A LGPD — Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018 — é a lei brasileira que regula como organizações públicas e privadas coletam, armazenam, processam e compartilham dados pessoais de pessoas físicas. Vigente desde setembro de 2020, com sanções aplicáveis desde agosto de 2021, ela se aplica a qualquer empresa que trate dados de pessoas no Brasil — independentemente do porte, do setor ou da localização geográfica da empresa. Seu objetivo fundamental é proteger os direitos de liberdade e privacidade dos cidadãos, estabelecendo regras claras sobre quando e como dados pessoais podem ser usados — e quais são as consequências do descumprimento.
Em 2026, a LGPD entrou em uma nova fase. A ANPD (Autoridade Nacional de Proteção de Dados) passou a atuar de forma mais proativa, publicou o Mapa de Temas Prioritários para o biênio 2026-2027 — com foco em direitos dos titulares, proteção de crianças e adolescentes, tratamento de dados pelo poder público e IA — e intensificou auditorias preventivas e exigências de comprovação documental de conformidade. Entender como a LGPD funciona não é mais um diferencial — é requisito de operação.
O que são dados pessoais e dados pessoais sensíveis
O ponto de partida para entender a LGPD é saber o que ela protege. A lei trabalha com dois tipos de dados, com regimes de proteção distintos.
Dados pessoais (art. 5º, I) são qualquer informação relacionada a uma pessoa natural identificada ou identificável. A definição é propositalmente ampla: nome, CPF, RG, endereço, e-mail, número de telefone, IP de um dispositivo, localização geográfica, cookies de navegação, número de matrícula de funcionário, histórico de compras. Se a informação permite identificar — direta ou indiretamente — uma pessoa física, é dado pessoal e está sujeita à LGPD.
Dados pessoais sensíveis (art. 5º, II) são uma categoria específica que, por sua natureza, pode gerar discriminação ou riscos graves ao titular. A LGPD lista taxativamente o que considera sensível:
Origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, dado referente à saúde ou à vida sexual, dado genético ou biométrico (quando vinculado a uma pessoa natural).
O regime de proteção para dados sensíveis é mais rigoroso. Enquanto dados pessoais comuns podem ser tratados com base em qualquer uma das 10 bases legais do art. 7º, dados sensíveis exigem, em regra, consentimento específico e destacado do titular — ou enquadramento em hipóteses taxativas mais restritivas previstas no art. 11. Isso tem implicações práticas diretas: sistemas de saúde que coletam dados de pacientes, aplicativos que processam biometria para controle de ponto, plataformas de RH que armazenam filiação sindical — todos operam com dados sensíveis e precisam de bases legais específicas.
A lei também faz uma distinção importante entre dados pessoais e dados anonimizados: um dado que passou por processo de anonimização que impossibilite sua associação a um indivíduo não é considerado dado pessoal e fica fora do escopo da LGPD. Mas a anonimização precisa ser irreversível — dados pseudonimizados (que podem ser re-identificados com informações adicionais) continuam sendo dados pessoais.
O escopo da LGPD: quem ela alcança
A LGPD tem escopo territorial amplo. Ela se aplica a qualquer operação de tratamento de dados pessoais que:
— Seja realizada no território nacional; ou
— Tenha por objetivo a oferta de bens ou serviços a pessoas localizadas no Brasil; ou
— Envolva dados de pessoas que estejam no Brasil no momento da coleta.
Isso significa que uma empresa estrangeira que vende produtos para consumidores brasileiros via e-commerce, mesmo sem ter sede no Brasil, está sujeita à LGPD. E que uma empresa brasileira que trata dados de colaboradores e clientes — mesmo que em papel — está sujeita à lei.
Existem algumas exceções: dados tratados exclusivamente para fins particulares e não econômicos (como uma lista de contatos pessoal), dados tratados para fins jornalísticos, artísticos ou acadêmicos (com algumas salvaguardas), dados tratados para fins de segurança pública, defesa nacional, investigação criminal e persecução penal (regidos por lei específica).
