A Lei Geral de Proteção de Dados Pessoais — Lei 13.709, de 14 de agosto de 2018 — é o marco legal brasileiro que regula como pessoas naturais e jurídicas de direito público e privado coletam, armazenam, compartilham e utilizam dados de pessoas físicas. A lei entrou em vigor em setembro de 2020, e suas sanções administrativas passaram a ser aplicáveis a partir de agosto daquele mesmo ano.
Em 2022, a proteção de dados pessoais foi elevada a direito fundamental pela Emenda Constitucional 115, que inseriu o inciso LXXIX no art. 5° da Constituição Federal. A mudança tem peso jurídico concreto: qualquer tratamento de dados que viole a LGPD pode ser enquadrado como ofensa a direito fundamental, com reflexos tanto na esfera administrativa quanto na civil e penal.
TL;DR — Resumo executivo
- A LGPD (Lei 13.709/2018) regula o tratamento de dados pessoais no Brasil; vigência desde set./2020; proteção de dados é direito fundamental desde a EC 115/2022.
- O tratamento de dados só é legal quando fundamentado em uma das 10 bases legais do art. 7°. O consentimento é apenas uma delas.
- Dados sensíveis (saúde, biometria, origem racial, opinião política etc.) têm regime mais restritivo: exigem consentimento específico ou hipóteses expressamente previstas no art. 11.
- Os direitos dos titulares incluem: acesso, correção, eliminação, portabilidade, revogação do consentimento e informação sobre compartilhamento — todos exigíveis a qualquer momento.
- Obrigações práticas das empresas: DPO nomeado e público, registro de operações de tratamento, contratos com operadores, comunicação de incidentes em 3 dias úteis (Resolução ANPD 15/2024).
- A ANPD pode aplicar multas de até R$ 50 milhões por infração. O enforcement está se intensificando em 2025, com multas diárias e processos contra grandes empresas.
- A responsabilidade civil é objetiva (STJ, REsp 1.960.429/SP) e independe da esfera administrativa.
O que é a LGPD
A LGPD parte de um princípio central: os dados pessoais pertencem às pessoas — não às empresas que os coletam. A lei cria um conjunto de obrigações para quem trata esses dados e um conjunto de direitos para quem é titular deles.
Por “tratamento” a lei entende qualquer operação realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração (art. 5°, X). O conceito é amplo. Qualquer empresa que mantenha um cadastro de clientes, processe folha de pagamento de empregados ou compartilhe dados com parceiros está realizando tratamento de dados pessoais — e, portanto, sujeita à lei.
Quem precisa cumprir a LGPD
A lei se aplica a qualquer operação de tratamento realizada no Brasil, independentemente do meio, do porte da empresa ou do país onde está sediada. Três critérios alternativos determinam a aplicação:
A operação de tratamento ocorre em território nacional; a atividade tem por objetivo a oferta de bens ou serviços a indivíduos localizados no Brasil; ou os dados pessoais tratados foram coletados em território nacional.
Há exceções expressas: tratamentos realizados exclusivamente para fins jornalísticos, artísticos ou acadêmicos, além de atividades relacionadas a segurança pública, defesa nacional e investigação de infrações penais ficam fora do escopo da lei (art. 4°). Para o universo corporativo privado, as exceções raramente se aplicam.
Dados pessoais e dados sensíveis — qual a diferença
Dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável (art. 5°, I). O conceito vai além do óbvio: inclui endereço de IP, número de matrícula, identificador de cookies, localização geográfica e qualquer outro dado que, isolado ou combinado com outros, permita identificar uma pessoa física.
Dado pessoal sensível é uma categoria especial dentro dos dados pessoais (art. 5°, II). A lei define como sensíveis os dados sobre:
- origem racial ou étnica
- convicção religiosa
- opinião política
- filiação a sindicato ou entidade de caráter religioso, filosófico ou político
- saúde ou vida sexual
- dado genético ou biométrico, quando vinculado a pessoa natural
O regime jurídico dos dados sensíveis é mais restritivo. O tratamento exige, em regra, consentimento específico e destacado do titular (art. 11). As hipóteses de tratamento sem consentimento são mais estreitas do que as aplicáveis aos dados comuns. Empresas que tratam dados de saúde de empregados, biometria de acesso ou registros de filiação sindical precisam ter especial atenção a esse regime.
