LGPD: proteção de dados pessoais em aplicações brasileiras

O que é a LGPD e quem ela afeta

A lei brasileira que regula o tratamento de dados pessoais por todas as organizações

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), mais conhecida como LGPD, é a legislação brasileira que regula as atividades de coleta, processamento, armazenamento, transmissão e exclusão de dados pessoais no Brasil, inspirada no GDPR europeu. A lei se aplica a qualquer operação de tratamento realizada por pessoa natural ou jurídica, de direito público ou privado, independentemente do meio, do país de sede ou do país onde estejam localizados os dados, desde que a operação tenha ocorrido no Brasil ou que os dados tratados tenham sido coletados de pessoas que estejam no Brasil. Isso significa que startups com apenas um desenvolvedor, grandes corporações, órgãos públicos e até pessoas físicas que coletam dados de terceiros para fins econômicos estão sujeitos à LGPD, tornando o conhecimento da lei uma responsabilidade de todo desenvolvedor que constrói sistemas para o mercado brasileiro. A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão regulador responsável por fiscalizar o cumprimento da lei e pode aplicar multas de até 2% do faturamento anual limitadas a R$50 milhões por infração.

Dados pessoais e dados sensíveis — definições

O que a LGPD entende por dado pessoal e quais exigem proteção reforçada

Dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável, incluindo nome, CPF, endereço, email, telefone, IP, cookies e até características físicas ou comportamentais que permitam identificar uma pessoa. Dado anonimizado, que não permite mais a identificação do titular mesmo com meios razoáveis disponíveis, está fora do escopo da LGPD, mas pseudonimização — substituição de identificadores por um código sem a chave correspondente — ainda é dado pessoal. Dados pessoais sensíveis são uma categoria especial com proteção reforçada pela LGPD, incluindo dados sobre origem racial ou étnica, convicção religiosa, opinião política, saúde ou vida sexual, dado genético ou biométrico quando vinculado a pessoa natural, e filiação a sindicato ou organização religiosa. O tratamento de dados sensíveis exige bases legais mais restritas, como consentimento específico e destacado, e medidas de segurança proporcionalmente mais robustas que dados pessoais comuns.

Bases legais para tratamento de dados

As 10 hipóteses que autorizam o tratamento de dados pessoais pela LGPD

A LGPD estabelece 10 bases legais que autorizam o tratamento de dados pessoais, sendo obrigatório que qualquer operação de tratamento se encaixe em pelo menos uma delas para ser legítima. Consentimento é a base mais conhecida mas não a única nem a mais adequada para todos os casos: exige manifestação livre, informada, inequívoca e específica do titular, e pode ser revogado a qualquer momento. Cumprimento de obrigação legal é base suficiente para dados necessários à emissão de nota fiscal ou cumprimento de obrigações trabalhistas, sem necessidade de consentimento adicional. Execução de contrato autoriza o tratamento de dados necessários para entrega do serviço contratado, como endereço para entrega em e-commerce. Legítimo interesse é a base mais flexível mas exige que o tratamento seja proporcional e não prejudique os interesses fundamentais do titular, sendo adequada para envio de comunicações sobre produtos similares aos já adquiridos. A correta identificação da base legal para cada operação de tratamento é fundamental tanto para conformidade quanto para transparência com o titular.

Direitos do titular — acesso, correção, exclusão, portabilidade

O que os usuários podem exigir e como seu sistema deve responder

A LGPD garante ao titular (a pessoa cujos dados são tratados) um conjunto de direitos que as organizações devem atender de forma gratuita e em prazo adequado: confirmar existência de tratamento, acessar seus dados, corrigir dados incompletos ou desatualizados, anonimizar ou eliminar dados desnecessários ou tratados em desconformidade, e revogar o consentimento previamente dado. O direito à portabilidade de dados — obter seus dados em formato interoperável para transferência a outro fornecedor — ainda aguarda regulamentação específica da ANPD para sua implementação prática, mas deve ser planejado arquiteturalmente. Em termos práticos de desenvolvimento, isso significa implementar mecanismos de autosserviço no produto para que titulares possam acessar seus dados, corrigir informações, exportar em formato legível por máquina (JSON, CSV) e solicitar exclusão com fluxo definido e prazo de atendimento documentado. Solicitações de direitos do titular devem ter processo definido, prazo de resposta (a ANPD recomenda 15 dias como referência) e log de atendimento para demonstração em eventual fiscalização.

Consentimento — quando e como coletar

Implementando consentimento válido que não é mera formalidade

Consentimento válido segundo a LGPD deve ser livre (sem coerção ou imposição como condição para acesso ao serviço quando não necessário), informado (com finalidade específica claramente descrita), inequívoco (não pode ser presumido ou inferido de inação) e específico (para cada finalidade diferente é necessário consentimento separado). Caixas de texto pré-marcadas, políticas de privacidade genéricas como base de consentimento ou frases como: ao continuar usando o site voce concorda, nao atendem ao padrao de consentimento da LGPD, pois não são inequívocos nem específicos. O design de UX de consentimento deve ser claro e não manipulativo: a opção de recusar deve ser tão visível quanto a de aceitar, e a recusa não deve degradar a experiência do usuário em funcionalidades não dependentes dos dados. Registros de consentimento — quem deu, quando, qual versão da política, por qual canal — devem ser armazenados e mantidos mesmo após a revogação, pois são evidência de que o tratamento foi lawful no período em que ocorreu.