Na prática, qualquer empresa que tenha site, CRM, sistema de RH, cadastro de clientes, câmera de segurança com identificação de pessoas ou aplicativo está coletando dados pessoais e sujeita à lei. Não existe porte mínimo de empresa para incidência da LGPD.
Os 10 princípios que governam todo tratamento de dados
Antes de listar as bases legais específicas, a LGPD estabelece no art. 6º dez princípios que devem nortear qualquer operação de tratamento de dados pessoais. Eles são a espinha dorsal da lei e servem como critério interpretativo quando surgem situações não previstas explicitamente no texto legal.
Finalidade — dados coletados com uma finalidade específica só podem ser usados para aquela finalidade. Não se pode coletar e-mail para enviar confirmação de pedido e depois usar para prospecção comercial sem base legal adicional.
Adequação — o tratamento deve ser compatível com a finalidade informada ao titular. Coletar data de nascimento de clientes para uma loja de livros provavelmente não é adequado; para uma farmácia que vende medicamentos controlados, pode ser necessário.
Necessidade — coletar apenas o mínimo necessário para atingir a finalidade (princípio de minimização de dados). Se a finalidade pode ser atingida sem coletar determinado dado, ele não deve ser coletado.
Livre acesso — titulares têm direito a consultar facilmente seus dados e o tratamento a eles aplicado.
Qualidade dos dados — os dados devem ser exatos, claros, relevantes e atualizados conforme necessário.
Transparência — titulares devem ter informações claras e precisas sobre o tratamento e os agentes responsáveis.
Segurança — medidas técnicas e administrativas devem proteger os dados de acessos não autorizados e situações acidentais ou ilícitas.
Prevenção — adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento.
Não discriminação — o tratamento não pode ser realizado para fins discriminatórios ilícitos ou abusivos.
Responsabilização e prestação de contas — o controlador deve demonstrar a adoção de medidas eficazes de conformidade — não basta afirmar que cumpre a lei, é preciso ter evidências documentadas.
As 10 bases legais: quando o tratamento de dados é permitido
Uma das perguntas mais práticas sobre a LGPD é: quando minha empresa pode tratar dados pessoais? A resposta está nas bases legais do art. 7º — as 10 hipóteses que autorizam o tratamento. Todo tratamento de dados pessoais precisa se enquadrar em ao menos uma delas. Sem base legal válida, o tratamento é ilegal.
| Base Legal | Quando se aplica | Exemplo prático |
|---|---|---|
| I — Consentimento | Quando o titular autoriza explicitamente o tratamento para finalidade específica | Newsletter de marketing enviada apenas para quem se cadastrou voluntariamente |
| II — Obrigação legal | Quando a lei exige o tratamento | Retenção de dados de empregados por exigência da CLT e legislação trabalhista |
| III — Políticas públicas | Exclusiva da administração pública, para execução de políticas públicas previstas em lei | Cadastro de beneficiários de programas sociais |
| IV — Pesquisa | Estudos por órgão de pesquisa, com anonimização sempre que possível | Pesquisas epidemiológicas com dados de saúde |
| V — Execução de contrato | Quando o tratamento é necessário para cumprir contrato com o próprio titular | Dados de endereço para entrega de produto comprado online |
| VI — Exercício regular de direitos | Para defesa em processo judicial, administrativo ou arbitral | Manutenção de registros de transações para eventuais disputas legais |
| VII — Proteção da vida | Para proteger a vida ou incolumidade física do titular ou de terceiro | Compartilhar dados de saúde em emergência médica |
| VIII — Tutela da saúde | Por profissionais e serviços de saúde | Histórico médico compartilhado entre equipe de saúde do mesmo paciente |
| IX — Legítimo interesse | Para interesses legítimos do controlador ou de terceiros, quando não prevaleçam direitos dos titulares | Personalização de experiência em plataforma digital, prevenção de fraudes |
| X — Proteção do crédito | Para atividades de análise e proteção de crédito | Consulta a cadastros de inadimplência em concessão de crédito |
Dois pontos merecem atenção especial. O consentimento (base I) precisa ser livre, informado, inequívoco e para finalidade específica — não vale consentimento genérico em letra miúda em termos de uso extensos. O titular pode revogar o consentimento a qualquer momento, e o controlador deve estar preparado para interromper o tratamento ou migrar para outra base legal quando isso ocorre.
