Logo - Full (Color)

A Lei Geral de Proteção de Dados já está valendo no Brasil. Descubra o que isso significa para a sua empresa.

Leia esta página para saber mais.

O Brasil tem uma nova lei de proteção de dados 

Proteger os dados e a privacidade dos consumidores é um requisito básico e fundamental na administração de qualquer empresa. Em maio de 2018, o mundo viu a entrada em vigor da lei de proteção de dados europeia, chamada General Data Protection Regulation (“GDPR”, Regulamento Geral sobre a Proteção de Dados). Pouco tempo depois, em agosto do mesmo ano, uma lei semelhante, a Lei Geral de Proteção de Dados (“LGPD”) foi aprovada no Brasil. A LGPD exige que todas as organizações cumpram os requisitos relativos ao tratamento de dados pessoais e de dados pessoais sensíveis. 

Embora a LGPD não seja tão abrangente quanto o GDPR, há muitas semelhanças entre essas legislações. Nesta página, explicaremos as noções básicas da LGPD, como ela se aplica aos clientes da HubSpot e como a HubSpot está auxiliando os clientes a se preparar para a vigência da lei. Atualizaremos esta página conforme o necessário à medida que novas diretrizes da LGPD entrarem em vigor.

Está com uma sensação de despreparo? Não se preocupe. A HubSpot tem inúmeros recursos que ajudarão os nossos clientes a lidar bem com esta lei de proteção de dados. O GDPR e a LGPD são parecidas quanto aos requisitos e às obrigações. Como já ajudamos os nossos clientes na preparação para o GDPR com as ações da HubSpot para o GDPR, a maior parte deles não terá de fazer muitas alterações em decorrência da LGPD. No entanto, é importante conferir os requisitos específicos da LGPD que relacionamos abaixo. 

O que é a LGPD?

Em agosto de 2018, o Brasil aprovou sua lei mais abrangente de proteção de dados, a Lei Geral de Proteção de Dados, geralmente referida pela sigla LGPD. 

A LGPD cria novos requisitos legais para o uso de dados pessoais no Brasil, tanto online quanto offline, nos setores público e privado. A LGPD regula os controladores e operadores de dados pessoais. Os controladores decidem como e por que coletar e tratar dados pessoais. Já os operadores são as pessoas jurídicas que tratam os dados de acordo com as instruções do controlador. 

A LGPD cobre as atividades dos controladores e operadores de dados e cria requisitos para as organizações que tratam as informações dos titulares dos dados. A definição de “titular” é ampla, como “pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”. A lei também contempla obrigações sobre questões como a indicação do encarregado da proteção de dados, fundamentos legais para o tratamento, avaliações de impacto à proteção de dados, transferências de dados e vazamentos de dados. A fiscalização da lei ficará ao encargo da Autoridade Nacional de Proteção de Dados (“ANPD”). Espera-se que a ANPD, quando devidamente regulada e tiver as nomeações de seus cargos efetivadas, defina importantes diretrizes e esclarecimentos sobre certas disposições da LGPD.

Além disso, em caso de violação da LGPD, a ANPD deverá notificar os operadores de dados. Caberá à ANPD determinar um prazo para a adoção de medidas corretivas, como a eliminação ou bloqueio dos dados pessoais. 

Quando a LGPD entra em vigor? 

A LGPD já está em vigor. 

A entrada em vigor da LGPD este ano pegou muita gente de surpresa, pois esperava-se que a data de entrada em vigor fosse adiada devido à pandemia da COVID-19. No entanto, o Senado brasileiro reverteu sua decisão de adiamento. Isso fez com que a LGPD entrasse em vigor imediatamente após a assinatura do Presidente da República, o que já aconteceu. É importante observar que a aplicação de sanções da lei só poderá ocorrer em agosto de 2021. Ou seja, a ANPD, entidade responsável por fiscalizar a aplicação da lei, só poderá aplicar sanções e multas nos termos da LGPD a partir de 1º de agosto de 2021. 

A quem a LGPD se aplica?

Semelhante ao GDPR, a LGPD tem uma aplicação ampla ao tratamento de dados pessoais, tanto online quanto offline. Tanto a LGPD quanto o GDPR são abrangentes em termos do escopo pessoal, material e territorial. As definições de dados pessoais são muito semelhantes entre as duas legislações, que definem a proteção a qualquer “informação relacionada a pessoa natural identificada ou identificável”.

