LGPD é a sigla de Lei Geral de Proteção de Dados, a Lei nº 13.709/2018. Ela estabelece regras para o tratamento de dados pessoais no Brasil e devolve à pessoa o controle sobre as próprias informações. Se a sua empresa tem clientes, funcionários ou fornecedores, ela trata dados pessoais, e a lei vale para você.
Este guia explica o que é a LGPD sem juridiquês: a definição, desde quando ela vale, a quem se aplica e os conceitos básicos que aparecem em todo o resto. É o ponto de partida do nosso cluster sobre proteção de dados.
Conteúdo educativo sobre a LGPD, com base na Lei nº 13.709/2018 e em normas da ANPD. Não substitui orientação jurídica sobre um caso concreto.
A definição, sem rodeio
A LGPD é a lei que regula como dados pessoais podem ser coletados, guardados, usados e compartilhados no Brasil. Ela se inspira no modelo europeu, o GDPR, e parte de uma ideia central: dado pessoal pertence à pessoa, não a quem o coleta. Quem trata esses dados faz isso sob responsabilidade e precisa de uma justificativa prevista em lei.
A lei fala em tratamento de dados. Esse termo é amplo de propósito: cobre coletar, armazenar, usar, compartilhar, alterar e até eliminar. Praticamente qualquer coisa que você faça com um dado pessoal é tratamento e está dentro do alcance da LGPD.
Desde quando a LGPD está em vigor
A lei foi publicada em 2018, mas passou por um período de adaptação. Ela entrou em vigor em 18 de setembro de 2020. As sanções administrativas, aplicadas pela ANPD, valem desde 1º de agosto de 2021. Ou seja, o prazo de cortesia já acabou faz tempo.
Em 2022, a proteção de dados pessoais virou direito fundamental na Constituição, com a Emenda Constitucional 115. Isso elevou o tema de uma obrigação técnica para uma garantia constitucional, o que muda o peso que os tribunais dão ao assunto.
A quem a lei se aplica
A LGPD alcança qualquer tratamento de dados feito no Brasil, qualquer atividade que ofereça produtos ou serviços a pessoas no país e qualquer tratamento de dados coletados aqui. A sede da empresa e a localização dos servidores não mudam isso. Uma empresa estrangeira que vende para brasileiros também está sujeita à lei.
A regra vale para empresas de qualquer porte, do MEI à multinacional, e também para órgãos públicos. Existem exceções pontuais, como o uso de dados por pessoa física para fins particulares e finalidades jornalísticas, artísticas ou acadêmicas, que têm tratamento próprio.
Os conceitos que você vai encontrar sempre
- Dado pessoal: informação que identifica ou pode identificar uma pessoa.
- Dado pessoal sensível: categoria protegida, como saúde, biometria, religião e opinião política.
- Titular: a pessoa dona dos dados.
- Controlador: quem decide como e por que tratar os dados, em geral a empresa.
- Operador: quem trata os dados em nome do controlador, como um sistema contratado.
- Tratamento: qualquer operação com o dado, da coleta à eliminação.
Controlador e operador: por que a diferença importa
A LGPD separa quem decide de quem executa. O controlador é a empresa que define a finalidade do tratamento. O operador é quem trata os dados por ordem do controlador, como um provedor de nuvem, um sistema de folha de pagamento ou uma agência de marketing.
Essa distinção define responsabilidades e precisa estar clara nos contratos. Quando você contrata um fornecedor que vai acessar dados dos seus clientes, ele age como operador, e o contrato deve prever obrigações de segurança e sigilo. O guia sobre adequação mostra como tratar esses contratos.
Por que a LGPD importa na prática
Além de ser lei, a proteção de dados virou um critério de confiança. Clientes, parceiros e grandes contratantes já perguntam como a empresa cuida das informações antes de fechar negócio. Tratar dados com cuidado deixou de ser só defesa contra multa e passou a ser argumento comercial.
Do outro lado, o custo de ignorar é real: reclamações de titulares na ANPD, sanções, exposição da marca em caso de vazamento e a perda de confiança que vem junto. A lei recompensa quem se organiza antes e cobra caro de quem só reage depois do problema.
Mitos comuns sobre a LGPD
Atenção
- Que a LGPD é só para grandes empresas. Ela vale para qualquer porte.
- Que basta ter uma política de privacidade no site. Papel sem prática não protege.
- Que tudo depende de consentimento. O consentimento é só uma das dez bases legais.
- Que é um problema do jurídico. Envolve também TI, segurança, RH e atendimento.
- Que só importa se houver vazamento. A fiscalização também parte de reclamações de titulares.
Por onde começar
Depois de entender o que a LGPD é, o próximo passo é enxergar quais dados a empresa trata e por quê. A partir daí, define as bases legais, revisa a segurança e organiza os processos. O guia completo da LGPD reúne o caminho inteiro, e os guias de bases legais, direitos do titular e segurança da informação aprofundam cada parte.
Aprender a LGPD do zero
Se você quer entender a lei sem depender de linguagem jurídica, o curso de LGPD Essencial do ValorFinal começa exatamente por aí. É gratuito, tem oito módulos e foi escrito por um especialista em segurança da informação. A primeira aula explica o que é a lei e o que muda no trabalho de cada pessoa.