O que é a LGPD?
A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) regulamenta o tratamento de dados pessoais de pessoas naturais no Brasil — seja por empresas públicas ou privadas, nacionais ou estrangeiras. Entrou em vigor em setembro de 2020 e as sanções administrativas passaram a ser aplicáveis a partir de agosto de 2021.
A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão fiscalizador responsável por aplicar as sanções, emitir regulamentos e orientar sobre a adequação à lei.
Sanções previstas na LGPD
| Sanção | Valor / Penalidade |
|---|---|
| Advertência | Com prazo para adoção de medidas corretivas |
| Multa simples | Até 2% do faturamento, limitado a R$ 50 milhões por infração |
| Multa diária | Até R$ 50 milhões por dia de infração continuada |
| Bloqueio dos dados | Bloqueio do banco de dados referente à infração |
| Eliminação dos dados | Exclusão forçada dos dados pessoais tratados ilegalmente |
| Suspensão parcial | Até 6 meses, prorrogável por igual período |
| Proibição de atividade | Proibição parcial ou total do tratamento de dados |
Os princípios fundamentais da LGPD
A LGPD define 10 princípios que devem orientar todo tratamento de dados pessoais (Art. 6º):
- Finalidade: Propósitos legítimos, específicos e informados ao titular
- Adequação: Compatibilidade com as finalidades informadas
- Necessidade: Limitação ao mínimo necessário (data minimization)
- Livre acesso: Consulta facilitada pelo titular sobre seus dados
- Qualidade dos dados: Exatidão, clareza e atualização
- Transparência: Informações claras sobre o tratamento
- Segurança: Medidas técnicas e administrativas de proteção
- Prevenção: Adoção de medidas preventivas
- Não discriminação: Proibição de tratamento discriminatório
- Responsabilização: Demonstração de conformidade (accountability)
Medidas técnicas de segurança obrigatórias
O Art. 46 da LGPD exige "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito".
Na prática, isso significa:
- Criptografia de dados: Em trânsito (TLS 1.2+) e em repouso (AES-256)
- Controle de acesso: Princípio do menor privilégio, MFA para sistemas com dados pessoais
- Pseudonimização e anonimização: Quando tecnicamente viável
- Gestão de patches: Correção de vulnerabilidades em prazo adequado ao risco
- Testes de segurança: Pentest e análise de vulnerabilidades periódicos
- Backup e recuperação: Plano de continuidade de negócios testado
- Registros de acesso (logs): Rastreabilidade de quem acessou quais dados
O papel do DPO (Encarregado de Dados)
A LGPD exige a indicação de um DPO (Data Protection Officer) ou Encarregado de Proteção de Dados para atuar como canal entre a empresa, os titulares e a ANPD. As responsabilidades incluem:
- Aceitar reclamações e comunicações dos titulares
- Receber comunicações da ANPD
- Orientar funcionários e contratados sobre práticas de proteção de dados
- Executar outras atribuições determinadas pelo controlador
O DPO pode ser um funcionário interno ou um serviço terceirizado (DPO as a Service).
Checklist de adequação à LGPD
- ☐ Mapeamento de dados (ROPA — Record of Processing Activities)
- ☐ Política de Privacidade pública e atualizada
- ☐ Mecanismo de coleta de consentimento
- ☐ Indicação do DPO com publicação na comunicação empresarial
- ☐ Procedimento para atendimento de direitos dos titulares (prazo: 15 dias)
- ☐ Contratos com operadores (cláusulas LGPD em contratos de fornecedores)
- ☐ Plano de resposta a incidentes de segurança (notificação à ANPD em 72h)
- ☐ Criptografia de dados sensíveis em repouso e em trânsito
- ☐ Controle de acesso por perfil (RBAC)
- ☐ Treinamento anual de conscientização para todos os colaboradores
- ☐ Avaliação de Impacto à Proteção de Dados (DPIA) para operações de alto risco
LGPD e ISO 27001: a combinação ideal
A ISO 27001:2022 e a LGPD são altamente complementares. Empresas certificadas ISO 27001 já possuem a base técnica e organizacional para a maioria dos requisitos de segurança da LGPD:
| Requisito LGPD | Controle ISO 27001 |
|---|---|
| Segurança técnica (Art. 46) | A.8 Tecnológico (34 controles) |
| Registros de acesso | A.8.15 — Logging |
| Resposta a incidentes | A.5.26 — Resposta a incidentes |
| Proteção de dados em nuvem | A.5.23 — Segurança em serviços cloud |
| Treinamento | A.6.3 — Conscientização e treinamento |
| Prevenção de vazamento | A.8.12 — Prevenção de DLP |