Pular para o conteúdo
Privacidade e LGPD

O que é a LGPD: a Lei Geral de Proteção de Dados explicada

Por equipe técnica da OpenSourceBrasil9 min de leituraAtualizado em

LGPD é a sigla de Lei Geral de Proteção de Dados, a Lei nº 13.709/2018. Ela estabelece regras para o tratamento de dados pessoais no Brasil e devolve à pessoa o controle sobre as próprias informações. Se a sua empresa tem clientes, funcionários ou fornecedores, ela trata dados pessoais, e a lei vale para você.

Este guia explica o que é a LGPD sem juridiquês: a definição, desde quando ela vale, a quem se aplica e os conceitos básicos que aparecem em todo o resto. É o ponto de partida do nosso cluster sobre proteção de dados.

Conteúdo educativo sobre a LGPD, com base na Lei nº 13.709/2018 e em normas da ANPD. Não substitui orientação jurídica sobre um caso concreto.

A definição, sem rodeio

A LGPD é a lei que regula como dados pessoais podem ser coletados, guardados, usados e compartilhados no Brasil. Ela se inspira no modelo europeu, o GDPR, e parte de uma ideia central: dado pessoal pertence à pessoa, não a quem o coleta. Quem trata esses dados faz isso sob responsabilidade e precisa de uma justificativa prevista em lei.

A lei fala em tratamento de dados. Esse termo é amplo de propósito: cobre coletar, armazenar, usar, compartilhar, alterar e até eliminar. Praticamente qualquer coisa que você faça com um dado pessoal é tratamento e está dentro do alcance da LGPD.

Desde quando a LGPD está em vigor

A lei foi publicada em 2018, mas passou por um período de adaptação. Ela entrou em vigor em 18 de setembro de 2020. As sanções administrativas, aplicadas pela ANPD, valem desde 1º de agosto de 2021. Ou seja, o prazo de cortesia já acabou faz tempo.

Em 2022, a proteção de dados pessoais virou direito fundamental na Constituição, com a Emenda Constitucional 115. Isso elevou o tema de uma obrigação técnica para uma garantia constitucional, o que muda o peso que os tribunais dão ao assunto.

A quem a lei se aplica

A LGPD alcança qualquer tratamento de dados feito no Brasil, qualquer atividade que ofereça produtos ou serviços a pessoas no país e qualquer tratamento de dados coletados aqui. A sede da empresa e a localização dos servidores não mudam isso. Uma empresa estrangeira que vende para brasileiros também está sujeita à lei.

A regra vale para empresas de qualquer porte, do MEI à multinacional, e também para órgãos públicos. Existem exceções pontuais, como o uso de dados por pessoa física para fins particulares e finalidades jornalísticas, artísticas ou acadêmicas, que têm tratamento próprio.

Os conceitos que você vai encontrar sempre

  • Dado pessoal: informação que identifica ou pode identificar uma pessoa.
  • Dado pessoal sensível: categoria protegida, como saúde, biometria, religião e opinião política.
  • Titular: a pessoa dona dos dados.
  • Controlador: quem decide como e por que tratar os dados, em geral a empresa.
  • Operador: quem trata os dados em nome do controlador, como um sistema contratado.
  • Tratamento: qualquer operação com o dado, da coleta à eliminação.

Controlador e operador: por que a diferença importa

A LGPD separa quem decide de quem executa. O controlador é a empresa que define a finalidade do tratamento. O operador é quem trata os dados por ordem do controlador, como um provedor de nuvem, um sistema de folha de pagamento ou uma agência de marketing.

Essa distinção define responsabilidades e precisa estar clara nos contratos. Quando você contrata um fornecedor que vai acessar dados dos seus clientes, ele age como operador, e o contrato deve prever obrigações de segurança e sigilo. O guia sobre adequação mostra como tratar esses contratos.

Por que a LGPD importa na prática

Além de ser lei, a proteção de dados virou um critério de confiança. Clientes, parceiros e grandes contratantes já perguntam como a empresa cuida das informações antes de fechar negócio. Tratar dados com cuidado deixou de ser só defesa contra multa e passou a ser argumento comercial.

Do outro lado, o custo de ignorar é real: reclamações de titulares na ANPD, sanções, exposição da marca em caso de vazamento e a perda de confiança que vem junto. A lei recompensa quem se organiza antes e cobra caro de quem só reage depois do problema.

Mitos comuns sobre a LGPD

Atenção

  • Que a LGPD é só para grandes empresas. Ela vale para qualquer porte.
  • Que basta ter uma política de privacidade no site. Papel sem prática não protege.
  • Que tudo depende de consentimento. O consentimento é só uma das dez bases legais.
  • Que é um problema do jurídico. Envolve também TI, segurança, RH e atendimento.
  • Que só importa se houver vazamento. A fiscalização também parte de reclamações de titulares.

Por onde começar

Depois de entender o que a LGPD é, o próximo passo é enxergar quais dados a empresa trata e por quê. A partir daí, define as bases legais, revisa a segurança e organiza os processos. O guia completo da LGPD reúne o caminho inteiro, e os guias de bases legais, direitos do titular e segurança da informação aprofundam cada parte.

Aprender a LGPD do zero

Se você quer entender a lei sem depender de linguagem jurídica, o curso de LGPD Essencial do ValorFinal começa exatamente por aí. É gratuito, tem oito módulos e foi escrito por um especialista em segurança da informação. A primeira aula explica o que é a lei e o que muda no trabalho de cada pessoa.

Guias relacionados

Continue aprofundando os temas de firewall, pfSense, VPN e segurança de redes.

Privacidade e LGPD

LGPD: guia completo para empresas

O guia de referência sobre a LGPD para empresas. Entenda a lei, as bases legais, os direitos do titular, o papel da ANPD, as sanções e como se adequar na prática.

Ler guia
Privacidade e LGPD

Bases legais da LGPD

Consentimento é só uma das dez bases legais. Entenda cada hipótese do artigo 7, as regras para dados sensíveis e como escolher a base certa para cada tratamento.

Ler guia
Privacidade e LGPD

Dados pessoais e dados sensíveis

Nem todo dado tem o mesmo peso. Entenda o que é dado pessoal, o que é dado sensível, por que a diferença importa e onde a anonimização entra.

Ler guia

Dúvidas comuns

Perguntas frequentes

O que significa LGPD?

LGPD é a sigla de Lei Geral de Proteção de Dados, a Lei nº 13.709/2018. Ela regula como dados pessoais podem ser coletados, usados e compartilhados no Brasil e garante à pessoa o controle sobre as próprias informações.

Desde quando a LGPD está valendo?

A lei entrou em vigor em 18 de setembro de 2020. As sanções aplicadas pela ANPD passaram a valer em 1º de agosto de 2021. Desde 2022, a proteção de dados também é um direito fundamental na Constituição.

A LGPD vale para a minha pequena empresa?

Sim. A lei se aplica a quem trata dados pessoais, independentemente do porte. Há regras mais simples para agentes de tratamento de pequeno porte, mas as obrigações principais continuam valendo, como ter base legal, segurança e transparência.

Qual a diferença entre controlador e operador?

O controlador decide como e por que tratar os dados, em geral a empresa dona da relação com o cliente. O operador trata os dados em nome do controlador, como um sistema ou fornecedor contratado. Cada um tem responsabilidades definidas na lei e nos contratos.

Próximo passo

Precisa de apoio especializado no seu ambiente?

Cada rede é diferente. Fale com um especialista em pfSense por e-mail e receba uma avaliação do seu cenário, sem compromisso.