Lei Geral de Proteção de Dados
Na era da economia de dados, o verdadeiro valor de uma empresa está nos dados coletados do cliente. Isso significa que os dados são um ativo digno de proteção e manutenção.
Os dados pessoais dos indivíduos processados pelas empresas são apenas emprestados, não são de propriedade das empresas. Para que as empresas mantenham os dados e a confiança de seus clientes e parceiros, elas terão que demonstrar transparência ao coletar, usar, armazenar ou descartar dados pessoais.
Com esse objetivo e se espelhando na General Data Protection Regulation da União Europeia, foi criada no Brasil a Lei Geral de Proteção de Dados (LGPD) que estabelece normas e regulamentos para o processamento de dados pessoais no país.
Já em seu primeiro artigo, a LGPD institui que seu teor é aplicável a qualquer tratamento de dados pessoais, tanto por meio físico quanto digital, por pessoa natural ou jurídica, de direito público ou privado, deixando clara a sua vasta abrangência sobre a matéria de proteção de dados.
O objetivo dessa Lei é proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural, sempre zelando pela devida proteção aos dados pessoais.
Para o melhor entendimento da Lei e suas consequências precisamos primeiramente diferenciar os conceitos de segurança de dados e privacidade de dados.
A segurança de dados diz respeito aos meios de proteção que uma organização adota para impedir que terceiros não autorizados acessem os seus dados. Ela se concentra na proteção de dados contra ataques maliciosos e impede a exploração de dados (violação de dados ou ciberataque). Inclui também controles de acesso, criptografia, segurança de rede, etc.
Já a privacidade de dados se concentra nos direitos dos indivíduos, na finalidade de coleta e processamento de dados, nas preferências de privacidade e na maneira como as organizações controlam os dados pessoais dos titulares de dados. Ela se concentra em como coletar, processar, compartilhar, arquivar e excluir os dados de acordo com a Lei.
Este artigo não tem como objetivo servir de recomendação técnica ou jurídica, a intenção também não é cobrir de forma abrangente e detalhada todos os tópicos da Lei e suas implicações como, por exemplo, a elaboração de um relatório de impacto à proteção de dados pessoais, como tratar dados pessoais de crianças e adolescentes ou como garantir que a infraestrutura de TI de uma empresa está bem protegida contra ataques que possam colocar em risco os dados de seus funcionários, clientes e fornecedores.
Para isso, será necessária a presença dentro da empresa, do Encarregado ou DPO (Data Protection Officcer) que é a pessoa com a missão de fazer a ponte entre o lado técnico (segurança de dados) e lado jurídico para garantir a conformidade com a LGPD. O papel do Encarregado será discutido em mais detalhes nesse artigo.
O objetivo aqui é fazer uma introdução aos principais pontos para mostrar a necessidade de estar preparado para quando a Lei Geral de Proteção de Dados entrar em vigor.
Dito isso, vamos começar!
Definição dos envolvidos e termos abrangidos pela LGPD
A primeira definição a ser feita é a do termo tratamento de dados. O tratamento de dados é qualquer a coleta, uso, armazenamento ou descarte de dados pessoais. Esse tratamento pode ser feito tanto por vias eletrônicas (uma loja on-line que guarda os dados dos seus clientes em um banco de dados em um servidor), quanto por vias físicas (um armário no escritório que guarda as fichas cadastrais de todos os funcionários).
A Lei Geral de Proteção de Dados, no seu Art. 5º, detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.
- O titular: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento.
- O controlador é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação à forma e finalidade do tratamento dos dados. O controlador é responsável pela maneira a qual os dados são coletados, para o que estão sendo utilizados e por quanto tempo serão armazenados.
- O operador: a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
- O encarregado é a pessoa física indicada pelo controlador que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.
O Art. 5º ainda define que os controladores e operadores serão denominados agentes de tratamento.
A Lei também prevê a criação da Autoridade Nacional de Proteção de Dados (ANDP), um órgão da administração pública federal que terá que como objetivo a criação de normas, recomendações técnicas, fiscalização (auditorias), recebimento de reclamações e denúncias, aplicação de sanções e servirá como uma fonte de informações para que as empresas e os encarregados possam se nortear em relação ao tratamento de dados pessoais.
Alguns exemplos de relacionamentos entre os agentes:
• Um cliente realiza cadastro em uma loja virtual para realizar a compra de produtos eletrônicos. Os donos da loja possuem contrato com uma fábrica de software que é responsável pelo desenvolvimento, manutenção e funcionamento do website. Essa fábrica de software terceiriza os servidores necessários para a hospedagem do site e banco de dados para um provedor de nuvem. Além disso, a loja também possuí contrato com uma transportadora para realizar entrega dos produtos.
