A Lei Geral de Proteção de Dados (LGPD) está em pleno vigor e a ANPD (Autoridade Nacional de Proteção de Dados) já aplica multas pesadas. Se sua empresa ainda não se adequou, este guia mostra o caminho.
O que é a LGPD?
A Lei 13.709/2018 regulamenta o tratamento de dados pessoais no Brasil, estabelecendo:
- Direitos dos titulares de dados
- Deveres das empresas que tratam dados
- Sanções para quem descumprir
Quem deve se adequar?
Toda empresa que:
- Coleta dados de clientes, funcionários ou fornecedores
- Oferece produtos ou serviços no Brasil
- Trata dados de pessoas localizadas no Brasil
⚠️ Isso inclui: E-commerces, clínicas, escritórios, startups, indústrias, prestadores de serviço - qualquer negócio.
Conceitos Fundamentais
Dados Pessoais vs. Dados Sensíveis
| Tipo | Exemplos | Proteção |
|---|---|---|
| Dados Pessoais | Nome, CPF, email, telefone, endereço | Normal |
| Dados Sensíveis | Saúde, religião, orientação sexual, biometria, dados genéticos | Reforçada |
| Dados de Crianças | Qualquer dado de menores de 18 anos | Especial (consentimento dos pais) |
Agentes de Tratamento
- Controlador: Quem decide sobre o tratamento (sua empresa)
- Operador: Quem executa o tratamento a mando do controlador (fornecedores, SaaS)
- DPO/Encarregado: Responsável pela conformidade (obrigatório para muitas empresas)
As 10 Bases Legais da LGPD
Para tratar dados pessoais, você precisa de uma base legal:
| # | Base Legal | Quando Usar |
|---|---|---|
| 1 | Consentimento | Quando o titular autoriza expressamente |
| 2 | Obrigação Legal | Exigência de lei (ex: e-Social, Receita Federal) |
| 3 | Execução de Contrato | Necessário para cumprir um contrato |
| 4 | Exercício de Direitos | Processos judiciais/administrativos |
| 5 | Proteção da Vida | Emergências de saúde |
| 6 | Tutela de Saúde | Por profissionais de saúde |
| 7 | Legítimo Interesse | Interesse legítimo do controlador (com cuidado) |
| 8 | Proteção de Crédito | Análise de crédito (com restrições) |
| 9 | Estudos por Órgão de Pesquisa | Pesquisas estatísticas |
| 10 | Políticas Públicas | Execução de políticas públicas |
Legítimo Interesse: Cuidado!
É a base legal mais usada (e abusada). Para utilizá-la:
- Fazer LIA (Legitimate Interest Assessment)
- Documentar a necessidade
- Garantir que não prejudica direitos do titular
- Permitir opt-out fácil
Direitos dos Titulares
A LGPD garante 10 direitos aos donos dos dados:
- ✅ Confirmação de tratamento
- ✅ Acesso aos dados
- ✅ Correção de dados incompletos
- ✅ Anonimização de dados desnecessários
- ✅ Portabilidade para outro fornecedor
- ✅ Eliminação de dados (com exceções)
- ✅ Informação sobre compartilhamento
- ✅ Revogação do consentimento
- ✅ Oposição ao tratamento
- ✅ Revisão de decisões automatizadas
Prazo de Resposta
- 15 dias úteis para responder solicitações
- Resposta clara e acessível
- Canal específico para requisições
Sanções e Multas
A ANPD pode aplicar:
| Sanção | Valor/Impacto |
|---|---|
| Advertência | Com prazo para adequação |
| Multa simples | Até 2% do faturamento, limitado a R$ 50 milhões por infração |
| Multa diária | Mesmos limites |
| Publicização | Divulgação pública da infração |
| Bloqueio de dados | Suspensão do uso dos dados |
| Eliminação de dados | Exclusão forçada |
| Suspensão do banco de dados | Por até 6 meses |
| Proibição total/parcial | De atividades de tratamento |
Casos Reais de Multas em 2025-2026
- Operadora de Telecom: R$ 14,4 milhões por vazamento
- Fintech: R$ 7,2 milhões por compartilhamento indevido
- E-commerce: R$ 3,5 milhões por falta de DPO
Como Adequar sua Empresa
Passo 1: Mapeamento de Dados (Data Mapping)
Identifique:
- Quais dados você coleta?