A LGPD aplica-se a todos os setores da economia e tem aplicação extraterritorial. Em outras palavras, qualquer organização que coletar ou tratar dados pessoais sujeitos à LGPD não precisaria ter presença física no Brasil para que a lei fosse aplicada. Além disso, a aplicabilidade da LGPD não se limita ao porte de empresas e organizações. Há três aspectos principais à aplicação da lei. A LGPD aplica-se a qualquer pessoa natural ou jurídica, de direito público ou privado, que:

  • trata dados pessoais no Brasil;
  • trata dados pessoais que foram coletados no Brasil; ou
  • trata dados pessoais para oferecer ou fornecer produtos ou serviços no Brasil.

Embora haja expectativas quanto à aplicabilidade da LGPD, a lei se aplicará à maioria das organizações que trata, vende e/ou divulga produtos ou serviços no Brasil. 

A LGPD aplica-se à minha organização?

Antes de poder determinar se a LGPD de fato se aplica à sua organização, é importante entender o que a LGPD define como “dados pessoais”. Como já dito acima, a LGPD define dados pessoais como qualquer “informação relacionada a pessoa natural identificada ou identificável”. Portanto, se você for um cliente da HubSpot que preenche os critérios desse escopo e trata dados pessoais, conforme definido acima, a LGPD se aplicará a você.

Veja um exemplo de como a LGPD pode se aplicar à sua empresa:

Digamos que Victor seja um contato seu e more no Brasil. Ele é o “titular”, e sua empresa (digamos que ela se chame Acme S.A.) é a “controladora” dos dados dele. Se você for um cliente da HubSpot, então a HubSpot atuará como a “operadora” dos dados do Victor em nome da Acme.

Veja como Victor pode interagir com a sua empresa:

  • Victor acessa o site da Acme pela primeira vez
  • Victor preenche um formulário (ou os dados dele são inseridos manualmente no banco de dados da Acme ou por uma API)
  • A Acme envia um e-mail para Victor
  • Victor pede para ver, modificar ou excluir as informações que a Acme tem sobre ele

A seguir, você encontra situações em que a HubSpot pode atender à sua empresa com relação à forma como Victor pode interagir com sua empresa, a Acme Ltda. Este exemplo também está no Manual da HubSpot para o GDPR. A HubSpot tem diversos materiais sobre o GDPR, incluindo este manual e este artigo da Central de Conhecimento. Eles explicam os recursos e as funcionalidades do nosso produto e do nosso sistema que nós e nossos clientes usamos para cumprir o GDPR. Esses recursos também podem auxiliar no cumprimento da LGPD.

Requisitos importantes previstos na LGPD

A LGPD impõe obrigações para controladores e operadores. Impõe também certas exigências a organizações para que as pessoas físicas possam reivindicar seus direitos estabelecidos na lei.

Direitos individuais 

A LGPD concede determinados direitos aos titulares de dados. A intenção é proteger os dados pessoais deles, sem exigir cidadania ou residência no Brasil para que a pessoa se qualifique como titular nos termos da LGPD. Segundo a lei, os titulares têm o direito de receber um aviso adequado dos direitos que têm.

A LGPD permite que os titulares recebam os seguintes itens de um controlador com relação a seus dados pessoais:

  • Confirmação quanto à existência de tratamento de dados pessoais; 
  • Correção de dados incompletos, inexatos ou desatualizados; 
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD; 
  • Portabilidade dos dados; 
  • Eliminação dos dados pessoais tratados com o consentimento do titular (ressalvadas algumas exceções); 
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; 
  • Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa; 
  • Revogação do consentimento 

A LGPD confere aos titulares o direito de se opor e restringir o tratamento de seus dados pessoais, e permite que as pessoas físicas solicitem a eliminação de seus dados pessoais. Além disso, o direito de acesso é reconhecido tanto pelo GDPR quanto pela LGPD. Portanto, as organizações devem conceder aos titulares acesso a seus próprios dados pessoais quando requerido. Ainda assim, há algumas diferenças entre o GDPR e a LGPD, inclusive quanto ao prazo de resposta de uma solicitação de acesso. Em geral, as organizações sujeitas ao GDPR precisam responder a solicitações de acesso em um prazo de 30 dias contados a partir do recebimento da solicitação. No entanto, a LGPD define um prazo de 15 dias, enquanto solicitações relativas ao exercício de outros direitos devem ser atendidas imediatamente. É importante observar que as solicitações dos titulares de dados nos termos da LGPD são um tópico da lei que ainda requer regulamentação da ANPD. 

