O texto da Lei Geral de Proteção de Dados, como de praxe, começa com o estabelecimento do escopo e objetivos das regras que virão a seguir. A LGPD visa preservar o direito constitucional à liberdade e à privacidade que todos os cidadãos brasileiros têm, assim como protegê-los de danos causados por rupturas desses direitos.
O parágrafo também destaca que as regras da LGPD valem em todo o território nacional e que prevalece sobre quaisquer outras leis municipais ou estaduais.
Finalmente, temos a especificação de que a LGPD se aplica “inclusive nos meios digitais”. Quando se fala sobre a lei, a proteção de dados na internet e em meios eletrônicos costuma ser o foco, mas é fundamental entender que suas normas valem para todo e qualquer tratamento de dados, inclusive analógicos (fichas de cadastro no papel, verificações presenciais de documentos etc.).
Aqui, temos mais especificações sobre os embasamentos para a LGPD. A lei é construída sob a premissa do respeito à privacidade e à liberdade (inclusive de expressão). Enquanto isso, o conceito de autodeterminação informativa (item II) entende que o cidadão é soberano sobre suas próprias informações pessoais e deve ser o protagonista de quaisquer temas relacionados ao tratamento de seus dados.
Os itens IV e VII estabelecem que a LGPD se preocupa com a preservação da imagem do cidadão — um dos motivos por que seus dados pessoais devem ser protegidos é que o tratamento dessas informações não pode ser feito com fins de prejudicá-lo, salvo em casos específicos com finalidade noticiosa, por exemplo.
Finalmente, os itens V e VI especificam que a LGPD não se propõem a prejudicar as atividades das empresas que realizam tratamento de dados. O objetivo das regras é proteger o cidadão, e isso compreende entendê-lo como soberano de seus dados.
Ou seja, a Lei não impede o tratamento, e sim estabelece meios para que o cidadão saiba exatamente o que será feito com seus dados. Dessa forma, ele tem autonomia e capacidade de consentir, ou não, com o uso que a empresa deseja fazer de suas informações pessoais.
Isso preserva a competitividade e as estratégias das empresas, desde que elas se preocupem com a comunicação e uso transparente dos dados pessoais tratados no decorrer dessas atividades.
Determina o escopo de atuação da lei, que se aplica a todo e qualquer tratamento de dados realizado tanto por pessoa física quanto por pessoa jurídica. A seguir, temos as especificações, que afunilam a regra.
A LGPD se aplica a qualquer tratamento de dados ocorrido (total ou parcialmente) em solo brasileiro, ou que tenha por objetivo vender produtos e serviços nacionais. Uma pessoa estrangeira está protegida sob a LGPD dentro do Brasil, por exemplo, enquanto um brasileiro em outro país não.
Além disso, a lei é voltada para tratamentos com fins comerciais, ou seja, trocas e outros tratamentos de dados entre pessoas físicas sem objetivos de compra ou venda de produtos e serviços não se enquadram.
Complementando o que já havia sido abordado no artigo anterior, pessoas físicas têm o direito de realizar tratamentos de dados livremente quando estes tiverem fins exclusivamente particulares.
Além disso, o direito à privacidade e à liberdade não impede a coleta, o uso e outros tratamentos de dados para fins jornalísticos, artísticos ou acadêmicos. Dessa forma, preserva-se a liberdade de imprensa, da arte e da ciência.
Quando os objetivos de um tratamento de dados são relacionados à segurança pública, à defesa nacional e/ou à segurança do Estado, são isentos da LGPD. Atividades investigativas ou com o objetivo de impedir a ocorrência de crimes também resultam em tratamentos de dados válidos. É importante ressaltar que o tratamento de dados no contexto de garantir a segurança e defesa nacional deve ser realizado exclusivamente por órgão público, empresa pública ou empresa privada que esteja sob tutela do poder público ao realizar aquela atividade.
A LGPD prevê legislação específica para assegurar que, nesses casos, o tratamento de dados será feito única e exclusivamente para fins de atender o interesse público.
