Qual a abrangência da LGPD?

A LGPD (Lei Geral de Proteção de Dados Pessoais) se aplica a todas as empresas, organizações e pessoas físicas com fins econômicos que processam dados pessoais no Brasil, independentemente do tamanho ou da natureza de suas atividades. Isso inclui empresas privadas, órgãos públicos, entidades sem fins lucrativos, instituições de ensino, hospitais, clínicas, entre outros. Neste artigo, discutiremos a abrangência da LGPD, bem como as implicações para as empresas que não cumprirem com as regras estabelecidas pela lei.

Abrangência nacional

A Lei Geral de Proteção de Dados (LGPD) foi criada para proteger os dados pessoais das pessoais naturais (conhecidas como pessoas físicas) e se aplica a todas as empresas e instituições que processam dados em território nacional, independente do seu porte ou setor de atuação. 

A abrangência da LGPD no território nacional é fundamental para garantir que os direitos dos titulares de dados pessoais sejam respeitados e que suas informações sejam tratadas de forma segura e responsável.

A lei estabelece uma série de regras e requisitos que as empresas devem seguir para garantir a proteção dos dados pessoais, incluindo em alguns casos a necessidade de obter consentimento explícito dos titulares, a obrigação de notificar sobre coleta e tratamento de dados, a possibilidade de revogação do consentimento, entre outras.

O descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil pode resultar em uma série de consequências legais, financeiras e reputacionais para as empresas e organizações que processam dados pessoais. Algumas das consequências mais significativas são:

Multas

A LGPD estabelece multas que podem chegar até 2% do faturamento da empresa, limitado a R$ 50 milhões por infração. As multas podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), que é o órgão responsável pela fiscalização e aplicação da lei.

Sanções administrativas

Além das multas, a ANPD pode aplicar outras sanções administrativas, como a suspensão do tratamento de dados pessoais e a proibição parcial ou total das atividades relacionadas ao tratamento de dados.

Ações judiciais

Os titulares dos dados pessoais também podem entrar com ações judiciais contra as empresas que violarem seus direitos à privacidade e proteção de dados pessoais. As empresas podem ser obrigadas a indenizar os titulares por danos morais e materiais decorrentes da violação.

Danos à reputação

O descumprimento da LGPD pode prejudicar a reputação das empresas, afetando a confiança dos consumidores e investidores. Isso pode resultar em perda de negócios e danos financeiros a longo prazo.

Portanto, é fundamental que as empresas e organizações estejam em conformidade com a LGPD para evitar essas consequências negativas e garantir a proteção dos dados pessoais dos cidadãos brasileiros.

Abrangência da LGPD: Como funciona a extraterritorialidade?

A extraterritorialidade significa que a abrangência da LGPD se aplica não apenas a empresas estabelecidas no Brasil, mas também a empresas estrangeiras que realizam o processamento de dados pessoais de pessoas localizadas no Brasil.

O capítulo V da Lei 13.709, compreendendo os artigos 33 a 36, trazem essa possibilidade.

Art. 33.

A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

  • I – para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
  • II – quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
  • a) cláusulas contratuais específicas para determinada transferência;
  • b) cláusulas-padrão contratuais;
  • c) normas corporativas globais;
  • d) selos, certificados e códigos de conduta regularmente emitidos;
  • III – quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
  • IV – quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • V – quando a autoridade nacional autorizar a transferência;
  • VI – quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
  • VII – quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
  • VIII – quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
  • IX – quando necessário para atender às hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.
  • Art. 34.
  • I – as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;
  • II – a natureza dos dados;
  • III – a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;
  • IV – a adoção de medidas de segurança previstas em regulamento;
  • V – a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
  • VI – outras circunstâncias específicas relativas à transferência.

O que isso significa?

Assim, empresas estrangeiras que processam dados pessoais de brasileiros ou pessoas que estejam em nosso território devem cumprir os mesmos requisitos que as empresas brasileiras, como em alguns casos obter o consentimento dos titulares dos dados, informá-los sobre a finalidade do processamento, garantir a segurança dos dados, entre outros.