Expectativas internas para a sua organização 

  • Comunicações obrigatórias: como no GDPR, as organizações precisam comunicar ao titular sobre seus direitos previstos na LGPD, e isso inclui todos os direitos acima. Essas comunicações obrigatórias devem constar da política de privacidade ou ser apresentada no ato da coleta dos dados pessoais. 
  • Atendimento aos direitos dos titulares: conforme já mencionado, a LGPD exige que as organizações assimilem os direitos dos titulares. Além disso, as organizações precisam ter um processo para atender os titulares que reivindicam seus direitos. 
  • Opt-out: o direito de opt-out não é limitado a nenhuma atividade específica de tratamento, sendo aplicável a qualquer atividade.  
  • Fundamentos legais para o tratamento de dados: a LGPD exige que as organizações tenham um fundamento legal válido para tratar dados pessoais.  
  • Encarregado da Proteção de Dados (“EPD”): a LGPD exige que as organizações indiquem um encarregado da proteção de dados.
  • Transferência de dados: segundo a LGPD, os dados pessoais só podem ser transferidos a outros países que garantirem um grau de proteção adequado (uma lista de tais países ainda será publicada pela ANPD) ou sempre que houver garantias de cumprimento pertinentes (isto é, cláusulas-padrão contratuais, cláusulas contratuais específicas, normas corporativas globais, códigos de conduta e mecanismos de certificação). A LGPD é silente quanto aos mecanismos e às exigências das garantias de cumprimento. 
  • Requisitos de cookies: a LGPD se baseia no modelo de riscos, semelhante ao que é exigido das organizações para o cumprimento do GDPR. As organizações que tratam dados pessoais são incentivadas a implementar medidas de segurança correspondentes ao nível de risco de suas atividades de tratamento de dados. 

 

Diferenças entre a LGPD e o GDPR 

O GDPR e a LGPD são legislações bem parecidas. No entanto, há algumas diferenças entre elas. Por exemplo, o GDPR reconhece seis finalidades legais para o tratamento, enquanto a LGPD tem dez. Por outro lado, a LGPD é mais flexível quanto à avaliação de equilíbrio de interesse legítimo. E mais: o prazo de comunicação de ocorrências de incidente de segurança é diferente entre as duas legislações. Nos termos do GDPR, os controladores precisam comunicá-las às autoridades fiscalizadoras no prazo de 72 horas, enquanto a LGPD prevê que essa comunicação deve ser feita à autoridade fiscalizadora e aos titulares em um prazo razoável. Por fim, uma grande diferença entre as duas legislações é que a LGPD obriga as organizações a indicarem um encarregado da proteção de dados, enquanto o GDPR não impõe essa obrigação a todos os controladores. 

 

O que acontecerá se eu descumprir a LGPD?

No momento, a fiscalização da ANPD só começa a partir de 1º de agosto de 2021, quando as disposições sobre as sanções administrativas da LGPD entram em vigor.  Para organizações que infringirem a LGPD, há a previsão de sanções que podem incluir multas de até 2% do faturamento da pessoa jurídica no Brasil no ano fiscal anterior, limitada, no total, a R$ 50.000.000,00 por infração.

Considerando que a ANPD acabou de ser estabelecida, ainda há muitas dúvidas sobre como a autoridade funcionará na prática administrando essas sanções. 

 

Como a HubSpot está ajudando você a se preparar para a LGPD?

Há uma grande quantidade de semelhanças entre a LGPD e o GDPR. A HubSpot tem um vasto material sobre o GDPR, como este manual, que explica os recursos e as funcionalidades do nosso produto e do nosso sistema que nós e nossos clientes usamos para cumprir o GDPR e a LGPD. 

Uma boa parte desses recursos, processos e políticas nos nossos produtos e sistemas (que são usados para cumprir o GDPR) podem ser usados da mesma maneira para cumprir a LGPD. Por exemplo, a forma como você lida com as finalidades legais e as solicitações de eliminação de dados (dois requisitos previstos nas duas legislações). Essas funcionalidades são explicadas abaixo e no manual para o GDPR, disponíveis para todos os clientes da HubSpot. 

Analise nosso exemplo acima: 

Digamos que Victor seja um contato seu e more no Brasil. Ele é o “titular”, e sua empresa (digamos que ela se chame Acme S.A.) é a “controladora” dos dados dele. Se você for um cliente da HubSpot, então a HubSpot atuará como a “operadora” dos dados do Victor em nome da Acme.

