⬅ Voltar ao Dashboard Unidade 2 — Internet e Segurança

📜 LGPD — Lei Geral de Proteção de Dados

Aula 2.8 — Fundamentos da Lei 13.709/2018: princípios, direitos do titular, obrigações das organizações e impactos práticos no cotidiano

💬 O que é a LGPD e por que ela existe?

❌ Sem LGPD — dados sem controle 👤 Titular 🏢 Empresa 🔓 Vazar dados 💸 Vender dados 🎯 Manipular usuário ✅ Com LGPD — base legal + transparência + direitos garantidos 👤 Titular 🛡️ LGPD 🏢 Empresa 🏛️ ANPD fiscaliza · multa até 2% do faturamento

A LGPD — Lei Geral de Proteção de Dados (Lei 13.709/2018) — é a principal lei brasileira que regula o tratamento de dados pessoais por empresas, órgãos públicos e qualquer organização que colete, armazene, processe ou compartilhe dados de pessoas. Entrou em vigor em setembro de 2020 e se aplica a qualquer operação com dados de pessoas no Brasil, mesmo que a empresa seja estrangeira.

A lei surgiu em resposta ao cenário global de uso abusivo de dados pessoais. O escândalo Cambridge Analytica (2018) — em que dados de 87 milhões de usuários do Facebook foram usados para manipular eleições — acelerou a discussão no Brasil. Ela foi inspirada na GDPR europeia, considerada o padrão ouro mundial em proteção de dados.

💡 A LGPD parte de um princípio fundamental: dados pessoais pertencem à pessoa, não à empresa que os coletou. Organizações podem usar esses dados, mas com regras claras, finalidade definida e respeitando os direitos do titular.

📊 O que a LGPD regula

  • Coleta, armazenamento, uso, compartilhamento e exclusão de dados pessoais
  • Dados de pessoas físicas — dados de empresas não são cobertos pela lei
  • Operações realizadas no Brasil ou com dados de pessoas que estejam no Brasil
  • Qualquer setor: saúde, educação, comércio, governo, redes sociais, aplicativos

🧩 Conceitos Fundamentais

Tipos de Dado Pessoal 🟢 Dado Comum Proteção padrão da LGPD • Nome e sobrenome • CPF e RG • Endereço e e-mail • Data de nascimento • IP e localização • Histórico de compras • Preferências online 🔴 Dado Sensível Proteção reforçada — bases legais mais restritas • Origem racial ou étnica • Convicção religiosa • Opinião política • Saúde e vida sexual • Dado genético ou biométrico • Filiação a sindicato • Dados de criança/adolescente

Dados sensíveis exigem proteção reforçada e só podem ser tratados em bases legais mais restritas. Vazar dados de saúde ou religião, por exemplo, pode gerar discriminação — por isso a lei os protege com maior rigor.

👥 Os atores da LGPD

👤
Titular
A pessoa física a quem os dados se referem. É o detentor dos direitos previstos na lei.
🏢
Controlador
Empresa ou entidade que decide como e por que os dados serão tratados. É o principal responsável legal.
⚙️
Operador
Empresa que executa o tratamento de dados em nome do controlador (ex.: empresa de nuvem).
🧑‍💼
Encarregado (DPO)
Responsável pela proteção de dados na organização. É o canal entre empresa, titulares e a ANPD.
🏛️
ANPD
Autoridade Nacional de Proteção de Dados. Órgão do governo que fiscaliza, orienta e aplica sanções.

⚖️ Os 10 Princípios da LGPD

Art. 6º da LGPD — Tratamento legal exige respeitar todos os princípios LGPD Art. 6º 🎯 Finalidade uso para fins específicos ✅ Adequação compatível com finalidade ✂️ Necessidade mínimo necessário 🔓 Livre acesso titular consulta dados 📊 Qualidade dados exatos e atuais 💬 Transparência informar o titular 🔒 Segurança proteger contra acesso 🛡️ Prevenção evitar danos antes 🤝 Não discriminar sem uso abusivo 📋 Responsabilização demonstrar conformidade

O tratamento de dados pessoais só é legítimo quando respeita os 10 princípios previstos no Art. 6º da lei. Qualquer operação que viole um desses princípios é ilegal:

🎯 Finalidade
Dados coletados para fins legítimos e específicos — não podem ser usados para outro objetivo sem nova base legal
✅ Adequação
O tratamento deve ser compatível com a finalidade informada ao titular
✂️ Necessidade
Coletar apenas o mínimo de dados necessário para a finalidade — sem excessos
🔓 Livre Acesso
O titular tem direito a consultar seus dados facilmente, sem custo
📊 Qualidade
Dados devem ser exatos, claros, relevantes e atualizados
💬 Transparência
O titular deve ser informado de forma clara sobre como seus dados são usados
🔒 Segurança
Medidas técnicas e administrativas para proteger os dados contra acesso não autorizado
🛡️ Prevenção
Adotar medidas para prevenir danos antes que ocorram — não apenas reagir a incidentes
🤝 Não Discriminação
Proibido usar dados para fins discriminatórios, ilícitos ou abusivos
📋 Responsabilização
O controlador deve demonstrar que cumpre a lei — o ônus da prova é dele

📋 Bases Legais — Quando o Tratamento é Permitido

Nenhum dado pode ser tratado sem uma base legal prevista na LGPD. São 10 hipóteses; as mais comuns no cotidiano são:

1

Consentimento: o titular autoriza expressamente o uso de seus dados para uma finalidade específica. Deve ser livre, informado e desambíguo. Pode ser revogado a qualquer momento.

2

Execução de contrato: dados necessários para cumprir um contrato do qual o titular é parte — ex.: seu nome e endereço para entregar uma compra online.

3

Obrigação legal: quando a lei exige o tratamento — ex.: uma empresa que precisa enviar dados à Receita Federal por obrigação fiscal.

4

Interesse legítimo: quando o tratamento é necessário para interesses legítimos do controlador ou de terceiros, desde que não prevaleça sobre os direitos do titular.

5

Proteção da vida: dados podem ser tratados para proteger a vida do titular ou de terceiros — ex.: contato de emergência em situação de risco.

⚠️ Consentimento não é a única base legal — é apenas uma das dez. Muitas empresas usam outras bases (contrato, interesse legítimo) sem precisar do consentimento explícito do usuário. A existência de uma base legal válida é o que torna o tratamento legal — não apenas a presença de um botão “aceito”.

🦾 Direitos do Titular de Dados

8 Direitos do Titular — Art. 18 da LGPD Exercíveis a qualquer momento perante o controlador Confirmação saber se dados são tratados 📄 Acesso cópia completa dos seus dados ✏️ Correção corrigir dados inexatos 🗑️ Eliminação excluir dados desnecessários 📦 Portabilidade transferir para outro serviço 📋 Informação com quem foram compartilhados 🚫 Oposição opor-se ao tratamento ↩️ Revogação retirar consentimento a qualquer momento

A LGPD garante ao titular — qualquer pessoa cujos dados são tratados — um conjunto robusto de direitos que podem ser exercidos a qualquer momento perante o controlador:

Confirmação
Saber se uma empresa trata seus dados
📄
Acesso
Receber cópia completa dos seus dados tratados
✏️
Correção
Corrigir dados incompletos, inexatos ou desatualizados
🗑️
Eliminação
Solicitar exclusão de dados desnecessários ou tratados ilegalmente
📦
Portabilidade
Transferir seus dados para outro fornecedor de serviço
📋
Informação
Saber com quem seus dados foram compartilhados
🚫
Oposição
Opor-se a tratamento realizado sem sua concordância
↩️
Revogação
Retirar o consentimento dado anteriormente a qualquer momento

💡 Na prática: se você quiser saber quais dados o Instagram tem sobre você, pode solicitá-los. Se quiser que uma loja apague seu cadastro, pode exigir. Se uma empresa recusar sem justificativa, pode reportar à ANPD (anpd.gov.br).

