§ I · LGPD · Lei 13.709/18

A LGPD, do ponto de vista de quem executa.

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18) entrou em vigor em agosto de 2020 e desde então moldou como empresas brasileiras tratam dados de titulares. A ANPD ganhou autonomia em 2023 e já aplicou sanções baseadas em dosimetria formal (Res. CD/ANPD 4/2023). Esta página reúne os fundamentos operacionais: os 10 princípios do Art. 6º, as 10 bases legais do Art. 7º, os 9 direitos do Art. 18 e os três horizontes de adequação que toda empresa precisa cruzar.

Os 10 princípios · Art. 6º.

Todo tratamento de dados pessoais pela Lei 13.709/18 obedece a 10 princípios cumulativos. A ANPD usa esse rol como base pra decisões sancionatórias · ausência de um princípio é fundamento autônomo pra dosimetria agravada.

  1. Inciso I Finalidade Tratamento pra propósitos legítimos, específicos, explícitos e informados ao titular.
  2. Inciso II Adequação Compatibilidade do tratamento com as finalidades declaradas ao titular.
  3. Inciso III Necessidade Limitação ao mínimo necessário · dados pertinentes, proporcionais, não-excessivos.
  4. Inciso IV Livre acesso Garantia ao titular de consulta gratuita e facilitada sobre forma, duração e dados tratados.
  5. Inciso V Qualidade dos dados Exatidão, clareza, relevância e atualização dos dados conforme a finalidade.
  6. Inciso VI Transparência Informações claras, precisas e acessíveis sobre tratamento e agentes.
  7. Inciso VII Segurança Medidas técnicas e administrativas pra proteger dados de acesso não-autorizado.
  8. Inciso VIII Prevenção Medidas pra prevenir ocorrência de danos em função do tratamento.
  9. Inciso IX Não-discriminação Impossibilidade de tratamento pra fins discriminatórios, ilícitos ou abusivos.
  10. Inciso X Responsabilização Demonstração pelo agente da adoção de medidas eficazes de cumprimento da norma.

As 10 bases legais · Art. 7º.

Todo tratamento requer uma das 10 bases legais do Art. 7º LGPD (dados comuns) ou uma das 5 do Art. 11 (dados sensíveis: origem racial, convicção religiosa, saúde, orientação sexual, biometria). Consentimento é só uma delas · a maioria das operações comerciais se sustenta em execução de contrato, legítimo interesse ou obrigação legal.

  1. Inciso I Consentimento Manifestação livre, informada e inequívoca do titular.
  2. Inciso II Obrigação legal Cumprimento de obrigação legal ou regulatória pelo controlador.
  3. Inciso III Administração pública Políticas públicas previstas em lei/regulamento.
  4. Inciso IV Estudos por órgão de pesquisa Anonimização garantida sempre que possível.
  5. Inciso V Execução de contrato Pra execução de contrato ou procedimentos preliminares ao contrato.
  6. Inciso VI Exercício de direitos Exercício regular de direitos em processo judicial/arbitral/administrativo.
  7. Inciso VII Proteção da vida Pra proteção da vida ou incolumidade física do titular ou terceiro.
  8. Inciso VIII Tutela de saúde Exclusivamente procedimento realizado por profissionais de saúde / autoridade sanitária.
  9. Inciso IX Legítimo interesse Exceto quando prevalecerem direitos e liberdades fundamentais do titular.
  10. Inciso X Proteção do crédito Inclusive quanto ao disposto na legislação pertinente.

Os 9 direitos do titular · Art. 18.

O titular tem 9 direitos subjetivos exigíveis diretamente do controlador pelo Art. 18 LGPD. O prazo de resposta é 15 dias (Art. 19), exceto quando o controlador declarar razão objetiva. Ignorar ou postergar viola Art. 18 · agravante em dosimetria ANPD.

  1. I Confirmação da existência de tratamento
  2. II Acesso aos dados
  3. III Correção de dados incompletos, inexatos ou desatualizados
  4. IV Anonimização, bloqueio ou eliminação de dados desnecessários
  5. V Portabilidade dos dados a outro fornecedor de serviço
  6. VI Eliminação dos dados tratados com consentimento
  7. VII Informação sobre entidades públicas/privadas com que o controlador compartilhou
  8. VIII Informação sobre a possibilidade de não fornecer consentimento
  9. IX Revogação do consentimento conforme Art. 8º § 5º

Três horizontes de adequação.

