Guia Privacidade de Dados Conformidade LGPD

Conformidade com a LGPD: o guia prático para empresas no Brasil

A LGPD entrou em vigor em setembro de 2020 e as sanções passaram a ser aplicadas pela ANPD a partir de 2022. Apesar disso, muitas empresas ainda operam sem base legal documentada, sem encarregado nomeado e sem processo definido para responder a solicitações de titulares. Este guia cobre o que a lei exige e como estruturar sua adequação de forma prática.

15 de junho de 2026
10 min de leitura
Principais pontos
  • A LGPD aplica-se a qualquer organização que trate dados de pessoas naturais no Brasil, independente de onde esteja sediada
  • Cada atividade de tratamento precisa de uma das dez bases legais documentadas antes de começar
  • Solicitações de titulares de dados devem ser respondidas em até 15 dias
  • Incidentes com risco relevante aos titulares devem ser comunicados à ANPD em 72 horas
  • As multas chegam a 2% da receita bruta no Brasil, com teto de R$50 milhões por infração

A quem a LGPD se aplica

O alcance extraterritorial da LGPD é a parte que mais surpreende. O Art. 3 estabelece que a lei se aplica a qualquer operação de tratamento realizada por pessoa natural ou jurídica de direito público ou privado, independente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: a operação de tratamento seja realizada no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços a indivíduos localizados no território nacional; ou os dados pessoais tenham sido coletados no território nacional.

A lei distingue dois papéis centrais. O controlador é a pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados. O operador realiza o tratamento em nome do controlador, seguindo suas instruções. Ambos têm obrigações, mas o controlador carrega a responsabilidade principal perante a ANPD e os titulares. Se sua empresa usa ferramentas de terceiros para tratar dados de clientes, você é o controlador e o fornecedor é seu operador: as falhas dele podem se tornar sua exposição regulatória.

Dados pessoais sensíveis

A LGPD impõe regras mais restritivas para dados sensíveis (Art. 5, II): origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde ou vida sexual, dados genéticos ou biométricos quando vinculados a uma pessoa. O tratamento dessas categorias exige uma base legal adicional do Art. 11, mais restritiva que as bases do Art. 7. Empresas de saúde, RH e qualquer plataforma que colete informações de saúde devem verificar sua base legal no Art. 11 antes de tratar esses dados.

As dez bases legais para o tratamento

Cada atividade de tratamento deve apoiar-se em uma das dez bases legais do Art. 7. A escolha correta da base determina os direitos dos titulares aplicáveis e o que sua empresa precisa comunicar a eles. Muitas organizações recorrem ao consentimento por padrão, quando uma base mais adequada seria menos burocrática e criaria menos obrigações de gestão contínua.

1
Consentimento
O titular deu consentimento livre, informado e inequívoco para uma finalidade determinada. Deve ser tão fácil revogar quanto conceder. Adequado para marketing e serviços opcionais.
2
Obrigação legal ou regulatória
O tratamento é necessário para cumprir obrigação legal ou regulatória pelo controlador. Cobre registros fiscais, obrigações trabalhistas e exigências de órgãos reguladores.
3
Administração pública
Tratamento realizado pela administração pública para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas.
4
Estudos por órgão de pesquisa
Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.
5
Execução de contrato
O tratamento é necessário para executar contrato do qual o titular é parte, ou para procedimentos preliminares relacionados a contrato a seu pedido. Cobre tratamento de dados de clientes para prestação de serviço.
6
Exercício regular de direitos
Tratamento necessário para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Inclui a fase pré-processual.
7
Proteção da vida
Tratamento necessário para proteger a vida ou a incolumidade física do titular ou de terceiros. Base restrita, aplicável em situações emergenciais.
8
Tutela da saúde
Tratamento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária para procedimentos de identificação e prevenção de doenças ou agravos à saúde.
9
Interesses legítimos
Tratamento necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto quando prevalecerem direitos e liberdades fundamentais do titular. Exige teste de balanceamento documentado.
10
Proteção do crédito
Tratamento necessário para atender aos interesses do controlador na proteção do crédito. Cobre análise de risco de crédito e serviços de birô de crédito.

Os interesses legítimos são a base mais flexível, mas também a mais escrutinada pela ANPD. Para utilizá-la, o controlador precisa documentar um teste em três etapas: identificar o interesse legítimo perseguido, confirmar que o tratamento é necessário para esse interesse, e ponderar esse interesse contra os direitos do titular. Esse teste deve estar documentado antes do início do tratamento.

As quatro obrigações centrais

Mapeamento de dados (Registro de Operações)

O Art. 37 exige que controladores e operadores mantenham registro das operações de tratamento de dados que realizarem. Esse mapeamento deve indicar a finalidade de cada tratamento, as categorias de dados e de titulares envolvidos, os terceiros com quem os dados são compartilhados e os prazos de retenção. É o ponto de partida de qualquer programa de adequação e o primeiro documento que a ANPD solicita em uma investigação.

