Tecnologia

LGPD na Prática: Guia Completo de Direitos e Obrigações 2026

LGPD na prática: proteção de dados pessoais e direitos do cidadão em 2026
LGPD na Prática: Guia Completo de Direitos e Obrigações | VerticeFin
9
direitos garantidos ao titular de dados
10
bases legais para tratamento de dados
15 dias
prazo para a empresa responder ao titular
R$50M
multa máxima por infração à LGPD

Fontes: Multa máxima de R$50 milhões conforme Art. 52, inciso II da Lei 13.709/2018. Prazo de 15 dias úteis: Art. 18, §1º da LGPD. Dados de processos e fiscalização: ANPD (consultado em mar/2026).

Este guia tem dois propósitos simultâneos: ensinar o cidadão a conhecer e exigir seus direitos e orientar empresas sobre as obrigações reais da lei — sem rodeios jurídicos, com exemplos do cotidiano brasileiro.

A LGPDLei Geral de Proteção de Dados — transformou a relação entre empresas e cidadãos no Brasil. Cada vez que você preenche um cadastro, usa um aplicativo ou faz uma compra online, você gera dados pessoais com valor econômico real. A LGPD garante que você tenha controle sobre eles — e impõe obrigações sérias a quem os coleta.

A Lei nº 13.709/2018 está em plena vigência desde 2021, com sanções efetivas aplicadas pela ANPD a partir de 2023. Em 2026, a ANPD já abriu centenas de processos administrativos sancionadores e aplicou as primeiras multas na casa dos milhões, marcando a transição de um período de orientação para fiscalização efetiva. Ignorar a LGPD deixou de ser opção para qualquer negócio brasileiro.

O Que É a LGPD e Por Que Ela Existe no Brasil

“Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”
Art. 1º, Lei nº 13.709/2018 (LGPD) — Planalto.gov.br

Em linguagem direta: a LGPD determina como qualquer organização pode coletar, armazenar, usar, compartilhar ou eliminar dados de pessoas físicas no Brasil. A lei vale para empresas privadas, órgãos públicos, ONGs, profissionais liberais e até pessoas físicas que tratam dados de terceiros com finalidade econômica.

A LGPD surgiu de uma necessidade real: o Brasil não tinha regulação unificada de privacidade, criando um ambiente de uso irrestrito de dados. Com o avanço da economia digital, escândalos como o Cambridge Analytica e a aprovação do GDPR europeu em 2018, o Brasil acelerou a aprovação da sua própria legislação de proteção de dados.

Linha do Tempo da LGPD no Brasil

2018

Aprovação da LGPD — Lei 13.709/2018, sancionada em agosto, com dois anos de adaptação previstos.

2020

Vigência da LGPD e criação da ANPD como órgão regulador, vinculado à Presidência da República.

2021–22

Início das sanções administrativas. Primeiros processos abertos contra empresas de grande porte.

2023–26

Primeiras multas significativas aplicadas. Jurisprudência consolidada. Fiscalização ampliada para PMEs.

A LGPD vale para qualquer tamanho de empresa. Incluindo microempresas, profissionais autônomos (médicos, advogados, nutricionistas) e pessoas físicas que coletam dados com fins econômicos. O porte influencia apenas a proporcionalidade das sanções — as obrigações de base são as mesmas.

O Que Conta Como Dado Pessoal Segundo a LGPD

Um dos maiores equívocos é achar que a LGPD se aplica apenas a CPF, endereço e dados bancários. O escopo é muito mais amplo — e isso surpreende muitas organizações que acreditavam estar fora do alcance da lei.

Dados Pessoais Comuns
  • Nome completo e CPF
  • E-mail, telefone, endereço
  • Endereço IP e cookies
  • Localização e ID de dispositivo
  • Hábitos de navegação e compra
Dados Sensíveis — Proteção Reforçada
  • Saúde: prontuários, diagnósticos, plano
  • Biométricos: digital, face, voz
  • Convicção religiosa ou política
  • Filiação sindical ou partidária
  • Dados de crianças e adolescentes
Tipo de Dado Exemplos Proteção pela LGPD
Identificação direta Nome, CPF, RG, e-mail, telefone, endereço Básica
Identificação indireta IP, cookies, localização, ID de dispositivo Básica
Saúde e genética Prontuários, diagnósticos, plano de saúde Reforçada
Biométricos Impressão digital, reconhecimento facial, voz Reforçada
Convicções Religião, opinião política, filiação sindical Reforçada
Crianças e adolescentes Qualquer dado de menores de 18 anos Máxima — Art. 14
Dado anonimizado não é dado pessoal. Quando um dado é anonimizado de forma irreversível, ele sai do escopo da LGPD. Porém, dados pseudonimizados — que ainda podem ser reidentificados com informação adicional — continuam totalmente protegidos pela lei.

