- A LGPD aplica-se a qualquer organização que trate dados de pessoas naturais no Brasil, independente de onde esteja sediada
- Cada atividade de tratamento precisa de uma das dez bases legais documentadas antes de começar
- Solicitações de titulares de dados devem ser respondidas em até 15 dias
- Incidentes com risco relevante aos titulares devem ser comunicados à ANPD em 72 horas
- As multas chegam a 2% da receita bruta no Brasil, com teto de R$50 milhões por infração
A quem a LGPD se aplica
O alcance extraterritorial da LGPD é a parte que mais surpreende. O Art. 3 estabelece que a lei se aplica a qualquer operação de tratamento realizada por pessoa natural ou jurídica de direito público ou privado, independente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: a operação de tratamento seja realizada no território nacional; a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços a indivíduos localizados no território nacional; ou os dados pessoais tenham sido coletados no território nacional.
A lei distingue dois papéis centrais. O controlador é a pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados. O operador realiza o tratamento em nome do controlador, seguindo suas instruções. Ambos têm obrigações, mas o controlador carrega a responsabilidade principal perante a ANPD e os titulares. Se sua empresa usa ferramentas de terceiros para tratar dados de clientes, você é o controlador e o fornecedor é seu operador: as falhas dele podem se tornar sua exposição regulatória.
A LGPD impõe regras mais restritivas para dados sensíveis (Art. 5, II): origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde ou vida sexual, dados genéticos ou biométricos quando vinculados a uma pessoa. O tratamento dessas categorias exige uma base legal adicional do Art. 11, mais restritiva que as bases do Art. 7. Empresas de saúde, RH e qualquer plataforma que colete informações de saúde devem verificar sua base legal no Art. 11 antes de tratar esses dados.
As dez bases legais para o tratamento
Cada atividade de tratamento deve apoiar-se em uma das dez bases legais do Art. 7. A escolha correta da base determina os direitos dos titulares aplicáveis e o que sua empresa precisa comunicar a eles. Muitas organizações recorrem ao consentimento por padrão, quando uma base mais adequada seria menos burocrática e criaria menos obrigações de gestão contínua.
Os interesses legítimos são a base mais flexível, mas também a mais escrutinada pela ANPD. Para utilizá-la, o controlador precisa documentar um teste em três etapas: identificar o interesse legítimo perseguido, confirmar que o tratamento é necessário para esse interesse, e ponderar esse interesse contra os direitos do titular. Esse teste deve estar documentado antes do início do tratamento.
As quatro obrigações centrais
Mapeamento de dados (Registro de Operações)
O Art. 37 exige que controladores e operadores mantenham registro das operações de tratamento de dados que realizarem. Esse mapeamento deve indicar a finalidade de cada tratamento, as categorias de dados e de titulares envolvidos, os terceiros com quem os dados são compartilhados e os prazos de retenção. É o ponto de partida de qualquer programa de adequação e o primeiro documento que a ANPD solicita em uma investigação.
Sem o mapeamento, é impossível identificar quais bases legais estão sendo usadas, quais dados sensíveis estão sendo tratados e onde estão os maiores riscos. Empresas que já passaram por auditorias de GDPR para clientes europeus já têm esse registro parcialmente desenvolvido e podem aproveitar o trabalho feito.
Relatório de Impacto à Proteção de Dados Pessoais (RIPD)
O Art. 38 permite que a ANPD determine ao controlador a elaboração de um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) quando o tratamento puder gerar riscos às liberdades civis e aos direitos fundamentais. O RIPD descreve os tipos de dados coletados, a metodologia utilizada, a análise do controlador com relação às medidas de segurança adotadas e os mecanismos de mitigação de riscos.
Tratamentos que envolvem perfis comportamentais em larga escala, dados sensíveis ou monitoramento sistemático de espaços públicos são os casos em que a elaboração de um RIPD é mais indicada mesmo sem exigência expressa da ANPD.
Notificação de incidentes de segurança
O Art. 48 obriga o controlador a comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. A Resolução CD/ANPD nº 15/2024 estabeleceu o prazo de 72 horas para comunicação de incidentes classificados como de alto risco ou de risco médio com grande número de titulares afetados.
A comunicação deve conter: a data do incidente e de seu conhecimento pelo controlador; a natureza e as categorias dos dados pessoais afetados; o número de titulares afetados, quando conhecido; as medidas técnicas e de segurança adotadas; os riscos relacionados ao incidente; e as razões pelas quais houve demora na comunicação, caso não tenha sido imediata.