Nessa situação, podemos classificar o cliente como o titular. A loja virtual é o controlador, pois é a loja que recebe inicialmente os dados do cliente e é quem define qual será o tratamento dado aos mesmos. A fábrica de software, o provedor de nuvem e a transportadora são os operadores que devem seguir as orientações dadas pelo controlador sobre como tratar os dados dos clientes da loja durante a prestação de serviços à mesma.
• Uma empresa guarda em um armário diversas pastas com os dados pessoais dos seus funcionários e também informações de contato e localização de seus fornecedores.
Com isso, temos a empresa é o controlador e os funcionários são os titulares. Entre os fornecedores, aqueles que forem pessoas físicas ou microempreendedores individuais (MEI) também serão considerados como titulares.
A situação dos microempreendedores individuais é um caso a parte, pois apesar de serem pessoas jurídicas, a ligação entre o MEI e a pessoa física é tão forte que ao tratar dados da empresa, inevitavelmente, serão tratados também os dados da pessoa física.
Quais são as bases legais para o tratamento de dados?
A Lei estabelece que ninguém pode tratar dados sem que haja uma devida base legal atribuída à operação. As bases legais estão definidas no Art. 7º da LGPD e são as seguintes:
- I – mediante o fornecimento de consentimento pelo titular:
Exemplo: Ao se realizar o cadastro em uma loja virtual, o operador pode requisitar o consentimento do titular para coletar seu e-mail para envio de material de divulgação.
É possível tratar qualquer tipo de dado pessoal baseando-se no consentimento explicito e informado do titular. Porém, é necessário resistir ao impulso de basear todo tratamento de dados no consentimento, pois o titular, a qualquer momento e por qualquer motivo, tem todo o direito de revogar o consentimento previamente dado. - II – para o cumprimento de obrigação legal ou regulatória pelo controlador:
Exemplo: Hotéis, pousadas e hospedarias são obrigados pela Lei do Turismo a coletar dados pessoais e demográficos dos hóspedes. Aquela ficha que deve sempre ser preenchida durante o check-in em um hotel tem origem nessa obrigação legal. - III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
- IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais:
Exemplo: Dados coletados durante uma pesquisa do IBGE. - V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados:
Exemplos: Se a prestação de serviço prevista em contrato depende do tratamento de dados pessoais. Também se aplica para os casos em que para a confecção de um contrato entre o controlador e o titular é necessária a coleta dos dados pessoais do último. - VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
- VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro:
Essa base legal se aplicaria, por exemplo, ao Corpo de Bombeiros ou à Polícia Militar em casos em que eles precisam entrar em ação durante acidentes trânsito, incêndios, crimes violentos, etc., onde pode ser necessário coletar os dados das vítimas para prestar-lhes melhor o socorro. - VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária:
Exemplo: Um hospital, consultório médico ou pronto socorro pode requisitar os dados pessoais de um paciente para a realização de procedimentos médicos. - IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais:
Exemplo: É perfeitamente legítimo uma empresa realizar a coleta e armazenamento de e-mails para o envio posterior de publicidade contendo ofertas de produtos ou serviços ao titular. - X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente:
Exemplo: Ao se realizar o financiamento de um carro, a concessionária pode coletar os dados pessoais do titular para saber se o mesmo tem o “nome limpo” nas bases do SPC ou SERASA.
Após garantir que o tratamento de dados está devidamente fundamento em uma ou mais bases legais, ainda é necessário observar os princípios determinados no Art. 6º da LGPD.
Quais os princípios a serem adotados ao se realizar o tratamento de dados?
As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
- I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
- III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
- IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
- V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
- VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
- IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
- X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Alguns exemplos de aplicação desses princípios:
- De acordo com os princípios de finalidade e adequação, um controlador não pode, por exemplo, coletar os dados de um titular com a finalidade de realizar a venda de um produto em uma loja virtual e ao mesmo tempo enviar esses dados para uma empresa parceira – operador – com o objetivo de realizar a divulgação de outros produtos ou serviços.
Nesse caso, seria necessário informar previamente ao cliente quais dados estão sendo coletados com a finalidade de realizar a entrega do produto e oferecer a opção de consenso do cliente em receber material de divulgação da empresa parceira, informando a ele quais dados serão enviados para a mesma.
Mesmo nessa situação, ainda é necessário deixar explícito quais são as empresas parceiras no momento da coleta de dados e também garantir que o titular possa dar consentimento para o envio de dados a cada uma delas (ou nenhuma) de forma separada. Caso posteriormente o controlador tenha o interesse próprio de enviar os dados pessoais para outras empresas, além das existentes no momento da compra, será necessário o pedido de consentimento ao titular.
