Pular para o conteúdo
Privacidade e LGPD

LGPD: guia completo da Lei Geral de Proteção de Dados para empresas

Por equipe técnica da OpenSourceBrasil16 min de leituraAtualizado em

A LGPD, sigla de Lei Geral de Proteção de Dados, é a Lei nº 13.709/2018. Ela define regras para quem coleta, guarda e usa dados pessoais no Brasil, seja uma multinacional ou uma loja de bairro. Desde setembro de 2020 a lei está em vigor, e desde agosto de 2021 a autoridade competente pode aplicar sanções. Ou seja, adequar a empresa deixou de ser um projeto para depois.

Este guia reúne, em um só lugar, o que uma empresa precisa entender sobre a LGPD: os conceitos da lei, as bases que autorizam o tratamento de dados, os direitos das pessoas, o que a Autoridade Nacional de Proteção de Dados fiscaliza, quais são as sanções e como sair do papel para a prática. Cada tema tem um guia dedicado, mais aprofundado, com link ao longo do texto. Comece por aqui e siga para o que for mais urgente no seu caso.

Conteúdo educativo sobre a LGPD, com base na Lei nº 13.709/2018 e em normas da ANPD. Não substitui orientação jurídica sobre um caso concreto.

O que é a LGPD, em uma frase

A LGPD é a lei brasileira que regula o tratamento de dados pessoais e dá à pessoa o controle sobre as próprias informações. Ela vale para empresas privadas, órgãos públicos e até pessoas físicas que tratam dados com finalidade econômica ou profissional. O objetivo é simples de enunciar e trabalhoso de cumprir: dados pessoais só podem ser usados com uma justificativa prevista em lei, para uma finalidade clara, com segurança e transparência.

A proteção de dados pessoais virou direito fundamental na Constituição em 2022, com a Emenda Constitucional 115. Isso reforça que privacidade não é um detalhe operacional, e sim um direito que a empresa tem o dever de respeitar.

A quem a lei se aplica

A LGPD alcança qualquer operação de tratamento feita no Brasil, qualquer tratamento que tenha o objetivo de oferecer bens ou serviços a pessoas no país, e qualquer tratamento de dados coletados no território nacional. Não importa onde fica a sede da empresa nem onde estão os servidores. Se você lida com dados de pessoas no Brasil, a lei se aplica.

Há poucas exceções, como o tratamento feito por pessoa física para fins exclusivamente pessoais, e finalidades jornalísticas, artísticas, acadêmicas, de segurança pública e defesa nacional, que seguem regras próprias. Fora esses casos, a regra vale para praticamente todo negócio que tem clientes, funcionários ou fornecedores.

Os papéis que a lei define

  • Titular: a pessoa a quem os dados se referem, a dona das informações.
  • Controlador: quem decide como e por que os dados são tratados, em geral a empresa.
  • Operador: quem trata os dados em nome do controlador, como um fornecedor de sistema ou de nuvem.
  • Encarregado (DPO): a pessoa que faz a ponte entre a empresa, os titulares e a ANPD.
  • ANPD: a Agência Nacional de Proteção de Dados, órgão que fiscaliza e regulamenta a lei.

Dados pessoais e dados sensíveis

Dado pessoal é qualquer informação que identifica ou pode identificar uma pessoa: nome, CPF, e-mail, telefone, endereço IP, localização, hábitos de compra. Uma parte desses dados recebe proteção reforçada da lei: são os dados pessoais sensíveis, que incluem origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados sobre saúde, vida sexual, além de dados genéticos e biométricos.

A distinção importa porque dados sensíveis exigem cuidado maior e têm bases legais próprias para o tratamento. Tratar a foto de um documento com biometria, por exemplo, não segue a mesma régua de guardar o e-mail de um cliente. O guia sobre dados pessoais e dados sensíveis detalha cada categoria e como lidar com elas.

As bases legais: por que você pode tratar um dado

Um erro comum é achar que a LGPD gira em torno do consentimento, aquele aceite que o cliente dá. O consentimento é apenas uma das dez bases legais previstas na lei para dados comuns. Existem outras, como o cumprimento de obrigação legal, a execução de um contrato, o exercício regular de direitos e o legítimo interesse do controlador.

