O que é LGPD: guia básico da Lei Geral de Proteção de Dados

Entenda a LGPD (Lei 13.709/2018) em linguagem simples: o que são dados pessoais e sensíveis, as bases legais, seus direitos, o que muda para pequenos negócios e o papel da ANPD.

Revisado pela equipe editorial ValorFinalLei 13.709/2018 (Planalto) e ANPD
Calcule agora: Senha ForteResultado na hora, de graça e sem cadastro.

A LGPD é a Lei Geral de Proteção de Dados, a Lei 13.709/2018, que regula como qualquer empresa, site, aplicativo ou órgão público pode coletar, guardar e usar dados pessoais de pessoas no Brasil. Ela existe para devolver a você o controle sobre suas próprias informações e para obrigar quem usa esses dados a ter um motivo legítimo e a protegê-los. Este guia explica em linguagem simples o que a lei é, o que conta como dado pessoal, quais direitos você tem e o que muda para quem toca um pequeno negócio. Para ir além do básico, com aulas, exercícios e certificado, existe o curso de LGPD Essencial, gratuito. Este é um conteúdo educativo e não substitui a orientação de um advogado para o seu caso.

Resposta rápida

  • A LGPD é a Lei 13.709/2018 e regula o tratamento de dados pessoais no Brasil. Está em vigor desde 2020.
  • Você é o titular dos seus dados e tem direito de acessar, corrigir, excluir e saber como eles são usados.
  • Toda empresa precisa de uma base legal para usar dados. Consentimento é só uma das dez previstas.
  • Vale para qualquer negócio, do MEI à grande empresa. A fiscalização é da ANPD.

O que é a LGPD e para que serve

A Lei 13.709/2018 nasceu para resolver um problema simples de enunciar e difícil de resolver: seus dados circulam o tempo todo, e antes dela quase não havia regra clara sobre quem podia usá-los e para quê. Cada cadastro que você preenche, cada compra online, cada aplicativo instalado deixa um rastro de informação. A LGPD organiza esse cenário com dois eixos. De um lado, dá direitos a você, o titular. De outro, impõe deveres a quem trata os dados, o chamado controlador, que precisa ter um motivo válido, usar só o necessário e cuidar da segurança da informação.

A lei se apoia em princípios que valem para tudo. Os principais são a finalidade (usar o dado só para o propósito informado), a necessidade (coletar o mínimo indispensável), a transparência (deixar claro o que se faz com o dado) e a segurança (proteger contra vazamento e acesso indevido). Quando uma empresa foge desses princípios, ela descumpre a LGPD, mesmo que tenha um contrato assinado.

O que são dados pessoais e dados sensíveis

Dado pessoal é qualquer informação que identifica você ou que permite chegar até você. Nome, CPF, e-mail, telefone, endereço e até o número de um pedido ligado à sua conta entram nessa conta. Não precisa ser um documento formal: um apelido somado a outros detalhes já pode identificar uma pessoa.

Dentro desse universo existe um grupo mais delicado, os dados sensíveis, que recebem proteção reforçada porque podem gerar discriminação. A tabela abaixo ajuda a separar os dois:

TipoO que éExemplos
Dado pessoalIdentifica você ou leva até vocêNome, CPF, e-mail, telefone, endereço, foto, IP
Dado sensívelPode gerar discriminação, proteção reforçadaSaúde, religião, opinião política, biometria, dado genético, origem racial

A distinção importa na prática. Para tratar dados sensíveis, as regras são mais estritas e as hipóteses permitidas são mais limitadas do que para um dado pessoal comum. Uma clínica que registra diagnósticos, por exemplo, lida com dado sensível e assume um cuidado maior do que uma loja que só guarda nome e endereço de entrega.

As bases legais (por que uma empresa pode usar seus dados)

Aqui mora um ponto que muita gente entende errado: consentimento não é a única forma de uma empresa usar seus dados legalmente. A LGPD lista dez bases legais, e a empresa precisa escolher uma delas antes de tratar o dado. O consentimento (você autorizar de forma livre e informada) é uma. O cumprimento de obrigação legal é outra, como quando um empregador informa seus dados ao eSocial. A execução de contrato também vale: para entregar um produto, a loja precisa do seu endereço, sem depender de um aceite separado.

Existe ainda o legítimo interesse, que permite usos razoáveis e esperados desde que não firam seus direitos, sempre com um teste de proporção por trás. O que a lei não admite é usar dado sem base nenhuma. Se uma empresa não consegue apontar qual das hipóteses justifica o uso, esse tratamento é irregular. Por isso o consentimento, quando é usado, precisa ser específico e destacado, e você pode revogá-lo depois.

Seus direitos como titular

A LGPD te dá um conjunto de direitos que você pode exercer diante de qualquer empresa que trate seus dados. Eles funcionam como pedidos concretos, e a empresa é obrigada a responder:

Para exercer qualquer um deles, procure o canal de privacidade da empresa (site, e-mail de contato ou o encarregado de dados, às vezes chamado de DPO). Se o pedido for ignorado ou negado sem motivo, você pode reclamar à ANPD.

O que muda para pequenos negócios

Um erro comum é achar que a LGPD só atinge as grandes plataformas. Ela vale para qualquer negócio que trate dados pessoais com finalidade econômica, incluindo MEI, autônomo e microempresa. A boa notícia é que a ANPD editou regras mais simples para agentes de pequeno porte, reconhecendo que eles têm menos estrutura. Ainda assim, o essencial continua valendo.

