A LGPD, sigla de Lei Geral de Proteção de Dados, é a Lei nº 13.709/2018. Ela define regras para quem coleta, guarda e usa dados pessoais no Brasil, seja uma multinacional ou uma loja de bairro. Desde setembro de 2020 a lei está em vigor, e desde agosto de 2021 a autoridade competente pode aplicar sanções. Ou seja, adequar a empresa deixou de ser um projeto para depois.
Este guia reúne, em um só lugar, o que uma empresa precisa entender sobre a LGPD: os conceitos da lei, as bases que autorizam o tratamento de dados, os direitos das pessoas, o que a Autoridade Nacional de Proteção de Dados fiscaliza, quais são as sanções e como sair do papel para a prática. Cada tema tem um guia dedicado, mais aprofundado, com link ao longo do texto. Comece por aqui e siga para o que for mais urgente no seu caso.
Conteúdo educativo sobre a LGPD, com base na Lei nº 13.709/2018 e em normas da ANPD. Não substitui orientação jurídica sobre um caso concreto.
O que é a LGPD, em uma frase
A LGPD é a lei brasileira que regula o tratamento de dados pessoais e dá à pessoa o controle sobre as próprias informações. Ela vale para empresas privadas, órgãos públicos e até pessoas físicas que tratam dados com finalidade econômica ou profissional. O objetivo é simples de enunciar e trabalhoso de cumprir: dados pessoais só podem ser usados com uma justificativa prevista em lei, para uma finalidade clara, com segurança e transparência.
A proteção de dados pessoais virou direito fundamental na Constituição em 2022, com a Emenda Constitucional 115. Isso reforça que privacidade não é um detalhe operacional, e sim um direito que a empresa tem o dever de respeitar.
A quem a lei se aplica
A LGPD alcança qualquer operação de tratamento feita no Brasil, qualquer tratamento que tenha o objetivo de oferecer bens ou serviços a pessoas no país, e qualquer tratamento de dados coletados no território nacional. Não importa onde fica a sede da empresa nem onde estão os servidores. Se você lida com dados de pessoas no Brasil, a lei se aplica.
Há poucas exceções, como o tratamento feito por pessoa física para fins exclusivamente pessoais, e finalidades jornalísticas, artísticas, acadêmicas, de segurança pública e defesa nacional, que seguem regras próprias. Fora esses casos, a regra vale para praticamente todo negócio que tem clientes, funcionários ou fornecedores.
Os papéis que a lei define
- Titular: a pessoa a quem os dados se referem, a dona das informações.
- Controlador: quem decide como e por que os dados são tratados, em geral a empresa.
- Operador: quem trata os dados em nome do controlador, como um fornecedor de sistema ou de nuvem.
- Encarregado (DPO): a pessoa que faz a ponte entre a empresa, os titulares e a ANPD.
- ANPD: a Agência Nacional de Proteção de Dados, órgão que fiscaliza e regulamenta a lei.
Dados pessoais e dados sensíveis
Dado pessoal é qualquer informação que identifica ou pode identificar uma pessoa: nome, CPF, e-mail, telefone, endereço IP, localização, hábitos de compra. Uma parte desses dados recebe proteção reforçada da lei: são os dados pessoais sensíveis, que incluem origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados sobre saúde, vida sexual, além de dados genéticos e biométricos.
A distinção importa porque dados sensíveis exigem cuidado maior e têm bases legais próprias para o tratamento. Tratar a foto de um documento com biometria, por exemplo, não segue a mesma régua de guardar o e-mail de um cliente. O guia sobre dados pessoais e dados sensíveis detalha cada categoria e como lidar com elas.
As bases legais: por que você pode tratar um dado
Um erro comum é achar que a LGPD gira em torno do consentimento, aquele aceite que o cliente dá. O consentimento é apenas uma das dez bases legais previstas na lei para dados comuns. Existem outras, como o cumprimento de obrigação legal, a execução de um contrato, o exercício regular de direitos e o legítimo interesse do controlador.
Escolher a base legal certa antes de coletar um dado é um dos passos que mais evita problema depois. Pedir consentimento para algo que o próprio contrato já autoriza, por exemplo, cria uma fragilidade: se a pessoa revoga o consentimento, você fica sem apoio para uma atividade que era legítima. O guia sobre bases legais da LGPD explica as dez hipóteses e quando usar cada uma.
Os princípios que guiam todo tratamento
Boas práticas
- Finalidade: usar o dado para um propósito específico e informado.
