Início/ Tecnologia & Direito Digital/ LGPD na Prática: Guia Completo de Direitos e Obrigações 2026
💻 Tecnologia & Direito Digital

LGPD na Prática: Guia Completo de Direitos e Obrigações 2026

C
Carolina Machado 📅 26 de março de 2026 ⏱ 15 min de leitura
LGPD na prática: proteção de dados pessoais e direitos do cidadão em 2026

A LGPDLei Geral de Proteção de Dados — transformou a relação entre empresas e cidadãos no Brasil. Cada vez que você preenche um cadastro, usa um aplicativo ou faz uma compra online, você gera dados pessoais com valor econômico real. A LGPD garante que você tenha controle sobre eles — e impõe obrigações sérias a quem os coleta.

A Lei nº 13.709/2018 está em plena vigência desde 2021, com sanções efetivas aplicadas pela ANPD a partir de 2023. Em 2026, já são centenas de processos administrativos abertos e as primeiras multas milionárias consolidadas. Ignorar a LGPD deixou de ser opção para qualquer negócio brasileiro.

9
direitos garantidos ao titular de dados
10
bases legais para tratamento de dados
15 dias
prazo para a empresa responder ao titular
R$50M
multa máxima por infração à LGPD
Este guia tem dois propósitos simultâneos: ensinar o cidadão a conhecer e exigir seus direitos e orientar empresas sobre as obrigações reais da lei — sem rodeios jurídicos, com exemplos do cotidiano brasileiro.

📋 Neste artigo você vai encontrar

  1. O que é a LGPD e por que ela existe
  2. O que conta como dado pessoal
  3. As 10 bases legais para tratar dados
  4. Seus 9 direitos como titular de dados
  5. Como exigir seus direitos na prática
  6. O que as empresas são obrigadas a fazer
  7. Sanções, multas e casos reais da ANPD
  8. Checklist de adequação para empresas

O Que É a LGPD e Por Que Ela Existe no Brasil

“Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”

Art. 1º, Lei nº 13.709/2018 (LGPD) — Planalto.gov.br

Em linguagem direta: a LGPD determina como qualquer organização pode coletar, armazenar, usar, compartilhar ou eliminar dados de pessoas físicas no Brasil. A lei vale para empresas privadas, órgãos públicos, ONGs, profissionais liberais e até pessoas físicas que tratam dados de terceiros com finalidade econômica.

A LGPD surgiu de uma necessidade real: o Brasil não tinha regulação unificada de privacidade, criando um ambiente de uso irrestrito de dados. Com o avanço da economia digital, escândalos como o Cambridge Analytica e a aprovação do GDPR europeu em 2018, o Brasil acelerou a aprovação da sua própria legislação de proteção de dados.

Linha do tempo da LGPD no Brasil

  • 2018 Aprovação da LGPD — Lei 13.709/2018, sancionada em agosto, com dois anos de adaptação previstos.
  • 2020 Vigência da LGPD e criação da ANPD como órgão regulador, vinculado à Presidência da República.
  • 2021–22 Início das sanções administrativas. Primeiros processos abertos contra empresas de grande porte.
  • 2023–26 Primeiras multas significativas aplicadas. Jurisprudência consolidada. Fiscalização ampliada para PMEs.
⚠️ A LGPD vale para qualquer tamanho de empresa. Incluindo microempresas, profissionais autônomos (médicos, advogados, nutricionistas) e pessoas físicas que coletam dados com fins econômicos. O porte influencia apenas a proporcionalidade das sanções — as obrigações de base são as mesmas.

O Que Conta Como Dado Pessoal Segundo a LGPD

Um dos maiores equívocos é achar que a LGPD se aplica apenas a CPF, endereço e dados bancários. O escopo é muito mais amplo — e isso surpreende muitas organizações que acreditavam estar fora do alcance da lei.

Dados Pessoais Comuns
  • Nome completo e CPF
  • E-mail, telefone, endereço
  • Endereço IP e cookies
  • Localização e ID de dispositivo
  • Hábitos de navegação e compra
Dados Sensíveis — Proteção Reforçada
  • Saúde: prontuários, diagnósticos, plano
  • Biométricos: digital, face, voz
  • Convicção religiosa ou política
  • Filiação sindical ou partidária
  • Dados de crianças e adolescentes
Tipo de DadoExemplosProteção pela LGPD
Identificação diretaNome, CPF, RG, e-mail, telefone, endereçoBásica
Identificação indiretaIP, cookies, localização, ID de dispositivoBásica
Saúde e genéticaProntuários, diagnósticos, plano de saúdeReforçada
BiométricosImpressão digital, reconhecimento facial, vozReforçada
ConvicçõesReligião, opinião política, filiação sindicalReforçada
Crianças e adolescentesQualquer dado de menores de 18 anosMáxima — Art. 14
💡 Dado anonimizado ≠ dado pessoal. Quando um dado é anonimizado de forma irreversível, ele sai do escopo da LGPD. Porém, dados pseudonimizados — que ainda podem ser reidentificados com informação adicional — continuam totalmente protegidos pela lei.