As 10 Bases Legais da LGPD Para Tratar Dados

A LGPD proíbe o tratamento de dados sem uma base legal válida. Toda empresa precisa identificar, para cada operação com dados pessoais, qual das 10 bases legais do Art. 7º justifica aquele tratamento. Usar a base errada é tão problemático quanto não ter base nenhuma.

Bases Legais da LGPD — Art. 7º (as mais utilizadas)
Consentimento Art. 7º, I
Autorização expressa, específica e inequívoca do titular. Pode ser revogado a qualquer momento. Caixas pré-marcadas não são válidas. Exemplo: Newsletter de blog. O usuário marca uma caixa explícita “Quero receber novidades por e-mail” e pode cancelar quando quiser pelo próprio e-mail.
Contrato Art. 7º, V
Dados necessários para cumprir um contrato do qual o titular é parte. Exemplo: Você compra um produto online. A loja precisa do seu endereço e CPF para emitir nota fiscal e enviar o produto — essa coleta se baseia no contrato de compra e venda.
Obrigação Legal Art. 7º, II
Quando outra lei exige o tratamento. Ex.: dados fiscais mantidos pela obrigação tributária junto à Receita Federal. Exemplo: Empresas devem manter dados de funcionários por 5 anos após demissão para cumprir obrigações trabalhistas e previdenciárias (CLT + legislação tributária).
Legítimo Interesse Art. 7º, IX
A mais flexível e a mais mal utilizada. Exige teste de balanceamento documentado: o interesse da empresa não pode sobrepor os direitos do titular. Exemplo: E-commerce previne fraude analisando padrões de compra suspeitos (interesse legítimo). Mas usar os mesmos dados para marketing sem consentimento seria uso indevido.
Proteção ao Crédito Art. 7º, X
Específica para análise e gestão de crédito. Usada por bancos, fintechs e bureaus de crédito como Serasa e SPC.
Tutela da Saúde Art. 7º, VIII
Tratamento por profissionais de saúde ou entidades sanitárias para procedimentos médicos, hospitalares ou de saúde pública.
“Legítimo interesse” não é carta branca. Esta base exige um teste de balanceamento documentado: (1) o interesse deve ser legítimo; (2) o tratamento deve ser necessário; (3) os direitos fundamentais do titular não podem ser sobrepujados. Utilizá-la sem essa análise documentada é uma das principais causas de autuações pela ANPD.

Seus 9 Direitos Garantidos pela LGPD Como Titular de Dados

O Art. 18 da LGPD lista os direitos que qualquer pessoa pode exercer em relação aos seus dados pessoais. Esses direitos não são opcionais — a empresa é obrigada a responder em até 15 dias úteis, sob pena de sanção administrativa pela ANPD.

Seus 9 Direitos — Art. 18 da LGPD
1. Confirmação e Acesso
Saber se a empresa possui seus dados e obter uma cópia completa de tudo que ela tem sobre você.
2. Correção
Corrigir dados incompletos, inexatos ou desatualizados que a empresa mantém sobre você.
3. Anonimização ou Eliminação
Solicitar que dados desnecessários, excessivos ou tratados sem base legal sejam removidos ou anonimizados.
4. Portabilidade
Transferir seus dados para outro fornecedor de serviço, conforme regulamentação da ANPD.
5. Eliminação por Consentimento
Solicitar a exclusão de dados tratados com base no seu consentimento, ressalvadas obrigações legais.
6. Info sobre Compartilhamento
Saber com quais terceiros (parceiros, fornecedores, outras empresas) a empresa compartilha seus dados.
7. Info sobre Recusa
Ser informado sobre a possibilidade de não fornecer consentimento e as consequências dessa recusa.
8. Revogação
Retirar seu consentimento a qualquer momento, de forma gratuita e facilitada, sem prejuízo para você.
9. Revisão Automatizada
Solicitar revisão humana de decisões tomadas exclusivamente por algoritmos que afetem seus interesses — crédito, emprego, saúde.
Prazo legal: 15 dias úteis. A empresa deve responder de forma clara e gratuita. Se precisar de mais tempo, deve justificar o motivo por escrito. Silêncio ou negativa injustificada pode — e deve — ser reportada à ANPD em gov.br/anpd.

