// INICIALIZANDO SISTEMA...
Falar no WhatsApp

Utilizamos cookies essenciais para o funcionamento do site. Ao continuar, você concorda com nossa Política de Privacidade e com a LGPD.

CyberZ
Fale Conosco
CyberWiki / Compliance / LGPD — Lei Geral de Proteção de Dados
● Iniciante 22 min de leitura LGPD ANPD DPO Dados Pessoais Consentimento Incidente Multa Brasil

LGPD — Lei Geral de Proteção de Dados

A LGPD (Lei 13.709/2018) regula o tratamento de dados pessoais no Brasil. Empresas que coletam, armazenam ou processam dados de pessoas físicas devem estar em conformidade. Multas chegam a R$50 milhões por infração. A lei entrou em vigor em 2020 com sanções desde 2021.

O que é a LGPD

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais no Brasil. Inspirada no GDPR europeu, se aplica a qualquer empresa — nacional ou estrangeira — que trate dados de pessoas no Brasil.

Conceitos Fundamentais

Dado Pessoal:
  Qualquer informação que identifica ou pode identificar
  uma pessoa natural: nome, CPF, email, IP, localização,
  foto, biometria, dados de saúde, comportamento online

Dado Pessoal Sensível (proteção reforçada):
  Origem racial/étnica
  Convicção religiosa / política / filosófica
  Filiação sindical
  Dado de saúde ou genético
  Biometria
  Vida sexual / orientação sexual
  Dado de criança ou adolescente

Titular:
  A pessoa natural a quem os dados pertencem

Controlador:
  Empresa/pessoa que decide COMO e POR QUE tratar os dados
  Responsabilidade principal pela conformidade

Operador:
  Empresa contratada que trata dados em nome do controlador
  Ex: provedor de cloud, empresa de marketing

Encarregado (DPO — Data Protection Officer):
  Pessoa indicada para ser canal entre empresa, titulares e ANPD
  Obrigatório para empresas de grande porte e tratamento em massa

ANPD:
  Autoridade Nacional de Proteção de Dados
  Fiscaliza, orienta e aplica sanções

Bases Legais para Tratamento

Sem base legal = tratamento ilegal
Escolher a base mais adequada ao contexto:

1. CONSENTIMENTO
   - Livre, informado, inequívoco e específico
   - Pode ser revogado a qualquer momento
   - Não usar quando houver desequilíbrio de poder

2. OBRIGAÇÃO LEGAL
   - Quando lei exige o tratamento
   - Ex: dados para Nota Fiscal, FGTS, eSocial

3. EXECUÇÃO DE CONTRATO
   - Necessário para cumprir contrato com o titular
   - Ex: endereço de entrega para e-commerce

4. LEGÍTIMO INTERESSE
   - Interesses legítimos do controlador ou de terceiros
   - Balancear com direitos e expectativas do titular
   - Documentar análise de balanceamento (LIA)

5. PROTEÇÃO DA VIDA
   - Emergência que coloca vida em risco

6. TUTELA DA SAÚDE
   - Procedimentos médicos, serviços de saúde

7. EXERCÍCIO REGULAR DE DIREITOS
   - Dados para defesa em processo judicial

8. PROTEÇÃO DO CRÉDITO
   - SPC/Serasa e similares

9. PESQUISA
   - Para órgão de pesquisa, anonimizado quando possível

Direitos dos Titulares

Empresa deve responder em prazo razoável (15 dias):

- ACESSO: saber quais dados possui sobre mim
- CORREÇÃO: corrigir dados incorretos
- ANONIMIZAÇÃO: tornar dados anônimos
- PORTABILIDADE: receber dados em formato legível
- ELIMINAÇÃO: deletar dados (exceto obrigação legal)
- INFORMAÇÃO: com quem compartilhou meus dados
- REVOGAÇÃO: revogar consentimento dado
- OPOSIÇÃO: se opor a tratamento indevido

Canal de atendimento ao titular:
  - Email dedicado: [email protected]
  - Formulário no site
  - Atendimento por DPO
  - Prazo: máximo 15 dias corridos

Segurança de Dados na LGPD

Art. 46: controladores devem adotar medidas de segurança
técnicas e administrativas para proteger dados pessoais

Medidas técnicas obrigatórias:
- Criptografia de dados sensíveis (em repouso e trânsito)
- Controle de acesso baseado em função (RBAC)
- Registro de acessos (logs de auditoria)
- Backup e recuperação de dados
- Gestão de vulnerabilidades e patches
- Autenticação forte para sistemas com dados pessoais
- Anonimização ou pseudonimização quando possível

Medidas administrativas:
- Política de Privacidade publicada
- Política de Segurança da Informação interna
- Treinamento de colaboradores sobre LGPD
- Contratos com operadores (DPA — Data Processing Agreement)
- Mapeamento de dados (RoPA — Record of Processing Activities)
- DPIA para tratamentos de alto risco

Incidentes de Segurança — Notificação

Art. 48: comunicar incidentes à ANPD e titulares

Prazo: em prazo razoável
  ANPD: orienta comunicar em até 72h (seguindo GDPR)
  Titulares: assim que possível se houver risco

O que comunicar:
  - Natureza dos dados afetados
  - Número estimado de titulares
  - Medidas técnicas de segurança adotadas
  - Riscos relacionados ao incidente
  - Medidas de mitigação adotadas

Canal de notificação à ANPD:
  https://www.gov.br/anpd/pt-br
  Formulário de notificação de incidente

-- Exemplos de incidentes que DEVEM ser reportados:
-- Vazamento de CPF, senhas, dados de saúde
-- Ransomware com exfiltração de dados pessoais
-- Acesso não autorizado ao banco de dados
-- Envio de dados para destinatário errado

Sanções e Multas

Infrações podem resultar em:

Advertência: prazo para adotar medidas corretivas

Multa simples:
  Até 2% do faturamento no Brasil
  Limitado a R$ 50.000.000,00 por infração

Multa diária:
  Até R$ 50.000.000,00 por dia

Publicação da infração:
  Divulgação pública da violação

Bloqueio/eliminação dos dados:
  Suspensão do tratamento até regularização

-- Casos reais no Brasil:
-- 2023: hospital multado por vazar dados de pacientes
-- 2023: empresa de telemarketing por dados sem base legal
-- 2024: primeira multa milionária aplicada pela ANPD

Mapeamento de Dados (RoPA)

Registro das Atividades de Tratamento — Art. 37

Para cada atividade de tratamento documentar:
- Nome e finalidade
- Base legal utilizada
- Categorias de dados
- Categorias de titulares
- Destinatários (com quem compartilha)
- Transferência internacional? Para onde?
- Prazo de retenção
- Medidas de segurança

Ferramentas:
- OneTrust, TrustArc, Privacidade.ai (nacional)
- Planilha estruturada para empresas menores
- Atualizar sempre que novo tratamento iniciar

Checklist de Adequação

  • Política de Privacidade publicada e atualizada no site
  • Mapeamento completo de dados pessoais tratados (RoPA)
  • Base legal definida para cada tratamento
  • DPO indicado e publicado (se aplicável)
  • Canal de atendimento ao titular funcionando
  • Contratos DPA com todos os operadores
  • Criptografia em dados sensíveis
  • Treinamento de equipes sobre LGPD
  • Plano de resposta a incidentes documentado
  • Revisão de cookies e pixels de rastreamento
Quer testar isso na prática?
A CyberZ realiza testes autorizados de segurança usando as técnicas descritas neste artigo — e muito mais. Identifique suas vulnerabilidades antes que os invasores o façam.
Falar com Especialista