🏢 Obrigações das Organizações

Toda organização que trata dados pessoais no Brasil — da multinacional ao pequeno negócio — tem obrigações legais perante a LGPD:

📋
Política de Privacidade clara Informar de forma acessível quais dados são coletados, para quê, por quanto tempo e com quem são compartilhados
🧑‍💼
Nomear um Encarregado (DPO) Indicar um responsável pela proteção de dados que seja o canal oficial de comunicação com titulares e ANPD
🛡️
Proteção desde a concepção Privacy by Design: incluir proteção de dados no projeto de sistemas desde o início, não apenas como camada posterior
Notificar vazamentos em 72h Em caso de incidente de segurança que afete dados pessoais, a ANPD e os titulares devem ser comunicados em até 72 horas
🗑️
Eliminar dados desnecessários Após cumprida a finalidade ou encerrado o relacionamento, os dados devem ser eliminados ou anonimizados
📄
Responder às solicitações dos titulares Atender pedidos de acesso, correção e exclusão de dados em prazo razoável e sem cobrança

⚖️ Sanções e a ANPD

A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão federal responsável por fiscalizar o cumprimento da LGPD, orientar, investigar e aplicar sanções. As penalidades são graduadas conforme a gravidade da infração:

⚠️
Advertência
Para infrações leves com prazo para correção
💰
Multa simples
Até 2% do faturamento, limitado a R$ 50 milhões por infração
💸
Multa diária
Aplicada enquanto perdurar a infração, no mesmo limite
🚫
Bloqueio / Eliminação
Suspensão do banco de dados ou eliminação dos dados envolvidos

📰 Casos reais no Brasil

EmpresaInfraçãoResultado
Teleatendimento (2023) Compartilhamento indevido de dados de clientes para terceiros sem consentimento Primeira multa da ANPD: R$ 14.400,00 (empresa de pequeno porte)
Plataforma de emprego (2024) Vazamento de dados de 223 milhões de brasileiros — em investigação Processo administrativo em andamento na ANPD
Prefeitura Municipal Divulgação de dados de servidores sem base legal Recomendação de correção imediata e capacitação de equipe

💡 A LGPD se aplica a todos os tamanhos de organização — inclusive microempresas e autônomos que tratam dados. Mesmo uma escola, um consúltório médico ou um professor que mantém cadastro de alunos está sujeito à lei.

📱 A LGPD no Seu Cotidiano

A LGPD não é apenas para advogados e empresas. Ela afeta diretamente como você interage com tecnologia todos os dias:

  • 🍪 Aquele aviso de “aceitar cookies” ao entrar em um site é uma exigência de transparência da LGPD — você tem o direito de recusar os não essenciais
  • 📧 Quando um aplicativo pede seu e-mail e nome ao criar uma conta, ele é obrigado a informar para quê vai usá-los
  • 🗑️ Você pode pedir à qualquer empresa que exclua seu cadastro e ela é obrigada a atender
  • 📰 Quando um site sofre vazamento e inclui seus dados, ele é obrigado a te avisar sobre o incidente
  • 🏫 O IFRN, ao armazenar seus dados acadêmicos, tem obrigações da LGPD: manter seguros, usar apenas para finalidade educacional e não compartilhar sem base legal

📌 Se uma empresa descumprir seus direitos como titular, você pode registrar reclamação na ANPD (anpd.gov.br/cidadaos) ou via Procon. Não é necessário advogado para acionar o canal administrativo da autoridade.

📋 Recapitulando

  • A LGPD (Lei 13.709/2018) regula o tratamento de dados pessoais no Brasil, inspirada na GDPR europeia e vigente desde 2020
  • Dados pessoais sensíveis (saúde, religião, biometria) têm proteção reforçada
  • Os 5 atores principais: titular, controlador, operador, encarregado (DPO) e ANPD
  • O tratamento de dados é legal apenas quando há uma base legal válida — consentimento é uma delas, mas não a única
  • Os 8 direitos do titular: confirmação, acesso, correção, eliminação, portabilidade, informação, oposição e revogação
  • Organizações devem ter política de privacidade, DPO, proteção by design e notificar vazamentos em 72h
  • A ANPD fiscaliza e pode multar até 2% do faturamento, limitado a R$ 50 milhões por infração

📚 Parabéns! Você concluiu a Unidade 2 — Internet e Segurança! Ao longo das 8 aulas, percorremos desde o funcionamento da internet e segurança digital até ética, legislação e proteção de dados pessoais. Esses conhecimentos são fundamentos essenciais para uma cidadania digital responsável.