Como Exigir Seus Direitos pela LGPD na Prática

Conhecer os direitos é a metade do caminho. A outra metade é saber como exercê-los — sem depender de um advogado para cada situação.

1
Localize o canal oficial de privacidade: procure “canal de privacidade”, “DPO” ou “encarregado de dados” no site da empresa. Toda organização adequada à LGPD é obrigada a ter um canal visível e acessível.
2
Faça a solicitação por escrito: envie por e-mail ou formulário oficial, identificando-se como titular e citando o Art. 18 da Lei nº 13.709/2018. Guarde sempre o protocolo de recebimento.
3
Aguarde os 15 dias úteis: esse é o prazo legal. Se a empresa pedir extensão, deve justificar por escrito — silêncio não é resposta válida.
4
Se não houver resposta: registre reclamação no site da ANPD (gov.br/anpd), no Procon do seu estado ou no consumidor.gov.br.
5
Em caso de dano: acione o Juizado Especial Cível (até 20 salários mínimos, sem advogado) ou ingresse com ação de reparação de danos morais e materiais.

Modelo de Solicitação de Acesso a Dados — Art. 18, LGPD

Assunto: Solicitação de Exercício de Direitos — Art. 18, LGPD (Lei nº 13.709/2018) Prezados, Eu, [SEU NOME COMPLETO], portador(a) do CPF nº [XXX.XXX.XXX-XX], titular dos dados pessoais tratados por V.Sas., venho solicitar, com fundamento no Art. 18 da Lei nº 13.709/2018 (LGPD): 1. Confirmação da existência de tratamento dos meus dados pessoais; 2. Cópia completa dos dados pessoais que V.Sas. possuem sobre mim; 3. Informação sobre as finalidades do tratamento; 4. Informação sobre as bases legais utilizadas (Art. 7º da LGPD); 5. Informação sobre com quais terceiros meus dados são compartilhados; 6. Informação sobre o período de retenção dos dados; 7. [OPCIONAL] Correção de dados incompletos ou inexatos; 8. [OPCIONAL] Eliminação de dados tratados com base em consentimento; 9. [OPCIONAL] Revogação do consentimento prestado. Informo que tenho ciência de que V.Sas. dispõem do prazo de 15 dias úteis para responder a esta solicitação, conforme Art. 18, §1º da LGPD. Caso necessitem de prazo adicional, solicito justificativa por escrito. Aguardo retorno no e-mail: [SEU EMAIL] [CIDADE], [DATA] [ASSINATURA]
Dica prática: salve sempre uma cópia do e-mail enviado e o número do protocolo de atendimento. Esses documentos serão a prova principal caso precise escalar a reclamação para a ANPD ou o Procon.

O Que as Empresas São Obrigadas a Fazer Pela LGPD

A LGPD não é apenas um conjunto de restrições — é um framework de governança de dados que exige mudanças estruturais em organizações de todos os tamanhos. A conformidade envolve obrigações técnicas, organizacionais e contratuais.

Obrigações Fundamentais — O Que Toda Empresa Deve Fazer
Nomear DPO
Designar um Encarregado de Proteção de Dados (interno ou externo), identificado publicamente no site. É o ponto de contato com titulares e com a ANPD.
Manter ROPA
Registro de Operações de Tratamento: documentar o quê, para quê, com qual base legal e por quanto tempo cada dado é tratado.
Política de Privacidade
Publicar um documento claro, em linguagem simples, informando exatamente o que é feito com os dados dos usuários. Sem juridiquês.
Canal de Atendimento
Manter canal visível, gratuito e funcional para responder solicitações de titulares em até 15 dias úteis.
Consentimento Válido
Obter consentimento livre, informado, inequívoco e específico para cada finalidade. Caixas pré-marcadas são inválidas.
Notificar Vazamentos
Em caso de incidente com risco relevante, notificar a ANPD e os titulares afetados em até 72 horas (Art. 48).
Contratos LGPD
Incluir cláusulas de proteção de dados em todos os contratos com fornecedores e parceiros que processam dados em nome da empresa.
Segurança Técnica
Implementar criptografia, controles de acesso, gestão de senhas, backups seguros e plano de resposta a incidentes documentado.
Por onde começar se você estiver do zero: Priorize nesta ordem — (1) nomear um DPO, ainda que externo; (2) mapear os dados que você trata; (3) publicar ou atualizar a política de privacidade; (4) criar um canal de atendimento a titulares. Esses quatro pontos cobrem os riscos mais imediatos de autuação pela ANPD.