Escolher a base legal certa antes de coletar um dado é um dos passos que mais evita problema depois. Pedir consentimento para algo que o próprio contrato já autoriza, por exemplo, cria uma fragilidade: se a pessoa revoga o consentimento, você fica sem apoio para uma atividade que era legítima. O guia sobre bases legais da LGPD explica as dez hipóteses e quando usar cada uma.

Os princípios que guiam todo tratamento

Boas práticas

  • Finalidade: usar o dado para um propósito específico e informado.
  • Necessidade: coletar apenas o mínimo necessário para aquela finalidade.
  • Adequação: o tratamento tem que ser compatível com o que foi informado.
  • Transparência: a pessoa precisa saber o que acontece com os dados dela.
  • Segurança: proteger os dados contra acesso indevido e incidentes.
  • Responsabilização e prestação de contas: conseguir demonstrar que cumpre a lei.

Os direitos do titular

A LGPD dá à pessoa uma série de direitos sobre os próprios dados: confirmar se a empresa trata suas informações, acessar esses dados, corrigir o que está errado, pedir a eliminação, solicitar a portabilidade e saber com quem os dados foram compartilhados. A pessoa também pode revogar o consentimento e pedir revisão de decisões tomadas apenas por sistemas automáticos.

Na prática, isso significa que a empresa precisa de um canal para receber esses pedidos e de um processo para respondê-los em prazo adequado. Ignorar uma solicitação de titular é um dos caminhos mais curtos para uma reclamação na ANPD. O guia sobre direitos do titular mostra como montar esse fluxo.

Segurança da informação: a parte técnica da lei

A LGPD não é só um assunto jurídico. O artigo 46 obriga a adotar medidas de segurança técnicas e administrativas para proteger os dados. Isso se traduz em controles concretos: controle de acesso, criptografia, segmentação de rede, registro de eventos, cópias de segurança e um plano para responder a incidentes.

É aqui que segurança de redes e conformidade se encontram. Um firewall bem configurado, uma rede segmentada e um acesso remoto com autenticação forte não são luxo: são parte do que a lei espera de quem guarda dados de pessoas. O guia sobre LGPD e segurança da informação liga cada exigência a um controle prático.

ANPD, fiscalização e sanções

A ANPD é o órgão que regulamenta a LGPD, orienta e fiscaliza. Ela edita resoluções que detalham a lei, recebe reclamações de titulares e pode aplicar sanções a quem descumpre as regras. Em fevereiro de 2026, a Lei nº 15.352 transformou a antiga Autoridade Nacional de Proteção de Dados na Agência Nacional de Proteção de Dados, uma agência reguladora com mais estrutura e autonomia. A sigla continua a mesma.

As sanções vão de uma advertência, com prazo para corrigir, até multa de até 2% do faturamento da empresa no Brasil, limitada a 50 milhões de reais por infração. Há ainda multa diária, publicização da infração, bloqueio e eliminação dos dados envolvidos, além da suspensão da atividade de tratamento nos casos mais graves. A ANPD já aplicou multas, então o risco deixou de ser teórico. O guia sobre sanções e multas da LGPD traz os detalhes e casos reais.

Como adequar a empresa, em etapas

  • Mapear os dados: descobrir quais dados a empresa coleta, onde ficam e por quê.
  • Definir a base legal de cada tratamento e registrar isso.
  • Revisar contratos com fornecedores que acessam dados (operadores).
  • Publicar uma política de privacidade clara e verdadeira.
  • Criar um canal para os pedidos dos titulares.
  • Indicar um encarregado pelo tratamento de dados.
  • Reforçar a segurança técnica: acesso, criptografia, backup, monitoramento.
  • Treinar as pessoas: a maioria dos incidentes começa em um erro humano.

Onde a maioria das empresas trava

A adequação costuma emperrar em dois pontos. O primeiro é tratar a LGPD como um documento: contratar um modelo de política de privacidade, publicar no site e considerar o assunto resolvido. Papel sem prática não protege ninguém e não sustenta uma fiscalização.

O segundo é esquecer da parte técnica. De nada adianta ter política, encarregado e contratos em ordem se os dados ficam em uma planilha compartilhada sem controle, em um sistema exposto na internet ou em uma rede sem segmentação. Conformidade real é a soma de processo, documento e segurança da informação.

