A Lei Geral de Protecao de Dados Pessoais (LGPD), Lei n. 13.709/2018, e o marco regulatorio brasileiro para a protecao de dados pessoais. Em vigor desde setembro de 2020, com as sancoes administrativas aplicaveis a partir de agosto de 2021, a LGPD estabelece regras claras sobre como organizacoes devem coletar, armazenar, tratar e compartilhar dados pessoais. Com a Autoridade Nacional de Protecao de Dados (ANPD) em plena atividade regulatoria e fiscalizatoria, entender suas obrigacoes sob a LGPD nao e mais opcional — e uma necessidade operacional e juridica.
Principios da LGPD
A LGPD estabelece dez principios no Artigo 6 que devem nortear todas as atividades de tratamento de dados pessoais:
1. Finalidade. O tratamento deve ser realizado para propositos legitimos, especificos, explicitos e informados ao titular. Nao se pode coletar dados sem um objetivo claro e documentado.
2. Adequacao. O tratamento deve ser compativel com as finalidades informadas ao titular. Os dados coletados devem ser pertinentes e proporcionais ao que e necessario.
3. Necessidade. Limitacao do tratamento ao minimo necessario para a realizacao de suas finalidades. Este principio combate a coleta excessiva de dados.
4. Livre acesso. Garantia de consulta facilitada e gratuita sobre a forma e a duracao do tratamento, bem como a integralidade dos dados pessoais.
5. Qualidade dos dados. Garantia de exatidao, clareza, relevancia e atualizacao dos dados, de acordo com a necessidade para o cumprimento da finalidade do tratamento.
6. Transparencia. Garantia de informacoes claras, precisas e facilmente acessiveis sobre o tratamento e os respectivos agentes de tratamento.
7. Seguranca. Utilizacao de medidas tecnicas e administrativas aptas a proteger os dados pessoais de acessos nao autorizados e de situacoes acidentais ou ilicitas.
8. Prevencao. Adocao de medidas para prevenir a ocorrencia de danos em virtude do tratamento de dados pessoais.
9. Nao discriminacao. Impossibilidade de realizacao do tratamento para fins discriminatorios ilicitos ou abusivos.
10. Responsabilizacao e prestacao de contas. Demonstracao pelo agente de tratamento da adocao de medidas eficazes e capazes de comprovar o cumprimento das normas.
A quem se aplica a LGPD
A LGPD tem aplicacao ampla e extraterritorial (Artigo 3). Aplica-se a qualquer operacao de tratamento de dados pessoais que:
- Seja realizada no territorio nacional
- Tenha por objetivo a oferta ou o fornecimento de bens ou servicos a individuos localizados no Brasil
- Envolva dados pessoais coletados no territorio nacional
Alcance extraterritorial. Uma empresa sediada em Portugal, nos Estados Unidos ou na Alemanha que ofereca produtos ou servicos a consumidores brasileiros ou que colete dados de pessoas no Brasil esta sujeita a LGPD. Este alcance e comparavel ao do RGPD europeu (Artigo 3 do RGPD).
Excecoes. A LGPD nao se aplica ao tratamento de dados realizado por pessoa natural para fins exclusivamente particulares e nao economicos, para fins exclusivamente jornalisticos, artisticos ou academicos, ou pelo Estado para fins de seguranca publica, defesa nacional e investigacao criminal (Artigo 4).
Bases legais para o tratamento
A LGPD estabelece dez bases legais no Artigo 7 que autorizam o tratamento de dados pessoais. Toda operacao de tratamento deve se fundamentar em pelo menos uma delas:
1. Consentimento do titular. Deve ser livre, informado, inequivoco e fornecido para uma finalidade determinada. O consentimento pode ser revogado a qualquer momento.
2. Cumprimento de obrigacao legal ou regulatoria.
3. Execucao de politicas publicas pela administracao publica.
4. Realizacao de estudos por orgaos de pesquisa.
5. Execucao de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular.
6. Exercicio regular de direitos em processo judicial, administrativo ou arbitral.
7. Protecao da vida ou da incolumidade fisica do titular ou de terceiro.
8. Tutela da saude em procedimento realizado por profissionais de saude ou por entidades sanitarias.
9. Interesse legitimo do controlador ou de terceiro. Exige um teste de proporcionalidade (Artigo 10) que equilibre os interesses do controlador com os direitos e expectativas do titular.
10. Protecao do credito.
Para dados sensíveis (Artigo 11), as bases legais são mais restritas: consentimento especifico ou necessidade para cumprimento de obrigação legal, execução de politicas publicas, pesquisa, exercicio de direitos, proteção da vida ou tutela da saude.
Direitos dos titulares
O Artigo 18 da LGPD garante aos titulares de dados um conjunto amplo de direitos:
Confirmacao e acesso. O titular pode solicitar a confirmacao da existencia de tratamento e o acesso aos seus dados pessoais.
Correcao. Direito de solicitar a correcao de dados incompletos, inexatos ou desatualizados.
Anonimizacao, bloqueio ou eliminacao. Direito de solicitar a anonimizacao, bloqueio ou eliminacao de dados desnecessarios, excessivos ou tratados em desconformidade com a lei.
Portabilidade. Direito de solicitar a portabilidade dos dados a outro fornecedor de servico ou produto, mediante requisicao expressa.
Eliminacao. Direito de solicitar a eliminacao dos dados pessoais tratados com base no consentimento.
Informacao sobre compartilhamento. Direito de obter informacao sobre as entidades publicas e privadas com as quais o controlador compartilhou dados.
Revogacao do consentimento. Direito de revogar o consentimento a qualquer momento, mediante manifestacao expressa.