Na prática, um pequeno negócio se organiza com poucos passos. Colete só o que precisa, sem pedir dados que não vai usar. Diga com clareza para que serve cada informação, de preferência numa política de privacidade curta e honesta. Guarde os dados com um mínimo de segurança, evitando planilhas abertas e senhas fracas. E tenha um canal simples para o cliente pedir acesso ou exclusão. Isso já cobre a maior parte da lei para quem tem uma operação enxuta.

Quer entender a LGPD de ponta a ponta, com exemplos do dia a dia, modelos de política de privacidade e um passo a passo para adequar um negócio? O curso de LGPD Essencial reúne tudo isso em uma trilha guiada, com exercícios e certificado, sem custo.

ANPD e o que acontece se descumprir

Quem fiscaliza a LGPD é a ANPD, a Autoridade Nacional de Proteção de Dados. Ela edita regulamentos, orienta empresas e cidadãos, recebe reclamações e aplica sanções. Se você acha que uma empresa usou seus dados de forma indevida e não resolveu o problema pelo canal dela, a ANPD é o órgão para onde você leva a queixa.

As sanções vão da advertência à multa. A multa pode chegar a 2% do faturamento da empresa no Brasil no último exercício, com teto de 50 milhões de reais por infração, além de medidas como bloqueio ou eliminação dos dados envolvidos. A autoridade avalia a gravidade da falha, a cooperação e as medidas de correção adotadas, então tratar a proteção de dados como rotina, e não como reação a uma multa, é o que faz diferença.

Fontes

Conclusão

Em resumo, a LGPD é a Lei 13.709/2018 e coloca você no centro: dá o direito de acessar, corrigir e apagar seus dados, e obriga quem os usa a ter um motivo válido e a protegê-los. Para o pequeno negócio, o caminho é coletar pouco, explicar bem e guardar com segurança. Quem quer transformar esse panorama em conhecimento aplicável pode fazer o curso de LGPD Essencial, gratuito, e explorar todos os cursos gratuitos do ValorFinal.

Calculadoras deste guia

Fontes oficiais

Links externos para os documentos oficiais consultados na construção desta página. O conteúdo deles pode mudar sem aviso; em caso de divergência, vale sempre a fonte oficial.

Como validamos os cálculos

Os valores citados neste guia são estimativos e baseados em fontes oficiais (Lei 13.709/2018 (Planalto) e ANPD). Eles podem variar conforme convenção coletiva, situação individual e atualizações da legislação. Entenda nossa metodologia em como validamos os cálculos.

Perguntas frequentes

O que é a LGPD?
LGPD é a sigla da Lei Geral de Proteção de Dados, a Lei 13.709/2018. Ela regula como empresas, sites, aplicativos e órgãos públicos podem coletar, guardar, usar e compartilhar dados pessoais de pessoas no Brasil. A ideia central é dar controle ao dono dos dados, chamado de titular, e obrigar quem usa esses dados a ter um motivo legítimo e a cuidar bem deles. Está em vigor desde setembro de 2020.
O que são dados pessoais sensíveis?
São uma categoria especial de dados que pode expor a pessoa a discriminação ou risco maior se vazar. A lei lista: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização religiosa, filosófica ou política, dados sobre saúde ou vida sexual, e dados genéticos ou biométricos (como impressão digital e reconhecimento facial). Por serem mais delicados, a LGPD exige cuidado e bases legais mais estritas para tratá-los.
Quais são os meus direitos pela LGPD?
Você pode confirmar se uma empresa trata seus dados e pedir acesso a eles; corrigir informações erradas ou desatualizadas; pedir a exclusão ou o bloqueio de dados desnecessários ou tratados fora da lei; solicitar a portabilidade para outro fornecedor; saber com quem seus dados foram compartilhados; e revogar um consentimento que você havia dado. A empresa precisa oferecer um canal para atender esses pedidos, e você pode reclamar à ANPD se não for atendido.
A LGPD vale para pequenas empresas e MEI?
Sim. A lei se aplica a qualquer um que trate dados pessoais com finalidade econômica, do MEI à grande empresa, e também a profissionais autônomos. O que muda é a proporção: a ANPD reconhece que negócios de pequeno porte têm menos estrutura e prevê regras mais simples para eles, mas os princípios continuam valendo. Na prática, um pequeno negócio precisa coletar só o necessário, dizer para que usa os dados e protegê-los de vazamento.
O que é a ANPD?
ANPD é a Autoridade Nacional de Proteção de Dados, o órgão do governo federal responsável por fiscalizar o cumprimento da LGPD, editar regulamentos, orientar empresas e cidadãos e aplicar sanções em caso de descumprimento. É para a ANPD que você pode encaminhar uma reclamação quando uma empresa não respeita seus direitos ou quando há suspeita de uso indevido dos seus dados.
Qual a multa por descumprir a LGPD?
A LGPD prevê sanções que vão de advertência até multa de até 2% do faturamento da empresa no Brasil no último ano, limitada a 50 milhões de reais por infração. Há ainda punições como bloqueio ou eliminação dos dados envolvidos e publicização da infração. A ANPD costuma considerar a gravidade, a boa-fé e as medidas que a empresa tomou, então corrigir o problema e cooperar pesa a favor de quem é investigado.