Sem o mapeamento, é impossível identificar quais bases legais estão sendo usadas, quais dados sensíveis estão sendo tratados e onde estão os maiores riscos. Empresas que já passaram por auditorias de GDPR para clientes europeus já têm esse registro parcialmente desenvolvido e podem aproveitar o trabalho feito.

Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

O Art. 38 permite que a ANPD determine ao controlador a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) quando o tratamento puder gerar riscos às liberdades civis e aos direitos fundamentais. O RIPD descreve os tipos de dados coletados, a metodologia utilizada, a análise do controlador com relação às medidas de segurança adotadas e os mecanismos de mitigação de riscos.

Tratamentos que envolvem perfis comportamentais em larga escala, dados sensíveis ou monitoramento sistemático de espaços públicos são os casos em que a elaboração de um RIPD é mais indicada mesmo sem exigência expressa da ANPD.

Notificação de incidentes de segurança

O Art. 48 obriga o controlador a comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A Resolução CD/ANPD nº 15/2024 estabeleceu o prazo de 72 horas para comunicação de incidentes classificados como de alto risco ou de risco médio com grande número de titulares afetados.

A comunicação deve conter: a data do incidente e de seu conhecimento pelo controlador; a natureza e as categorias dos dados pessoais afetados; o número de titulares afetados, quando conhecido; as medidas técnicas e de segurança adotadas; os riscos relacionados ao incidente; e as razões pelas quais houve demora na comunicação, caso não tenha sido imediata.

72h
para comunicar à ANPD incidentes de alto risco após tomar conhecimento
R$50M
multa máxima por infração, ou 2% da receita bruta no Brasil
15 dias
para responder a solicitações dos titulares de dados

O encarregado pelo tratamento de dados

O Art. 41 exige que o controlador indique um encarregado pelo tratamento de dados pessoais. O encarregado pode ser uma pessoa natural ou jurídica, interna ou externa à empresa, e sua identidade e dados de contato devem ser divulgados publicamente, preferencialmente no site do controlador. Não há exigência de formação específica em lei, mas a ANPD recomenda que o encarregado tenha conhecimento adequado sobre proteção de dados.

As atribuições do encarregado incluem aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados; e executar as demais atribuições determinadas pelo controlador ou por norma complementar da ANPD.

Atenção

A ausência de encarregado nomeado e a falta de canal público de contato para titulares são duas das infrações mais frequentemente apontadas pela ANPD em processos administrativos. São itens simples de resolver e que sinalizam comprometimento com a adequação.

Os direitos dos titulares

O Art. 18 garante aos titulares de dados pessoais nove direitos em relação ao tratamento de seus dados. O controlador deve responder a qualquer solicitação em até 15 dias, de forma gratuita. Se não for possível atender imediatamente, o controlador deve informar ao titular as razões de fato ou de direito que impedem a adoção imediata da providência.

1
Confirmação de existência
O titular pode confirmar se seus dados estão sendo tratados, em formato simplificado e imediato, ou por meio de declaração clara e completa.
2
Acesso aos dados
O titular pode solicitar cópia dos dados pessoais que a empresa detém sobre ele e informações sobre como estão sendo tratados.
3
Correção de dados
O titular pode exigir a correção de dados incompletos, inexatos ou desatualizados.
4
Anonimização, bloqueio ou eliminação
O titular pode solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
5
Portabilidade
O titular pode solicitar a portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD.
6
Eliminação dos dados tratados com consentimento
Quando o tratamento se baseia em consentimento, o titular pode solicitar a eliminação dos dados, salvo em casos previstos em lei.
7
Informação sobre compartilhamento
O titular pode obter informação sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
8
Informação sobre o consentimento
O titular pode ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
9
Revogação do consentimento
O titular pode revogar o consentimento a qualquer momento mediante manifestação expressa, por procedimento gratuito e facilitado.

As sanções da ANPD

O Art. 52 estabelece as sanções administrativas que a ANPD pode aplicar em caso de infração à LGPD, após processo administrativo que assegure contraditório e ampla defesa. As sanções são aplicadas de forma graduada, isolada ou cumulativa.

  • Advertência com prazo para correção das medidas corretivas
  • Multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$50 milhões por infração
  • Multa diária observado o limite total de R$50 milhões por infração
  • Publicização da infração após apurada e confirmada
  • Bloqueio dos dados pessoais referentes à infração até sua regularização
  • Eliminação dos dados pessoais referentes à infração

A ANPD publicou sua primeira sanção significativa em 2023 e acelerou o ritmo de processos administrativos ao longo de 2024 e 2025. Os setores com maior incidência de processos são saúde, financeiro e telecomunicações. A ANPD tem demonstrado disposição em aplicar multas mais altas quando há reincidência, ausência de cooperação ou quando a infração afeta dados sensíveis ou crianças.

A adequação à LGPD não começa pela política de privacidade. Começa pelo mapeamento: saber quais dados você trata, com qual base legal e com quem os compartilha.

Por onde começar

A adequação à LGPD é um processo contínuo, não um projeto com data de conclusão. Mas há uma sequência lógica para estruturar o trabalho sem desperdiçar esforço.

