Aula 2.8 — Fundamentos da Lei 13.709/2018: princípios, direitos do titular, obrigações das organizações e impactos práticos no cotidiano
💬 O que é a LGPD e por que ela existe?
A LGPD — Lei Geral de Proteção de Dados (Lei 13.709/2018) — é a principal lei brasileira que regula o tratamento de dados pessoais por empresas, órgãos públicos e qualquer organização que colete, armazene, processe ou compartilhe dados de pessoas. Entrou em vigor em setembro de 2020 e se aplica a qualquer operação com dados de pessoas no Brasil, mesmo que a empresa seja estrangeira.
A lei surgiu em resposta ao cenário global de uso abusivo de dados pessoais. O escândalo Cambridge Analytica (2018) — em que dados de 87 milhões de usuários do Facebook foram usados para manipular eleições — acelerou a discussão no Brasil. Ela foi inspirada na GDPR europeia, considerada o padrão ouro mundial em proteção de dados.
💡 A LGPD parté de um princípio fundamental: dados pessoais pertencem à pessoa, não à empresa que os coletou. Organizações podem usar esses dados, mas com regras claras, finalidade definida e respeitando os direitos do titular.
📊 O que a LGPD regula
Coleta, armazenamento, uso, compartilhamento e exclusão de dados pessoais
Dados de pessoas físicas — dados de empresas não são cobertos pela lei
Operações realizadas no Brasil ou com dados de pessoas que estejam no Brasil
Qualquer setor: saúde, educação, comércio, governo, redes sociais, aplicativos
🧩 Conceitos Fundamentais
📋 Dado pessoal vs dado pessoal sensível
🟢 Dado Pessoal Comum
Nome e sobrenome
CPF e RG
Endereço residencial
E-mail e telefone
Data de nascimento
IP e localização
Preferências e histórico de compras
🔴 Dado Pessoal Sensível
Origem racial ou étnica
Convicção religiosa
Opinião política
Saúde e vida sexual
Dado genético ou biométrico
Filiação a sindicato
Dado de criança ou adolescente
Dados sensíveis exigem proteção reforçada e só podem ser tratados em bases legais mais restritas. Vazar dados de saúde ou religião, por exemplo, pode gerar discriminação — por isso a lei os protege com maior rigor.
👥 Os atores da LGPD
👤
Titular
A pessoa física a quem os dados se referem. É o detentor dos direitos previstos na lei.
🏢
Controlador
Empresa ou entidade que decide como e por que os dados serão tratados. É o principal responsável legal.
⚙️
Operador
Empresa que executa o tratamento de dados em nome do controlador (ex.: empresa de nuvem).
🧑💼
Encarregado (DPO)
Responsável pela proteção de dados na organização. É o canal entre empresa, titulares e a ANPD.
🏛️
ANPD
Autoridade Nacional de Proteção de Dados. Órgão do governo que fiscaliza, orienta e aplica sanções.
⚖️ Os 10 Princípios da LGPD
O tratamento de dados pessoais só é legítimo quando respeita os 10 princípios previstos no Art. 6º da lei. Qualquer operação que viole um desses princípios é ilegal:
🎯 Finalidade
Dados coletados para fins legítimos e específicos — não podem ser usados para outro objetivo sem nova base legal
✅ Adequação
O tratamento deve ser compatível com a finalidade informada ao titular
✂️ Necessidade
Coletar apenas o mínimo de dados necessário para a finalidade — sem excessos
🔓 Livre Acesso
O titular tem direito a consultar seus dados facilmente, sem custo
📊 Qualidade
Dados devem ser exatos, claros, relevantes e atualizados
💬 Transparência
O titular deve ser informado de forma clara sobre como seus dados são usados
🔒 Segurança
Medidas técnicas e administrativas para proteger os dados contra acesso não autorizado
🛡️ Prevenção
Adotar medidas para prevenir danos antes que ocorram — não apenas reagir a incidentes
🤝 Não Discriminação
Proibido usar dados para fins discriminatórios, ilícitos ou abusivos
📋 Responsabilização
O controlador deve demonstrar que cumpre a lei — o ônus da prova é dele
📋 Bases Legais — Quando o Tratamento é Permitido
Nenhum dado pode ser tratado sem uma base legal prevista na LGPD. São 10 hipóteses; as mais comuns no cotidiano são:
1
Consentimento: o titular autoriza expressamente o uso de seus dados para uma finalidade específica. Deve ser livre, informado e desambíguo. Pode ser revogado a qualquer momento.