O item IV especifica outros casos em que a LGPD não se aplica. A Lei não vale para o tratamento de dados que venham de fora do Brasil — deve-se seguir a lei de proteção de dados do país de origem das informações tratadas. Nesses casos, as leis do país de origem são priorizadas caso o nível de proteção seja equivalente ao da LGPD.
O artigo 5 é um dos mais importantes da LGPD, pois estabelece a definição de conceitos fundamentais para a compreensão do texto como um todo. Então, entenda o que significa:
O conceito de “legítimo interesse” não é especificado e, portanto, só será possível entender exatamente sua extensão e aplicação a partir das situações concretas que forem surgindo ao longo da atuação da ANPD após a entrada em vigor da lei.
Utilizar os dados pessoais coletados para fins de e-mail marketing, por exemplo, entra dentro do legítimo interesse do controlador (conforme especificado no item I). Para essa e outras atividades de legítimo interesse, é importante que somente os dados estritamente necessários sejam utilizados. Assim, preserva-se tanto o legítimo interesse do controlador quanto a integridade dos dados do titular.
É prerrogativa da ANPD pedir que o controlador forneça relatórios sobre o impacto que as atividades de legítimo interesse têm sobre a proteção dos dados pessoais tratados.
Dados anonimizados não são considerados dados pessoais e, portanto, não são protegidos pelas diretrizes regulares da LGPD. Para que isso efetivamente aconteça, porém, a anonimização dos dados não pode, sob hipótese alguma, ser passível de reversão.
A lei determina que a reversão não pode ser possível “com esforços razoáveis”, o que deixa certa margem para interpretação. Mas, como explica o parágrafo 1º, a determinação de quais são os “esforços razoáveis” de um agente considera o tempo e o custo necessários para conseguir reverter a anonimização, assim como a tecnologia disponível. Ou seja, o total de esforço e a disponibilidade de ferramentas que possam reverter o processo.
Caso fique comprovado que não é possível identificar os titulares desses dados, eles são considerados anônimos. Se o controlador criptografar dados pessoais mas tiver uma chave de criptografia, por exemplo, trata-se de um processo facilmente reversível.
Para esclarecer melhor a questão, é possível que a Autoridade Nacional venha a estabelecer os padrões a serem seguidos em processos de anonimização de dados.
Este artigo trata do tratamento de dados pessoais por órgãos de pesquisa estudando questões de saúde pública. Nesses casos, os dados podem ser tratados, mas isso deve acontecer única e exclusivamente dentro do órgão e para fins da pesquisa sendo conduzida. Deve-se dar preferência para a anonimização (ou pseudonimização) dos dados.
Mas o que é pseudonimização? Como explica o parágrafo 4º deste artigo, é quando um dado pessoal só pode ser atrelado a um indivíduo se houver acesso também a alguma outra informação — que deve ser mantida em separado e em total segurança. Dessa forma, se alguém conseguir acesso apenas aos dados originalmente tratados, não conseguirá relacioná-lo a nenhum indivíduo.
O tratamento dos dados pessoais deve ser terminado quando a finalidade for alcançada, quando os dados tratados não forem mais necessários para aquela finalidade, quando o fim do período de tratamento acordado com o titular se encerrar ou quando o titular assim solicitar. Outra condição que leva ao encerramento é quando a Autoridade Nacional de Proteção de Dados determinar o fim do tratamento de dados após descobrir irregularidades no cumprimento da LGPD.
E, após o término do tratamento, os dados pessoais devem, via de regra, ser eliminados. Isso não é exigido quando a permanência dos dados é necessária para que o controlador cumpra suas obrigações legais (para fins de compliance ou KYC, por exemplo).
Órgãos de pesquisa estão isentos dessa regra, mas recomenda-se a anonimização dos dados sempre que possível.
Cumpridas as diretrizes da lei e/ou sob a solicitação do titular, a transferência dos dados a terceiros é permitida no lugar de sua exclusão. Além disso, caso o controlador anonimize os dados, é possível mantê-los para uso único e exclusivo (para fins estatísticos, por exemplo).