O legítimo interesse (base IX) é a mais flexível — e também a mais arriscada de invocar sem avaliação cuidadosa. Ela exige um teste de balanceamento: o interesse do controlador deve ser legítimo, necessário e não deve prevalecer sobre os direitos e liberdades fundamentais do titular. A ANPD tem sinalizado que invocações oportunistas de legítimo interesse — usadas como válvula de escape quando nenhuma outra base se encaixa — serão tratadas com rigor.
Os atores do tratamento de dados: controlador, operador e encarregado
A LGPD define papéis específicos para os agentes envolvidos no tratamento de dados pessoais, com responsabilidades e obrigações distintas para cada um.
O controlador (art. 5º, VI) é a pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados: define a finalidade, escolhe os meios, determina as bases legais e responde perante os titulares e a ANPD pela conformidade do tratamento. Na maioria dos cenários corporativos, a empresa que coleta dados de clientes ou colaboradores é o controlador. É o papel de maior responsabilidade na LGPD.
O operador (art. 5º, VII) é quem processa dados em nome do controlador, dentro dos limites e propósitos por ele definidos. Uma empresa de software que gerencia o CRM de um cliente, um processador de pagamentos, uma empresa de cloud que hospeda o banco de dados — todos são operadores. O operador deve agir dentro das instruções do controlador, mas também responde por suas próprias infrações à lei. A responsabilidade do operador é solidária com a do controlador nos casos em que o operador agiu em desacordo com as instruções recebidas ou com a lei.
O encarregado — também chamado de DPO (Data Protection Officer) — é a pessoa física ou jurídica indicada pelo controlador para atuar como canal de comunicação entre a organização, os titulares dos dados e a ANPD. As atribuições do DPO incluem receber reclamações e comunicações dos titulares, prestar esclarecimentos à ANPD, orientar os colaboradores sobre práticas de proteção de dados e elaborar políticas e registros de conformidade. A lei não obriga todas as empresas a nomear um DPO formalmente, mas a ANPD sinalizou que essa nomeação é esperada de organizações que tratam dados em larga escala ou de categorias sensíveis — e a ausência de DPO foi um dos fatores agravantes na primeira multa aplicada pela autoridade.
Uma mesma organização pode ser simultaneamente controladora (em relação a seus clientes) e operadora (em relação a dados que processa para outros controladores). Empresas de TI que gerenciam sistemas de terceiros frequentemente se enquadram nessa situação dupla — e precisam ter clareza sobre qual papel exercem em cada relação para definir as responsabilidades corretamente.
Os 9 direitos dos titulares de dados
Um dos pilares da LGPD é o conjunto de direitos que confere às pessoas controle sobre seus próprios dados. Esses direitos estão previstos principalmente no art. 18 e precisam ser atendidos pelas organizações em prazo razoável — a ANPD recomenda atendimento em até 15 dias como referência de boa-fé.
I — Confirmação de tratamento. O titular tem o direito de saber se seus dados estão sendo tratados pela organização.
II — Acesso aos dados. O direito de obter uma cópia de todos os dados que a organização possui sobre ele, de forma clara e completa.
III — Correção de dados incompletos, inexatos ou desatualizados. O titular pode exigir a atualização de qualquer dado incorreto ou desatualizado.