As 10 Bases Legais da LGPD Para Tratar Dados

A LGPD proíbe o tratamento de dados sem uma base legal válida. Toda empresa precisa identificar, para cada operação com dados pessoais, qual das 10 bases legais do Art. 7º justifica aquele tratamento. Usar a base errada é tão problemático quanto não ter base nenhuma.

Bases Legais da LGPD — Art. 7º (as mais utilizadas)
Consentimento
Art. 7º, I
Autorização expressa, específica e inequívoca do titular. Pode ser revogado a qualquer momento. Caixas pré-marcadas não são válidas.
Contrato
Art. 7º, V
Dados necessários para cumprir um contrato do qual o titular é parte. Ex.: e-commerce que precisa do endereço para entrega.
Obrigação Legal
Art. 7º, II
Quando outra lei exige o tratamento. Ex.: dados fiscais mantidos pela obrigação tributária junto à Receita Federal.
Legítimo Interesse
Art. 7º, IX
A mais flexível e a mais mal utilizada. Exige teste de balanceamento documentado: o interesse da empresa não pode sobrepor os direitos do titular.
Proteção ao Crédito
Art. 7º, X
Específica para análise e gestão de crédito. Usada por bancos, fintechs e bureaus de crédito como Serasa e SPC.
Tutela da Saúde
Art. 7º, VIII
Tratamento por profissionais de saúde ou entidades sanitárias para procedimentos médicos, hospitalares ou de saúde pública.
🚨 “Legítimo interesse” não é carta branca. Esta base exige um teste de balanceamento documentado: (1) o interesse deve ser legítimo; (2) o tratamento deve ser necessário; (3) os direitos fundamentais do titular não podem ser sobrepujados. Utilizá-la sem essa análise documentada é uma das principais causas de autuações pela ANPD.

Seus 9 Direitos Garantidos pela LGPD Como Titular de Dados

O Art. 18 da LGPD lista os direitos que qualquer pessoa pode exercer em relação aos seus dados pessoais. Esses direitos não são opcionais — a empresa é obrigada a responder em até 15 dias úteis, sob pena de sanção administrativa pela ANPD.

Seus 9 Direitos — Art. 18 da LGPD
1. Confirmação e Acesso
Saber se a empresa possui seus dados e obter uma cópia completa de tudo que ela tem sobre você.
2. Correção
Corrigir dados incompletos, inexatos ou desatualizados que a empresa mantém sobre você.
3. Anonimização ou Eliminação
Solicitar que dados desnecessários, excessivos ou tratados sem base legal sejam removidos ou anonimizados.
4. Portabilidade
Transferir seus dados para outro fornecedor de serviço, conforme regulamentação da ANPD.
5. Eliminação por Consentimento
Solicitar a exclusão de dados tratados com base no seu consentimento, ressalvadas obrigações legais.
6. Info sobre Compartilhamento
Saber com quais terceiros (parceiros, fornecedores, outras empresas) a empresa compartilha seus dados.
7. Info sobre Recusa
Ser informado sobre a possibilidade de não fornecer consentimento e as consequências dessa recusa.
8. Revogação
Retirar seu consentimento a qualquer momento, de forma gratuita e facilitada, sem prejuízo para você.
9. Revisão Automatizada
Solicitar revisão humana de decisões tomadas exclusivamente por algoritmos que afetem seus interesses — crédito, emprego, saúde.
✅ Prazo legal: 15 dias úteis. A empresa deve responder de forma clara e gratuita. Se precisar de mais tempo, deve justificar o motivo por escrito. Silêncio ou negativa injustificada pode — e deve — ser reportada à ANPD em gov.br/anpd.

Como Exigir Seus Direitos pela LGPD na Prática

Conhecer os direitos é a metade do caminho. A outra metade é saber como exercê-los — sem depender de um advogado para cada situação.

  1. Localize o canal oficial de privacidade: procure “canal de privacidade”, “DPO” ou “encarregado de dados” no site da empresa. Toda organização adequada à LGPD é obrigada a ter um canal visível e acessível.
  2. Faça a solicitação por escrito: envie por e-mail ou formulário oficial, identificando-se como titular e citando o Art. 18 da Lei nº 13.709/2018. Guarde sempre o protocolo de recebimento.
  3. Aguarde os 15 dias úteis: esse é o prazo legal. Se a empresa pedir extensão, deve justificar por escrito — silêncio não é resposta válida.
  4. Se não houver resposta: registre reclamação no site da ANPD (gov.br/anpd), no Procon do seu estado ou no consumidor.gov.br.
  5. Em caso de dano: acione o Juizado Especial Cível (até 20 salários mínimos, sem advogado) ou ingresse com ação de reparação de danos morais e materiais.