As 10 bases legais para tratamento de dados
O art. 7° da LGPD estabelece que o tratamento de dados pessoais só pode ocorrer quando fundamentado em uma das dez hipóteses previstas. O controlador é obrigado a identificar e documentar qual base legal sustenta cada operação de tratamento. Não há hierarquia entre as bases — a escolha deve refletir a realidade da atividade.
As dez bases são:
- Consentimento do titular — manifestação livre, informada e inequívoca (art. 7°, I)
- Cumprimento de obrigação legal ou regulatória — quando a lei exige o dado (art. 7°, II)
- Execução de políticas públicas — exclusiva para administração pública (art. 7°, III)
- Realização de estudos por órgão de pesquisa (art. 7°, IV)
- Execução de contrato do qual o titular seja parte, a seu pedido (art. 7°, V)
- Exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7°, VI)
- Proteção da vida ou incolumidade física do titular ou de terceiro (art. 7°, VII)
- Tutela da saúde em procedimento por profissional de saúde ou entidade sanitária (art. 7°, VIII)
- Interesses legítimos do controlador ou de terceiro, quando não prevaleçam direitos do titular (art. 7°, IX)
- Proteção do crédito (art. 7°, X)
Por que o consentimento não é a única saída
O consentimento recebe atenção desproporcional em relação às demais bases. Na prática, empresas que fundamentam toda a sua operação de dados no consentimento criam um problema: se o titular revogar o consentimento — o que é direito dele —, a empresa pode perder a base legal para continuar tratando dados essenciais à execução de um contrato ou ao cumprimento de uma obrigação legal.
A escolha correta da base legal depende da finalidade real do tratamento. Um empregado que assina um formulário de consentimento para o processamento da sua folha de pagamento não está “consentindo” — a empresa está cumprindo obrigação legal. Usar consentimento onde a base adequada seria obrigação legal (inciso II) cria vulnerabilidade: o trabalhador pode revogar o consentimento e exigir a cessação do tratamento.
Os direitos dos titulares que a empresa precisa garantir
O art. 18 da LGPD estabelece os direitos dos titulares, que podem ser exercidos a qualquer momento, mediante requisição ao controlador. Para as empresas, esses direitos se traduzem em obrigações operacionais concretas.
O titular tem direito a:
Confirmação e acesso — saber se a empresa trata seus dados e obter acesso simplificado a eles (art. 18, I e II).
Correção — exigir que dados incompletos, inexatos ou desatualizados sejam corrigidos (art. 18, III).
Anonimização, bloqueio ou eliminação — nos casos de dados desnecessários, excessivos ou tratados em desconformidade com a lei (art. 18, IV).
Portabilidade — transferência dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa (art. 18, V).
Eliminação — de dados tratados com base em consentimento, salvo nos casos de conservação obrigatória (art. 18, VI).
Informação sobre compartilhamento — saber com quais entidades públicas e privadas a empresa compartilha seus dados (art. 18, VII).
Informação sobre possibilidade de não consentir — incluindo consequências da negativa (art. 18, VIII).
Revogação do consentimento — quando essa é a base legal do tratamento (art. 18, IX).
Para empresas com grande volume de titulares — clientes, empregados, parceiros —, atender a essas requisições dentro de prazo razoável exige processo estruturado. A ANPD pode fiscalizar o descumprimento desses direitos e iniciou, em 2024, processos contra empresas de grande porte por falhas no canal de atendimento ao titular.
O que a LGPD exige das empresas na prática
A lei cria um conjunto de obrigações operacionais que, somadas, formam um programa mínimo de conformidade.
Encarregado de dados — o DPO
O art. 41 da LGPD determina que o controlador deve indicar um encarregado pelo tratamento de dados pessoais. A Resolução ANPD 18/2024 tornou obrigatória a divulgação pública da identidade e das informações de contato do encarregado — de forma clara e objetiva, acessível a qualquer titular.
O encarregado atua como canal de comunicação entre a empresa, os titulares e a ANPD. Pode ser pessoa física, empresa especializada ou profissional externo. Não precisa necessariamente ser advogado, mas deve ter conhecimento das normas de proteção de dados.