Veja como Victor pode interagir com a sua empresa:

  • Victor acessa o site da Acme pela primeira vez
  • Victor preenche um formulário (ou os dados dele são inseridos manualmente no banco de dados da Acme ou por uma API)
  • A Acme envia um e-mail para Victor
  • Victor pede para ver, modificar ou excluir as informações que a Acme tem sobre ele

Confira um resumo das funcionalidades disponíveis na HubSpot:

Finalidades legais: segundo a LGPD, é necessário ter um motivo lícito (chamado de “finalidade legal” na lei) para usar os dados de alguém. A HubSpot dividiu essas finalidades legais em duas categorias: de tratamento (isto é, armazenar dados no seu CRM ou fornecer um e-book que o titular solicitar) e de comunicação (isto é, enviar um e-mail de marketing ou pedir para um representante de vendas fazer uma chamada).

  • Adicionamos uma propriedade do contato padrão para armazenar o finalidade legal de tratamento.
  • Avalie a necessidade de atualizar esta propriedade para os seus contatos.
  • Reformulamos nossa configuração de assinatura para facilitar também o rastreamento da “finalidade legal de comunicação” (incluindo o consentimento). Agora você pode rastrear seus opt-ins na HubSpot (em vez de só seus “opt-outs”). Adicionamos essas assinaturas ao registro do contato para facilitar o rastreamento e a auditoria. E mais: demos acesso a eles por formulários. 

Pode ser necessário ter finalidade legal para se comunicar com seus contatos. Caso você não a tenha, analise a possibilidade de criar tipos de assinaturas, atualizar seu banco de dados atual com esses tipos de assinatura (com uma campanha de permissão ou outro método) e configurar seus formulários para estabelecer a finalidade legal daqui para frente.

Confira mais detalhes sobre como ativar as configurações para o cumprimento das obrigações previstas na LGPD no Manual da HubSpot para o GDPR

Eliminação: segundo a LGPD, os titulares têm o direito de requerer que sua empresa elimine todos os dados pessoais armazenados sobre ele. 

Em muitos casos, será necessário atender a essa solicitação imediatamente. O direito à eliminação não é absoluto e pode depender do contexto da solicitação. Portanto, ele nem sempre é aplicável.

Confira mais detalhes sobre como ativar as configurações para o cumprimento das obrigações previstas na LGPD no Manual da HubSpot para o GDPR e no artigo da Central de Conhecimento sobre o GDPR

Cookies: a LGPD baseia-se no modelo de riscos, semelhante ao que é exigido das organizações para o cumprimento do GDPR. As organizações que tratam dados pessoais são incentivadas a implementar medidas de segurança correspondentes ao nível de risco de suas atividades de tratamento de dados. Portanto, você pode comunicar aos visitantes do seu site sobre o uso de cookies. 

Na HubSpot, é possível obter o consentimento de um visitante para o rastreamento de cookies. Também lançamos a possibilidade de exibir diferentes versões do banner de consentimento em diferentes páginas do site.

Confira mais detalhes sobre o que considerar sobre a atualização das configurações de cookies e como ativar as configurações para o cumprimento das obrigações previstas na LGPD no Manual da HubSpot para o GDPR

Isenção de responsabilidade

**Isenção de responsabilidade: este site não é um resumo completo da Lei Geral de Proteção de Dados (“LGPD”) nem um conselho jurídico para sua organização cumpri-la. Ele apenas apresenta informações básicas para ajudar você a entender melhor a LGPD e como ela pode se aplicar à sua organização. Estas informações jurídicas não são equivalentes a conselhos jurídicos, em que um advogado aplica a lei às suas circunstâncias específicas. Portanto, você deve consultar um advogado caso queira um conselho sobre a sua interpretação destas informações ou sobre a precisão delas. Não é recomendável que você confie nesta página como um conselho jurídico nem como um endosso de quaisquer entendimentos jurídicos. Embora a LGPD tenha influências do GDPR, as organizações que já cumprem o GDPR não necessariamente estão de acordo com a LGPD. Além disso, a aplicação e as regulamentação da LGPD ainda não foram finalizadas; portanto, a HubSpot continuará monitorando a evolução tanto da LGPD quanto de suas regulamentações. A HubSpot continuará atualizando esta página conforme o necessário.