O que é a LGPD e por que ela afeta a emissão e assinatura digital?

O que é a LGPD?

A LGPD é uma lei brasileira que entrou em vigor em 2020 com um objetivo simples (mas muito necessário): proteger a privacidade das pessoas e garantir mais transparência sobre o uso de seus dados pessoais.

Ela é inspirada em outras legislações internacionais, como o famoso GDPR da União Europeia, e trouxe para o Brasil uma série de direitos para o consumidor e obrigações para as empresas.

Mas antes de falar das regras, vamos entender de onde ela veio.

Contexto da criação da Lei Geral de Proteção de Dados

Nos últimos anos, o mundo todo passou a olhar com mais atenção para a privacidade de dados. O volume de informações que circula na internet é gigantesco, e nem sempre as empresas tinham um cuidado real sobre o que faziam com os dados que coletavam.

Grandes escândalos internacionais, como o caso da Cambridge Analytica envolvendo o Facebook, colocaram esse tema em evidência. Os usuários começaram a questionar: “Quem tem acesso aos meus dados?”, “Como estão usando minhas informações?” e “O que fazem com os meus cadastros, hábitos de navegação e preferências?”

Inspirado pela GDPR (General Data Protection Regulation) da União Europeia, o Brasil decidiu criar sua própria regulamentação. E foi assim que nasceu a LGPD, sancionada em 2018, com entrada em vigor a partir de 2020.

A partir daí, toda empresa — seja ela grande, média ou pequena — que coleta dados de brasileiros passou a ter responsabilidades legais claras.

Principais fundamentos da legislação brasileira de proteção de dados

A LGPD é construída sobre 10 princípios básicos. Eles servem como norte para que empresas, órgãos públicos e até profissionais autônomos saibam como devem tratar as informações que coletam de terceiros.

Aqui vai um resumo dos principais:

• Finalidade: toda coleta de dados precisa ter um objetivo específico, legítimo e previamente informado ao usuário.
• Adequação: o tratamento dos dados deve estar de acordo com a finalidade informada.
• Necessidade: só podem ser solicitados os dados estritamente necessários para o serviço ou produto oferecido.
• Livre acesso: o titular dos dados pode consultar, a qualquer momento, quais informações uma empresa possui sobre ele.
• Qualidade dos dados: as informações precisam ser exatas, claras e, quando necessário, atualizadas.
• Transparência: o usuário tem direito a saber de forma simples e acessível como seus dados estão sendo tratados.
• Segurança: as empresas devem adotar medidas de proteção (como criptografia e controle de acesso) para evitar vazamentos ou acessos indevidos.
• Prevenção: a ideia é agir antes que o problema aconteça, com políticas e processos que reduzam os riscos.
• Não discriminação: os dados não podem ser usados de forma abusiva, discriminatória ou ilegal.
• Responsabilização e prestação de contas: as empresas precisam ser capazes de provar que estão seguindo a lei, com documentação e registros de suas práticas.

Ao emitir uma nota fiscal eletrônica ou ao solicitar uma assinatura digital, você está, de alguma forma, coletando, armazenando ou processando dados pessoais. E isso significa que sua empresa precisa estar atenta à LGPD.

Como a LGPD impacta empresas e cidadãos

A LGPD trouxe mudanças que afetam tanto quem fornece dados (os cidadãos) quanto quem coleta e trata essas informações (as empresas e instituições públicas).

Para os consumidores, a lei representa mais direitos sobre a própria privacidade. Para as empresas, ela traz novas responsabilidades e processos que precisam ser ajustados para evitar riscos legais.

Vamos entender melhor o que muda na prática.

Tratamento de dados pessoais e sensíveis

Antes da LGPD, muitas empresas coletavam dados pessoais sem critério, apenas para “caso precisasse no futuro”. Agora, essa abordagem não é mais aceitável.

Mas afinal, o que são considerados dados pessoais? Segundo a LGPD, qualquer informação capaz de identificar direta ou indiretamente uma pessoa física é um dado pessoal. Isso inclui:

• Nome completo
• CPF
• Endereço de e-mail
• Número de telefone
• Geolocalização
• IP de conexão

Já os dados pessoais sensíveis são aqueles que exigem ainda mais cuidado, por envolverem questões como:

• Origem racial ou étnica.
• Convicções religiosas.
• Opiniões políticas.
• Dados de saúde ou biometria.

O tratamento de dados sensíveis só pode ser feito em situações muito específicas e com consentimento expresso do titular. Ao emitir uma nota fiscal eletrônica, o CPF e o endereço do cliente são dados pessoais. Já uma clínica médica, ao armazenar exames de pacientes, lida com dados sensíveis.

Obrigações de controladores e operadores

Outro conceito-chave da LGPD são os papéis de controlador e operador dos dados. E entender essa diferença é fundamental para empresas que trabalham com emissão de documentos e assinaturas digitais.