DPO — encarregado de proteção de dados

O papel responsável por governança de privacidade na organização

O Data Protection Officer (DPO) ou Encarregado de Proteção de Dados é o responsável dentro da organização por comunicação com titulares e com a ANPD, orientar funcionários sobre práticas de proteção de dados e fiscalizar o cumprimento da LGPD internamente. A LGPD não define critérios obrigatórios de qualificação para o DPO nem exige que seja pessoa específica com dedicação exclusiva, permitindo que a função seja exercida por colaborador interno, advogado externo ou consultoria especializada. A identidade e informações de contato do DPO devem ser publicadas pelo controlador, preferencialmente no site e na política de privacidade, para que titulares e a ANPD possam acioná-lo facilmente. Em empresas menores, o DPO frequentemente é o CTO ou gestor de TI com suporte de consultoria jurídica especializada em proteção de dados, sendo pragmaticamente suficiente para a maioria dos casos quando as operações de tratamento não são de alto risco.

Relatório de Impacto à Proteção de Dados

Quando e como fazer o RIPD para operações de alto risco

O Relatório de Impacto à Proteção de Dados (RIPD), equivalente ao DPIA (Data Protection Impact Assessment) do GDPR, é um documento que descreve as operações de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, bem como medidas e mecanismos de mitigação desses riscos. A ANPD pode exigir o RIPD para operações que envolvam dados sensíveis em larga escala, monitoramento sistemático de comportamento público, uso de novas tecnologias com impacto significativo, ou operações de tratamento potencialmente discriminatórias. O conteúdo mínimo do RIPD inclui descrição dos tipos de dados coletados, metodologia de tratamento, análise de necessidade e proporcionalidade, e medidas de segurança técnicas e organizacionais adotadas. Mesmo quando não obrigatório, realizar o RIPD internamente antes de lançar novas funcionalidades que coletam dados pessoais é uma prática de Privacy by Design que detecta riscos antes da implementação, sendo muito menos custoso corrigir antes do lançamento do que após.

Incidentes e notificação à ANPD

O que fazer quando ocorre um vazamento ou violação de dados

A LGPD exige que o controlador comunique a ANPD e os titulares afetados sobre incidentes de segurança que possam causar dano relevante aos titulares, em prazo razoável que a ANPD regulamentou como 2 dias úteis para comunicação inicial e 30 dias corridos para comunicação complementar com detalhes da investigação. A comunicação deve incluir descrição da natureza dos dados afetados, informações dos titulares envolvidos, indicação das medidas técnicas e de segurança utilizadas, riscos relacionados ao incidente e medidas adotadas ou em andamento para reverter ou mitigar os efeitos. Planos de resposta a incidentes (IRP) devem ser documentados e testados antes que qualquer incidente ocorra, incluindo equipe de resposta, canais de comunicação internos, critérios para acionamento e procedimentos de notificação. O não cumprimento do prazo de notificação é infração independente da violação em si, podendo resultar em sanções administrativas adicionais.

Implementando LGPD no desenvolvimento

Privacy by Design e práticas concretas para desenvolvedores

Privacy by Design é o princípio de incorporar proteção de privacidade nas decisões de arquitetura e desenvolvimento desde o início, não como funcionalidade adicionada depois. Na prática, isso significa: coletar apenas os dados estritamente necessários para a funcionalidade (minimização), definir e implementar períodos de retenção com deleção automática, usar criptografia para dados sensíveis no banco de dados, separar dados de identidade de dados comportamentais sempre que possível, e projetar APIs que permitam exportação e exclusão de dados individuais. Soft delete com marcação lógica é insuficiente para atender ao direito de exclusão da LGPD — é necessário implementar hard delete de dados pessoais ou anonimização real, mantendo apenas dados não-pessoais para fins analíticos. Logs de auditoria devem registrar acessos a dados pessoais, especialmente em sistemas com múltiplos operadores, permitindo rastrear quem acessou dados de qual titular para resposta a incidentes e demonstração de conformidade.

Conclusão — LGPD como oportunidade de confiança com usuários

Conformidade que fortalece a relação com clientes e reduz riscos legais

A LGPD não deve ser encarada apenas como obrigação regulatória, mas como um framework que, quando implementado genuinamente, fortalece a confiança dos usuários no produto e reduz riscos operacionais e legais de longo prazo. Desenvolvedores que entendem os princípios da lei constroem sistemas que respeitam a privacidade como valor fundamental, não apenas como checkbox de compliance. Continue em: Fundamentos obrigatórios antes de produção.