O encarregado pelo tratamento de dados
O Art. 41 exige que o controlador indique um encarregado pelo tratamento de dados pessoais. O encarregado pode ser uma pessoa natural ou jurídica, interna ou externa à empresa, e sua identidade e dados de contato devem ser divulgados publicamente, preferencialmente no site do controlador. Não há exigência de formação específica em lei, mas a ANPD recomenda que o encarregado tenha conhecimento adequado sobre proteção de dados.
As atribuições do encarregado incluem aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados; e executar as demais atribuições determinadas pelo controlador ou por norma complementar da ANPD.
A ausência de encarregado nomeado e a falta de canal público de contato para titulares são duas das infrações mais frequentemente apontadas pela ANPD em processos administrativos. São itens simples de resolver e que sinalizam comprometimento com a adequação.
Os direitos dos titulares
O Art. 18 garante aos titulares de dados pessoais nove direitos em relação ao tratamento de seus dados. O controlador deve responder a qualquer solicitação em até 15 dias, de forma gratuita. Se não for possível atender imediatamente, o controlador deve informar ao titular as razões de fato ou de direito que impedem a adoção imediata da providência.
As sanções da ANPD
O Art. 52 estabelece as sanções administrativas que a ANPD pode aplicar em caso de infração à LGPD, após processo administrativo que assegure contraditório e ampla defesa. As sanções são aplicadas de forma graduada, isolada ou cumulativa.
- Advertência com prazo para correção das medidas corretivas
- Multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$50 milhões por infração
- Multa diária observado o limite total de R$50 milhões por infração
- Publicização da infração após apurada e confirmada
- Bloqueio dos dados pessoais referentes à infração até sua regularização
- Eliminação dos dados pessoais referentes à infração
A ANPD publicou sua primeira sanção significativa em 2023 e acelerou o ritmo de processos administrativos ao longo de 2024 e 2025. Os setores com maior incidência de processos são saúde, financeiro e telecomunicações. A ANPD tem demonstrado disposição em aplicar multas mais altas quando há reincidência, ausência de cooperação ou quando a infração afeta dados sensíveis ou crianças.
A adequação à LGPD não começa pela política de privacidade. Começa pelo mapeamento: saber quais dados você trata, com qual base legal e com quem os compartilha.
Por onde começar
A adequação à LGPD é um processo contínuo, não um projeto com data de conclusão. Mas há uma sequência lógica para estruturar o trabalho sem desperdiçar esforço.
1. Mapeie os dados que você trata
Levante todas as atividades de tratamento: quais dados são coletados, de quais fontes, para quais finalidades, por quanto tempo são retidos e com quem são compartilhados. Inclua dados de clientes, funcionários, fornecedores e visitantes de site. Esse inventário é o ponto de partida de tudo o que vem depois.
2. Documente as bases legais
Para cada atividade de tratamento identificada no mapeamento, defina e documente qual das dez bases legais do Art. 7 se aplica. Quando a base for consentimento, verifique se o mecanismo de coleta atende aos requisitos de livre, informado e inequívoco. Quando for interesses legítimos, documente o teste de balanceamento.
3. Atualize sua política de privacidade
A política precisa descrever com clareza quais dados são coletados, as finalidades e bases legais do tratamento, o tempo de retenção, com quem os dados são compartilhados, os direitos dos titulares e como exercê-los, e os dados do encarregado. Uma política genérica copiada da internet não cumpre os requisitos de transparência da LGPD.
4. Nomeie e publique o encarregado
Defina quem será o encarregado, interno ou externo, e divulgue o nome e o contato de forma clara no site. Crie um canal acessível para receber solicitações de titulares e comunicações da ANPD. Estabeleça um processo interno para responder a essas solicitações dentro dos 15 dias previstos em lei.
5. Implemente medidas técnicas de segurança
O Art. 46 exige que controladores e operadores adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Isso inclui controle de acesso, criptografia, backups, monitoramento de incidentes e plano de resposta a vazamentos. A consultoria de cibersegurança da Cyvra apoia empresas no Brasil na implementação dessas medidas de forma proporcional ao perfil de risco de cada organização.
6. Treine sua equipe
A maioria dos incidentes de dados começa com erro humano: e-mail enviado para destinatário errado, credencial reutilizada, acesso indevido a sistemas. O treinamento não precisa ser extenso, mas precisa cobrir o que cada função precisa saber: como identificar um dado pessoal, o que fazer ao receber uma solicitação de titular, como reportar um incidente suspeito.
Se sua empresa também trata dados de residentes na União Europeia, vale observar que a LGPD e o GDPR compartilham a mesma lógica estrutural. Nossa equipe pode ajudar a mapear as diferenças relevantes e estruturar um programa de conformidade que cubra os dois regulamentos sem duplicar esforço. Conheça nosso trabalho em auditorias e conformidade.