Todos os cidadãos são os titulares de seus próprios dados pessoais e sob hipótese alguma perderão essa titularidade. Não importa o que seja pedido no consentimento ou qual seja o tratamento; dados pessoais são individuais e intransferíveis e sempre pertencerão à pessoa a que se referem.
A qualquer momento e de forma gratuita e simples, o titular pode solicitar relatórios e informações sobre seus dados, incluindo a confirmação de qual é o tratamento feito com eles, quem tem acesso aos dados, quais são os dados sendo tratados e com quais agentes foram compartilhados.
Além disso, o titular pode solicitar a correção ou atualização de dados, assim como a anonimização, exclusão ou interrupção do tratamento de dados pessoais não necessários para a finalidade à qual consentiu.
Outro direito do titular é exigir a portabilidade de seus dados pessoais para outro prestador do mesmo serviço, por exemplo, de um plano de saúde para outro ou de um banco para outro. Nesses casos, devem ser preservados os segredos do negócio do controlador. Isso exclui dados que já haviam sido anonimizados.
A qualquer momento, o titular pode questionar o controlador sobre o que acontecerá se ele não consentir com o tratamento de seus dados: a quais serviços não terá acesso, quais aspectos do serviço serão prejudicados etc.
E se o controlador não for capaz de providenciar as informações solicitadas imediatamente, como obriga a LGPD? Então, deverá esclarecer os motivos por que não consegue. Caso o titular solicite as informações para uma empresa que não é a controladora (para a operadora, por exemplo), então deve-se indicar quem é o real agente de tratamento dos dados.
Se o controlador compartilhou os dados com outros agentes de tratamento, há a obrigação de entrar em contato com eles para solicitar que também realizem os procedimentos solicitados pelo titular.
Quando o titular solicitar a confirmação de que seus dados estão com o controlador ou peça acesso a esses dados, o agente deve fazê-lo imediatamente e de forma simplificada. Outra opção é fornecer uma declaração completa (mas também clara e acessível) dentro do prazo de 15 dias. Essa comunicação deve detalhar a origem dos dados, a finalidade do tratamento e o critério para tal, respeitando-se sempre os segredos de negócio. As informações podem ser fornecidas por meio eletrônico ou impresso, de acordo com a solicitação do titular.
Ao determinar a forma com que os dados serão armazenados, o controlador deve levar em consideração a acessibilidade das informações nos casos de solicitação por parte do titular. Assim, assegura-se o cumprimento dos prazos.
É direito do titular solicitar uma cópia eletrônica de todos os seus dados pessoais armazenados pelo controlador de forma que possam ser usados posteriormente, até mesmo em outros tratamentos.
A LGPD prevê que a Autoridade Nacional pode determinar prazos diferenciados para setores específicos. Dessa forma, preserva-se a integridade de empresas menores, por exemplo, que podem ter mais dificuldades nesse sentido do que uma grande multinacional, por exemplo. A ideia é garantir o exercício dos direitos do cidadão sem prejudicar desnecessariamente as empresas controladoras dos dados.
Cada vez mais frequentemente, processos operacionais são automatizados por meio de soluções de machine learning e inteligência artificial, por exemplo. Quando essas e outras tecnologias tomarem decisões de forma puramente automatizada, o titular tem o direito de solicitar a revisão dessas decisões.
O controlador deve ser capaz de fornecer informações claras e transparentes sobre como o processo de decisão automatizada acontece. Caso isso não se cumpra, a ANPD pode solicitar auditoria para verificar se há algum tipo de discriminação ou viés na tomada de decisões automatizadas.
Se o titular sentir que seus interesses não estão sendo respeitados, ele pode tomar providências legais sozinho ou, se preferir, fazer isso ao lado de outros titulares que também se sentirem prejudicados pelo mesmo controlador.
Aborda o tratamento de dados pessoais pelo poder público, que pode ser realizado quando houver uma finalidade pública de interesse também público e somente quando houver real necessidade do tratamento para a execução dessas obrigações legais.
