Conheça a Lei Geral de Proteção de Dados e saiba quais foram as mudanças!
A Lei Geral de Proteção de Dados já está em vigor há mais de cinco anos, e o cenário mudou bastante desde que entrou em vigor.
Neste conteúdo você irá conferir o que é essa lei, o que muda para empresas e usuários e quais são os direitos para os titulares dos dados.
Confira com detalhes clicando nos tópicos abaixo:
O que é LGPD?
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) estabelece regras sobre como empresas e órgãos públicos podem coletar, armazenar, tratar e compartilhar dados pessoais de pessoas físicas no Brasil.
Antes dela, não havia uma legislação unificada sobre o assunto. Cada setor seguia regras próprias, ou nenhuma.
A LGPD se aplica a qualquer empresa com sede no Brasil ou que ofereça produtos e serviços a pessoas aqui. Isso inclui companhias estrangeiras que atuam no mercado brasileiro.
A lei foi inspirada no GDPR europeu, o regulamento de proteção de dados da União Europeia, que já estava em vigor desde 2018 e serviu como referência técnica e jurídica para a versão brasileira.
Quais são os princípios dessa lei?
A lei define 10 princípios que orientam qualquer operação de tratamento de dados. Os mais impactantes são:
- Finalidade: os dados só podem ser usados para o objetivo declarado no momento da coleta. Não é possível coletar dados para uma finalidade e usá-los para outra.
- Adequação: o tratamento precisa ser compatível com o propósito informado ao titular.
- Necessidade: a empresa deve coletar apenas o mínimo necessário. Dados em excesso, sem justificativa, violam a lei.
- Transparência: o titular tem direito a informações claras sobre como seus dados serão usados, por quem e por quanto tempo.
- Segurança: a organização precisa adotar medidas técnicas e administrativas para proteger os dados contra acessos não autorizados e vazamentos.
- Prevenção: a empresa não pode esperar o problema acontecer. Deve adotar boas práticas proativas para evitar danos.
- Não discriminação: dados pessoais não podem ser usados para fins discriminatórios, ilícitos ou abusivos.
Os outros três princípios são livre acesso, qualidade dos dados e responsabilização, que obriga a empresa a demonstrar que está cumprindo a lei, não apenas afirmar que cumpre.
Quais são as bases legais para tratamento de dados?
Um ponto que costuma gerar confusão: consentimento não é a única forma legal de tratar dados pessoais.
O artigo 7º da LGPD lista 10 hipóteses, chamadas de bases legais, que justificam o tratamento. Sem enquadrar o dado em pelo menos uma delas, a coleta é ilegal.
| Base legal | Quando se aplica |
|---|---|
| Consentimento | O titular autorizou de forma livre e informada |
| Obrigação legal | A empresa é obrigada por lei a tratar os dados |
| Execução de políticas públicas | Aplicável a órgãos públicos e conveniados |
| Pesquisa científica ou histórica | Com anonimização sempre que possível |
| Execução de contrato | Necessário para cumprir contrato com o titular |
| Exercício de direitos | Em processos judiciais, administrativos ou arbitrais |
| Proteção da vida | Para proteger a vida do titular ou de terceiros |
| Tutela da saúde | Por profissionais de saúde ou entidades do setor |
| Legítimo interesse | Interesse real e proporcional, sem prejudicar o titular |
| Proteção de crédito | Para uso por órgãos de análise de crédito |
A base do legítimo interesse merece atenção especial: em fevereiro de 2024, a ANPD publicou um guia orientativo específico sobre ela, detalhando como as empresas devem aplicar um teste de balanceamento antes de usá-la.
Usar essa base sem o devido processo pode resultar em autuação.
O que muda para as empresas?
A principal exigência prática é que toda empresa que lida com dados de pessoas físicas precisa estruturar um programa de privacidade. Isso envolve, pelo menos:
- Mapear quais dados pessoais são coletados, onde ficam armazenados, com quem são compartilhados e por quanto tempo são mantidos.
- Identificar a base legal que justifica cada operação de tratamento.
- Nomear um encarregado de dados (DPO) e tornar seus dados de contato públicos, exigência reforçada pela Resolução ANPD nº 18/2024.