- De acordo com o princípio da necessidade, se um controlador tem o interesse próprio de coletar dados para o envio de marketing por e-mail, não existe a necessidade de coletar, além do nome e endereço de e-mail, outros dados como número de telefone, CPF, estado civil, etc.
- De acordo com os princípios de livre acesso, qualidade dos dados e transparência é total direito de um titular saber quais informações pessoais do mesmo existe na base de dados de um controlador e seus operadores, saber para quais finalidades eles estão sendo utilizados, além de ter o direito de pedir a correção ou atualização dos dados tratados.
Tratamento de dados pessoais sensíveis
A Lei define regras bem mais restritas ao se tratar dados do titular que são considerados sensíveis.
A LGPD define um dado pessoal como sensível quando ele é: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
A recomendação é evitar tratar dados pessoais sensíveis, pois são dados que podem trazer consequências graves aos titulares – como discriminação ou publicação de dados de foro íntimo como histórico de doenças ou orientação sexual – em casos de vazamento ou manuseio incorreto.
Se mesmo assim ainda for necessário fazer o tratamento de dados sensíveis, ele só poderá ocorrer nas seguintes hipóteses de acordo com o Art. 11 da LGPD:
- I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
- II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
- a) cumprimento de obrigação legal ou regulatória pelo controlador;
- b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
- c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
- d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
- e) proteção da vida ou da incolumidade física do titular ou de terceiro;
- f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Término do tratamento de dados
O término do tratamento de dados ocorre quando a finalidade ou base legal para o tratamento deixa de existir. Quando isso ocorre os dados pessoais dos titulares daquele controlador devem ser eliminados de todas as bases de dados próprias e de seus operadores.
Os Artigos 15 e 16 da LGPD estipulam as regras para o término do tratamento e a eliminação dos dados:
Art. 15. O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
- I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
- II – fim do período de tratamento;
- III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º desta Lei, resguardado o interesse público;
- IV – determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
- I – cumprimento de obrigação legal ou regulatória pelo controlador;
- II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- III – transferência à terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei;
- IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Quem é o Encarregado e qual seu papel?
O Encarregado ou Data Protection Officcer (DPO) é uma pessoa ou função que tem como papel primordial estabelecer o processo de conformidade com a LGPD. O DPO atua, interage e é o elo de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Trata-se de um profissional de nível gerencial responsável pelo cumprimento da estratégia, implantação e manutenção dos processos de governança, gestão de riscos e conformidade inerentes e relacionados com a proteção e privacidade de dados.
Essa função pode ser exercida também por um prestador de serviço como um consultor ou uma empresa de consultoria. No entanto, a pessoa que deve ser designada como o Encarregado de uma empresa deve sempre ser uma pessoa física.
Além disso, um Encarregado/DPO pode prestar serviço a mais de uma empresa ao mesmo tempo desde que ele seja facilmente acessível a todas as organizações que atende.
Como previsto nos Artigos 37º, 38º e 39º da Lei Geral de Proteção de Dados, a designação do Encarregado deve ser de acordo com uma capacidade multidisciplinar que engloba conhecimentos sobre segurança e proteção de dados, legislação aplicada, compliance, e sobre o modelo e cultura organizacionais.
E dentre a atividades, funções e papéis exercidos, podemos salientar as seguintes:
- Buscar o compromisso organizacional e a vontade de estar em conformidade com os direcionamentos da LGPD;
- Liderar o processo de instituição de uma cultura de segurança cibernética e da proteção e privacidade de dados e informações;
- Ser responsável pela instituição do processo de DPIA/PIA (assessment de proteção e privacidade de dados) e por consequência pelo Relatório de Impacto;
- Buscar a implementação do processo de Privacy by Default, ou características de privacidade por padrão em produtos e serviços;
- Ser o elo de comunicação e interface entre a empresa, o titular dos dados e a Autoridade Nacional – ANPD;
- Incentivar e instituir a criação e o cumprimento das políticas de privacidade e proteção de dados;
- Monitorar a conformidade da organização com legislação em relação à proteção e privacidade de dados, inclusive em auditorias, monitoramento da execução de contratos, atividades de conscientização e treinamento organizacional;
- Identificar atividades de tratamento de dados e atualizar e manter atualizadas estas atividades;
- Atuar como ponto de contato para solicitações de indivíduos sobre o processamento de seus dados pessoais e o exercício de seus direitos;
- Orientar a adequação e manter o cumprimento de contratos relativos às atividades com partes relacionadas em contextos de proteção e privacidade de dados;
- Promover avaliação na exposição aos riscos de violações de privacidade e mitigados com ações de melhoramento;
- Responsável por se reportar diretamente ao mais alto nível de gerenciamento da organização;
Não existe na LGPD uma regra definindo quem pode ou não pode exercer o cargo de encarregado, como por exemplo, a necessidade de ensino superior, atuação em determinada área ou a obrigação de possuir algum certificado. Porém, com a multidisciplinaridade das atividades, os encarregados naturalmente serão encontrados no meio jurídico com alguma especialização ou conhecimento mais aprofundado de segurança de dados ou, como é mais frequente, entre os profissionais de TI que tenham capacidade de entender as nuances e as implicações práticas da Lei.