🧠 Quiz — LGPD

1. Qual das seguintes é um exemplo de dado pessoal sensível segundo a LGPD?

A Endereço de e-mail profissional
B Resultado de exame médico indicando uma doença
C Nome completo e CPF
D Histórico de compras em loja online
✅ Correto! Dados de saúde (como resultados de exames) são dados pessoais sensíveis pela LGPD — exigem proteção reforçada e só podem ser tratados em bases legais mais restritas.
❌ E-mail profissional é dado pessoal comum, não sensível. Dados sensíveis são aqueles que podem gerar discriminação: saúde, religião, origem racial, biometria, etc.
❌ Nome e CPF são dados pessoais comuns, protegidos pela LGPD, mas não classificados como sensíveis — que exigem um nível adicional de proteção.
❌ Histórico de compras é dado pessoal comum. Embora deva ser protegido, não é dado sensível pela LGPD.

2. Na LGPD, quem é o Controlador?

A A empresa ou entidade que decide como e por que os dados pessoais serão tratados
B O profissional contratado para garantir a conformidade com a lei dentro da organização
C O órgão do governo que fiscaliza o cumprimento da LGPD
D A pessoa física a quem os dados pertencem
✅ Correto! O Controlador é quem toma as decisões sobre o tratamento — define finalidade, meios e como os dados serão usados. É o principal responsável legal pela conformidade com a LGPD.
❌ Essa é a definição do Encarregado (DPO), não do Controlador. O DPO é o canal de comunicação entre a organização, os titulares e a ANPD.
❌ Essa é a definição da ANPD (Autoridade Nacional de Proteção de Dados), o órgão fiscalizador.
❌ Essa é a definição do Titular, a pessoa física dona dos dados. O Controlador é quem os trata.

3. É correto afirmar que uma empresa só pode tratar dados pessoais se tiver obtido o consentimento do titular?

A Sim, sem consentimento nenhum dado pode ser tratado
B Sim, mas apenas para dados sensíveis — dados comuns não precisam
C Não, existem 10 bases legais e o consentimento é apenas uma delas
D Não, consentimento nunca é necessário se a empresa tiver política de privacidade
✅ Correto! A LGPD prevê 10 bases legais para o tratamento de dados. Consentimento é apenas uma delas. Outras bases como execução de contrato, obrigação legal e interesse legítimo também autorizam o tratamento sem necessidade de consentimento explícito.
❌ Incorrecto. Há 10 bases legais na LGPD e muitas não exigem consentimento — como a execução de contrato e a obrigação legal.
❌ Essa distinção não existe na lei dessa forma. As 10 bases legais se aplicam tanto a dados comuns quanto a dados sensíveis (com restrições mais rígidas para os sensíveis).
❌ Ter política de privacidade não é uma base legal para o tratamento. É uma obrigação de transparência separada. A base legal precisa ser uma das 10 previstas em lei.

4. Você quer pedir a uma empresa que apague os seus dados do cadastro dela. Qual direito da LGPD você está exercendo?

A Portabilidade
B Oposição
C Acesso
D Eliminação
✅ Correto! O direito de Eliminação permite solicitar a exclusão de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD. É previsto no Art. 18, IV da lei.
❌ Portabilidade é o direito de transferir seus dados para outro prestador de serviço — não de excluí-los.
❌ Oposição é o direito de se opor a um tratamento que está sendo realizado — não necessariamente pedir a exclusão dos dados já coletados.
❌ Acesso é o direito de receber uma cópia dos seus dados — o oposto de apagá-los.

5. Após descobrir um vazamento de dados pessoais, uma organização tem obrigação de notificar a ANPD e os titulares em qual prazo?

A Imediatamente, no ato da descoberta
B Em até 72 horas
C Em até 30 dias
D Não há prazo definido, deve ser razoável
✅ Correto! A LGPD estabelece que, em caso de incidente de segurança que possa causar dano aos titulares, a ANPD e os titulares afetados devem ser comunicados em prazo razoável — com as orientações da ANPD apontando para 72 horas como referência, alinhado com a GDPR europeia.
❌ Não há exigência de notificação imediata — é necessário primeiro avaliar a extensão do incidente. O prazo orientativo é de 72 horas após a descoberta.
❌ 30 dias é muito além do prazo esperado. O prazo de referência é 72 horas, seguindo o padrão da GDPR europeia que inspirou a LGPD.
❌ A ANPD estabeleceu orientações com prazo definido de 72 horas para notificação — não apenas "razoável" sem referência.