IV — Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos. Quando dados são tratados em desconformidade com a lei — sem base legal ou além do necessário —, o titular pode exigir sua remoção ou anonimização.
V — Portabilidade dos dados. O direito de receber seus dados em formato estruturado para transferi-los a outro fornecedor de produto ou serviço (a regulamentação específica deste direito pela ANPD está em desenvolvimento).
VI — Eliminação de dados tratados com consentimento. Quando o tratamento se baseia no consentimento do titular, ele pode revogá-lo e exigir a eliminação dos dados — salvo quando a lei permite a retenção por outro motivo (obrigação legal, exercício regular de direitos etc.).
VII — Informação sobre compartilhamento. O titular tem direito a saber com quais entidades públicas ou privadas seus dados foram compartilhados.
VIII — Informação sobre a possibilidade de não consentir. Antes de fornecer consentimento, o titular deve ser informado sobre as consequências de recusar — o que o controlador não poderá fazer se o consentimento for negado.
IX — Revisão de decisões automatizadas. O titular pode solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado que afetem seus interesses — como análises de crédito, seleção de emprego ou definição de perfil de seguro. Este direito é especialmente relevante em 2026, com a expansão do uso de IA em decisões corporativas, e é um dos focos prioritários de fiscalização da ANPD para o biênio 2026-2027.
Para exercer esses direitos, o titular pode contatar diretamente o controlador — ou acionar a ANPD em caso de resposta inadequada ou negativa injustificada. As organizações precisam ter processos claros para receber e responder a essas solicitações, com registro da comunicação e do prazo de atendimento.
Obrigações das empresas: o que a LGPD exige na prática
Conformidade com a LGPD não é um documento — é um conjunto de práticas operacionais que precisam estar incorporadas ao funcionamento da organização. As principais obrigações incluem:
Mapeamento de dados (data mapping). Antes de qualquer ação de conformidade, a empresa precisa saber quais dados pessoais coleta, para qual finalidade, com qual base legal, onde são armazenados, por quanto tempo e com quem são compartilhados. Esse inventário de dados é o fundamento de toda a estrutura de conformidade — e a ANPD tem solicitado sua apresentação em processos de fiscalização.
Definição de base legal para cada tratamento. Para cada finalidade de tratamento identificada no mapeamento, a organização deve definir e documentar qual das 10 bases legais do art. 7º justifica aquele tratamento. A base legal deve ser adequada — não basta escolher a mais conveniente; ela precisa ser genuinamente aplicável ao contexto.
Política de privacidade e avisos de transparência. A organização deve informar os titulares, de forma clara e acessível, sobre: quem é o controlador, quais dados são coletados, para qual finalidade, qual é a base legal, com quem serão compartilhados e por quanto tempo serão retidos. A política de privacidade precisa ser escrita em linguagem compreensível — não em juridiquês inacessível — e deve ser facilmente localizável pelo titular.
Medidas de segurança técnica e administrativa. O art. 46 exige que controladores e operadores adotem medidas de segurança aptas a proteger dados pessoais de acessos não autorizados e situações acidentais ou ilícitas. Isso inclui controles de acesso, criptografia, gestão de vulnerabilidades, hardening de sistemas e processos de backup — exatamente as medidas técnicas que a ISO 27001 sistematiza em um SGSI.
Indicação do encarregado (DPO). O controlador deve indicar um encarregado de dados e tornar públicas suas informações de contato — facilitando o acesso dos titulares ao canal de comunicação. A ANPD publicou orientações sobre os casos em que a indicação é especialmente importante, incluindo tratamento de dados sensíveis em larga escala.
Contratos com operadores. Toda vez que um fornecedor ou prestador de serviço trata dados pessoais em nome da empresa (um sistema de CRM, um serviço de cloud, uma empresa de cobrança, um processador de folha de pagamento), deve existir um contrato que defina os limites e obrigações do operador — incluindo cláusulas de segurança da informação, vedação de uso para finalidades próprias e obrigação de comunicar incidentes.