O artigo não aborda o compartilhamento de dados ou o tratamento de dados sensíveis, o que abre espaço para que informações biométricas, por exemplo, venham a ser tratadas em nome da segurança pública.
Para operações da esfera pública que envolvam tratamentos de dados pessoais, deve ser apontado um encarregado para zelar pelo bom uso e segurança das informações. Após formada, a ANPD pode determinar como devem ser anunciadas as medidas de segurança e as formas de tratamento.
Pessoas jurídicas de direito privado são as associações, sociedades, fundações, organizações religiosas, partidos políticos e empresas individuais de responsabilidade limitada, instituídas por iniciativa de particulares.
Já as empresas públicas são os entes de administração direta — União, Estados, Distrito Federal, Territórios e Municípios —, as autarquias, as fundações públicas e as demais entidades de caráter público. Por último, as sociedades de economia mista são formadas tanto por capital público quanto privado, sendo que a parcela de capital público deve ser maior.
Para os fins da LGPD, as sociedades de economia mista e as empresas públicas estão sujeitas às mesmas diretrizes e regras das empresas de direito privado particular quando operarem em regime de concorrência, ou seja, para fins comerciais e/ou mercadológicos. Enquanto isso, se estiverem aplicando políticas públicas dentro de seus respectivos âmbitos de execução, serão consideradas da mesma forma que os demais órgãos do poder público.
Prezando pela possível necessidade de execução de políticas e serviços públicos, e também pela descentralização da atividade pública e pelo livre acesso à informação por parte dos cidadãos, a LGPD orienta que os dados pessoais tratados nessas esferas devem ser mantidos de forma a permitir o uso compartilhado.
Complementando diretamente o artigo 25, o artigo 26 determina que o compartilhamento de dados por parte do poder público só pode acontecer para fins de execução das políticas públicas. Ou seja, é preciso haver uma justificativa real e comprovável para o compartilhamento.
Além disso, excetuando-se a prevenção a fraudes ou o uso de dados publicamente disponíveis, o poder público não deve compartilhar dados com entidades privadas.
O artigo 28, que foi integralmente vetado, previa a necessidade de informar publicamente sobre compartilhamentos de dados entre entidades do poder público. A justificativa para o veto é que essa publicização prejudicaria atividades de fiscalização, controle e policiamento.
Portanto, as entidades ficam obrigadas a seguir as regras dos artigos 26 e 27, mas não precisam informar publicamente sobre esses compartilhamentos de dados.
A Autoridade Nacional de Proteção de Dados pode solicitar informações sobre o tratamento de dados pessoais às entidades do poder público, assim como informações específicas sobre os dados em si. Também pode exigir a realização de tratamentos.
Após seu estabelecimento, a ANPD ainda pode adicionar novas diretrizes sobre o compartilhamento de dados e a forma com que esse tipo de tratamento compartilhado é comunicada.
A Autoridade Nacional de Proteção de Dados pode propor diretrizes para correção de violações de dados, quando estas acontecerem por causa de tratamentos de dados pessoais feitos por órgãos públicos.
A ANPD ainda pode pedir que agentes do poder público divulguem relatórios de impacto à proteção de dados pessoais, assim como propor medidas para aprimorar os padrões e processos no tratamento desses dados.
Determina os casos em que dados pessoais podem ser transferidos para fora do Brasil. A transferência só pode ser feita para países cujas leis de proteção de dados proporcionem um nível de proteção aos dados equivalente ao da LGPD — por isso, o controlador tem o dever de assegurar o cumprimento desses princípios por meio de cláusulas contratuais, certificados e outras comprovações reconhecidas.
A transferência pode acontecer também quando for necessária a cooperação entre órgãos públicos de inteligência de diferentes países para fins de investigação e processamento penal, ou quando a transferência for necessária para a proteção da vida ou da integridade física de um indivíduo ou para a execução de políticas públicas ou demandas legais do serviço público.
Além disso, a ANPD tem autoridade para autorizar a transferência em quaisquer casos que julgar relevantes, e o titular pode escolher consentir para fins específicos e claramente informados que envolvam a transferência de seus dados para outros países.
