LGPD – Lei Geral de Proteção de Dados (Brasil)
Skill para apoiar o entendimento e a aplicação da Lei nº 13.709/2018 (LGPD) no contexto de sistemas, produtos e processos que tratam dados pessoais no Brasil.
Visão geral
- Lei: 13.709/2018 (LGPD). Vigência desde 14/08/2018; alterações pela Lei 13.853/2019 (ANPD).
- Objetivo: Proteger direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade da pessoa natural.
- Âmbito: Qualquer operação de tratamento de dados pessoais, em qualquer meio, por pessoa natural ou jurídica (pública ou privada), desde que:
- a operação ocorra no território nacional; ou
- a atividade vise oferta de bens/serviços ou tratamento de dados de pessoas localizadas no Brasil; ou
- os dados tenham sido coletados no território nacional (titular no Brasil no momento da coleta).
Exceções (Art. 4º): uso exclusivamente particular e não econômico; fins jornalísticos/artísticos; fins acadêmicos (com observância dos arts. 7º e 11); segurança pública, defesa nacional, segurança do Estado, investigação e repressão de infrações penais (legislação específica); dados provenientes de fora do Brasil sem comunicação/compartilhamento/transferência internacional com agentes brasileiros (com ressalvas).
Conceitos essenciais (Art. 5º)
| Termo | Definição resumida |
|---|---|
| Dado pessoal | Informação relacionada a pessoa natural identificada ou identificável |
| Dado sensível | Origem racial/étnica, convicção religiosa, opinião política, filiação sindical/religiosa/filosófica/política, saúde, vida sexual, dado genético ou biométrico vinculado a pessoa natural |
| Titular | Pessoa natural a quem se referem os dados |
| Controlador | Quem decide sobre o tratamento |
| Operador | Quem trata em nome do controlador |
| Encarregado (DPO) | Canal entre controlador, titulares e ANPD |
| Tratamento | Coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração |
| Consentimento | Manifestação livre, informada e inequívoca para finalidade determinada |
Princípios (Art. 6º)
Toda atividade de tratamento deve observar a boa-fé e:
- Finalidade – Propósitos legítimos, específicos, explícitos e informados ao titular; sem tratamento posterior incompatível.
- Adequação – Compatibilidade com as finalidades informadas e o contexto.
- Necessidade – Mínimo necessário; dados pertinentes, proporcionais e não excessivos.
- Livre acesso – Consulta facilitada e gratuita sobre forma, duração e integralidade dos dados.
- Qualidade – Exatidão, clareza, relevância e atualização conforme a finalidade.
- Transparência – Informações claras, precisas e acessíveis sobre tratamento e agentes (respeitados segredos comercial e industrial).
- Segurança – Medidas técnicas e administrativas contra acessos não autorizados e situações ilícitas ou acidentais (destruição, perda, alteração, comunicação, difusão).
- Prevenção – Medidas para evitar danos.
- Não discriminação – Nenhum tratamento para fins discriminatórios ilícitos ou abusivos.
- Responsabilização e prestação de contas – Demonstração de medidas eficazes de conformidade.
Bases legais para tratamento (Art. 7º)
O tratamento de dados pessoais só pode ocorrer quando houver ao menos uma das hipóteses:
- I – Consentimento do titular
- II – Obrigação legal ou regulatória do controlador
- III – Execução de políticas públicas pela administração pública (conforme Cap. IV)
- IV – Estudos por órgão de pesquisa (anonimização quando possível)
- V – Execução de contrato ou procedimentos preliminares a pedido do titular
- VI – Exercício regular de direitos em processo judicial, administrativo ou arbitral
- VII – Proteção da vida ou incolumidade física do titular ou de terceiro
- VIII – Tutela da saúde (profissionais/serviços de saúde ou autoridade sanitária)
- IX – Interesses legítimos do controlador ou terceiro, exceto se prevalecerem direitos e liberdades fundamentais do titular
- X – Proteção do crédito
Consentimento (Art. 8º): escrito ou outro meio que demonstre vontade; cláusula destacada se escrito; ônus da prova no controlador; vedado tratamento com vício de consentimento; finalidades determinadas (autorizações genéricas nulas); revogação a qualquer tempo, gratuita e facilitada.
Dados manifestamente públicos pelo titular podem ser tratados sem consentimento, respeitados direitos e princípios. Dispensa de consentimento não dispensa demais obrigações da lei.