Empresas brasileiras se enquadram em 3 camadas de maturidade LGPD · a ANPD fiscaliza proporcionalmente ao que o agente consegue demonstrar em cada uma.

Horizonte 01 Mínimo · evidência básica

Política de privacidade pública · banner de cookies Art. 8º · canal do encarregado · ROPA · Art. 37 versão mínima com 6 atributos. Pequeno porte (Res. 2/2022) encerra aqui com DPO dispensado.

Horizonte 02 Intermediário · operação formalizada

Mapa de tratamento exportável · DPO designado (encarregado Art. 41) · política de retenção · plano de resposta a incidentes (Res. CD/ANPD 15/2024) · LIA pra legítimo interesse · DPIA/RIPD onde Art. 38 indicar.

Horizonte 03 Avançado · auditoria externa

Audit trail criptográfico (SHA-256 + Merkle tree) · DPIA · Res. CD/ANPD 18/2024 formal pra alto risco · SOC 2 ou ISO/IEC 27701 · integração ANPD via canal formal (Operação CPF Protegido e similares).

Perguntas que estão no ar

LGPD na prática.

Pequeno porte precisa ter DPO?
Não, conforme Res. CD/ANPD 2/2022, agentes de pequeno porte estão dispensados da designação formal de encarregado — mas canal de comunicação com titulares permanece obrigatório e a fiscalização avalia operação real, não só faturamento.
Legítimo interesse precisa de LIA?
Sim. O Teste de Legítimo Interesse documentado (LIA — Legitimate Interest Assessment) é exigido pela ANPD pra base Art. 7º IX, demonstrando ponderação entre finalidade legítima e direitos do titular.
Em quanto tempo devo responder a um pedido de acesso?
O Art. 19 LGPD impõe 15 dias pra resposta a pedidos do Art. 18, com possibilidade de prorrogação fundamentada. Excedentes contam como agravante em dosimetria ANPD.
Incidente de segurança precisa ser reportado à ANPD?
Sim. Res. CD/ANPD 15/2024 estabelece comunicação formal em 3 dias úteis + relatório complementar em 20 dias. Titulares impactados também recebem notificação direta.
Cookies não-essenciais podem ser pré-marcados?
Não. Art. 8º § 5º LGPD exige manifestação livre e inequívoca. Pré-marcação de opt-in é consentimento inválido · Res. CD/ANPD 4/2023 trata ausência como infração.
Posso fazer scanning automatizado pra LGPD sem autorização?
Não. Scan ativo contra domínios de terceiros sem autorização expressa configura acesso não-autorizado · Lei 12.737/2012. Scanner LGPD-BR só roda em domínios declarados pelo próprio controlador.
Posso armazenar dados de cliente fora do Brasil?
Sim, desde que respeitada a Seção VI LGPD (transferência internacional). País precisa oferecer grau de proteção adequado ou contrato com cláusulas padrão. ANPD publicou padrões em Res. 2024.
Quanto tempo guardar os dados?
Pelo prazo necessário à finalidade declarada (Art. 15). Obrigação legal fiscal: 5 anos (CTN Art. 173). Pós-fim da finalidade: anonimização ou eliminação em até 30-60 dias conforme política interna.
§ 7 clusters · aprofunde

Leituras relacionadas.

§ CLUSTER · II DPO · Art. 41 Quando o encarregado é obrigatório · Res. CD/ANPD 2/2022 · DPOaaS válido. § CLUSTER · III DPIA / RIPD Relatório de Impacto · Art. 38 · Res. 18/2024 · alto risco critérios. § CLUSTER · IV ROPA · Art. 37 Registro de Operações · 6 atributos mínimos · templates pt-BR. § CLUSTER · V Bases legais 10 bases Art. 7º + 5 sensíveis Art. 11 · LIA pra legítimo interesse. § CLUSTER · VI Direitos do titular 9 direitos Art. 18 · SLA 15d · trilha hash-assinada. § CLUSTER · VII Multas · dosimetria Res. CD/ANPD 4/2023 · Art. 52 · 2% até R$50M · agravantes/atenuantes.