Modelo de Solicitação de Acesso a Dados — Art. 18, LGPD

Assunto: Solicitação de Acesso a Dados Pessoais — Art. 18, LGPD (Lei nº 13.709/2018)Prezados,Eu, [SEU NOME COMPLETO], portador(a) do CPF nº [XXX.XXX.XXX-XX], titular dos dados pessoais tratados por V.Sas., venho solicitar, com fundamento no Art. 18 da Lei nº 13.709/2018 (LGPD):1. Confirmação da existência de tratamento dos meus dados pessoais; 2. Cópia completa dos dados pessoais que V.Sas. possuem sobre mim; 3. Informação sobre as finalidades do tratamento e bases legais utilizadas; 4. Informação sobre com quais terceiros meus dados são compartilhados.Aguardo resposta no prazo legal de 15 dias úteis.[CIDADE], [DATA] [ASSINATURA]
Dica prática: salve sempre uma cópia do e-mail enviado e o número do protocolo de atendimento. Esses documentos serão a prova principal caso precise escalar a reclamação para a ANPD ou o Procon.

O Que as Empresas São Obrigadas a Fazer Pela LGPD

A LGPD não é apenas um conjunto de restrições — é um framework de governança de dados que exige mudanças estruturais em organizações de todos os tamanhos. A conformidade envolve obrigações técnicas, organizacionais e contratuais.

Obrigações Fundamentais — O Que Toda Empresa Deve Fazer
Nomear DPO
Designar um Encarregado de Proteção de Dados (interno ou externo), identificado publicamente no site. É o ponto de contato com titulares e com a ANPD.
Manter ROPA
Registro de Operações de Tratamento: documentar o quê, para quê, com qual base legal e por quanto tempo cada dado é tratado.
Política de Privacidade
Publicar um documento claro, em linguagem simples, informando exatamente o que é feito com os dados dos usuários. Sem juridiquês.
Canal de Atendimento
Manter canal visível, gratuito e funcional para responder solicitações de titulares em até 15 dias úteis.
Consentimento Válido
Obter consentimento livre, informado, inequívoco e específico para cada finalidade. Caixas pré-marcadas são inválidas.
Notificar Vazamentos
Em caso de incidente com risco relevante, notificar a ANPD e os titulares afetados em até 72 horas (Art. 48).
Contratos LGPD
Incluir cláusulas de proteção de dados em todos os contratos com fornecedores e parceiros que processam dados em nome da empresa.
Segurança Técnica
Implementar criptografia, controles de acesso, gestão de senhas, backups seguros e plano de resposta a incidentes documentado.
📌 Por onde começar se você estiver do zero: Priorize nesta ordem — (1) nomear um DPO, ainda que externo; (2) mapear os dados que você trata; (3) publicar ou atualizar a política de privacidade; (4) criar um canal de atendimento a titulares. Esses quatro pontos cobrem os riscos mais imediatos de autuação pela ANPD.

Sanções e Multas da LGPD: O Que a ANPD Pode Fazer

A pergunta que toda empresa faz é: “Qual é o risco real de ser autuado?”. A resposta mudou significativamente entre 2021 e 2026. A ANPD deixou de ser apenas orientativa e passou a aplicar sanções de forma concreta.

Sanção (Art. 52)DetalheGravidade
AdvertênciaCom prazo para medidas corretivas. Primeira sanção para infrações menos graves.Leve
Multa simplesAté 2% do faturamento bruto, limitado a R$ 50 milhões por infração.Alta
Multa diáriaPara infrações continuadas. Mesmo teto de R$ 50 milhões.Alta
Publicização da infraçãoDivulgação pública da empresa autuada. Dano reputacional maior que a multa.Alta
Bloqueio dos dadosSuspensão do tratamento até regularização junto à ANPD.Alta
Suspensão parcial do banco de dadosPor até 6 meses, prorrogável.Alta
Proibição total da atividadeInterdição completa das operações com dados. A sanção mais grave.Máxima
🔴 Casos reais (2023–2026): A ANPD autuou empresas dos setores de saúde, financeiro e varejo por falhas no atendimento a titulares, ausência de DPO, consentimento inválido e falta de medidas de segurança. O primeiro caso de multa milionária envolveu empresa de grande porte do setor de saúde que não notificou um vazamento em tempo hábil — violação direta do Art. 48 da LGPD.

Checklist de Adequação LGPD Para Empresas

Cada item sem “✅” representa um risco real de autuação pela ANPD. Use para avaliar sua situação atual.