- Por que coleta?
- Onde armazena?
- Com quem compartilha?
- Por quanto tempo mantém?
Passo 2: Análise de Riscos (RIPD)
O Relatório de Impacto à Proteção de Dados avalia:
- Riscos do tratamento
- Medidas de mitigação
- Justificativas para tratamentos de risco
Passo 3: Políticas e Documentos
Documentos essenciais:
- Política de Privacidade - Para o público externo
- Política de Proteção de Dados - Interna, para funcionários
- Termo de Consentimento - Quando necessário
- Contrato com Operadores - Cláusulas de proteção de dados
- Registro de Tratamento - Documentação obrigatória
Passo 4: Medidas de Segurança
Implementar:
- 🔐 Criptografia de dados sensíveis
- 🔑 Controle de acesso por perfil
- 📝 Logs de acesso e alteração
- 💾 Backup seguro e testado
- 🔄 Atualizações de segurança
- 🚨 Plano de resposta a incidentes
Passo 5: Treinamento
Capacitar toda a equipe sobre:
- Conceitos básicos de LGPD
- Identificação de dados pessoais
- Procedimentos de segurança
- Como responder a requisições
Passo 6: DPO/Encarregado
Nomear um Encarregado de Proteção de Dados que será:
- Ponto de contato com a ANPD
- Canal para titulares de dados
- Responsável pela conformidade
Pode ser interno ou terceirizado (DPO as a Service).
LGPD e Tecnologia
Cookies e Rastreamento
Em 2026, a gestão de cookies é obrigatória:
- Banner de cookies visível
- Opção de recusar cookies não essenciais
- Granularidade de escolhas
- Consentimento prévio para analytics e marketing
Inteligência Artificial
IA que trata dados pessoais deve:
- Garantir explicabilidade das decisões
- Permitir revisão humana
- Evitar discriminação algorítmica
- Documentar lógica de tratamento
Cloud Computing
Ao usar serviços em nuvem:
- Verificar localização dos servidores
- Incluir cláusulas contratuais de proteção
- Avaliar certificações do provedor (ISO 27001, SOC 2)
- Garantir direito de auditoria
Transferência Internacional de Dados
Para enviar dados para fora do Brasil:
| Situação | Requisito |
|---|---|
| País com nível adequado | Permitido (lista da ANPD) |
| Cláusulas contratuais padrão | Com as cláusulas aprovadas pela ANPD |
| Normas corporativas globais | Para grupos multinacionais |
| Consentimento específico | Com ciência dos riscos |
Checklist de Conformidade LGPD
- Mapeamento de dados realizado
- Bases legais identificadas para cada tratamento
- Política de Privacidade atualizada
- Política interna de proteção de dados
- Contratos com operadores revisados
- DPO/Encarregado nomeado
- Canal de atendimento ao titular funcionando
- Equipe treinada
- Medidas de segurança implementadas
- Plano de resposta a incidentes
- RIPD elaborado (se aplicável)
Conclusão
A LGPD não é mais opcional. Empresas que não se adequarem enfrentam:
- Multas milionárias
- Danos reputacionais
- Perda de clientes
- Ações judiciais
A adequação à LGPD é também uma vantagem competitiva: clientes preferem empresas que protegem seus dados.
Precisa de Assessoria em LGPD?
A Feijão Advocacia oferece:
- ✅ Diagnóstico de conformidade LGPD
- ✅ Mapeamento de dados e processos
- ✅ Elaboração de políticas e documentos
- ✅ Treinamento de equipes
- ✅ DPO as a Service (terceirizado)
- ✅ Resposta a incidentes e vazamentos
Artigo atualizado em Janeiro de 2026.