Relatório de Impacto à Proteção de Dados (RIPD). Para tratamentos de alto risco — dados sensíveis em larga escala, decisões automatizadas com efeitos significativos, monitoramento sistemático — a LGPD (art. 38) prevê a elaboração de um Relatório de Impacto à Proteção de Dados. O RIPD deve descrever os dados tratados, a metodologia e as medidas de mitigação de riscos adotadas. Em 2025, a ANPD passou a solicitar RIPDs com mais frequência em processos de fiscalização.
Notificação de incidentes de segurança
O art. 48 da LGPD estabelece que o controlador deve comunicar à ANPD e ao titular a ocorrência de qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A comunicação deve ser feita em prazo razoável — a ANPD recomenda que ocorra em até 48 horas úteis a partir do momento em que o controlador confirme a ocorrência do incidente.
O aviso deve conter: a descrição da natureza dos dados afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas e de segurança adotadas, os riscos relacionados ao incidente e as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do incidente.
Não comunicar um incidente relevante, ou comunicar com atraso injustificado, é uma infração autônoma à LGPD — independentemente de a violação de dados ter causado dano comprovado. E é aqui que empresas sem monitoramento contínuo de segurança têm um problema estrutural: se você não detecta que um incidente ocorreu, não pode notificar. O dwell time médio de 194 dias documentado pela IBM — o tempo em que um invasor fica na rede antes de ser detectado — significa que muitas empresas estão tecnicamente em incidente sem saber, acumulando risco regulatório junto com o risco operacional.
As sanções da ANPD: o que a lei prevê e o que está acontecendo na prática
O art. 52 da LGPD prevê um conjunto escalonado de sanções administrativas que a ANPD pode aplicar após processo administrativo com ampla defesa. As sanções incluem:
| Sanção | Descrição | Impacto |
|---|---|---|
| Advertência | Alerta formal com prazo para medidas corretivas | Reputacional + obrigação de adequação |
| Multa simples | Até 2% do faturamento bruto, limitada a R$ 50 milhões por infração | Financeiro |
| Multa diária | Aplicável enquanto a infração persistir, mesmo teto da multa simples | Financeiro cumulativo |
| Publicização da infração | Divulgação pública do caso após confirmação | Reputacional |
| Bloqueio dos dados | Suspensão do uso dos dados objeto da infração até regularização | Operacional |
| Eliminação dos dados | Exclusão definitiva dos dados relacionados à infração | Operacional irreversível |
| Suspensão parcial | Suspensão do banco de dados por até 6 meses, prorrogável | Operacional grave |
Um ponto técnico relevante sobre a multa: a base de cálculo é o faturamento bruto — não o lucro. Para empresas com margens reduzidas, 2% do faturamento pode representar múltiplos da lucratividade anual. E a lei não define o que constitui uma “infração” para fins de contagem do teto de R$ 50 milhões — em tese, cada violação de dado de um titular poderia ser contada como infração separada.
O que está acontecendo na prática. Até agosto de 2024, a ANPD havia aplicado 18 sanções administrativas, sendo apenas duas multas — ambas contra a microempresa Telekall Infoservice, totalizando R$ 14.400. A primeira multa, aplicada em julho de 2023, foi motivada pelo tratamento de dados pessoais sem base legal (comercialização de listas de contatos de WhatsApp de eleitores) e ausência de DPO indicado. Em 2024, nenhuma empresa privada foi multada — as sanções se concentraram em órgãos públicos, que por lei não podem receber penalidades financeiras.
Esse ritmo de fiscalização está mudando. Em dezembro de 2024, a ANPD notificou 20 empresas por descumprimento de regras de proteção de dados. Em 2025, a autoridade ganhou mais servidores, publicou o Mapa de Temas Prioritários para 2026-2027 e passou a conduzir auditorias preventivas com solicitação de comprovação documental de conformidade. A tendência é de aceleração — e o contraste com a União Europeia, onde multas do GDPR somaram €1,78 bilhão apenas em 2023, dá a dimensão do que pode estar por vir.
Além das sanções administrativas da ANPD, organizações que causarem danos a titulares de dados podem responder por responsabilidade civil — indenização por danos materiais e morais — em ações individuais ou coletivas. A LGPD prevê responsabilidade objetiva para controladores em muitos cenários, o que significa que o ônus de provar que não agiu com culpa pode recair sobre a empresa.
A ANPD e a agenda regulatória para 2026-2027
A Autoridade Nacional de Proteção de Dados — criada pela própria LGPD como órgão da administração pública federal — passou por um processo de fortalecimento institucional importante. A Medida Provisória nº 1.317/2025 ampliou sua capacidade operacional, e a publicação do Mapa de Temas Prioritários para o biênio 2026-2027, em dezembro de 2025, sinalizou claramente as prioridades de fiscalização:
Direitos dos titulares. Como as organizações respondem às solicitações de acesso, correção, eliminação e portabilidade — incluindo os prazos de atendimento e a qualidade das informações fornecidas.
Proteção de crianças e adolescentes. Com a aprovação do ECA Digital, regras específicas para tratamento de dados de menores são uma prioridade de regulamentação e fiscalização. Aplicativos, plataformas de atendimento e fluxos de cadastro que possam captar dados de menores precisam de revisão urgente.
Tratamento de dados pelo poder público. Atenção especial ao setor público, que concentrou a maioria das sanções dos anos anteriores — mas sem multas financeiras, por vedação legal.
Inteligência artificial e tecnologias emergentes. A ANPD deixou claro que algoritmos devem ter critérios transparentes e documentados, especialmente quando impactam consumidores de forma significativa. O sandbox regulatório da ANPD apresentou resultados preliminares que reforçam a transparência como base de uma IA confiável — e as Notas Técnicas nº 1/2026 e nº 5/2025 reforçam o princípio da prevenção combinado com privacy by design.
Como sua empresa deve estruturar a conformidade com a LGPD
Conformidade com a LGPD não é um estado que se atinge e se mantém passivamente. É um processo contínuo que precisa evoluir junto com o negócio, com as tecnologias usadas e com as exigências regulatórias da ANPD. Um programa de conformidade robusto opera em seis frentes simultâneas:
Governança. Definição de papéis e responsabilidades internas, indicação do DPO, criação do comitê de privacidade (em organizações maiores) e engajamento formal da alta direção com o tema.
Mapeamento e inventário de dados. Documentação de todos os fluxos de dados pessoais — coleta, armazenamento, processamento, compartilhamento, retenção e eliminação — com a base legal correspondente a cada tratamento.
Documentação e políticas. Política de privacidade publicada e acessível, avisos de coleta de dados em pontos de contato com o titular, políticas internas de segurança da informação, contratos com operadores e registro das operações de tratamento.
Segurança técnica. Medidas de segurança proporcionais ao risco — controle de acesso, criptografia, gestão de vulnerabilidades, hardening de sistemas, monitoramento de incidentes e plano de resposta a incidentes com processo documentado de notificação à ANPD em até 48 horas úteis.
Atendimento a direitos dos titulares. Processo estruturado para receber, triagem e responder a solicitações de confirmação, acesso, correção, eliminação e portabilidade de dados — com registro de cada solicitação e prazo de atendimento.
Treinamento e cultura. Conscientização periódica de todos os colaboradores sobre os princípios da LGPD, boas práticas de proteção de dados e como identificar e reportar incidentes suspeitos. A primeira linha de defesa contra violações de dados é sempre a equipe da empresa.