Sanções e Multas da LGPD: O Que a ANPD Pode Fazer

A pergunta que toda empresa faz é: qual é o risco real de ser autuado? A resposta mudou significativamente entre 2021 e 2026. A ANPD deixou de ser apenas orientativa e passou a aplicar sanções de forma concreta.

Sanção (Art. 52) Detalhe Gravidade
Advertência Com prazo para medidas corretivas. Primeira sanção para infrações menos graves. Leve
Multa simples Até 2% do faturamento bruto, limitado a R$ 50 milhões por infração. Alta
Multa diária Para infrações continuadas. Mesmo teto de R$ 50 milhões. Alta
Publicização da infração Divulgação pública da empresa autuada. Dano reputacional maior que a multa. Alta
Bloqueio dos dados Suspensão do tratamento até regularização junto à ANPD. Alta
Suspensão parcial do banco de dados Por até 6 meses, prorrogável. Alta
Proibição total da atividade Interdição completa das operações com dados. A sanção mais grave. Máxima
Tendências de fiscalização (2023–2026): A ANPD intensificou a fiscalização em setores que tratam dados sensíveis, especialmente saúde e finanças. As principais infrações autuadas incluem: ausência de DPO publicamente identificado, falha no atendimento a solicitações de titulares dentro do prazo, uso indevido de “legítimo interesse” sem documentação do teste de balanceamento e falta de notificação de incidentes de segurança conforme Art. 48. Acompanhe os processos e decisões publicadas em gov.br/anpd.

Checklist de Adequação LGPD Para Empresas

Cada item sem marcação representa um risco real de autuação pela ANPD. Use para avaliar sua situação atual.

Prioridades para quem está começando do zero

Se você precisa escolher por onde começar, esta é a ordem com base no risco de autuação pela ANPD:

1º — Imediato Nomear DPO + Publicar canal de atendimento a titulares
2º — 30 dias Mapear dados tratados (ROPA básico) + Publicar Política de Privacidade
3º — 60 dias Revisar formulários de consentimento + Incluir cláusulas LGPD em contratos
4º — 90 dias Implementar medidas de segurança técnica + Treinar equipe

Governança e documentação

  • DPO nomeado e identificado publicamente no site
  • Registro de Operações de Tratamento (ROPA) atualizado
  • Política de privacidade publicada em linguagem acessível
  • Canal de atendimento a titulares ativo e monitorado
  • Cláusulas LGPD nos contratos com fornecedores e parceiros

Coleta e consentimento

  • Base legal identificada e documentada para cada tipo de tratamento
  • Formulários de consentimento com linguagem clara e sem caixas pré-marcadas
  • Mecanismo funcional para revogação do consentimento
  • Dados de menores de 18 anos tratados apenas com consentimento do responsável (Art. 14)

Segurança e resposta a incidentes

  • Medidas técnicas de segurança implementadas (criptografia, controles de acesso)
  • Plano de resposta a incidentes documentado e testado
  • Processo de notificação de vazamentos à ANPD em até 72 horas (Art. 48)
  • Política de retenção e descarte de dados com tabela de temporalidade
  • Treinamento da equipe sobre LGPD realizado e registrado

LGPD em 2026: A Lei de Quem Sabe Usá-la

A LGPD existe há mais de 6 anos no ordenamento jurídico brasileiro, mas ainda é tratada como novidade — tanto pelos cidadãos que não conhecem seus direitos quanto pelas empresas que apostam em “ninguém vai fiscalizar”.