2
Execução de contrato: dados necessários para cumprir um contrato do qual o titular é parte — ex.: seu nome e endereço para entregar uma compra online.
3
Obrigação legal: quando a lei exige o tratamento — ex.: uma empresa que precisa enviar dados à Receita Federal por obrigação fiscal.
4
Interesse legítimo: quando o tratamento é necessário para interesses legítimos do controlador ou de terceiros, desde que não prevaleça sobre os direitos do titular.
5
Proteção da vida: dados podem ser tratados para proteger a vida do titular ou de terceiros — ex.: contato de emergência em situação de risco.
⚠️ Consentimento não é a única base legal — é apenas uma das dez. Muitas empresas usam outras bases (contrato, interesse legítimo) sem precisar do consentimento explícito do usuário. A existência de uma base legal válida é o que torna o tratamento legal — não apenas a presença de um botão “aceito”.
🦾 Direitos do Titular de Dados
A LGPD garante ao titular — qualquer pessoa cujos dados são tratados — um conjunto robusto de direitos que podem ser exercidos a qualquer momento perante o controlador:
❓
Confirmação
Saber se uma empresa trata seus dados
📄
Acesso
Receber cópia completa dos seus dados tratados
✏️
Correção
Corrigir dados incompletos, inexatos ou desatualizados
🗑️
Eliminação
Solicitar exclusão de dados desnecessários ou tratados ilegalmente
📦
Portabilidade
Transferir seus dados para outro fornecedor de serviço
📋
Informação
Saber com quem seus dados foram compartilhados
🚫
Oposição
Opor-se a tratamento realizado sem sua concordância
↩️
Revogação
Retirar o consentimento dado anteriormente a qualquer momento
💡 Na prática: se você quiser saber quais dados o Instagram tem sobre você, pode solicitá-los. Se quiser que uma loja apague seu cadastro, pode exigir. Se uma empresa recusar sem justificativa, pode reportar à ANPD (anpd.gov.br).
🏢 Obrigações das Organizações
Toda organização que trata dados pessoais no Brasil — da multinacional ao pequeno negócio — tem obrigações legais perante a LGPD:
📋
Política de Privacidade claraInformar de forma acessível quais dados são coletados, para quê, por quanto tempo e com quem são compartilhados
🧑💼
Nomear um Encarregado (DPO)Indicar um responsável pela proteção de dados que seja o canal oficial de comunicação com titulares e ANPD
🛡️
Proteção desde a concepçãoPrivacy by Design: incluir proteção de dados no projeto de sistemas desde o início, não apenas como camada posterior
⏰
Notificar vazamentos em 72hEm caso de incidente de segurança que afete dados pessoais, a ANPD e os titulares devem ser comunicados em até 72 horas
🗑️
Eliminar dados desnecessáriosApós cumprida a finalidade ou encerrado o relacionamento, os dados devem ser eliminados ou anonimizados
📄
Responder às solicitações dos titularesAtender pedidos de acesso, correção e exclusão de dados em prazo razoável e sem cobrança
⚖️ Sanções e a ANPD
A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão federal responsável por fiscalizar o cumprimento da LGPD, orientar, investigar e aplicar sanções. As penalidades previstas na lei são graduadas conforme a gravidade da infração:
⚠️
Advertência
Para infrações leves com prazo para correção
💰
Multa simples
Até 2% do faturamento, limitado a R$ 50 milhões por infração
💸
Multa diária
Aplicada enquanto perdurar a infração, no mesmo limite
🚫
Bloqueio / Eliminação
Suspensão do banco de dados ou eliminação dos dados envolvidos
📰 Casos reais no Brasil
Empresa
Infração
Resultado
Teleatendimento (2023)
Compartilhamento indevido de dados de clientes para terceiros sem consentimento
Primeira multa da ANPD: R$ 14.400,00 (empresa de pequeno porte)
Plataforma de emprego (2024)
Vazamento de dados de 223 milhões de brasileiros — em investigação
Processo administrativo em andamento na ANPD
Prefeitura Municipal
Divulgação de dados de servidores sem base legal
Recomendação de correção imediata e capacitação de equipe
💡 A LGPD se aplica a todos os tamanhos de organização — inclusive microempresas e autônomos que tratam dados. Mesmo uma escola, um consúltório médico ou um professor que mantém cadastro de alunos está sujeito à lei.