• Controlador: é quem decide como e por que os dados serão tratados. Normalmente, é a empresa que coleta os dados dos clientes para fornecer um serviço ou produto.
• Operador: é quem realiza o tratamento dos dados em nome do controlador, seguindo as instruções dadas. Geralmente, são os fornecedores de tecnologia, como sistemas de ERP ou de assinatura digital.

Exemplo no contexto de emissão de documentos digitais:

Se uma empresa usa um sistema de gestão empresarial (ERP) para emitir notas fiscais, ela é a controladora dos dados dos clientes. O ERP, por sua vez, é o operador, pois processa os dados conforme as regras definidas pela empresa.

Principais obrigações do controlador:

• Obter consentimento quando necessário.
• Garantir direitos de acesso, correção e exclusão dos dados pelo titular.
• Manter registro das atividades de tratamento de dados.
• Adotar medidas de segurança (como criptografia e controle de acesso).
• Comunicar incidentes de segurança à ANPD e aos titulares afetados.

Principais obrigações do operador:

• Seguir estritamente as instruções do controlador.
• Adotar medidas técnicas de segurança da informação.
• Auxiliar o controlador na gestão dos direitos dos titulares de dados.
• Garantir que o processamento dos dados seja feito de forma segura e em conformidade com a LGPD.

Se sua empresa emite documentos eletrônicos ou realiza assinaturas digitais, ela precisa entender claramente esses papéis para garantir que todos os fluxos de dados estejam adequados à lei, desde o momento da coleta até o armazenamento e eventual exclusão.

Relação entre LGPD e certificados digitais

Quando falamos sobre segurança de dados e conformidade com a LGPD, é impossível ignorar o papel dos certificados digitais. Eles são, hoje, uma das ferramentas mais eficazes para garantir a autenticidade de documentos eletrônicos e a proteção de informações sensíveis.

Por meio de um certificado digital, uma empresa ou pessoa física consegue assinar documentos de forma eletrônica com validade jurídica, garantindo que o conteúdo não foi alterado após a assinatura e que a identidade de quem assinou é legítima. Mas como isso se relaciona com a LGPD? A resposta está nos próprios princípios da lei.

A LGPD exige que todas as empresas adotem medidas técnicas e administrativas para proteger os dados pessoais que coletam e processam. E os certificados digitais entram justamente como uma dessas medidas, reforçando a segurança em processos que envolvem o tratamento de informações.

Assinatura digital como meio seguro de validação

Um dos maiores desafios trazidos pela LGPD é provar, de forma técnica e jurídica, quem fez determinada ação com os dados pessoais. Ou seja, como garantir que um documento foi realmente assinado por aquela pessoa e que o conteúdo não foi alterado depois da assinatura?

É aí que entra a assinatura digital com certificado digital ICP-Brasil.

Por que a assinatura digital é importante para a LGPD?

• Autenticidade: confirma a identidade do assinante. Só a pessoa com a chave privada correspondente ao certificado pode assinar o documento.
• Integridade: garante que o conteúdo do documento não sofreu alterações após a assinatura.
• Não repúdio: o autor da assinatura não pode negar, no futuro, que assinou o documento.
• Esses três pontos são fundamentais para atender aos princípios de segurança, transparência e responsabilização exigidos pela LGPD.

Uma empresa que coleta o consentimento de um cliente para o tratamento de dados pode usar uma assinatura digital com certificado ICP-Brasil para comprovar que a autorização foi realmente concedida pelo titular dos dados.

Importância da criptografia para proteger dados na emissão de certificados

Por trás de todo processo de emissão e uso de certificados digitais está uma tecnologia silenciosa, mas extremamente poderosa: a criptografia. É ela que impede que os dados coletados durante a emissão do certificado — como nome, CPF, endereço de e-mail e informações de identidade — sejam acessados por pessoas não autorizadas.

Desde o momento em que o usuário fornece seus dados para solicitar um certificado até o uso efetivo da chave privada para assinar um documento, a criptografia atua em todas as etapas. Ela protege as informações durante o armazenamento, durante a transmissão e até mesmo no processo de validação da assinatura.

Esse cuidado com a segurança é uma exigência tanto da LGPD quanto das normas da ICP-Brasil, que regula a emissão de certificados digitais no país.

Portanto, ao optar por utilizar certificados digitais na sua empresa, você não está apenas facilitando processos burocráticos, mas também adotando uma tecnologia que contribui diretamente para o cumprimento da LGPD.

Leia também: “O que é criptografia e como ela protege seus dados online”.

LGPD e a validade jurídica dos documentos digitais

Quando falamos de documentos digitais, um dos principais questionamentos das empresas é: “Será que esse documento assinado eletronicamente tem validade jurídica?” Com a chegada da LGPD, essa dúvida se tornou ainda mais comum, principalmente entre empresas que estão digitalizando processos e adotando a assinatura digital como padrão.

