
- Coleta indevida de dados sensíveis sem base legal;
- Falta de firewalls e bloqueios de segurança;
- Inexistência de um canal para atender os direitos dos titulares;
- Ausência de um DPO nomeado;
- Falta de cultura de privacidade, com compartilhamento de senhas e uso inadequado de dispositivos.
Essas vulnerabilidades são comuns na adequação à LGPD. Com esse diagnóstico, o profissional de privacidade pode recomendar ajustes no tratamento de dados da empresa.
Documentação de operações e conformidade
O profissional deve definir as bases legais para o tratamento de dados pessoais na empresa, garantindo conformidade com a LGPD. A base legal escolhida reflete a finalidade da coleta. Por exemplo, na compra e venda, aplica-se o artigo 7º, V, que permite o tratamento para execução de contrato.
O consentimento é uma base legal relevante, mas não obrigatória em todos os casos, pois exige gestão contínua e pode ser questionado por vícios. Além disso, certas coletas são necessárias para cumprir obrigações legais ou interesses legítimos, como a aferição de temperatura na pandemia, dispensando o consentimento, como disposto no artigo 11, II.
Além da definição das bases legais, é essencial alinhar documentos e políticas que sustentem um Programa de Compliance em Privacidade & Proteção de Dados. Alguns documentos são obrigatórios, outros variam conforme o modelo de negócios, como:
- Políticas de Privacidade para titulares e colaboradores;
- Política de Segurança da Informação;
- Gestão de Incidentes;
- Avaliação de Legítimo Interesse;
- Relatório de Impacto à Proteção de Dados (RIPD);
- Registro das Operações de Tratamento de Dados (ROPA);
- Data Processing Agreement (DPA);
- Atualizações contratuais e Aviso de Privacidade.
A implementação dessas medidas, conforme o modelo de negócio, fortalece a conformidade com a LGPD. Porém, a adequação vai além de documentos e processos, exigindo mudança cultural e treinamento contínuo. A conformidade diária depende das pessoas.
Por fim, um bom Plano de Adequação deve considerar processos, sistemas, pessoas e riscos. Empresas que usam Inteligência Artificial para tratamento de dados enfrentam desafios adicionais, como decisões automatizadas e questões éticas, tema do próximo texto.
IA e LGPD: principais desafios a conformidade
O debate sobre a transparência na IA é controverso, mas a LGPD exige que desenvolvedores informem a lógica geral das aplicações automatizadas, incluindo a origem dos dados, critérios utilizados e finalidade do tratamento, respeitando segredos comerciais. Empresas que coletam dados pessoais via IA devem comunicar essa prática e qualquer mudança de finalidade, desafio significativo no contexto do Big Data.
Os consumidores têm direito à explicação sobre processos automatizados e à revisão de decisões que afetem seus interesses, como seleção de currículos, promoções ou taxas de juros.
Se impactado por uma decisão automatizada, o indivíduo pode solicitar explicação e contestação, conforme o artigo 20 da LGPD. No entanto, a interpretação do “direito à revisão” ainda é incerta, podendo envolver nova decisão humana independente ou assistida pelo algoritmo.
A conformidade das aplicações de IA é desafiadora. O Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no artigo 38 da LGPD, avalia os impactos da IA nos direitos fundamentais, abordando lógica do algoritmo, riscos e formas de mitigação. Deve-se evitar vieses discriminatórios, exigindo auditoria contínua e diversidade nas equipes de desenvolvimento.
Apesar das incertezas, a LGPD estabelece diretrizes para o uso responsável da IA. Questões não previstas devem ser resolvidas com base na ética, razoabilidade e proporcionalidade, princípios essenciais da legislação.
Se você tem interesse em saber exemplos de como a Inteligência Artificial já vem sendo aplicada no Direito, baixe gratuitamente nosso e-book “Inteligência Artificial e Direito: o guia definitivo”.
Como a LGPD impacta o dia a dia dos advogados?
A lei geral de proteção de dados trouxe uma série de mudanças para o dia a dia do advogado, pois ela exige que eles assessorem as empresas e organizações na adaptação de suas práticas, e aumenta a responsabilidade dos advogados em garantir a conformidade legal e a proteção dos dados pessoais no ambiente corporativo.
O advogado que ingressa nesse mercado deve compreender o modelo de negócios para estabelecer um plano de implementação adequado, incluindo políticas e documentos exigidos pela LGPD e boas práticas internacionais.
Esse profissional deve ter um perfil interdisciplinar, reunindo conhecimentos além do Direito, como Inteligência Artificial, cybersecurity, compliance e gestão de riscos.
É essencial desenvolver pensamento sistêmico para compreender o negócio e realizar um levantamento de dados eficaz. Além disso, habilidades de comunicação e empatia são fundamentais para dialogar com diferentes interlocutores de forma clara e precisa.
O advogado precisa adotar uma postura mais integrada, indo além da aplicação de normas jurídicas para atuar na mediação e gestão de riscos em proteção de dados.
A implementação da LGPD e consultorias nessa área têm ganhado destaque no mercado brasileiro. Esse processo exige acompanhamento contínuo, já que as empresas devem garantir os direitos dos titulares e monitorar suas políticas regularmente. Além disso, o aumento de vazamentos de dados pode impulsionar a demanda por serviços jurídicos litigiosos.
O mercado já observa ações judiciais baseadas na LGPD e diversas metodologias para adequação de negócios. Advogados especializados em privacidade, cybersecurity e DPOs estão em alta, assim como cursos e treinamentos na área.
Mesmo quem não atua diretamente no setor deve estar atento à LGPD, pois grande parte dos serviços jurídicos envolve dados pessoais. Assim, a adequação à lei se torna inevitável, exigindo dos profissionais do Direito um papel ativo na proteção da privacidade e dos dados no Brasil.