Dados sensíveis (Art. 11)
Tratamento de dados sensíveis somente:
- Com consentimento específico e destacado para finalidades específicas; ou
- Sem consentimento quando indispensável para: (a) obrigação legal/regulatória; (b) políticas públicas; (c) estudos por órgão de pesquisa (anonimização quando possível); (d) exercício regular de direitos (contrato/processo); (e) proteção da vida ou incolumidade física; (f) tutela da saúde (profissionais/serviços/autoridade sanitária); (g) prevenção à fraude e segurança do titular (identificação/autenticação em sistemas), respeitados direitos do titular.
Vedações: compartilhamento de dados de saúde entre controladores com objetivo de vantagem econômica, exceto nas hipóteses legais (ex.: portabilidade a pedido do titular, prestação de serviços de saúde). Operadoras de planos de saúde não podem usar dados de saúde para seleção de riscos na contratação ou exclusão de beneficiários.
Crianças e adolescentes (Art. 14)
- Tratamento no melhor interesse da criança/adolescente.
- Dados de crianças: consentimento específico e em destaque de pelo menos um dos pais ou responsável legal.
- Controladores devem manter informação pública sobre tipos de dados, forma de uso e exercício dos direitos (Art. 18).
- Coleta sem consentimento só quando necessária para contatar pais/responsável (uso único, sem armazenamento) ou para proteção; não repassar a terceiros sem o consentimento do § 1º.
- Não condicionar participação em jogos/aplicações à coleta de dados além do estritamente necessário.
Direitos do titular (Art. 18)
O titular tem direito a obter do controlador, a qualquer momento, mediante requisição:
- I – Confirmação da existência de tratamento
- II – Acesso aos dados
- III – Correção de dados incompletos, inexatos ou desatualizados
- IV – Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou em desconformidade com a lei
- V – Portabilidade dos dados a outro fornecedor (conforme regulamentação da ANPD, segredos comercial e industrial)
- VI – Eliminação dos dados tratados com consentimento (exceto hipóteses do Art. 16)
- VII – Informação sobre entidades públicas e privadas com as quais houve uso compartilhado
- VIII – Informação sobre possibilidade de não consentir e consequências da negativa
- IX – Revogação do consentimento (Art. 8º § 5º)
O titular pode peticionar à ANPD contra o controlador e opor-se a tratamento baseado em dispensa de consentimento em caso de descumprimento da lei. Requerimento deve ser atendido sem custos para o titular, nos prazos regulamentares.
ANPD (Autoridade Nacional de Proteção de Dados)
- Entidade responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
- Emite regulamentações, orientações e pode solicitar relatório de impacto à proteção de dados pessoais (RIPD) em tratamentos de maior risco (ex.: baseados em interesse legítimo).
- Aplicação de sanções administrativas (multas, advertências, etc.) conforme a lei.
Término e eliminação (Arts. 15 e 16)
O tratamento termina quando: (I) a finalidade foi alcançada ou os dados deixaram de ser necessários; (II) fim do período de tratamento; (III) comunicação do titular (incl. revogação de consentimento), resguardado interesse público; (IV) determinação da ANPD em caso de violação.
Após o término, os dados devem ser eliminados, exceto quando a conservação for permitida (ex.: obrigação legal/regulatória, estudo com anonimização, etc.).
Checklist prático para sistemas e produtos
Ao desenhar ou revisar tratamento de dados no Brasil:
- Identificar se a LGPD se aplica (território, oferta de bens/serviços, dados coletados no Brasil).
- Mapear dados pessoais e sensíveis; documentar finalidade e base legal (Art. 7º ou 11).
- Garantir que consentimento, quando exigido, seja específico, destacado e revogável de forma gratuita e facilitada.
- Respeitar princípios: necessidade (mínimo de dados), transparência, segurança, prevenção.
- Implementar canais para exercício dos direitos do titular (acesso, correção, eliminação, portabilidade, revogação, oposição).
- Nomear encarregado e divulgar canal de contato (titulares e ANPD).
- Avaliar necessidade de RIPD em tratamentos de maior risco.
- Para dados de crianças: consentimento de pais/responsável; não condicionar atividades à coleta além do necessário.
- Para dados sensíveis: conferir hipótese do Art. 11 e vedações (ex.: saúde para vantagem econômica, seleção de riscos em planos de saúde).
Referência oficial
- Lei 13.709/2018 (texto compilado): planalto.gov.br
- ANPD – orientações e perguntas frequentes: gov.br/anpd
- Para consulta por artigo (estrutura da lei e dispositivos), ver reference.md.
Aviso: Esta skill resume a LGPD para apoio em análise e implementação. Para decisões jurídicas definitivas ou conformidade formal, consulte a lei, regulamentações da ANPD e assessoria jurídica especializada.