Como especificado no artigo 33, uma exigência para a transferência de dados para outros países é que a legislação ofereça níveis de proteção similares aos da LGPD. A responsável por avaliar isso é a ANPD, considerando a legislação em vigor no país, a natureza dos dados a serem transferidos e as medidas de segurança adotadas, entre outros aspectos.
A responsabilização do controlador pela proteção de dados em casos de transferências para o exterior, conforme especificado no artigo 33, deve ser feita por meio de cláusulas contratuais, certificados e outras comprovações reconhecidas. Sendo assim, é a ANPD que vai definir as cláusulas e certificados aceitos. Ao conduzir essas demandas, a ANPD pode solicitar ao controlador informações adicionais sobre o tratamento proposto.
Nessas situações, devem-se considerar sempre os requisitos e condições mais básicos da LGPD, assegurando assim o mínimo cumprimento da lei. Além disso, a Autoridade pode revisar as certificações e anulá-las, caso encontre desconformidades.
Caso ocorram mudanças nos preceitos utilizados como garantia do nível de proteção de dados proporcionado em transferências para fora do Brasil, a ANPD deve ser comunicada.
É dever tanto do controlador quanto do operador manter registros claros e completos sobre todos os tratamentos de dados que realizarem. Isso é especialmente importante nos casos em que o tratamento é realizado para fins de legítimo interesse, pois o titular tem o direito de questionar isso e podem ser necessárias auditorias por parte da ANPD.
A ANPD pode solicitar que o controlador providencie relatórios detalhando o impacto que os tratamentos realizados têm sobre a proteção dos dados pessoais, inclusive em casos de tratamentos de dados sensíveis.
Tais relatórios devem incluir detalhes sobre os dados coletados, sobre como foi feita a coleta e sobre as garantias para a segurança desses dados, além de uma análise do controlador sobre essas medidas de segurança e prevenção a riscos. Pode-se optar por incluir outras informações julgadas relevantes, mas as aqui listadas são essenciais.
O operador deve tratar dados pessoais exatamente de acordo com as instruções do controlador — que, por sua vez, é o responsável por garantir que essas instruções obedecem a todas as diretrizes da LGPD.
Visando preservar a transparência nos tratamentos de dados e sua real essencialidade, a ANPD pode estabelecer padrões de interoperabilidade para os casos de portabilidade e no que visa o livre acesso aos dados, a segurança da informação e o tempo pelo qual os registros devem ser mantidos.
Dentro do contexto da LGPD, interoperabilidade é a capacidade de sistemas e empresas operarem entre si.
O controlador é o responsável por indicador o encarregado, pessoa responsável pelo tratamento de dados pessoais. Além disso, o controlador deve informar claramente — de preferência em seu site — a identidade e os meios de contato do encarregado. Isso é necessário para que o titular possa entrar em contato com o encarregado, caso deseje.
O artigo 41 detalha, ainda, as atividades de responsabilidade do encarregado, que incluem: receber reclamações e outras mensagens dos titulares; fornecer esclarecimentos e tomar providências para solucionar problemas ou dúvidas; receber mensagens da ANPD e tomar as devidas providências; orientar os colaboradores quanto à proteção de dados; e demais atividades exigidas pelo controlador sobre o tratamento de dados, visando obedecer a Lei.
Após sua formação, a ANPD pode estabelecer outras atividades para o encarregado. Dependendo da organização, levando em consideração características como porte e volume do tratamento de dados, a Autoridade Nacional pode dispensar a necessidade desse profissional.
O tratamento de dados feito pelo controlador ou operador não pode ter quaisquer consequências negativas ou de alguma forma causar danos ao titular. Caso isso aconteça, o agente responsável deve reparar a situação imediatamente.
A responsabilidade é do operador quando este descumprir suas obrigações dentro da LGPD ou quando desobedecer às ordens dadas pelo controlador. Enquanto isso, a responsabilidade cai sobre o controlador quando estiver diretamente envolvido no tratamento danoso.