A boa notícia é que sim, documentos assinados digitalmente têm pleno valor legal no Brasil, desde que cumpram alguns requisitos técnicos e normativos.

Como a legislação reconhece e valida assinaturas digitais

Antes mesmo da LGPD, o Brasil já possuía uma estrutura jurídica sólida para reconhecer a validade de documentos eletrônicos. A principal base legal para isso é a Medida Provisória nº 2.200-2/2001, que instituiu a Infraestrutura de Chaves Públicas Brasileira (ICP-Brasil).

Essa MP determina que qualquer documento assinado com um certificado digital emitido por uma autoridade certificadora da ICP-Brasil tem o mesmo valor jurídico de um documento físico assinado de próprio punho.

Mas o que a LGPD trouxe de novo nesse cenário?

A LGPD reforçou a necessidade de que as empresas adotem métodos seguros e rastreáveis para o tratamento de dados pessoais, o que inclui a gestão e a validação de documentos eletrônicos. Isso significa que, além de garantir a validade jurídica de uma assinatura digital, as empresas agora precisam ter um cuidado ainda maior com como esses documentos são armazenados, protegidos e acessados.

Outro ponto importante: a LGPD também amplia os direitos do titular dos dados. Isso significa que, além de validar juridicamente a assinatura, as empresas devem garantir que o processo de assinatura digital respeite os princípios de privacidade, finalidade e transparência definidos pela lei.

Por exemplo: se um cliente assinar digitalmente um contrato, ele tem o direito de saber exatamente como seus dados pessoais usados no processo serão tratados e por quanto tempo serão armazenados.

Além disso, as empresas devem estar preparadas para provar que a assinatura foi feita de forma segura e que o documento não foi alterado após a assinatura, caso sejam questionadas judicialmente ou em auditorias.

Portanto, a assinatura digital baseada em certificado ICP-Brasil é, hoje, a forma mais segura e juridicamente reconhecida de validar documentos eletrônicos dentro das exigências da LGPD.

Leia também: “O que é ICP-Brasil e qual seu papel na validade jurídica dos documentos digitais?”.

Medidas de segurança e boas práticas para estar em conformidade

Adequar-se à LGPD vai muito além de simplesmente atualizar políticas de privacidade ou incluir um aviso sobre cookies no site. Para garantir a conformidade, especialmente em processos que envolvem emissão de documentos digitais e assinatura eletrônica, as empresas precisam adotar uma série de medidas técnicas e administrativas focadas na segurança da informação.

Essas medidas não são apenas recomendações. Elas são uma exigência legal para evitar vazamentos de dados, acessos não autorizados e uso indevido de informações pessoais.

Certificados digitais como parte da conformidade com a LGPD

Um dos recursos mais eficientes — e reconhecidos juridicamente — para reforçar a segurança no tratamento de dados é o uso de certificados digitais.

Ao implementar a assinatura digital com base em um certificado ICP-Brasil, a empresa atende vários dos princípios exigidos pela LGPD:

• Autenticidade: garantia de que a pessoa que assinou o documento é realmente quem diz ser.
• Integridade: proteção contra alterações não autorizadas no documento assinado.
• Rastreabilidade: possibilidade de auditar o processo, caso seja necessário provar a autoria ou a data da assinatura.

Além disso, os certificados digitais podem ser usados para controlar o acesso a sistemas internos, restringindo quem pode visualizar ou manipular determinados tipos de dados pessoais.

Por isso, empresas que trabalham com emissão de NF-e, contratos digitais ou gestão de documentos eletrônicos precisam ver os certificados digitais não apenas como uma exigência fiscal, mas como uma importante ferramenta de segurança de dados e de adequação à LGPD.

Armazenamento seguro e controle de acesso às informações

Outro ponto que merece atenção é o armazenamento seguro das informações, especialmente dos documentos que contenham dados pessoais ou sensíveis.

A LGPD não permite improviso quando o assunto é proteção de dados. Por isso, algumas boas práticas são essenciais:

• Criptografia de dados em repouso: toda informação armazenada, seja em servidores locais ou na nuvem, deve ser protegida por criptografia.
• Controle de acesso com níveis de permissão: nem todos na empresa precisam ter acesso a todos os dados. O ideal é adotar um sistema de permissões baseado nas funções de cada colaborador.
• Registro de logs de acesso: é importante manter um histórico de quem acessou quais informações, quando e com que finalidade.
• Backups seguros e com proteção contra ransomware: além de garantir a continuidade do negócio, essa prática evita a perda irreversível de dados em caso de ataque.
• Políticas internas de segurança da informação: criar e aplicar políticas claras sobre como os dados devem ser tratados dentro da organização.

Empresas que lidam com documentos digitais e assinaturas eletrônicas devem garantir que todo o fluxo — desde a coleta até o armazenamento e a eventual exclusão dos dados — esteja protegido e documentado.