- Necessidade: coletar apenas o mínimo necessário para aquela finalidade.
- Adequação: o tratamento tem que ser compatível com o que foi informado.
- Transparência: a pessoa precisa saber o que acontece com os dados dela.
- Segurança: proteger os dados contra acesso indevido e incidentes.
- Responsabilização e prestação de contas: conseguir demonstrar que cumpre a lei.
Os direitos do titular
A LGPD dá à pessoa uma série de direitos sobre os próprios dados: confirmar se a empresa trata suas informações, acessar esses dados, corrigir o que está errado, pedir a eliminação, solicitar a portabilidade e saber com quem os dados foram compartilhados. A pessoa também pode revogar o consentimento e pedir revisão de decisões tomadas apenas por sistemas automáticos.
Na prática, isso significa que a empresa precisa de um canal para receber esses pedidos e de um processo para respondê-los em prazo adequado. Ignorar uma solicitação de titular é um dos caminhos mais curtos para uma reclamação na ANPD. O guia sobre direitos do titular mostra como montar esse fluxo.
Segurança da informação: a parte técnica da lei
A LGPD não é só um assunto jurídico. O artigo 46 obriga a adotar medidas de segurança técnicas e administrativas para proteger os dados. Isso se traduz em controles concretos: controle de acesso, criptografia, segmentação de rede, registro de eventos, cópias de segurança e um plano para responder a incidentes.
É aqui que segurança de redes e conformidade se encontram. Um firewall bem configurado, uma rede segmentada e um acesso remoto com autenticação forte não são luxo: são parte do que a lei espera de quem guarda dados de pessoas. O guia sobre LGPD e segurança da informação liga cada exigência a um controle prático.
ANPD, fiscalização e sanções
A ANPD é o órgão que regulamenta a LGPD, orienta e fiscaliza. Ela edita resoluções que detalham a lei, recebe reclamações de titulares e pode aplicar sanções a quem descumpre as regras. Em fevereiro de 2026, a Lei nº 15.352 transformou a antiga Autoridade Nacional de Proteção de Dados na Agência Nacional de Proteção de Dados, uma agência reguladora com mais estrutura e autonomia. A sigla continua a mesma.
As sanções vão de uma advertência, com prazo para corrigir, até multa de até 2% do faturamento da empresa no Brasil, limitada a 50 milhões de reais por infração. Há ainda multa diária, publicização da infração, bloqueio e eliminação dos dados envolvidos, além da suspensão da atividade de tratamento nos casos mais graves. A ANPD já aplicou multas, então o risco deixou de ser teórico. O guia sobre sanções e multas da LGPD traz os detalhes e casos reais.
Como adequar a empresa, em etapas
- Mapear os dados: descobrir quais dados a empresa coleta, onde ficam e por quê.
- Definir a base legal de cada tratamento e registrar isso.
- Revisar contratos com fornecedores que acessam dados (operadores).
- Publicar uma política de privacidade clara e verdadeira.
- Criar um canal para os pedidos dos titulares.
- Indicar um encarregado pelo tratamento de dados.
- Reforçar a segurança técnica: acesso, criptografia, backup, monitoramento.
- Treinar as pessoas: a maioria dos incidentes começa em um erro humano.
Onde a maioria das empresas trava
A adequação costuma emperrar em dois pontos. O primeiro é tratar a LGPD como um documento: contratar um modelo de política de privacidade, publicar no site e considerar o assunto resolvido. Papel sem prática não protege ninguém e não sustenta uma fiscalização.
O segundo é esquecer da parte técnica. De nada adianta ter política, encarregado e contratos em ordem se os dados ficam em uma planilha compartilhada sem controle, em um sistema exposto na internet ou em uma rede sem segmentação. Conformidade real é a soma de processo, documento e segurança da informação.
Onde a OpenSourceBrasil entra
A OpenSourceBrasil não presta consultoria jurídica. O que fazemos é a camada técnica que a LGPD exige: segmentação de rede, firewall bem configurado, VPN com autenticação forte, controle de acesso, registro de eventos e apoio na resposta a incidentes. É a parte de segurança de redes que sustenta o seu programa de privacidade, sempre ajustada ao risco do ambiente.
Treinar a equipe na LGPD
Adequar a empresa é metade do caminho. A outra metade é fazer com que cada pessoa entenda o que pode e o que não pode com dados de clientes e colegas. O curso de LGPD Essencial do ValorFinal é gratuito, tem oito módulos e foi escrito por um especialista em segurança da informação, com revisão da equipe ValorFinal e da GuardiaSec.