11. March 2022

Data protection in Brazil: Why is the LGPD so important?

Read the text about LGPD in portuguese here!

  • General Data Protection Law LGPD
  • Contents of LGPD
  • Processing of personal data with LGPD
  • Data protection in Brazil

In the so-called “Internet Era”, our personal information is more exposed, so the protection of personal data has become, more than ever, essential to safeguard and ensure the rights of individuals as data subjects, especially because of the “data-driven” society in which we live in, which enhances the circulation of people’s data by physical and digital means. For this reason, companies must adopt information security and corporate governance practices to avoid data breaches, fines, and possible reputational damage.

General Data Protection Law LGPD

In Brazil, this concern was materialized through the Brazilian General Data Protection Law (Law No. 13,709/2018 aka “LGPD”), which is the first general law on data protection published in the country and entered into force on September 18th, 2020, except for administrative sanctions, which became enforceable on August 1st, 2021. In this sense, what is the LGPD? Why is LGPD so important? What rules do companies have to follow? What to expect in the future regarding data protection in Brazil?

The LGPD is the regulatory framework for the protection of personal data in Brazil, which regulates the processing activities involving personal data, whether through digital means or otherwise, within and outside of the internet. The Law covers, among other issues, the rights of data subjects, the obligations of the data processing agents and of the data protection officer (in Portuguese, “Encarregado”), the parameters for information security, the requirements for the international transfer of personal data and even the instructions regarding the performance of the National Data Protection Authority (“ANPD”). The LGPD was largely based on the European General Data Protection Regulation (Resolution 2016/679 aka “GDPR”), which governs the same subject, so Brazil is now part of the group of Latin American countries that has a general data protection law.

In this respect, the LGPD is important because, since its publication and subsequent entry into force, the law has had a huge impact on the way companies use individuals’ personal data in the course of their activities. Since the legislation is very protective of data subjects and considering that it classifies the data processing activity as a ‘risky operation’ – with the imposition of strict liability on the agents –, the LGPD requires attention and careful planning on the part of companies that carry out data processing. Thus, to ensure compliance with the LGPD, Brazilian companies or those that process data from individuals located in Brazil, will have to adopt several technical and administrative measures, as well as update their internal policies and protocols concerning the processing of their customers’, suppliers’, and employees’ data.

Contents of LGPD

Contents of LGPD

It is worth noting that the Brazilian law provides for the principle of extraterritoriality in its application, which means that not only companies established in Brazil are subject to the rules set forth in the LGPD, but also entities that process or have collected data within the Brazilian territory, and companies that aim at offering or supplying goods and services to individuals located in Brazil. In addition, the processing of consumer data will demand extra care from companies, since, beyond the LGPD, it is necessary to comply with the provisions of the Brazilian Consumer Protection Code (“CDC”) and all other rules of the National Consumer Protection System, which is already being monitored by regulatory authorities and consumer protection (SENACON, PROCONS, Federal Public Ministry, etc.).

That said, the LGPD applies to any agent (individual, legal entity, or public agency) who performs data processing – a term defined in the text of the law as “any transaction carried out with personal data” – ranging from simple access to the data of employees, vendors, and consumers to storage, transfer, classification, deletion, or any other handling of such personal data. In this regard, the legislation will certainly affect several internal areas of companies, such as the Marketing, HR, IT, Legal, and Compliance sectors.

With regard to the rules that companies must comply with when processing personal data under the LGPD, we highlight the following: (i) the observance of the principles provided for in the LGPD throughout the processing of personal data of individuals, such as the principles of purpose, necessity, adequacy, and transparency, according to which the processing of personal data must have a justified and specific reason, be previously informed to the data subject, may only be conducted when necessary for the fulfillment of the purpose and appropriate to it, and provided that the data subject is guaranteed access to clear, precise, and easily accessible information; (ii) the framing of the processing activity in one of the legal bases listed in the LGPD (i.e., consent, compliance with a legal or regulatory obligation, execution of a contract, legitimate interest, etc.); (iii) the creation of mechanisms to enable the exercise of the rights of the data subjects (i.e., access to data, portability, correction, anonymization, etc.); (iv) compliance with the rules for international transfer of data; and (v) the adoption of security measures and best practices.

Processing of personal data with LGPD

The processing of personal data that fails to respect the LGPD, especially as to the rules pointed out, or when it does not provide the security that the data subject may legitimately expect from the processing agent, be it controller or processor, considering the relevant circumstances, will be considered irregular from the point of view of the Law and will subject the processing agent to the administrative penalties provided for in the LGPD, which range from a warning to a simple fine of up to 2% of the turnover of the private legal entity, group, or conglomerate in Brazil in its last fiscal year, excluding taxes, limited in total to R$50,000,000.00 (fifty million reais) per violation.