Nesses casos, é o titular quem deve fornecer provas de que o tratamento causou danos a ele. Porém, se o juiz entender que a acusação é verossímil, mas que o titular não tem condições ou recursos para fornecer as provas, o dever de fornecê-las pode passar para o agente de tratamento.
Para não serem responsabilizados por danos decorrentes do tratamento de dados, os agentes precisam comprovam que não realizam esse tratamento, que o realizam mas que não houve violação às diretrizes de proteção à integridade do titular ou que o titular é o único culpado pelos danos em questão.
O tratamento de dados é considerado irregular quando não seguir a LGPD ou quando não proporcionar o devido nível de segurança de dados. Tal segurança deve ser assegurada levando em consideração a forma com que o tratamento é realizado, os riscos que podem ser esperados e as tecnologias disponíveis no momento.
Se acontecerem danos decorrentes da desobediência das diretrizes de segurança de dados, o agente responsável por essas falhas — seja o controlador, seja o operador — será responsabilizado.
Quando o assunto são relações de consumo, o que determina o que é ou não uma violação dos direitos do titular é a legislação vigente, ou seja, a Lei 8.078/1990 – Código de Defesa do Consumidor.
A segurança de dados deve incluir a garantia de que somente as pessoas devidamente autorizadas e fundamentais podem ter acesso aos dados. Deve-se assegurar também que não haverá tentativas ou situações indevidas e/ou acidentais de perda, alteração, compartilhamento ou qualquer outro tipo de tratamento com os dados. Para garantir isso, os agentes de tratamento devem tomar medidas técnicas e administrativas.
Os padrões mínimos para esse tipo de proteção poderão ser dispostos pela ANPD, levando em consideração o tipo de tratamento realizado e as possibilidades atuais da tecnologia.
O artigo destaca que esses cuidados devem ser levados em consideração não apenas durante a execução, mas desde a fase de concepção do produto. Isso aproxima a LGPD do conceito de Privacy by Design, em que a privacidade e a segurança de dados são parte integrante do desenvolvimento do produto, e não preocupações posteriores.
Quaisquer agentes ou indivíduos que tiverem participação ou intervirem em qualquer fase do tratamento de dados torna-se responsável por assegurar a segurança desses dados, mesmo depois que o tratamento terminar.
Diante de um incidente ou falha na segurança de dados que possa resultar em danos ou riscos aos titulares, é dever do controlador comunicar a ANPD e os titulares dos dados envolvidos.
O prazo para essa comunicação será definido pela Autoridade Nacional, mas deve incluir pelo menos a natureza dos dados afetados, as informações dos respectivos titulares, o detalhamento das medidas de segurança adotadas para a proteção dos dados, os possíveis riscos do incidente e o que será feito para mitigar ou reverter as consequências. Caso haja demora na comunicação, é preciso incluir também os motivos para o atraso.
A partir daí, a ANPD irá averiguar a situação e a gravidade do ocorrido. Visando preservar os titulares, a Autoridade pode solicitar que o controlador divulgue amplamente o incidente nos meios de comunicação e/ou tome providências para reverter ou mitigar os efeitos.
A avaliação do nível de gravidade do ocorrido deve levar em consideração o fornecimento de que os dados envolvidos encontram-se ininteligíveis por meio de medidas técnicas, impedindo assim que terceiros não-autorizados os acessem.
Todos os sistemas e bases de dados usados para o tratamento devem ser estruturados levando em consideração as diretrizes de segurança dispostas pela LGPD, assim como os padrões de boas práticas e de governança propostos pela lei e demais normas legislativas.
A LGPD recomenda que os agentes de tratamento estabeleçam regras de boas práticas e de governança sobre segurança e proteção de dados. O documento pode incluir, por exemplo, os procedimentos e os padrões técnicos da organização, como lidar com reclamações e petições dos titulares, as ações educativas tomadas dentro do empresa, os envolvidos nos tratamentos, processos para mitigar riscos etc.
Se escolherem fazer isso, é importante levar em consideração todas as diretrizes da LGPD, garantindo assim que o documento está alinhado com a lei e efetivamente ajudará o agente de tratamento a obedecê-la.