Governança e documentação

  • ☐ DPO nomeado e identificado publicamente no site
  • ☐ Registro de Operações de Tratamento (ROPA) atualizado
  • ☐ Política de privacidade publicada em linguagem acessível
  • ☐ Canal de atendimento a titulares ativo e monitorado
  • ☐ Cláusulas LGPD nos contratos com fornecedores e parceiros

Coleta e consentimento

  • ☐ Base legal identificada e documentada para cada tipo de tratamento
  • ☐ Formulários de consentimento com linguagem clara e sem caixas pré-marcadas
  • ☐ Mecanismo funcional para revogação do consentimento
  • ☐ Dados de menores de 18 anos tratados apenas com consentimento do responsável (Art. 14)

Segurança e resposta a incidentes

  • ☐ Medidas técnicas de segurança implementadas (criptografia, controles de acesso)
  • ☐ Plano de resposta a incidentes documentado e testado
  • ☐ Processo de notificação de vazamentos à ANPD em até 72 horas (Art. 48)
  • ☐ Política de retenção e descarte de dados com tabela de temporalidade
  • ☐ Treinamento da equipe sobre LGPD realizado e registrado

LGPD em 2026: A Lei de Quem Sabe Usá-la

A LGPD existe há mais de 6 anos no ordenamento jurídico brasileiro, mas ainda é tratada como novidade — tanto pelos cidadãos que não conhecem seus direitos quanto pelas empresas que apostam em “ninguém vai fiscalizar”.

A realidade de 2026 é outra. A ANPD está atuante, as primeiras multas foram aplicadas e a jurisprudência está se consolidando. Quem se adequou tem vantagem competitiva e reputacional. Quem ignorou corre riscos reais e crescentes.

Próximos passos imediatos:

  • Cidadão: identifique quais empresas têm seus dados e exercite ao menos um direito do Art. 18 esta semana
  • Cidadão: verifique se seus dados aparecem em vazamentos em haveibeenpwned.com
  • Empresa: nomeie um DPO e publique o canal de atendimento a titulares
  • Empresa: revise contratos com fornecedores e inclua cláusulas LGPD onde estiver faltando
  • Ambos: acompanhe as resoluções da ANPD em gov.br/anpd

Seus dados têm valor. A LGPD garante que você decide o que fazer com eles.

Compartilhe este guia com quem precisa conhecer seus direitos — ou com o responsável pela área de dados da sua empresa.

↑ Reler do início

Perguntas Frequentes sobre a LGPD

O que é a LGPD em resumo?

A LGPD (Lei Geral de Proteção de Dados — Lei nº 13.709/2018) é a legislação brasileira que regula o tratamento de dados pessoais por empresas e órgãos públicos. Ela garante direitos aos titulares dos dados e impõe obrigações a quem os coleta e processa, com sanções aplicadas pela ANPD.

A LGPD se aplica a pequenas empresas e autônomos?

Sim. A LGPD se aplica a qualquer empresa ou pessoa física que trate dados pessoais com finalidade econômica, independentemente do porte. A lei prevê proporcionalidade nas sanções para microempresas e pequenos negócios, mas as obrigações de base são as mesmas para todos.

Qual é a multa máxima prevista na LGPD?

A LGPD prevê multa de até 2% do faturamento bruto do último exercício, limitada a R$ 50 milhões por infração. Além da multa financeira, a lei permite a publicização da infração, o bloqueio dos dados e até a proibição total da atividade de tratamento.

Quem fiscaliza o cumprimento da LGPD no Brasil?

A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão responsável por fiscalizar a LGPD no Brasil. A ANPD investiga violações, aplica sanções, edita regulamentos e orienta empresas e cidadãos. Reclamações podem ser feitas em gov.br/anpd.

Como posso exercer meus direitos pela LGPD?

Localize o canal de privacidade ou DPO da empresa, envie uma solicitação escrita citando o Art. 18 da Lei nº 13.709/2018 e aguarde resposta em até 15 dias úteis. Se não houver resposta, registre reclamação na ANPD pelo site gov.br/anpd. Em caso de dano, o Juizado Especial Cível aceita casos até 20 salários mínimos sem necessidade de advogado.

Aviso legal: Este artigo tem caráter exclusivamente educacional e informativo. Não constitui assessoria ou consultoria jurídica. Para análise específica do enquadramento da sua empresa na LGPD, consulte um advogado especializado em direito digital e proteção de dados.

adequação LGPDANPDconformidade empresarialdireito digitaldireitos do consumidorDPOGDPRLGPDprivacidade digitalproteção de dadostitular de dadosvazamento de dados
💬 Comentários (0)

💬 Deixe seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

📩 Receba mais análises

Toda sexta-feira, os melhores artigos na sua caixa de entrada.