Onde a OpenSourceBrasil entra

A OpenSourceBrasil não presta consultoria jurídica. O que fazemos é a camada técnica que a LGPD exige: segmentação de rede, firewall bem configurado, VPN com autenticação forte, controle de acesso, registro de eventos e apoio na resposta a incidentes. É a parte de segurança de redes que sustenta o seu programa de privacidade, sempre ajustada ao risco do ambiente.

Treinar a equipe na LGPD

Adequar a empresa é metade do caminho. A outra metade é fazer com que cada pessoa entenda o que pode e o que não pode com dados de clientes e colegas. O curso de LGPD Essencial do ValorFinal é gratuito, tem oito módulos e foi escrito por um especialista em segurança da informação, com revisão da equipe ValorFinal e da GuardiaSec.

Guias relacionados

Continue aprofundando os temas de firewall, pfSense, VPN e segurança de redes.

Privacidade e LGPD

O que é a LGPD

A LGPD explicada de forma direta: o que a lei é, desde quando vale, a quem se aplica e os conceitos que você precisa dominar antes de qualquer coisa.

Ler guia
Privacidade e LGPD

Bases legais da LGPD

Consentimento é só uma das dez bases legais. Entenda cada hipótese do artigo 7, as regras para dados sensíveis e como escolher a base certa para cada tratamento.

Ler guia
Privacidade e LGPD

Como adequar a empresa à LGPD

Adequação à LGPD não é comprar um documento. Veja o passo a passo real, do mapeamento de dados à segurança técnica, sem prometer conformidade automática.

Ler guia
Privacidade e LGPD

LGPD e segurança da informação

A LGPD exige medidas de segurança técnicas e administrativas. Veja como o artigo 46 vira controles concretos: acesso, criptografia, segmentação, backup e resposta a incidentes.

Ler guia
Privacidade e LGPD

Sanções e multas da LGPD

A LGPD prevê de advertência a multa de até 2% do faturamento. Veja todas as sanções, como a ANPD calcula o valor e o que os primeiros casos reais mostram.

Ler guia
Privacidade e LGPD

Direitos do titular na LGPD

A pessoa tem direito de acessar, corrigir e eliminar os próprios dados. Veja todos os direitos do artigo 18 e como montar um processo para responder aos pedidos.

Ler guia

Dúvidas comuns

Perguntas frequentes

O que é a LGPD de forma simples?

É a Lei nº 13.709/2018, a lei brasileira que define como empresas e órgãos podem coletar e usar dados pessoais. Ela dá à pessoa o direito de saber e controlar o que é feito com as informações dela e obriga quem trata dados a ter uma justificativa legal, finalidade clara, transparência e segurança.

A LGPD vale para pequenas empresas e MEI?

Sim. A lei se aplica a quem trata dados pessoais, independentemente do porte. Existem regras mais flexíveis para agentes de tratamento de pequeno porte, definidas pela ANPD, mas as obrigações essenciais, como ter base legal, segurança e transparência, continuam valendo.

A LGPD exige consentimento para tudo?

Não. O consentimento é apenas uma das dez bases legais. Muitos tratamentos se apoiam em outras hipóteses, como obrigação legal, execução de contrato ou legítimo interesse. Pedir consentimento onde ele não é a melhor base pode até enfraquecer a operação.

Qual a diferença entre a LGPD e a segurança da informação?

A LGPD é a lei; a segurança da informação é parte de como se cumpre a lei. O artigo 46 exige medidas técnicas e administrativas para proteger os dados. Controles como firewall, segmentação, criptografia, controle de acesso e resposta a incidentes são o lado prático dessa exigência.

Onde aprender LGPD do zero?

O curso de LGPD Essencial do ValorFinal é gratuito, dividido em oito módulos e escrito por um especialista em segurança da informação. Ele cobre desde o que é a lei até como agir em um incidente, com linguagem do dia a dia. Este guia e o curso se complementam: um traz a visão para empresas, o outro treina as pessoas.

Próximo passo

Precisa de apoio especializado no seu ambiente?

Cada rede é diferente. Fale com um especialista em pfSense por e-mail e receba uma avaliação do seu cenário, sem compromisso.