6. O que significa o conceito de Privacy by Design (Proteção desde a Concepção)?

A Incluir a proteção de dados no projeto de sistemas e processos desde o início, não como camada posterior
B Criar uma política de privacidade visualmente bonita e de fácil leitura
C Contratar um designer gráfico para criar informações visuais sobre privacidade
D Garantir que o sistema seja acessível apenas aos projetistas da empresa
✅ Correto! Privacy by Design é uma abordagem em que a proteção de dados é considerada desde o início do desenvolvimento de sistemas, produtos e processos — não adicionada depois como corretor. É uma obrigação prevista na LGPD.
❌ Privacy by Design não tem relação com o design visual da política de privacidade. É uma abordagem técnica e organizacional para incorporar proteção de dados na concepção dos sistemas.
❌ Essa confunde "design" (projeto/concepção) com design gráfico. Privacy by Design é sobre arquitetura de sistemas e processos, não sobre estética.
❌ Restringir acesso a projetistas não tem relação com Privacy by Design. O conceito é sobre incorporar privacidade na concepção do sistema desde o primeiro dia.

🎯 Exercício — Arraste e Conecte

Arraste cada descrição para o conceito da LGPD correspondente.

Descrição
A pessoa física a quem os dados pertencem e que possui direitos garantidos pela lei
Autorização livre, informada e inequívoca do usuário para um uso específico dos dados
Profissional responsável pela proteção de dados na organização e canal com a ANPD
Dado de saúde, origem racial, religião ou biometria que exige proteção reforçada
Autoridade federal que fiscaliza o cumprimento da LGPD e aplica sanções
Conceito
Titular
Consentimento
Encarregado (DPO)
Dado Sensível
ANPD

🛠️ Atividade Prática — Aplicando a LGPD no Cotidiano

⏱ ~30 min 🌐 Requer internet 📝 Individual
1
Analise uma política de privacidade
Acesse o site de uma empresa que você usa (Instagram, iFood, Spotify). Localize a Política de Privacidade (geralmente no rodapé do site). Responda: Quais dados são coletados? Com quem são compartilhados? Por quanto tempo ficam armazenados? Como você pode solicitar exclusão? A política está escrita de forma clara?
2
Verifique seus dados no Google
Acesse myaccount.google.com → Dados e privacidade. Explore: Quais dados o Google armazena sobre você? Há histórico de localização ativo? E histórico de atividade na web? Você pode pausar ou excluir esses dados. Anote o que encontrou e o que decidiu fazer.
3
Identifique os atores da LGPD em um cenário
Considere o seguinte cenário: o IFRN utiliza o Google Workspace (Gmail, Drive, Classroom) para gerenciar dados dos alunos. Identifique quem é o titular, o controlador, o operador e qual seria o papel da ANPD nessa relação. Justifique cada escolha.
4
Simule um pedido de acesso aos dados
Escreva, no Google Docs, um e-mail formal solicitando acesso aos seus dados a uma empresa de sua escolha, exercendo o direito previsto no Art. 18 da LGPD. O e-mail deve conter: identificação, base legal do pedido (Art. 18, III, LGPD), prazo esperado de resposta (15 dias é o recomendado) e onde enviar a resposta.
5
Explore o portal da ANPD
Acesse anpd.gov.br. Navegue pela seção Para Cidadãos. Anote: Como registrar uma reclamação? Quais canais estão disponíveis? Você encontrou alguma resolução ou orientação interessante? Compartilhe um aprendizado com a turma.
📌 Para saber: O maior vazamento de dados da história do Brasil ocorreu em janeiro de 2021: mais de 223 milhões de CPFs — incluindo de pessoas falecidas — foram expostos com nome, endereço, renda, foto e outros dados. O caso evidenciou a urgência da LGPD e levou a ANPD a iniciar investigações que ainda estão em andamento.
⬅ Anterior: Ética e Legislação 🏠 Voltar ao Início ➡