Em dezembro de 2024, a ANPD instaurou processo de fiscalização contra 20 empresas de grande porte que não divulgavam o DPO adequadamente — ou que disponibilizavam canais de comunicação ineficazes. As sanções aplicáveis incluem multa de até R$ 50 milhões.
Registro das operações de tratamento
O art. 37 da LGPD obriga controladores e operadores a manter registro das operações de tratamento de dados que realizarem, especialmente quando baseadas no interesse legítimo. Esse registro — usualmente chamado de mapa de dados ou inventário de dados — documenta quais dados são tratados, para qual finalidade, com qual base legal, por quanto tempo e com quem são compartilhados.
O registro serve de base para a resposta a requisições de titulares, para auditorias da ANPD e para a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), exigido em situações de maior risco.
Relatório de Impacto à Proteção de Dados (RIPD)
O art. 38 da LGPD prevê que a ANPD pode determinar ao controlador a elaboração do RIPD — um documento que descreve os processos de tratamento que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como as medidas e garantias adotadas para mitigá-los. A elaboração é obrigatória quando solicitada pela autoridade ou quando a empresa implementar tratamentos de alto risco — como uso de dados biométricos em larga escala ou perfilamento de indivíduos.
Comunicação de incidentes de segurança
O art. 48 da LGPD exige que o controlador comunique à ANPD e aos titulares a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante.
A Resolução ANPD 15, publicada em 26 de abril de 2024, regulamentou esse processo. O prazo é de 3 dias úteis a contar do momento em que o controlador toma conhecimento de que o incidente afetou dados pessoais. Para agentes de tratamento de pequeno porte, o prazo é de 6 dias úteis. As informações iniciais podem ser complementadas em até 20 dias úteis.
A comunicação deve ser feita pelo encarregado de dados por meio do formulário eletrônico disponibilizado pela ANPD e deve ser replicada aos titulares afetados de forma direta, individualizada e em linguagem simples. A ANPD pode fixar multa diária para o caso de descumprimento de medidas cautelares decorrentes do incidente.
Contratos com operadores
Sempre que a empresa transfere dados pessoais a um terceiro que os trata em seu nome — uma empresa de RH, uma plataforma de CRM, um provedor de saúde —, esse terceiro é caracterizado como operador nos termos do art. 5°, VII, da LGPD. O controlador é responsável por garantir que o operador trate os dados em conformidade com a lei e deve formalizar essa relação em contrato com cláusulas específicas sobre finalidade, segurança e responsabilidades.
O operador responde solidariamente pelos danos causados quando descumprir as obrigações da lei ou quando não seguir as instruções lícitas do controlador (art. 42, §1°, I).
As sanções da ANPD e o atual estágio de enforcement
O art. 52 da LGPD prevê as seguintes sanções administrativas, aplicáveis pela ANPD após processo administrativo que assegure contraditório e ampla defesa:
- Advertência com prazo para adoção de medidas corretivas
- Multa simples de até 2% do faturamento da empresa no Brasil no último exercício fiscal, limitada a R$ 50 milhões por infração
- Multa diária até o limite do valor da multa simples
- Publicização da infração — o chamado “nome sujo” regulatório
- Bloqueio dos dados envolvidos até a regularização
- Eliminação dos dados pessoais
A ANPD aplicou sua primeira multa em julho de 2023, à Telekall Infoservice, por infrações aos arts. 7° e 41 da LGPD — tratamento de dados sem base legal e ausência de DPO. O valor foi de R$ 14.400. Em 2024, nenhuma multa pecuniária foi aplicada a empresa privada; cinco processos sancionadores foram encerrados, todos contra órgãos públicos.
Para comparação: em 2024, as autoridades de proteção de dados da União Europeia, do Reino Unido, dos Estados Unidos, da Argentina e da Austrália aplicaram, somadas, US$ 1,7 bilhão em multas (L.O. Baptista Advogados, 2025).
Dois vetores indicam que o ambiente de enforcement está mudando. A Deliberação CD-10/2025 introduziu multas diárias para o descumprimento de medidas cautelares — reforçando o poder coercitivo da ANPD antes mesmo do encerramento do processo. Em julho de 2024, a ANPD aplicou medida preventiva à Meta, determinando a suspensão imediata de sua nova política de privacidade que autorizava o uso de dados para treinamento de inteligência artificial.