In other words, in this new scenario, the culture of data protection in Brazil is undergoing perceptible changes, not only from the point of view of data subjects – who, in turn, are increasingly aware of their rights – but also of companies and public agencies, primarily responsible for data processing in the country, that have been demonstrating efforts to adapt their practices to the provisions of the LGPD, in order to promote greater security for data that passes through Brazil, favoring commercial agreements and contracts, based on clear rules for the processing of personal data and even through contractual provisions regarding the obligations of the controller and the processor.

Data protection in Brazil

Data protection in Brazil

And this is exactly the future that is expected with regard to data protection in Brazil, that is, a society that is more aware and better prepared to guarantee the fundamental right to data protection, able to demand, create, and monitor the processing of personal data by design.

The ANPD, in this sense, is already operational and recurrently releases information and guidelines regarding the processing of personal data through documents made available on the official website in Portuguese, in order to facilitate and encourage society to adapt itself to the parameters of the LGPD, such as the Orienting Guide for the Definition of the Personal Data Processing Agents and of the Data Protection Officer. In addition, the ANPD published, on January 28th, 2021, Ordinance No. 11 of 2021, which creates the regulatory agenda and establishes and lists the 10 priority topics for the biennium 2021/2022, among which are the regulation of the procedure for reporting security incidents, which effectively has already been done by the National Authority, and the parameters for international data transfer, whose regulation is expected for the first half of 2022.

Therefore, the LGPD is and is being responsible for generating a huge impact on the way companies use the personal data of individuals in the performance of their activities. For this reason, it is imperative that companies begin to adopt efficient information security and corporate governance practices as soon as possible, in order to avoid the occurrence of security incidents, the imposition of sanctions, and possible damage to their reputation.



Na chamada “Era da Internet”, há uma maior exposição das informações pessoais, de forma que a proteção dos dados pessoais se tornou, mais do que nunca, essencial para resguardar e garantir os direitos dos indivíduos enquanto titulares de dados, especialmente em razão da sociedade “data-driven” em que vivemos, a qual potencializa a circulação de dados das pessoas por meios físicos e digitais. Por esse motivo, as empresas devem adotar práticas de segurança da informação e governança corporativa, para evitar vazamentos de dados, multas e eventuais danos à reputação.

No Brasil, essa preocupação foi concretizada por meio da Lei Geral de Proteção de Dados Pessoais (Lei n° 13.709/2018 ou “LGPD”), a primeira Lei geral em matéria de proteção de dados publicada no País e que entrou em vigor em 18 de setembro de 2020, à exceção das sanções administrativas, que passaram a ser exigíveis a partir de 1° de agosto de 2021. Neste sentido, o que é a LGPD? Por que a LGPD é tão importante? Quais regras as empresas devem observar? O que esperar no futuro em matéria de proteção de dados no Brasil?

A LGPD é o marco regulatório da proteção de dados pessoais no Brasil, que regulamenta o tratamento envolvendo dados pessoais, seja por meio digital ou não, dentro ou fora da internet. A Lei abarca, dentre outras questões, as regras para o tratamento de dados pessoais, os direitos dos titulares dos dados, as obrigações dos agentes de tratamento, do encarregado de dados, os parâmetros para segurança da informação, os requisitos para a transferência internacional de dados e, inclusive, as instruções quanto à atuação da Autoridade Nacional de Proteção de Dados (“ANPD”). A LGPD se baseou amplamente no Regulamento Europeu de Proteção de Dados (Resolução n° 2016/679 ou “GDPR”), que trata do mesmo tema, de forma que o Brasil passou a ser incluído no grupo de países da América Latina que possui uma lei geral de proteção de dados.

Nessa linha, a LGPD é importante, porque, desde sua publicação e posterior entrada em vigor, vem causando um enorme impacto na forma como as empresas utilizam os dados pessoais dos indivíduos no desempenho de suas atividades. Por ser uma legislação bastante protetiva ao titular de dados e por classificar a atividade de tratamento de dados como uma ‘operação de risco’ – inclusive com responsabilização objetiva dos agentes –, a LGPD exige muita atenção e um cuidadoso planejamento por parte das empresas que realizam tratamento de dados. Com efeito, para garantir conformidade com a LGPD, as empresas brasileiras ou aquelas que tratam dados de indivíduos localizados Brasil, terão de adotar diversas medidas técnicas e administrativas, bem como atualizar suas políticas e protocolos internos com relação ao tratamento dos dados de seus clientes, fornecedores e colaboradores.

Vale destacar que a lei brasileira prevê o princípio da extraterritorialidade em sua aplicação, o que significa que ficam sujeitas às regras previstas na LGPD não somente empresas estabelecidas no Brasil, como também entidades que realizam tratamento ou tenham coletado dados em território nacional e empresas que tenham como objetivo a oferta ou fornecimento de bens ou serviços a indivíduos localizados no país. Somando-se a isso, o tratamento de dados de consumidores demandará cuidado redobrado por parte das empresas, já que, além da LGPD, é preciso cumprir as disposições do Código de Defesa do Consumidor (CDC) e todas as demais normas do Sistema Nacional de Defesa do Consumidor, o que já vem sendo fiscalizado pelas autoridades regulatórias e de proteção ao consumidor (SENACON, PROCONS, Ministério Público Federal etc.).

