Esse semestre tive uma matéria de Privacidade de Dados e, em vez de deixar as anotações acumulando poeira, decidi transformar o conteúdo em um post. Serve para fixar o que aprendi, serve para consultar depois e talvez seja útil para você que tá lendo aqui.

A lei é muito mais ampla do que parece na superfície. Não é só “assinar um termo” ou “colocar um banner de cookies no site”. É uma mudança de cultura. E isso é o que mais assusta, porque cultura não muda com checklist.

Antes de tudo: o que a lei abrange mesmo?

A primeira coisa que me surpreendeu foi o escopo. A Lei 13.709/18 tem 10 capítulos e 65 artigos, e ela não se limita ao mundo digital. Dados em papel, arquivos físicos, fichas de cadastro manual, tudo isso entra.

Mais importante: ela se aplica a qualquer empresa que colete ou processe dados de pessoas no Brasil, mesmo que a sede da empresa seja lá fora. Então não adianta ser uma startup americana que só “processa os dados nos EUA”. Se o dado é de um brasileiro coletado no Brasil, a lei incide.

Outro ponto que muita gente esquece: o ciclo de vida dos dados tem seis etapas - criação/coleta, armazenamento, uso, compartilhamento, arquivamento e destruição. Incidentes podem acontecer em qualquer uma dessas fases. Não basta proteger o banco de dados se o arquivo de exportação CSV fica na área de trabalho de alguém sem senha.

A diferença entre “dado pessoal” e “dado sensível” (e por que isso importa)

Aqui tem uma distinção que parece óbvia mas que na prática muita gente mistura.

Dado pessoal direto é aquele que identifica uma pessoa por conta própria. CPF, impressão digital, DNA. Uma informação, uma pessoa. Simples.

Dado pessoal indireto já é mais sutil. O endereço de um prédio sem o número do apartamento, por exemplo. Isolado, não te identifica. Mas junto com outras informações, consegue chegar até você. A combinação é o problema.

Dado sensível é onde a lei pisa mais fundo. Estamos falando de: origem racial ou étnica, convicções religiosas e políticas, filiação sindical, dados genéticos, biometria e informações de saúde. Para esse tipo, a lei exige proteção reforçada - criptografia não é opcional, é o mínimo esperado. E faz sentido: o vazamento desses dados pode gerar discriminação real na vida real, não é só um incidente técnico.

Por fim, dado anonimizado é aquele que, por meios técnicos irreversíveis, perdeu qualquer ligação com uma pessoa específica. Para esse caso, a LGPD praticamente não se aplica. O problema é que “anonimização” de verdade é mais difícil do que parece - uma pseudo-anonimização mal feita ainda pode ser revertida cruzando bases de dados.

Os 10 princípios que toda empresa deveria ter na parede

O Art. 6º da LGPD estabelece que o tratamento de dados precisa seguir dez princípios, sempre pautado pela boa-fé. Vou passar por cada um:

1. Finalidade - Você precisa dizer para que vai usar o dado antes de coletar. Não dá para coletar tudo e decidir depois. Isso quebra o modelo de “big data por princípio” que muitas empresas adoravam.

2. Adequação - O tratamento tem que ser compatível com o que foi informado ao titular. Coleta o e-mail para enviar nota fiscal? Então não usa esse e-mail para campanha de marketing sem consentimento separado.

3. Necessidade - Esse princípio é simples e poderoso: colete só o que você realmente precisa. Além de reduzir risco, reduz custo de armazenamento e processamento. Uma empresa que segue isso a sério vai notar que muitos campos nos formulários de cadastro são completamente inúteis.

4. Livre Acesso - O titular pode perguntar “quais dados vocês têm sobre mim e por quanto tempo ficam armazenados?”, e a empresa é obrigada a responder, de graça. Isso muda o jogo para empresas que nunca pensaram em documentar esses fluxos internamente.

5. Qualidade dos dados - Os dados precisam ser exatos e atualizados de acordo com a finalidade. Manter um banco de clientes com e-mails inválidos e endereços desatualizados de anos atrás não é só problema de marketing, é questão de conformidade.

6. Transparência - O titular tem que conseguir entender, em linguagem acessível, o que acontece com os dados dele. Políticas de privacidade escritas em juridiquês de 40 páginas não passam mais no crivo da lei. A legibilidade é requisito.

7. Segurança - Medidas técnicas e administrativas para proteger os dados. Aqui entra o conceito de Privacy by Design: a privacidade não é um recurso que você adiciona depois, ela precisa ser pensada desde o início da arquitetura do sistema.

8. Prevenção - É diferente de segurança. Prevenção é sobre ter um plano quando o incidente acontece. Notificação à ANPD, comunicação ao titular, resposta ao incidente. Quem não tem esse processo documentado vai improvisar na pior hora possível.

9. Não discriminação - Os dados não podem ser usados para fins abusivos ou que gerem discriminação ilícita. Parece óbvio, mas pega empresas que usam dados de perfil para decidir preços de forma diferente por localização ou perfil socioeconômico.

10. Responsabilização (Accountability) - Não basta fazer certo, você precisa conseguir demonstrar que está fazendo certo. Logs, registros, documentação, auditorias. O ônus da prova aqui é da empresa, não do titular.