- Criar canais para que os titulares possam exercer seus direitos (acesso, correção, exclusão de dados etc.).
- Elaborar e publicar uma política de privacidade clara e atualizada.
- Adotar medidas técnicas de segurança: criptografia, controle de acesso, firewall, VPN quando necessário.
- Estabelecer um plano de resposta a incidentes, com prazos, responsáveis definidos e processo de comunicação à ANPD.
A obrigação de nomear o DPO passou a ser formalmente detalhada pela Resolução nº 18/2024. Antes disso, a exigência existia na lei, mas sem critérios claros sobre qualificações e divulgação. Agora há regras específicas para ambos os aspectos.
Como funciona o LGPD para as operadoras?
Uma mudança prática direta para os usuários: nenhuma operadora pode usar seus dados de contato para ligações de oferta de novos produtos sem sua autorização explícita.
Os dados fornecidos no momento da contratação têm finalidade específica e não podem ser usados para outras finalidades sem novo consentimento.
O envio de listas de contatos (mailing) para terceiros também está proibido sem base legal adequada e pode gerar multa tanto para quem vende quanto para quem compra.
Confira quais foram as mudanças adotadas por operadora:
Vivo
A Vivo estruturou frentes internas de adequação que incluem governança de dados, segurança da informação, revisão contratual e nomeação de DPO.
O processo teve início em 2018, em paralelo à regulamentação europeia, e foi adaptado às exigências da legislação brasileira.
Confira também os planos Vivo FIbra disponíveis na sua região!
Oferta em destaque
Vivo Fibra 600 Mega
600Mega
de velocidade
Instalação: Grátis
Serviços inclusos
Vivo Fibra - 700 Mega com cortesia Amazon Prime
700Mega
de velocidade
Instalação: Grátis
6 meses de cortesia
Vivo Fibra - 500 Mbps + 60GB de Vivo Pós
Serviços inclusos
500Mega
de velocidade
60 GB
internet móvel
Instalação: Grátis
Serviços inclusos
Claro
A Claro adaptou seu Programa de Governança de Privacidade e Proteção de Dados, que já existia na empresa com escopo mais restrito.
Foram implantadas soluções tecnológicas de controle de acesso e consultoria especializada para mapeamento dos fluxos de dados.
Veja quais são as melhores ofertas de planos da Claro no seu CEP!
Claro Fibra 500 Mega com Globoplay incluso
500Mega
de velocidade
Instalação: Grátis
Serviços inclusos
Claro Fibra 350 Mega com Globoplay incluso
350Mega
de velocidade
Instalação: Grátis
Serviços inclusos
Claro Fibra 1 Giga com Globoplay incluso
1Giga
de velocidade
Instalação: Grátis
Serviços inclusos
TIM
A TIM nomeou um Chief Compliance Officer para exercer a função de DPO, realizou treinamentos internos e adaptou práticas que já utilizava na Europa, onde a empresa opera sob o GDPR, para o contexto da legislação brasileira.
Confira também os planos TIM com os melhores preços perto de você!
Tim Ultrafibra 700 Mega
700Mega
de velocidade
Instalação: Grátis
Serviços inclusos
Tim Ultrafibra 700 Mega + Paramount
700Mega
de velocidade
Instalação: Grátis
Serviços inclusos
Tim Ultrafibra 600 Mega + Globoplay
600Mega
de velocidade
Instalação: Grátis
Serviços inclusos
O que muda para os usuários?
Para as pessoas físicas, a LGPD funciona como uma proteção ativa, mas que depende do exercício consciente dos direitos.
Antes da lei, sites podiam pedir nome, CPF, endereço e renda sem informar para que esses dados seriam usados. Agora isso é proibido.
Um ponto que a lei deixa claro: ela não se aplica ao compartilhamento de dados pessoais feito por pessoas físicas no âmbito privado.
Se alguém compartilha fotos ou informações de terceiros nas redes sociais, o que vale são o Código Civil e a Constituição, que protegem o direito à privacidade e à intimidade, não a LGPD.