Qualquer pessoa pode ser treinada para exercer essa função. Lembrando ainda que não precisa ser necessariamente uma única pessoa, mas também uma equipe, departamento ou empresa com os conhecimentos necessários nas diversas áreas envolvidas, onde o Encarregado seria o responsável por essa equipe.
Hoje, no Brasil existe a ANPPD – Associação Nacional dos Profissionais de Privacidade de Dados que serve como um ponto inicial onde as empresas podem procurar profissionais com as habilidades necessárias para o cargo.
O que um agente de tratamento de dados precisa fazer em casos de incidentes de segurança?
De acordo com o Art. 48, o controlador deverá comunicar a autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
O que deve ser comunicado:
- A descrição da natureza dos dados pessoais afetados;
- As informações sobre os titulares envolvidos;
- A indicação das medidas técnicas e de segurança utilizadas para a proteção dados;
- Os riscos relacionados ao incidente;
- Os motivos da demora, no caso de a comunicação não ter sido imediata;
- As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
O que pode acontecer em casos de descumprimento da Lei?
De acordo com o Art. 52, os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às sanções administrativas aplicáveis pela autoridade nacional. São elas:
- I – advertência, com indicação de prazo para adoção de medidas corretivas;
- II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- III – multa diária, observado o limite total a que se refere o inciso II;
- IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- VI – eliminação dos dados pessoais a que se refere a infração;
- X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Outra consequência que pode vir do não cumprimento da regulamentação se deve ao fato de que muitos países estão adotando medidas legais parecidas com a LGPD e entre essas medidas, existe a possibilidade de um país proibir suas empresas de realizarem negócios ou qualquer tipo de operação de tratamento de dados com empresas ou países que não possuam uma legislação equivalente ou que estejam em desacordo com a Lei.
Quando a LGPD entra em vigor?
A LGDP estava inicialmente prevista para entrar em vigor em Agosto de 2020 com as sanções podendo ser aplicadas a partir de Maio de 2021.
Porém, por conta de ações adotadas pelo Governo Federal para a mitigação dos efeitos do COVID-19, entre elas a MEDIDA PROVISÓRIA Nº 959, DE 29 DE ABRIL DE 2020, o início da vigência foi alterado para Maio de 2021 com as sanções iniciando também na mesma data.
Caso a MP-959 se converta em lei até Agosto de 2020, teremos a seguinte situação:
- Vigência: 03 de Maio de 2021.
- Início de aplicação das sanções: 03 de Maio de 2021.
Caso contrário:
- Vigência: 01 de Agosto de 2020.
- Início de aplicação das sanções: 03 de Maio de 2021.
Mesmo com uma data de vigência definida ainda existem incertezas por conta da criação da Autoridade Nacional de Proteção de Dados (ANPD) que será responsável por fiscalizar e aplicar as devidas sansões. A criação dessa entidade ainda não tem data definida e vai depender de decreto do Governo Federal.
Além disso, da maneira que se encontra hoje, a LGPD não faz distinção entre pequenas ou grandes empresas, entidades públicas ou mesmo organizações religiosas. A princípio todas essas entidades devem seguir a Lei com o mesmo nível de rigor. No entanto a ANPD, depois de criada, terá a liberdade de definir diretrizes que podem impactar num nível de rigor maior ou menor para os diferentes tipos e tamanhos de empresas e instituições.
De qualquer maneira não é recomendado esperar para a LGPD entrar em vigor e a ANPD ser criada para iniciar todo o trabalho de adequação necessário. Dependendo do tamanho e da complexidade das organizações e dos seus negócios essa adequação pode demorar meses e ser muito onerosa.
Referências
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/mpv/mpv959.htm
https://anppd.org/
https://www.tiexames.com.br/novosite2015/blog-detalhe.php?id=33
https://resultadosdigitais.com.br/blog/o-que-e-lgpd/
https://triplait.com/lei-geral-de-protecao-de-dados/
https://www.federasul.com.br/o-papel-do-dpo-data-protection-officer-encarregado/
https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
Texto escrito pelo nosso colaborador Marcelo Silva.