Apesar de não ser obrigatório, a existência de tais documentos e sua respectiva aplicação no dia a dia da instituição será levada em consideração pela ANPD se for necessário determinar sanções para incidentes ou falhas que vierem a ocorrer.
O artigo recomenda ainda que, após analisar o volume e a sensibilidade dos dados tratados e a gravidade dos riscos envolvidos, o controlador pode implementar programas de governança internos para divulgar as boas práticas de proteção de dados, que devem ser aplicadas a todos os dados pessoais coletados, e as políticas e medidas preventivas estabelecidas. O programa deve ser construído também de acordo com a estrutura da organização e visar a construção de relações de confiança com o titular — valorizando, portanto, a transparência e a clareza nas comunicações.
A LGPD aponta ainda a importância de que tal programa inclua planos de resposta e remediação para casos de incidentes e que seja reavaliado e atualizado com frequência. Se a ANPD assim pedir, será necessário comprovar a eficácia do programa.
A ANPD vai promover a adoção de padrões técnicos mínimos para facilitar o controle de dados por parte dos próprios titulares. Assim, a Autoridade cumpre seu papel de não apenas aplicar a LGPD, mas também de conscientizar a população sobre os temas da lei.
Caso os agentes de tratamento cometam infrações à LGPD, a ANPD irá definir as sanções a serem aplicadas. Pode ser dada uma advertência, indicando o prazo para a adoção de medidas corretivas; uma multa simples de até 2% do faturamento, limitada a R$ 50 milhões por infração; uma multa diária, dentro desse mesmo limite total; a ampla divulgação da infração e de suas causas; ou o bloqueio ou exclusão dos dados pessoais envolvidos na infração.
A ANPD ainda pode exigir a suspensão parcial dos bancos de dados envolvidos na infração ou de toda a atividade de tratamento desses dados por até 6 meses, passíveis de prorrogação. Dentro desse período, o agente deve regularizar a situação que levou à infração. O tratamento de quaisquer dados também pode ser proibido total ou parcialmente.
Levando em consideração a gravidade do incidente, a boa-fé do infrator, se trata-se ou não de reincidência, o quanto o agente mostra-se cooperativo, a tomada imediata de medidas corretivas e a existência de políticas de boas práticas e de governança, a ANPD deve dar espaço para que o infrator se defenda. Esses comportamentos também serão considerados na hora de determinar a sanção; o faturamento do agente pode ser avaliado também. Além disso, a sanção deve ser nivelada de acordo com a gravidade do ocorrido.
A ANPD definirá as metodologias exatas para calcular o valor-base das multas, que deverá ir para consulta pública antes de ser implementada. As metodologias devem ser claras e detalhadas, determinando também o que levará à sanção de multa diária ou simples. Os agentes de tratamento devem ter acesso prévio às metodologias.
O valor definido para a multa diária deve ser estabelecido de acordo com a gravidade do incidente e com a extensão dos danos decorrentes. Ao estabelecer a multa, a ANPD deve incluir a obrigação que o agente deve cumprir para seu encerramento, além de um prazo razoável para isso e de qual passará a ser o valor da multa diária caso não seja cumprido.
Este artigo cria a Autoridade Nacional de Proteção de Dados (ANPD), inicialmente vetada, mas depois retomada. O órgão da administração pública federal fará parte da Presidência da República e é de natureza transitória — ou seja, o Poder Executivo pode transformá-la em entidade da administração pública federal indireta, sendo então submetida a regime autárquico especial, mas mantendo o vínculo à Presidência.
Com autonomia técnica e decisória, a ANPD será formada por Conselho Diretor, Conselho Nacional de Proteção de Dados e Privacidade, Corregedoria e Ouvidoria, além de unidades administrativas e unidades especializadas e um órgão próprio de assessoramento jurídico.
O Conselho Diretor será composto por um Diretor-Presidente e outros quatro diretores, nomeados pelo Presidente da República e sujeitos a aprovação do Senado. Eles terão mandatos de 4 anos e serão escolhidos entre cidadãos brasileiros altamente especializados na área a que seus cargos se referem.