Aplicativos que solicitam permissões desnecessárias, acesso à câmera, localização ou contatos sem justificativa relacionada ao serviço, também estão sujeitos às regras da lei.
O usuário tem o direito de negar essas permissões sem que o serviço principal seja bloqueado, desde que o dado não seja essencial para ele.
Quais são os direitos dos titulares de dados com a LGPD?
O artigo 18 da LGPD lista os direitos que qualquer pessoa pode exercer, a qualquer momento, junto à empresa que trata seus dados. São eles:
- Confirmação de tratamento: saber se a empresa tem ou usa seus dados.
- Acesso: obter uma cópia dos dados que a empresa possui sobre você.
- Correção: atualizar dados incompletos, desatualizados ou incorretos.
- Anonimização, bloqueio ou eliminação: de dados desnecessários ou tratados irregularmente.
- Portabilidade: transferir seus dados para outro fornecedor de serviço.
- Eliminação: dos dados cujo tratamento foi autorizado apenas via consentimento, caso você o revogue.
- Informação sobre compartilhamento: saber com quais terceiros seus dados foram compartilhados.
- Informação sobre o direito de negar o consentimento: incluindo as consequências práticas dessa recusa.
- Revisão de decisões automatizadas: quando uma decisão sobre você (crédito, emprego, perfil) foi tomada exclusivamente por algoritmo.
- Reclamação à ANPD: diretamente ao órgão regulador, sem necessidade de advogado.
Para exercer qualquer um desses direitos, basta acessar o canal de contato do DPO da empresa, que, por exigência da Resolução nº 18/2024, deve estar publicamente disponível no site ou na política de privacidade.
Confira os melhores planos de internet banda larga disponíveis hoje:
Quando a LGPD entrou em vigor e quais são as multas?
A LGPD foi sancionada em agosto de 2018 e entrou em vigor em setembro de 2020, após um período de transição. A Autoridade Nacional de Proteção de Dados (ANPD) foi criada por decreto presidencial em agosto de 2020.
As sanções administrativas passaram a ser aplicáveis a partir de agosto de 2021, quando a ANPD publicou a regulamentação necessária para isso.
As penalidades previstas na lei incluem:
- Advertência com prazo para adequação
- Multa simples de até 2% do faturamento da empresa no Brasil, limitada a R$ 50 milhões por infração
- Multa diária, com o mesmo limite
- Publicização da infração (o chamado "naming and shaming")
- Bloqueio ou eliminação dos dados tratados irregularmente
- Suspensão parcial ou total das atividades de tratamento
Perguntas Frequentes
A LGPD protege qualquer dado que possa identificar uma pessoa física, direta ou indiretamente. Isso inclui informações como nome, CPF, RG, telefone, e-mail, endereço, localização, IP e até dados de navegação na internet.
A lei também dá proteção especial aos chamados dados pessoais sensíveis, como informações sobre saúde, biometria, religião, opinião política, origem racial ou étnica e vida sexual.
A LGPD é a Lei Geral de Proteção de Dados do Brasil, enquanto a GDPR é a legislação equivalente da União Europeia.
As duas têm objetivos parecidos: proteger os dados pessoais dos usuários e dar mais transparência sobre como empresas coletam, armazenam e utilizam essas informações. A principal diferença está na região em que cada lei se aplica e em alguns detalhes das regras e penalidades.
Empresas que violam a LGPD podem sofrer advertências, multas e outras sanções aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD).
As multas podem chegar a até 2% do faturamento da empresa no Brasil, limitadas a R$ 50 milhões por infração. Além disso, a organização pode sofrer bloqueio ou exclusão dos dados coletados e danos à reputação da marca.
Dependendo do caso, o usuário afetado também pode buscar reparação judicial.
Caso uma empresa utilize seus dados de forma indevida ou não respeite seus direitos previstos na LGPD, é possível registrar uma denúncia na ANPD (Autoridade Nacional de Proteção de Dados).
Antes disso, o ideal é tentar contato direto com a empresa para solicitar esclarecimentos ou resolver o problema. Se não houver resposta adequada, a denúncia pode ser feita pelos canais oficiais da ANPD, informando detalhes sobre a possível violação e anexando provas, se houver.