Para que serve o consentimento (e quando ele não é suficiente)

O consentimento é a base legal mais conhecida, mas não é a única. O Art. 7º lista dez hipóteses que legitimam o tratamento de dados - e consentimento é só uma delas. Execução de contrato, cumprimento de obrigação legal, legítimo interesse do controlador, proteção da vida: todas são bases válidas sem precisar do clique no “aceito”.

Isso tem uma implicação prática importante: a empresa que faz um contrato com você pode tratar dados necessários para executar esse contrato sem pedir consentimento separado. O que não pode é usar esses dados para outra finalidade que não estava prevista.

Quando o consentimento é a base escolhida, porém, ele tem que ser de verdade. A lei, alinhada com o GDPR europeu, exige quatro critérios:

  • Livre: sem pressão ou consequência pelo “não”. Aquele “aceite os cookies ou saia do site” já é questionável.
  • Informado: o usuário precisa saber quem é o controlador, o que será coletado e os riscos, antes de decidir.
  • Inequívoco: precisa de uma ação afirmativa. Checkbox pré-marcado não vale. Continuar navegando no site não vale.
  • Finalidade determinada: não dá para pedir um consentimento genérico para “tudo que precisarmos”. Tem que ser específico.

Na prática, poucos banners de cookies que eu encontro por aí cumprem esses critérios. É uma área onde a maioria das empresas ainda está devendo.

O que a “segurança da informação” significa dentro da LGPD

A proteção de dados da LGPD conversa diretamente com o tripé da segurança da informação: confidencialidade, integridade e disponibilidade.

Para a lei, as medidas de proteção se organizam em três pilares:

  • Tecnológico: firewalls, criptografia, controle de acesso, monitoramento.
  • Processual: treinamentos, políticas internas, gestão de acessos, procedimentos de resposta a incidentes.
  • Físico: câmeras, controle de entrada em salas de servidor, destruição segura de documentos.

E em quatro camadas: endpoint, servidores, rede interna e perímetro externo. A proteção tem que cobrir tudo isso, não adianta ter um firewall de última geração se o notebook do colaborador remoto não tem criptografia de disco.

As principais ameaças que a lei obriga as empresas a se protegerem incluem malwares, phishing (que ainda é a porta de entrada mais comum para ataques sérios), DDoS, ransomware, DNS Spoofing e Sniffing. O ransomware merece destaque especial: é o tipo de ataque que paralisa operação, exige resgate e frequentemente vem acompanhado de vazamento de dados - uma combinação que aciona múltiplos artigos da LGPD de uma vez.

Por isso, as empresas que levam isso a sério precisam de um Plano de Continuidade de Negócios (PCN) desenhado para cenários como esse. Não é documento de gaveta, é o roteiro que você vai seguir quando estiver sem dormir às 3 da manhã porque o servidor principal foi criptografado.

Um método que faz sentido: a abordagem BEST

Encontrei nos estudos uma metodologia chamada BEST - Business Engaged Security Transformation. O nome é comprido, mas o conceito é direto: você não resolve privacidade de dados só com tecnologia. Você resolve mudando a mentalidade das pessoas.

A metodologia propõe ciclos de 15 dias (como sprints de metodologia ágil) focados em conscientização e engajamento dos times, não em documentação excessiva. A ideia é que a equipe inteira seja responsável pela cultura de privacidade, não só o DPO ou o time de TI.

Faz sentido na prática. Pode ter o melhor sistema de gestão de dados do mundo, mas se o colaborador encaminha uma planilha com CPFs para o e-mail pessoal “para trabalhar de casa”, você tem um problema que tecnologia nenhuma resolve.

As sanções: onde a coisa fica séria de verdade

O Art. 52 define as penalidades para quem descumpre a lei. Elas são graduais e cumulativas:

  • Advertência com prazo para correção (a mais leve).
  • Multa simples de até 2% do faturamento líquido do grupo no Brasil, limitada a R$ 50 milhões por infração.
  • Multa diária, com o mesmo teto.
  • Publicização da infração - essa aqui machuca de um jeito diferente, porque o dano reputacional pode ser maior que a multa.
  • Bloqueio ou eliminação dos dados relacionados à infração.
  • Suspensão do banco de dados ou da atividade de tratamento por até 6 meses.
  • Proibição parcial ou total de exercer tratamento de dados.

Dois pontos que quero destacar aqui:

Primeiro, 2% do faturamento líquido com teto de R$ 50 milhões por infração. Em uma empresa de médio porte com múltiplas infrações, isso pode ser devastador.

Segundo, a publicação da infração. Para uma marca que depende de confiança do consumidor, ter o nome associado a um vazamento de dados em nota pública da ANPD pode ser mais caro do que qualquer multa.

Fechando o ciclo

A LGPD não é uma lei de TI, é uma lei de negócios com implicações técnicas sérias. Ela define o que pode ser feito com os dados de alguém, quando, como e com quais garantias. Do dado que identifica diretamente uma pessoa até a multa que pode comprometer o faturamento de um grupo inteiro, a lei fecha as pontas de um problema que existia há muito tempo sem regulação clara no Brasil.

As quatro unidades que cobri aqui formam o núcleo disso: o que são os dados e como se classificam, como o tratamento deve ser feito, como o consentimento funciona de verdade e o que acontece quando as coisas dão errado.

O resto é operação.