Enquanto a ANPD não conclui seu processo de entrada em vigor, o órgão será auxiliado pela Casa Civil da Presidência da República. O regime interno da ANPD, por sua vez, será estabelecido pelo próprio Conselho Diretor, que também indicará pessoas para os cargos em comissão e para funções de confiança para posterior aprovação do Diretor-Presidente.
As responsabilidades da ANPD incluem:
Quando o assunto é proteção, privacidade e tratamento de dados pessoais, a ANPD prevalece sobre outras entidades da administração pública. Para arrecadar receita, a ANPD dependerá do orçamento geral da União; doações; venda ou aluguel de bens e imóveis de que for dona; rendimentos advindos da aplicação de suas receitas; recursos originados de acordos ou convênios com outras entidades; e venda de publicações e materiais técnicos.
Integralmente vetado, o artigo 56 complementava o artigo 55 original no estabelecimento da Autoridade Nacional de Proteção de Dados.
Outro artigo vetado por completo que falava sobre a Autoridade Nacional de Proteção de Dados.
Os itens originais do artigo 58, que trata do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, foram vetados. Os novos itens determinam que o conselho, que faz parte da LGPD, será composto por 23 representantes, sendo 5 do Poder Executivo Federal, 1 do Senado Federal, 1 da Câmara dos Deputados, 1 do Conselho Nacional de Justiça, 1 do Conselho Nacional do Ministério Público, 1 do Comitê Gestor da Internet no Brasil, 3 vindos de entidades da sociedade civil que tratem da proteção de dados, 3 de instituições científicas ou tecnológicas, 3 sindicalistas representando setores da economia, 2 representantes do setor empresarial dentro da área de tratamento de dados e 2 representantes do setor laboral. Os mandatos serão de 2 anos.
O Conselho será responsável por contribuir na elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade, publicar relatórios anuais avaliando a Política, sugerir ações a serem tomadas pela ANPD, estudar e realizar debates sobre proteção e privacidade de dados e fomentar informação e conhecimento sobre esses temas.
Dispunha sobre outras obrigações da ANPD, mas foi integralmente vetado.
Empresas estrangeiras com filiais ou escritórios no Brasil — e, portanto, sujeitas à LGPD se coletarem e tratarem dados em território nacional — serão notificadas e intimadas no que se refere à aplicação da Lei Geral de Proteção de Dados pelo agente ou representante da filial ou escritório brasileiro.
Estabelece que a ANPD, ao lado do Inep — Instituto Nacional de Estudos e Pesquisas Educacionais, editará regulamentos específicos para que os tratamentos de dados necessários para o Sinaes — Sistema Nacional de Avaliação da Educação Superior possam acontecer.
Para os bancos de dados formados antes da entrada em vigência da LGPD, a ANPD vai estabelecer regras e processos para que sejam progressivamente adaptados à Lei. Para tanto, serão levadas em consideração a complexidade das operações e a natureza dos dados tratados — o objetivo é garantir o cumprimento da Lei e os direitos do titular sem prejudicar as empresas em questão.
Determina que as medidas de proteção dispostas pela LGPD não excluem as medidas de proteção de outras leis. Dessa forma, pode-se considerar que há uma dupla camada de proteção para os dados pessoais dos titulares, já que as leis em vigor atuarão de forma complementar.
Estabelece que a Lei Geral de Proteção de Dados entra em plena vigência em 16 de agosto de 2020, ou seja, no dia seguinte à data em que se completam 24 meses da publicação no Diário Oficial (que foi feita no dia 15 de agosto de 2018). Alguns dos itens que determinam a criação e funcionamento da Autoridade Nacional de Proteção de Dados entraram em vigor em julho de 2019, com a criação da ANPD no dia 8 de julho.
Entretanto, a pandemia de coronavírus acabou adiando um pouco a entrada em vigência da LGPD, que aconteceu somente em setembro de 2020, com sanções administrativas previstas para começar a valer em 1º de agosto de 2021.