Dito isso, a LGPD se aplica a qualquer agente (pessoa física, jurídica ou órgão público) que realize o tratamento – termo definido no texto da Lei como “toda operação realizada com dados pessoais” -, compreendendo desde o simples acesso aos dados de funcionários, fornecedores e consumidores até o armazenamento, transferência, classificação, eliminação, ou qualquer outra manipulação desses dados pessoais. Neste sentido, é certo que a legislação impactará diferentes áreas internas das empresas, como os setores de Marketing, Recursos Humanos, Tecnologia da Informação, Jurídico e Compliance.

Com relação às regras que as empresas devem observar ao tratar dados pessoais protegidos pela LGPD, destacam-se (i) a observância aos princípios previstos na LGPD durante o tratamento de dados pessoais de indivíduos, a exemplo dos princípios da finalidade, da necessidade, da adequação e da transparência, de acordo com os quais o tratamento de dados deve ter um motivo justificado, específico, previamente informado ao titular, apenas poderá ser realizado quando necessário para realização da finalidade e adequado a ela e desde que seja garantido ao titular de dados o acesso a informações claras, precisas e facilmente acessíveis; (ii) o enquadramento da atividade de tratamento em uma das bases legais elencadas na LGPD (i.e., consentimento, cumprimento de obrigação legal ou regulatória, execução de contrato, legítimo interesse, etc.); (iii) a criação de mecanismos para viabilizar o exercício dos direitos dos titulares (i.e., acesso aos dados, portabilidade, correção, anonimização, etc.); (iv) o cumprimento das regras para transferência internacional de dados; e (v) a adoção de medidas de segurança e de boas práticas.

O tratamento de dados pessoais que deixar de observar a LGPD, especialmente quanto às regras apontadas, ou quando não fornecer a segurança que o titular legitimamente pode esperar do agente de tratamento, seja ele controlador ou operador, consideradas as circunstâncias relevantes, será considerado irregular do ponto de vista da Lei e sujeitará o agente de tratamento às sanções administrativas previstas, que incluem desde uma advertência até multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

Em outras palavras, diante desse novo cenário, a cultura de proteção de dados no Brasil está sofrendo perceptíveis mudanças, não apenas do ponto de vista dos titulares de dados – que, por sua vez, estão cada vez mais conscientes dos seus direitos -, mas também das empresas e órgãos públicos, principais responsáveis pelo tratamento de dados no país, que vêm demonstrando esforços na adequação de suas práticas ao disposto na LGPD, no intuito de promover maior segurança aos dados que transitam no Brasil, favorecendo acordos e contratos comerciais, a partir de regras claras para o tratamento de dados pessoais e, inclusive, por meio de previsões contratuais quanto às obrigações de controlador e de operador.

E é justamente esse o futuro que se espera em matéria de proteção de dados no Brasil, ou seja, uma sociedade mais consciente e mais preparada para garantir o direito fundamental à proteção de dados, capaz de exigir, criar e monitorar o tratamento de dados pessoais by design.

A ANPD, nesse sentido, já está operacional e, recorrentemente, divulga informações e diretrizes com relação ao tratamento de dados pessoais por meio de documentosdisponibilizados em seu site oficial em português, para fins de facilitar e incentivar a sociedade a adequar-se aos parâmetros da LGPD, a exemplo do Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Além disso, a ANPD publicou, no dia 28 de janeiro de 2021, a Portaria no 11 de 2021, que cria a agenda regulatória e estabelece e elenca os 10 temas prioritários do biênio 2021/2022, dentre os quais estão a regulamentação do procedimento para reporte de incidentes de segurança, o que efetivamente já foi feito pela Autoridade, e os parâmetros para transferência internacional de dados, cuja regulamentação é esperada para o primeiro semestre de 2022.

A LGPD, portanto, é e está sendo responsável por gerar um enorme impacto na forma como as empresas utilizam os dados pessoais dos indivíduos no desempenho de suas atividades. Por esse motivo, é imprescindível que as empresas comecem a adotar, o quanto antes, práticas eficientes de segurança da informação e governança corporativa, de modo a evitar a ocorrência de incidentes de segurança, a imposição de sanções e possíveis danos à sua reputação.

Sources/ Fontes:

22. March 2022
Remote Work – the new "old" workplace model, its opportunities & risks
25. February 2022
What are the best online courses?
lawpilots GmbH hat 4,64 von 5 Sternen 2330 Bewertungen auf ProvenExpert.com