Para uma comparacao detalhada dos direitos dos titulares sob a LGPD e o RGPD, consulte nosso artigo LGPD vs GDPR: principais diferencas.
Encarregado de protecao de dados (DPO)
O Artigo 41 da LGPD determina que o controlador deve indicar um encarregado pelo tratamento de dados pessoais. O encarregado tem as seguintes funcoes:
- Aceitar reclamacoes e comunicacoes dos titulares e prestar esclarecimentos
- Receber comunicacoes da ANPD e adotar providencias
- Orientar os funcionarios e os contratados da entidade sobre as praticas de protecao de dados
- Executar as demais atribuicoes determinadas pelo controlador ou estabelecidas em normas complementares
A ANPD pode estabelecer normas complementares sobre a dispensa de indicacao do encarregado para agentes de tratamento de pequeno porte.
Relatorio de impacto a protecao de dados pessoais
O Artigo 38 da LGPD preve que a ANPD pode determinar ao controlador a elaboracao de um relatorio de impacto a protecao de dados pessoais (RIPD). Este relatorio deve conter:
- A descricao dos tipos de dados coletados
- A metodologia utilizada para a coleta
- As medidas de seguranca da informacao
- A analise do controlador com relacao a medidas, salvaguardas e mecanismos de mitigacao de risco
Embora a ANPD ainda nao tenha regulamentado completamente os criterios para obrigatoriedade do RIPD, e altamente recomendavel que empresas que tratam dados em grande escala ou dados sensiveis elaborem este documento preventivamente.
Transferencias internacionais de dados
A LGPD regula as transferencias internacionais de dados pessoais no Artigo 33. As transferencias sao permitidas quando:
- Para paises ou organismos internacionais que proporcionem grau de protecao adequado
- Quando o controlador oferecer garantias de cumprimento dos principios da LGPD (clausulas contratuais especificas, clausulas-padrao, normas corporativas globais)
- Mediante consentimento especifico do titular
- Para cumprimento de obrigacao legal ou regulatoria
- Para cooperacao juridica internacional
A ANPD vem trabalhando na regulamentacao dos mecanismos de transferencia, incluindo clausulas-padrao contratuais e criterios de adequacao, em linha com os mecanismos do RGPD europeu.
Sancoes e penalidades
O Artigo 52 da LGPD estabelece um regime de sancoes administrativas aplicaveis pela ANPD:
Advertencia. Com indicacao de prazo para adocao de medidas corretivas.
Multa simples. Ate 2% do faturamento da pessoa juridica de direito privado, grupo ou conglomerado no Brasil no seu ultimo exercicio, excluidos os tributos, limitada no total a R$ 50 milhoes por infracao.
Multa diaria. Observado o mesmo limite total de R$ 50 milhoes.
Publicizacao da infracao. Apos devidamente apurada e confirmada a sua ocorrencia.
Bloqueio dos dados pessoais a que se refere a infracao ate a sua regularizacao.
Eliminacao dos dados pessoais a que se refere a infracao.
Suspensao parcial do funcionamento do banco de dados por no maximo 6 meses, prorrogavel por igual periodo.
Suspensao do exercicio da atividade de tratamento de dados pessoais por no maximo 6 meses, prorrogavel por igual periodo.
Proibicao parcial ou total do exercicio de atividades relacionadas a tratamento de dados.
A ANPD ja aplicou sancoes a empresas brasileiras, incluindo advertencias e determinacoes de adequacao, demonstrando que a fiscalizacao e ativa.
Quatro abordagens para conformidade com a LGPD
Contratar um advogado especializado
Custo: R$ 15.000 a R$ 50.000 para um programa de conformidade completo. Prazo: 4 a 8 semanas.
Um advogado especializado em protecao de dados pode conduzir um mapeamento completo dos fluxos de dados, elaborar politicas internas, treinar equipes e estruturar a resposta a incidentes. Recomendado para empresas com grande volume de dados ou dados sensiveis.
Usar uma ferramenta de IA generica
Custo aparente: R$ 0. Custo real: as lacunas de conformidade que ela cria.
Ferramentas de IA genericas podem gerar texto que se parece com uma politica de privacidade, mas nao auditam seus fluxos de dados reais nem garantem cobertura das dez bases legais e dos principios da LGPD.
Copiar um modelo gratuito
Custo: R$ 0. Risco: elevado.
Modelos gratuitos sao genericos, frequentemente desatualizados e nunca adaptados a sua atividade especifica. A ANPD espera que sua politica de privacidade reflita suas praticas reais de tratamento.
Usar um gerador especializado de documentos legais
Custo: 19,90 € a 49,90 €. Prazo: menos de 10 minutos.
Um gerador especializado faz perguntas direcionadas sobre sua empresa e produz uma politica de privacidade que aborda as exigencias da LGPD, incluindo as bases legais, os direitos dos titulares e as obrigacoes de transparencia.
Para verificar rapidamente a conformidade do seu site, utilize o nosso scanner de conformidade gratuito. Consulte tambem a nossa comparacao LGPD vs RGPD para entender as diferencas principais, e o nosso guia sobre a politica de privacidade LGPD.
Conclusao
A LGPD transformou o cenario de protecao de dados no Brasil. Com principios claros, bases legais definidas, direitos amplos dos titulares e sancoes que podem chegar a R$ 50 milhoes, a conformidade nao e mais uma opcao — e uma obrigacao legal com consequencias reais. A ANPD esta ativa na fiscalizacao e na regulamentacao, e o arcabouco normativo continua a se desenvolver. Cada dia sem conformidade e um dia de exposicao desnecessaria a riscos regulatorios e reputacionais. Aja agora para proteger sua empresa e a confianca de seus clientes.