Além da esfera administrativa, o risco civil é independente. O art. 42 da LGPD atribui ao controlador responsabilidade objetiva pelos danos causados pelo tratamento irregular — o STJ confirmou essa leitura no REsp 1.960.429/SP (caso Enel), reconhecendo que a falha na segurança de dados dispensa demonstração de culpa para fins de indenização. As vias administrativa e civil correm em paralelo e de forma autônoma.
7. FAQ SEO
Qual é a diferença entre controlador e operador na LGPD? O controlador é quem decide como e por que os dados pessoais são tratados — em geral, a empresa que coleta os dados dos seus clientes ou empregados. O operador é quem realiza o tratamento em nome do controlador, sem tomar as decisões sobre finalidade e meios — como uma empresa de processamento de folha de pagamento ou um provedor de CRM. A distinção tem implicações práticas: o controlador é o responsável principal perante a ANPD e os titulares; o operador responde solidariamente quando descumpre a lei ou age fora das instruções recebidas.
Toda empresa precisa ter um DPO? Sim. O art. 41 da LGPD determina que o controlador indique um encarregado pelo tratamento de dados pessoais. A Resolução ANPD 18/2024 tornou obrigatória a divulgação pública da identidade e do contato desse profissional. Não há exceção por porte — embora a ANPD aplique regras diferenciadas para agentes de pequeno porte em outros aspectos, a obrigação de ter e divulgar um encarregado é geral. Em dezembro de 2024, a ANPD iniciou fiscalização contra 20 empresas de grande porte por descumprimento dessa exigência.
O que acontece quando um sistema da empresa é invadido e dados de clientes são vazados? A empresa deve comunicar à ANPD e aos titulares afetados no prazo de 3 dias úteis a partir do momento em que tomar conhecimento de que o incidente envolveu dados pessoais, conforme a Resolução ANPD 15/2024. A comunicação pode ser preliminar — com informações complementadas em até 20 dias úteis. A ANPD pode determinar medidas cautelares imediatas e aplicar multa diária pelo descumprimento. Paralelamente, a empresa pode responder por danos em ação civil proposta pelos titulares afetados, com responsabilidade objetiva confirmada pelo STJ.
A LGPD se aplica a dados de empregados, não só de clientes? Sim. A LGPD se aplica a qualquer dado de pessoa natural — isso inclui dados de candidatos em processos seletivos, empregados, ex-empregados e prestadores de serviço. Informações de saúde para plano de saúde corporativo, biometria de controle de acesso, dados bancários para pagamento de salário e registros de e-mail corporativo são todos dados pessoais sujeitos à lei. A base legal para a maioria dos tratamentos de dados de empregados é o cumprimento de obrigação legal (inciso II do art. 7°) — não o consentimento.
Qual é o valor máximo da multa que a ANPD pode aplicar? O art. 52 da LGPD prevê multa simples de até 2% do faturamento da pessoa jurídica de direito privado no Brasil no seu último exercício fiscal, limitada, por infração, a R$ 50 milhões. Cada operação de tratamento irregular pode ser enquadrada como infração separada, o que significa que violações sistêmicas — como tratar dados de milhões de titulares sem base legal — podem resultar em valores acumulados muito superiores ao teto individual.
A LGPD não é uma obrigação de TI. É uma lei que reorganiza como a empresa coleta, guarda e compartilha informações — com reflexos no contencioso, nos contratos com terceiros, na gestão de dados de empregados e na relação com clientes.
Empresas que tratam dados jurídicos têm uma camada adicional de complexidade: processos judiciais, documentos contratuais e registros trabalhistas contêm dados pessoais de titulares que, cada vez mais, exercerão seus direitos ativamente.
A Pact trabalha com departamentos jurídicos corporativos na organização e proteção dos dados que sustentam a operação contenciosa — com controle, método e visibilidade para que o jurídico cumpra suas obrigações sem deixar rastros de conformidade em aberto.
Conheça como a Pact apoia a gestão estruturada de dados jurídicos →