📱 A LGPD no Seu Cotidiano
A LGPD não é apenas para advogados e empresas. Ela afeta diretamente como você interage com tecnologia todos os dias:
🍪 Aquele aviso de “aceitar cookies” ao entrar em um site é uma exigência de transparência da LGPD — você tem o direito de recusar os não essenciais
📧 Quando um aplicativo pede seu e-mail e nome ao criar uma conta, ele é obrigado a informar para quê vai usá-los
🗑️ Você pode pedir à qualquer empresa que exclua seu cadastro e ela é obrigada a atender
📰 Quando um site sofre vazamento e inclui seus dados, ele é obrigado a te avisar sobre o incidente
🏫 O IFRN, ao armazenar seus dados acadêmicos, tem obrigações da LGPD: manter seguros, usar apenas para finalidade educacional e não compartilhar sem base legal
📌 Se uma empresa descumprir seus direitos como titular, você pode registrar reclamação na ANPD (anpd.gov.br/cidadaos) ou via Procon. Não é necessário advogado para acionar o canal administrativo da autoridade.
📋 Recapitulando
A LGPD (Lei 13.709/2018) regula o tratamento de dados pessoais no Brasil, inspirada na GDPR europeia e vigente desde 2020
Dados pessoais sensíveis (saúde, religião, biometria) têm proteção reforçada
Os 5 atores principais: titular, controlador, operador, encarregado (DPO) e ANPD
O tratamento de dados é legal apenas quando há uma base legal válida — consentimento é uma delas, mas não a única
Os 8 direitos do titular: confirmação, acesso, correção, eliminação, portabilidade, informação, oposição e revogação
Organizações devem ter política de privacidade, DPO, proteção by design e notificar vazamentos em 72h
A ANPD fiscaliza e pode multar até 2% do faturamento, limitado a R$ 50 milhões por infração
📚 Na próxima e última aula da Unidade 2 vamos fechar o ciclo com Cidadania Digital: pegada digital, reputação online, bem-estar no ambiente digital e as habilidades essenciais para navegar com consciência no século XXI.
🎯 Exercício — Arraste e Conecte
Arraste cada descrição para o conceito da LGPD correspondente.
Descrição
A pessoa física a quem os dados pertencem e que possui direitos garantidos pela lei
Autorização livre, informada e inequívoca do usuário para um uso específico dos dados
Profissional responsável pela proteção de dados na organização e canal com a ANPD
Dado de saúde, origem racial, religião ou biometria que exige proteção reforçada
Autoridade federal que fiscaliza o cumprimento da LGPD e aplica sanções
Conceito
Titular
Consentimento
Encarregado (DPO)
Dado Sensível
ANPD
🛠️ Atividade Prática — Aplicando a LGPD no Cotidiano
⏱ ~30 min🌐 Requer internet📝 Individual
1
Analise uma política de privacidade
Acesse o site de uma empresa que você usa (Instagram, iFood, Spotify). Localize a Política de Privacidade (geralmente no rodapé do site). Responda: Quais dados são coletados? Com quem são compartilhados? Por quanto tempo ficam armazenados? Como você pode solicitar exclusão? A política está escrita de forma clara?
2
Verifique seus dados no Google
Acesse myaccount.google.com → Dados e privacidade. Explore: Quais dados o Google armazena sobre você? Há histórico de localização ativo? E histórico de atividade na web? Você pode pausar ou excluir esses dados. Anote o que encontrou e o que decidiu fazer.
3
Identifique os atores da LGPD em um cenário
Considere o seguinte cenário: o IFRN utiliza o Google Workspace (Gmail, Drive, Classroom) para gerenciar dados dos alunos. Identifique quem é o titular, o controlador, o operador e qual seria o papel da ANPD nessa relação. Justifique cada escolha.
4
Simule um pedido de acesso aos dados
Escreva, no Google Docs, um e-mail formal solicitando acesso aos seus dados a uma empresa de sua escolha, exercendo o direito previsto no Art. 18 da LGPD. O e-mail deve conter: identificação, base legal do pedido (Art. 18, III, LGPD), prazo esperado de resposta (15 dias é o recomendado) e onde enviar a resposta.
5
Explore o portal da ANPD
Acesse anpd.gov.br. Navegue pela seção Para Cidadãos. Anote: Como registrar uma reclamação? Quais canais estão disponíveis? Você encontrou alguma resolução ou orientação interessante? Compartilhe um aprendizado com a turma.
📌 Para saber: O maior vazamento de dados da história do Brasil ocorreu em janeiro de 2021: mais de 223 milhões de CPFs — incluindo de pessoas falecidas — foram expostos com nome, endereço, renda, foto e outros dados. O caso evidenciou a urgência da LGPD e levou a ANPD a iniciar investigações que ainda estão em andamento.