A Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709, de 14 de agosto de 2018) tem o propósito de zelar pela proteção dos dados pessoais dos cidadãos. Esta lei foi alterada pela Medida Provisória nº 869, de 27 de dezembro de 2018, que inclusive, criou a Autoridade Nacional de Proteção de Dados – ANPD. Assim como a General Data Protection Regulation (GDPR), da União Europeia, a LGPD estabelece definições a respeito de dados pessoais, dados pessoais sensíveis, controle, processamento, consentimento e anonimização.
Aplica-se a todas as pessoas físicas e jurídicas, de direito público ou privado, que realizem tratamento de dados pessoais em meio analógico ou digital, sempre que o tratamento de dados for realizado no território brasileiro ou se a atividade envolver oferecimento de produtos ou serviços à pessoas que se encontrem em território nacional.
Vamos explicar um por um para você compreender melhor: Dados Pessoais são compostos por quaisquer informações que identifiquem uma pessoa física ou que possam levar à sua identificação. Há dois tipos de dados pessoais:
 • Direto: Nome, CPF, RG, matrícula, título de eleitor
 • Indireto: Hábitos de consumo, profissão, sexo, idade, entre outros. Importante reforçar que os dados pessoais, mesmo tornados públicos continuam sendo tutelados pela lei.
 Dados Pessoais Sensíveis são formados por dados classificados por origem racial ou étnica, saúde, vida sexual, genética, biometria, religião, opinião política, cor da pele.
 Anonimizado: são os dados nos quais o titular não pode ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
 Pseudonimizado: são dados pessoais que, por meio de tratamento, perdem a possibilidade de serem associados de maneira direta ou indireta a um indivíduo. Neste caso, empresa pode localizar a pessoa usando informação adicional que era mantida separadamente.
Uma informação de suma relevância para o conhecimento de todos nós é que a lei somente permite o tratamento de dados pessoais quando associado a uma base legal. As bases legais são condições determinadas pela LGPD para que seja possível fazer a coleta de dados pessoais e seu tratamento, diferenciando Dados Pessoais e Dados Pessoais Sensíveis. Abaixo, vamos apresentar quais são essas bases legais.
 Base Legal para Dados Pessoais
 • Consentimento;
 • Cumprimento de obrigação legal ou regulatória;
 • Execução de políticas públicas pela Administração Pública;
 • Realização de estudos por órgãos de pesquisas;
 • Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
 • Proteção da vida ou da incolumidade física do titular ou de terceiros;
 • Tutela da saúde;
 • Interesse legítimo do controlador ou terceiros;
 • Proteção de crédito;
 • Para execução de contratos e procedimentos preliminares a eles relacionados.
 Base Legal para Dados Pessoais Sensíveis
 • Consentimento;
 • Cumprimento de obrigação legal ou regulatória;
 • Execução de políticas públicas pela Administração Pública;
 • Realização de estudos por órgãos de pesquisas;
 • Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
 • Proteção da vida ou da incolumidade física do titular ou de terceiros;
 • Tutela da saúde;
 • Garantia da prevenção à fraude e à segurança do titular.
A definição de quem está na posição de controlador ou operador, de acordo com a respectiva atividade de tratamento de dados pessoais, é importante para determinar obrigações e responsabilidades de cada um desses agentes de tratamento. Essa avaliação e definição podem ser tarefas simples ou extremamente complexas, em razão da dinamicidade das operações de tratamento que usualmente envolvem seus agentes. Controlador:
 • Toma todas as decisões referentes ao tratamento de dados pessoais ao longo do ciclo de vida destes;
 • Determina as finalidades e os meios de tratamentos dos dados pessoais;
 • Avalia o enquadramento das bases legais de tratamento;
 • Pode ser responsabilizado diretamente por violações da LGPD;
 • Garante o cumprimento dos direitos dos titulares. Operador:
 • Realiza o tratamento de dados pessoais em nome do controlador;
 • Não possui poder decisório;
 • Pode vir a executar tarefas complexas e com alguma discricionariedade, mas sempre sob o comando do controlador;
 • Pode ser responsabilizado solidariamente por violações que vier causar à LGPD. O operador sempre obedecerá ao controlador, que é quem efetivamente determina a finalidade do tratamento dos dados, mas se o operador usar esses mesmos dados para outra finalidade, torna-se também controlador, com as responsabilidades inerentes à posição.
A LGPD reúne, em um só lugar, os direitos dos titulares dos dados. Antes dela, estavam previstos de forma esparsa em diversas leis, como o Código de Defesa do Consumidor e o Marco Civil da Internet. O titular pode exercer esses direitos sobre seus dados pessoais a qualquer momento, mediante requisição ao controlador.
Em caso de descumprimento da LGPD, as empresas estão sujeitas as penalidades e sanções administrativas aplicáveis pela ANPD conforme a seguir:
 • Advertência;
 • Multa simples (até 2% do faturamento até o limite de R$ 50 milhões);
 • Multa diária;
 • Possibilidade de publicização da infração;
 • Bloqueio dos dados pessoais envolvidos;
 • Eliminação dos dados pessoais envolvidos;
 • Suspensão parcial, por até 06 meses, do banco de dados envolvido;
 • Suspensão do exercício da atividade de tratamento dos dados pessoais;
 • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Serão levados em consideração pela ANPD:
 • Gravidade e natureza das infrações;
 • Boa-fé e cooperação do infrator;
 • Vantagem obtida com a infração;
 • Condições econômicas do infrator;
 • Reincidência e gravidade do dano causado;
 • Adoção de mecanismos e procedimentos internos de proteção de dados;
 • Adoção de política de boas práticas e governança;
 • Pronta adoção de medidas corretivas;
 • Proporção entre a gravidade da infração e a intensidade da sanção.