Isso ocorre porque a LGPD busca proteger a privacidade e os direitos dos titulares de dados pessoais no Brasil, independentemente da localização geográfica da empresa que processa esses dados. Dessa forma, a lei se aplica a empresas estrangeiras que oferecem bens ou serviços no Brasil, bem como às que coletam ou tratam dados de titulares localizados no Brasil.

Para que a LGPD seja aplicável às empresas estrangeiras, é necessário que os dados pessoais processados estejam relacionados a atividades realizadas em território brasileiro, como a oferta de produtos ou serviços no país.

Por que a extraterritorialidade da LGPD é importante?

A extraterritorialidade da LGPD é importante para garantir a proteção dos dados pessoais dos cidadãos brasileiros, mesmo que esses dados sejam processados por empresas estrangeiras. A lei estabelece requisitos rigorosos para a coleta, armazenamento e uso de dados pessoais, caso uma empresa estrangeira não cumpra as disposições da LGPD, ela poderá estar sujeita a multas e outras sanções, além de danos à reputação. 

Portanto, é importante que empresas estrangeiras que coletam dados pessoais de pessoas em território brasileiro sejam transparentes em relação ao uso desses dados e adotem medidas adequadas de segurança da informação para protegê-los.

Acordos Internacionais sobre a proteção de dados

Existem diversos tratados internacionais que tratam da proteção de dados pessoais. Alguns exemplos são:

Convenção 108 do Conselho da Europa

Esta é uma convenção de 1981 que estabelece regras para a proteção de dados pessoais em nível internacional. É um dos tratados mais antigos e mais influentes nesta área.

Regulamento Geral de Proteção de Dados (GDPR) da União Europeia

Este é um regulamento da União Europeia que entrou em vigor em 2018 e se aplica a todas as empresas que coletam e processam dados pessoais de cidadãos da UE, independentemente de sua localização geográfica.

APEC Privacy Framework

Este é um conjunto de princípios de privacidade criado pela Cooperação Econômica Ásia-Pacífico (APEC) em 2005. Ele estabelece diretrizes para a proteção de dados pessoais nas economias da APEC.

Convenção da OEA sobre Proteção de Dados Pessoais

Esta é uma convenção da Organização dos Estados Americanos (OEA) que entrou em vigor em 2011 e estabelece regras para a proteção de dados pessoais em toda a região.

Acordo de Privacidade EUA-UE

Este é um acordo entre a União Europeia e os Estados Unidos que estabelece diretrizes para a transferência de dados pessoais entre as duas entidades.

Esses são apenas alguns exemplos de tratados internacionais que tratam da proteção de dados pessoais. Há muitos outros acordos e convenções que abordam essa questão em nível internacional.

Esses, incluindo a Convenção 108 do Conselho da Europa, o GDPR da União Europeia, a APEC Privacy Framework e a Convenção da OEA sobre Proteção de Dados Pessoais, são importantes referências para a Lei Geral de Proteção de Dados (LGPD) no Brasil.

Além disso, a LGPD estabelece requisitos rigorosos para a transferência de dados pessoais para o exterior, alinhados com as disposições desses tratados.

Por exemplo, a LGPD enfatiza a importância do consentimento dos titulares dos dados, da transparência e da segurança dos dados pessoais, princípios presentes em vários tratados internacionais.

A LGPD está alinhada com os princípios e requisitos das principais legislações  internacionais que tratam da proteção de dados pessoais e busca garantir a proteção dos direitos dos titulares dos dados em conformidade com os padrões internacionais.

Agora que você já sabe qual a abrangência da LGPD, entre em contato conosco para obter mais informações sobre nossa consultoria em LGPD. Estamos à disposição para ajudá-lo em qualquer fase do processo de conformidade.

consultoria lgpd

Posts relacionados

lgpd no futuro
LGPD

O que esperar da LGPD no futuro?

A Lei Geral de Proteção de Dados Pessoais (LGPD) tem impactado significativamente a forma como empresas e organizações coletam, armazenam, usam e compartilham dados pessoais