LGPD e segurança da informação: uma relação direta
A relação entre LGPD e segurança da informação é estrutural — não acidental. O art. 46 da lei exige medidas técnicas e administrativas de segurança como obrigação legal. Um incidente de segurança que expõe dados pessoais é automaticamente um incidente com potencial de sanção regulatória, além de gerar responsabilidade civil.
Na prática, isso significa que compliance com a LGPD requer uma base sólida de segurança cibernética. Empresas que enfrentam dificuldades de conformidade com a lei frequentemente têm o mesmo desafio subjacente: não sabem exatamente quais dados têm, onde estão, quem acessa e como estão protegidos. A visibilidade que um SGSI bem implementado (como o estruturado pela ISO 27001) proporciona é exatamente a visibilidade que a LGPD exige para demonstrar conformidade.
A InfoB apoia empresas de médio porte na estruturação das medidas técnicas de segurança que sustentam a conformidade com a LGPD — desde o diagnóstico do ambiente atual até a implementação de controles de acesso, monitoramento contínuo, gestão de vulnerabilidades e processos de resposta a incidentes. O diagnóstico gratuito de segurança da InfoB é o ponto de partida para entender onde estão as lacunas técnicas mais críticas para sua conformidade com a LGPD. Fale com um especialista InfoB.
Perguntas Frequentes sobre a LGPD
O que é a LGPD e para que serve?
A LGPD (Lei nº 13.709/2018) é a lei brasileira que regula como organizações públicas e privadas coletam, armazenam, processam e compartilham dados pessoais de pessoas físicas. Seu objetivo é proteger os direitos fundamentais de liberdade e privacidade dos cidadãos. Vigente desde setembro de 2020, com sanções aplicáveis desde agosto de 2021, ela se aplica a qualquer empresa que trate dados de pessoas no Brasil — independentemente do porte ou setor.
O que são dados pessoais sensíveis na LGPD?
Dados pessoais sensíveis são categorias que, por sua natureza, podem gerar discriminação ou riscos graves ao titular. A LGPD define como sensíveis: origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde ou vida sexual, dados genéticos ou biométricos. Esses dados exigem base legal mais restrita — geralmente consentimento explícito e específico — e têm regime de proteção mais rigoroso que dados pessoais comuns.
Quais são as bases legais da LGPD?
A LGPD define 10 bases legais no art. 7º: consentimento, cumprimento de obrigação legal, execução de políticas públicas, pesquisa, execução de contrato, exercício regular de direitos, proteção da vida, tutela da saúde, legítimo interesse e proteção do crédito. Todo tratamento de dados pessoais precisa se enquadrar em ao menos uma. Sem base legal válida, o tratamento é ilegal.
Qual é a diferença entre controlador e operador na LGPD?
O controlador decide sobre o tratamento — define finalidade, meios e bases legais, e responde pela conformidade. O operador processa dados em nome do controlador, dentro dos limites por ele definidos, e responde por suas próprias infrações. O encarregado (DPO) é o canal de comunicação entre o controlador, os titulares e a ANPD.
Quais são as sanções previstas pela LGPD?
A ANPD pode aplicar advertência, multa simples de até 2% do faturamento bruto limitada a R$ 50 milhões por infração, multa diária, publicização da infração, bloqueio dos dados, eliminação dos dados e suspensão parcial do banco de dados. A primeira multa brasileira foi aplicada em julho de 2023 contra a Telekall Infoservice, totalizando R$ 14.400 — mas a fiscalização está se intensificando, com 20 empresas notificadas em dezembro de 2024.
A LGPD se aplica a pequenas e médias empresas?
Sim. A LGPD aplica-se a qualquer empresa que trate dados pessoais no Brasil, independentemente do porte. Qualquer empresa com site, CRM, folha de pagamento ou cadastro de clientes está coletando dados pessoais e sujeita à lei. A ANPD prevê tratamento diferenciado para microempresas e startups em algumas situações, mas não as isenta das obrigações principais da lei.