1. Mapeie os dados que você trata

Levante todas as atividades de tratamento: quais dados são coletados, de quais fontes, para quais finalidades, por quanto tempo são retidos e com quem são compartilhados. Inclua dados de clientes, funcionários, fornecedores e visitantes de site. Esse inventário é o ponto de partida de tudo o que vem depois.

2. Documente as bases legais

Para cada atividade de tratamento identificada no mapeamento, defina e documente qual das dez bases legais do Art. 7 se aplica. Quando a base for consentimento, verifique se o mecanismo de coleta atende aos requisitos de livre, informado e inequívoco. Quando for interesses legítimos, documente o teste de balanceamento.

3. Atualize sua política de privacidade

A política precisa descrever com clareza quais dados são coletados, as finalidades e bases legais do tratamento, o tempo de retenção, com quem os dados são compartilhados, os direitos dos titulares e como exercê-los, e os dados do encarregado. Uma política genérica copiada da internet não cumpre os requisitos de transparência da LGPD.

4. Nomeie e publique o encarregado

Defina quem será o encarregado, interno ou externo, e divulgue o nome e o contato de forma clara no site. Crie um canal acessível para receber solicitações de titulares e comunicações da ANPD. Estabeleça um processo interno para responder a essas solicitações dentro dos 15 dias previstos em lei.

5. Implemente medidas técnicas de segurança

O Art. 46 exige que controladores e operadores adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Isso inclui controle de acesso, criptografia, backups, monitoramento de incidentes e plano de resposta a vazamentos. A consultoria de cibersegurança da Cyvra apoia empresas no Brasil na implementação dessas medidas de forma proporcional ao perfil de risco de cada organização.

6. Treine sua equipe

A maioria dos incidentes de dados começa com erro humano: e-mail enviado para destinatário errado, credencial reutilizada, acesso indevido a sistemas. O treinamento não precisa ser extenso, mas precisa cobrir o que cada função precisa saber: como identificar um dado pessoal, o que fazer ao receber uma solicitação de titular, como reportar um incidente suspeito.

Se sua empresa também trata dados de residentes na União Europeia, vale observar que a LGPD e o GDPR compartilham a mesma lógica estrutural. Nossa equipe pode ajudar a mapear as diferenças relevantes e estruturar um programa de conformidade que cubra os dois regulamentos sem duplicar esforço. Conheça nosso trabalho em auditorias e conformidade.

Perguntas frequentes sobre a LGPD

A LGPD se aplica à minha empresa se estivermos sediados fora do Brasil?

Sim. A LGPD aplica-se a qualquer organização que trate dados de pessoas naturais localizadas no Brasil, independente de onde a empresa está sediada. O Art. 3 estabelece três critérios: o tratamento ocorre no Brasil, os dados foram coletados no Brasil, ou o objetivo é oferecer bens ou serviços a pessoas no Brasil. Basta um desses critérios para que a lei se aplique.

Quando sou obrigado a nomear um encarregado?

A LGPD exige que todo controlador nomeie um encarregado pelo tratamento de dados pessoais (Art. 41). A ANPD pode dispensar organizações de pequeno porte ou cujo tratamento não represente risco elevado, mas essa dispensa ainda não está amplamente regulamentada. Na prática, qualquer empresa que trate dados de clientes, funcionários ou de saúde deve nomear um encarregado e divulgar publicamente o nome e o contato desse profissional.

Qual a diferença entre LGPD e GDPR?

As duas leis compartilham a mesma lógica: base legal, direitos dos titulares, notificação de incidentes, encarregado e penalidades. As principais diferenças são: a LGPD tem dez bases legais contra seis do GDPR; a autoridade fiscalizadora é a ANPD, não uma DPA europeia; as penalidades chegam a 2% da receita no Brasil com teto de R$50 milhões por infração (o GDPR pode aplicar até 4% do faturamento global); e a LGPD inclui proteção do crédito como base legal, algo que não existe no GDPR.

Quais dados são considerados sensíveis pela LGPD?

O Art. 5, II da LGPD define dados pessoais sensíveis como: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos quando vinculados a uma pessoa natural. O tratamento dessas categorias exige base legal específica do Art. 11, mais restritiva que as bases do Art. 7.

O que fazer nas primeiras horas após um incidente de segurança?

Primeiro, contenha o incidente e preserve evidências. Avalie se houve acesso, modificação ou vazamento de dados pessoais. Se o incidente envolver risco relevante aos titulares, você tem 72 horas para comunicar à ANPD, conforme a Resolução CD/ANPD nº 15/2024. A comunicação deve incluir a data do incidente, a natureza dos dados afetados, o número estimado de titulares e as medidas tomadas. Se o risco for alto, os próprios titulares também devem ser notificados em prazo razoável.

Adequação à LGPD

Precisa de ajuda para estruturar sua adequação?

A Cyvra apoia empresas no Brasil na adequação à LGPD: mapeamento de dados, bases legais, treinamento e medidas técnicas de segurança.