Em 2025, a LGPD (Lei Geral de Proteção de Dados) completa cinco anos de vigência. O texto, publicado em 2018 no Diário Oficial da União, regulamenta o tratamento de dados pessoais no Brasil, garantindo a segurança e a privacidade das informações dos indivíduos. O principal objetivo é dar autoridade para o proprietário dos dados decidir como, e por quanto tempo, aquelas informações podem ser utilizadas por uma empresa.

Mesmo sendo uma lei recente, ela já sofreu algumas mudanças para se adequar à realidade das companhias. A seguir, explicamos mais sobre a legislação e as principais mudanças desde sua aprovação. Confira e garanta que a sua empresa esteja em dia!

O que diz a LGPD

A LGPD foi criada para estabelecer uma relação mais transparente entre pessoas físicas e empresas, garantindo, basicamente, que as informações fornecidas por um indivíduo a uma companhia estejam seguras. Além disso, a pessoa deve estar ciente de como, por quanto tempo e para que fim seus dados serão utilizados.

Segundo a legislação, os dados pessoais são qualquer informação que permita identificar uma pessoa física, direta ou indiretamente. Isso abrange informações básicas como nome, CPF, RG, data de nascimento, endereço, e-mail, entre outros. 

A legislação também criou a categoria de dados sensíveis, que são informações com potencial discriminatório, a exemplo de origem racial ou étnica, convicções religiosas ou políticas, dados de saúde, informações genéticas ou biométricas, e orientação sexual.

Com isso, as empresas precisam adotar rígidos protocolos de proteção e segurança de dados, e o descumprimento pode gerar punições como multas de até 2% do faturamento e até a proibição de atividades que envolvam o tratamento de dados. A fiscalização é de responsabilidade da ANPD (Autoridade Nacional de Proteção de Dados).

Em prol da transparência, o texto diz, ainda, que as organizações são obrigadas a informar quando algum problema surge, como vazamento de arquivos ou ciberataques que comprometem a segurança dos documentos. 

Principais mudanças desde a implementação

  • Novas regras para o DPO:

O DPO (Data Protection Officer), ou encarregado de tratamento de dados, é uma das figuras criadas pela LGPD. Ele é o ponto de contato entre a organização que realiza o tratamento de dados e a ANPD, sendo um canal de comunicação com os titulares dos dados pessoais.

A Resolução 18, editada pela autoridade de proteção de dados em 2024, complementa o texto original sobre o papel do DPO. Um deles é que essa pessoa deve ser indicada por meio de um ato formal, com a assinatura de um Termo de Nomeação, por exemplo, discriminando todas as atividades e responsabilidades do encarregado.

Além disso, o encarregado do tratamento de dados pode ser uma pessoa física, integrante da empresa que trata os dados ou não, assim como uma pessoa jurídica, sem a necessidade de inscrição em alguma entidade ou certificação. O único requisito é que seja capaz de se comunicar com os titulares dos dados e a ANPD.

A Resolução também determina que não deve haver conflito de interesse entre o DPO e a forma como os dados são tratados. Na prática, isso significa que, na maioria das vezes, o ideal é recorrer a um encarregado de tratamento de dados de fora da companhia.

  • Determinações para MEIs, pequenas e médias empresas:

A Resolução 2, publicada em 2022, simplificou as regras da LGPD para MEIs (Microempreendedores Individuais), pequenas e médias empresas. Ela também abrange startups, profissionais liberais e instituições sem fins lucrativos.

Embora sejam enquadradas como agentes de tratamento de dados de pequeno porte, também devem adotar políticas rígidas de proteção e segurança de dados, além de transparência no tratamento das informações pessoais, mas com regras diferenciadas em relação a companhias maiores.

A principal mudança trazida pelo texto é que esses negócios não são obrigados a nomear um DPO, ainda que isso seja considerado uma boa prática de gestão. Mesmo assim, as empresas devem manter a comunicação com os proprietários dos dados e a ANPD. 

A Resolução também simplifica a comunicação de ocorrências de segurança à entidade responsável, além de ampliar de 15 para 30 dias o prazo para responder os titulares que questionarem sobre o tratamento de suas informações.

  • Diretrizes para área da saúde:

A lei 13.853, de 2019, alterou pontos importantes da LGPD. Entre eles, estabeleceu bases legais específicas para o tratamento de dados pessoais na área da saúde, permitindo que profissionais, serviços de saúde e autoridades sanitárias processem dados pessoais, inclusive os sensíveis, quando necessário para proteger a saúde do titular. 

Além disso, prestadores de serviços de saúde e assistência farmacêutica são exceções à proibição de compartilhamento de dados sensíveis de saúde entre controladores, desde que a ação beneficie os interesses dos titulares.

O texto também inclui uma restrição específica para operadoras de planos de saúde, proibindo o uso de dados pessoais para seleção de riscos na contratação de seguros ou para exclusão de beneficiários. 

  • Aplicação de penalidades:

A mesma lei de 2019 introduziu três mudanças significativas nas infrações à LGPD. Primeiramente, eliminou as penalidades que eram aplicáveis a entidades e órgãos públicos. Ela também estabeleceu que os valores arrecadados com multas sejam destinados ao Fundo de Defesa de Direitos Difusos, fortalecendo a proteção coletiva de direitos.

A terceira mudança permite que vazamentos individuais de dados sejam resolvidos por meio de conciliação direta entre o controlador e o titular dos dados. Com essa alteração, o controlador só enfrentará as penalidades caso não consiga chegar a um acordo com a pessoa afetada, criando um mecanismo alternativo de resolução de conflitos antes da aplicação de sanções.

Gostou deste conteúdo? Compartilhe-o nas redes sociais!