A realidade de 2026 é outra. A ANPD está atuante, as primeiras multas foram aplicadas e a jurisprudência está se consolidando. Quem se adequou tem vantagem competitiva e reputacional. Quem ignorou corre riscos reais e crescentes.

Próximos Passos Imediatos

  • Cidadão: identifique quais empresas têm seus dados e exercite ao menos um direito do Art. 18 esta semana
  • Cidadão: verifique se seus dados aparecem em vazamentos em haveibeenpwned.com
  • Empresa: nomeie um DPO e publique o canal de atendimento a titulares
  • Empresa: revise contratos com fornecedores e inclua cláusulas LGPD onde estiver faltando
  • Ambos: acompanhe as resoluções da ANPD em gov.br/anpd

Leia também na VerticeFin:
Open Finance e LGPD: Como Proteger Seus Dados · Nossa Política de Privacidade · Segurança Digital em Finanças

Verificar existência dos links internos antes de publicar.

Seus dados têm valor. A LGPD garante que você decide o que fazer com eles.

Compartilhe este guia com quem precisa conhecer seus direitos — ou com o responsável pela área de dados da sua empresa.

Reler do início Acessar site da ANPD

Perguntas Frequentes sobre a LGPD

O que é a LGPD em resumo?

A LGPD (Lei Geral de Proteção de Dados — Lei nº 13.709/2018) é a legislação brasileira que regula o tratamento de dados pessoais por empresas e órgãos públicos. Ela garante direitos aos titulares dos dados e impõe obrigações a quem os coleta e processa, com sanções aplicadas pela ANPD.

A LGPD se aplica a pequenas empresas e autônomos?

Sim. A LGPD se aplica a qualquer empresa ou pessoa física que trate dados pessoais com finalidade econômica, independentemente do porte. A lei prevê proporcionalidade nas sanções para microempresas e pequenos negócios, mas as obrigações de base são as mesmas para todos.

Qual é a multa máxima prevista na LGPD?

A LGPD prevê multa de até 2% do faturamento bruto do último exercício, limitada a R$ 50 milhões por infração. Além da multa financeira, a lei permite a publicização da infração, o bloqueio dos dados e até a proibição total da atividade de tratamento.

Quem fiscaliza o cumprimento da LGPD no Brasil?

A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão responsável por fiscalizar a LGPD no Brasil. A ANPD investiga violações, aplica sanções, edita regulamentos e orienta empresas e cidadãos. Reclamações podem ser feitas em gov.br/anpd.

Como posso exercer meus direitos pela LGPD?

Localize o canal de privacidade ou DPO da empresa, envie uma solicitação escrita citando o Art. 18 da Lei nº 13.709/2018 e aguarde resposta em até 15 dias úteis. Se não houver resposta, registre reclamação na ANPD pelo site gov.br/anpd. Em caso de dano, o Juizado Especial Cível aceita casos até 20 salários mínimos sem necessidade de advogado.

O que é um DPO e toda empresa precisa ter?

DPO (Data Protection Officer) ou Encarregado de Proteção de Dados é o responsável por atuar como canal de comunicação entre a empresa, os titulares de dados e a ANPD. Toda empresa que trata dados pessoais deve nomear um DPO, que pode ser interno ou terceirizado, e deve estar identificado publicamente no site.

A LGPD se aplica a dados de clientes estrangeiros?

Sim, se o tratamento ocorre no Brasil ou se a oferta de produtos/serviços é direcionada a pessoas no território brasileiro. A LGPD tem aplicação extraterritorial em determinados casos, similar ao GDPR europeu.

Posso transferir dados para fora do Brasil?

Sim, desde que o país de destino tenha grau de proteção de dados adequado ou que sejam atendidas outras condições previstas no Art. 33 da LGPD, como cláusulas contratuais específicas, certificações ou autorização da ANPD.

Fontes e referências oficiais

Aviso legal: Este artigo tem caráter exclusivamente educacional e informativo. Não constitui assessoria ou consultoria jurídica. Para análise específica do enquadramento da sua empresa na LGPD, consulte um advogado especializado em direito digital e proteção de dados.

Última atualização: 17 de abril de 2026. Informações baseadas na legislação vigente e regulamentos da ANPD. Consulte sempre os canais oficiais para atualizações regulatórias.

Posts Relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *