Conformidade LGPD no Brasil: Proteção de Dados para Operações na América Latina

A Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) do Brasil entrou em vigor em 18 de setembro de 2020, com aplicação pela Autoridade Nacional de Proteção de Dados (ANPD) a partir de agosto de 2021. O Brasil é o quinto maior país do mundo em população e a sexta maior economia, tornando a conformidade com a LGPD essencial para qualquer organização com operações, clientes ou funcionários brasileiros.

Inspirada no GDPR da UE, a LGPD introduz bases legais para processamento, direitos do titular dos dados, uma exigência de DPO, restrições de transferência transfronteiriça e multas de até 2% da receita anual brasileira limitada a R$ 50 milhões (~US$ 10 milhões de dólares) por violação. A ANPD emitiu suas primeiras multas significativas e publicou orientações específicas do setor – a aplicação não é mais teórica.

Principais conclusões

• A LGPD se aplica a qualquer organização que processe dados pessoais de pessoas físicas no Brasil, independentemente de onde a organização esteja sediada
• Existem dez bases jurídicas para o tratamento — nenhuma é um defeito; você deve documentar a base para cada atividade
• O consentimento sob a LGPD deve ser livre, informado, inequívoco e para uma finalidade específica — as caixas pré-marcadas não se qualificam
• Dados pessoais sensíveis (raça, religião, saúde, biometria, opiniões políticas, orientação sexual) requerem consentimento explícito ou exceções específicas
• A nomeação de um DPO (Encarregado) é obrigatória para a maioria dos controladores e processadores
• As transferências transfronteiriças são restritas — os mecanismos permitidos incluem decisões de adequação, cláusulas contratuais padrão e esquemas de certificação
• Multas da ANPD chegam a 2% da receita brasileira, limitadas a R$ 50 milhões por infração
• A LGPD foi atualizada pela Lei 13.853/2019, que fortaleceu a independência da ANPD e esclareceu as disposições de fiscalização

---

Escopo e Aplicação Territorial da LGPD

A LGPD se aplica a qualquer tratamento de dados pessoais que:

1. É realizado em território brasileiro
2. Tem por objetivo oferecer bens ou serviços a pessoas físicas localizadas no Brasil
3. Envolve dados pessoais coletados no Brasil

Assim como o Artigo 3 do GDPR, esse escopo extraterritorial significa que uma empresa dos EUA que administra uma loja de comércio eletrônico em língua portuguesa atendendo clientes brasileiros deve cumprir a LGPD para os dados desses clientes. Uma multinacional com funcionários brasileiros deve cumprir o processamento de dados de funcionários.

Isenções da LGPD incluem:

• Tratamento realizado exclusivamente para fins privados e não para atividade económica
• Processamento para fins jornalísticos, artísticos ou acadêmicos
• Tratamento para segurança pública, defesa nacional ou investigação criminal (abrangido por legislação específica)
• Dados originados fora do Brasil e não objeto de comunicação ou uso compartilhado com agentes brasileiros

No entanto, estas isenções são interpretadas de forma restritiva. A maior parte do processamento comercial não se qualifica.

---

Bases Legais para Tratamento de Dados Pessoais

O artigo 7º da LGPD estabelece dez bases legais para o tratamento de dados pessoais. Isso difere do GDPR (que tem seis) e reflete o contexto legislativo específico do Brasil. Cada atividade de processamento deve ser documentada em uma destas bases:

Os interesses legítimos sob a LGPD são mais restritos do que o GDPR: os controladores devem equilibrar o interesse legítimo com os direitos e liberdades fundamentais do titular dos dados. A orientação da ANPD indica que isso requer um teste documentado em três partes, semelhante ao GDPR, e que os fins comerciais por si só não se qualificam automaticamente.

Dados pessoais sensíveis (Artigo 11) incluem dados sobre origem racial ou étnica, crença religiosa, opinião política, filiação a sindicatos ou organizações religiosas, dados de saúde, vida sexual, dados genéticos ou biométricos. O processamento de dados sensíveis requer consentimento explícito ou uma das sete bases jurídicas específicas (obrigação legal, investigação, cuidados médicos, etc.). O padrão de consentimento para dados confidenciais é mais elevado: explícito, separado de outros consentimentos e específico para uma finalidade.

---

Direitos do titular dos dados sob LGPD

O artigo 18 da LGPD confere ao titular dos dados nove direitos:

Principais diferenças em relação ao GDPR:

• A LGPD inclui o direito de saber as consequências da recusa do consentimento — exigindo a divulgação pré-coleta do que acontece se um usuário recusar
• “Sem demora injustificada” é menos prescritivo do que o cronograma de 30 dias do GDPR – espera-se que os regulamentos da ANPD especifiquem prazos
• Os direitos de portabilidade estão condicionados à viabilidade técnica e à regulamentação da ANPD

Exercício de direitos: Os titulares dos dados submetem solicitações ao controlador. O controlador deverá responder no prazo de 15 dias (para solicitações de confirmação e acesso) nos termos da Resolução CD/ANPD nº 4/2023 da ANPD. Para os demais direitos, os controladores deverão responder sem demora injustificada, conforme definido pela regulamentação da ANPD.

---

Obrigações do controlador e do processador

Controlador de Dados: Determina as finalidades e meios de tratamento. Tem obrigações primárias da LGPD, incluindo documentação de base legal, avisos de privacidade, cumprimento dos direitos do titular dos dados, nomeação de DPO, relatórios da ANPD e medidas de segurança.

Processador de Dados (Operador): Processa dados em nome de um controlador sob contrato. Os processadores compartilham a responsabilidade por violações quando não seguem as instruções do controlador ou agem de forma contrária à LGPD. Os controladores devem usar apenas processadores que forneçam garantias suficientes de conformidade com a LGPD.

Requisitos de contrato do processador (Artigo 39): Os controladores e processadores devem ter um contrato escrito cobrindo:

• Instruções de tratamento de dados pessoais
• Obrigações de segurança
• Requisitos de confidencialidade
• Suporte aos direitos do titular dos dados
• Obrigações de devolução ou eliminação de dados na rescisão do contrato

Controladores conjuntos: A LGPD não aborda explicitamente acordos de controladores conjuntos (ao contrário do Artigo 26 do GDPR), mas a orientação da ANPD indica que as situações de processamento conjunto devem ser tratadas contratualmente com alocação clara de responsabilidades.

---

Encarregado de Proteção de Dados (Encarregado)

O Artigo 41 exige que os controladores e processadores nomeiem um Encarregado de Proteção de Dados (Encarregado). Ao contrário do GDPR, a LGPD não fornece limites – o requisito parece aplicar-se amplamente a controladores e processadores. A ANPD indicou que organizações menores e empresas individuais podem ter obrigações reduzidas, e a Resolução CD/ANPD nº 2/2022 da ANPD estabeleceu disposições simplificadas para pequenos processadores de dados.

Responsabilidades do DPO (Encarregado):

• Atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD
• Receber reclamações dos titulares dos dados e comunicar-se com os titulares dos dados sobre os seus direitos
• Receber comunicações da ANPD e tomar as medidas cabíveis
• Aconselhar os funcionários internos sobre práticas de proteção de dados
• Desempenhar outras atribuições definidas pelo controlador ou estabelecidas em regulamentação da ANPD

Requisito de publicação: Os Controladores devem divulgar publicamente a identidade e informações de contato do Encarregado, normalmente na política de privacidade.

Pode ser interno ou externo: Ao contrário do GDPR, a LGPD não proíbe conflitos de interesse para a função de DPO, embora as melhores práticas sugiram que o DPO deve ter independência suficiente. Os serviços externos de DPO prestados por consultores qualificados são amplamente utilizados.

---

Requisitos de segurança

O artigo 46 exige que os controladores e processadores adotem medidas de segurança, técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento indevido ou ilícito.

A Resolução CD/ANPD nº 4/2023 da ANPD e orientações associadas especificam requisitos mínimos de segurança. As principais medidas técnicas incluem:

Controles de acesso:

• Mecanismos de autenticação proporcionais à sensibilidade dos dados
• Limitação de privilégios (acesso mínimo necessário)
• Registro de atividades para acesso a dados confidenciais

Criptografia:

• Criptografia de dados pessoais confidenciais armazenados
• Criptografia para transmissão de dados pessoais
• Principais procedimentos de gerenciamento

Gerenciamento do ciclo de vida dos dados:

• Períodos de retenção documentados
• Exclusão segura ou anonimização no final do período de retenção

Medidas organizacionais:

• Treinamento LGPD para todos os colaboradores que lidam com dados pessoais
• Consideração de privacidade desde a concepção em novos sistemas
• Avaliações e auditorias regulares de segurança
• Procedimentos de resposta a incidentes

---

Notificação de violação

O Artigo 48 exige que os controladores notifiquem a ANPD e os titulares dos dados afetados sobre incidentes de segurança que possam resultar em risco ou dano relevante aos titulares dos dados. A LGPD não especifica um cronograma específico de notificação – a lei diz que a notificação deve ser feita “dentro de um período de tempo razoável”. A Resolução CD/ANPD nº 2/2023 da ANPD sobre notificação de incidentes estabelece a exigência de notificação prévia de 2 dias úteis para incidentes que afetem grande número de titulares ou envolvam dados sensíveis, com notificação detalhada em até 5 dias úteis.

Conteúdo da notificação à ANPD:

• Natureza dos dados afetados e número de titulares dos dados
• Prováveis consequências do incidente
• Medidas implementadas ou planeadas para resolver a situação
• Identificação do DPO (Encarregado)

Notificação aos titulares dos dados: Quando o incidente puder causar danos significativos aos titulares dos dados, a ANPD poderá exigir a notificação aos indivíduos afetados, incluindo a natureza do incidente e as medidas tomadas para mitigar os efeitos.

---

Transferências de dados transfronteiriças

O artigo 33 da LGPD restringe as transferências internacionais de dados pessoais. Os mecanismos permitidos incluem:

Situação atual das decisões de adequação: No início de 2026, a ANPD ainda não emitiu decisões de adequação para países específicos (incluindo a UE), embora isso esteja sendo discutido. Na prática, a maioria das organizações utiliza consentimento ou cláusulas contratuais específicas enquanto aguarda as cláusulas contratuais padrão da ANPD.

Transferências da UE: Apesar das semelhanças com o GDPR da LGPD, não há reconhecimento mútuo de adequação. As transferências UE-Brasil exigem mecanismos compatíveis com o GDPR. As transferências Brasil→UE exigem mecanismos compatíveis com a LGPD. Os fluxos de dados multinacionais exigem que ambos os quadros sejam satisfeitos.

---

Execução e Penalidades da ANPD

A ANPD (Autoridade Nacional de Proteção de Dados) tornou-se operacionalmente independente do governo federal em 2023 após alterações legislativas. Os poderes de execução incluem:

Sanções administrativas (artigo 52):

• Aviso com indicação de ação corretiva e período de tempo
• Multa simples: até 2% do faturamento da empresa no Brasil em seu último ano fiscal, limitado a R$ 50 milhões (~$ 10 milhões de dólares) por infração
• Multa diária por infrações contínuas (até R$ 50 milhões no total)
• Publicação da violação
• Bloqueio do tratamento de dados pessoais
• Eliminação de dados pessoais

Primeiras multas significativas: A ANPD impôs suas primeiras multas em 2023, visando uma operadora de telecomunicações e uma plataforma de saúde, demonstrando disposição para aplicar medidas contra grandes corporações e organizações menores. As multas até o momento variaram de R$ 14,4 mil a R$ 14,4 milhões.

Processo de investigação: A ANPD pode iniciar investigações ex officio, com base em denúncias, ou por meio de notificações obrigatórias de violação. O processo de sanção inclui notificação à organização em questão, oportunidade de apresentar defesas e penalidades graduadas baseadas na cooperação e remediação.

---

Lista de verificação de conformidade com LGPD

• Análise de aplicabilidade da LGPD concluída
• [] Mapeamento de dados/RoPA documentado para todas as atividades de processamento
• [] Base jurídica documentada para cada atividade de processamento
• Base jurídica separada documentada para dados pessoais sensíveis
• [] Mecanismos de consentimento revisados ​​— caixas pré-marcadas eliminadas, específicos para finalidade
• Política/aviso de privacidade publicado em português (para usuários brasileiros) com todas as divulgações exigidas
• DPO (Encarregado) nomeado e informações de contato publicadas
• Procedimentos de direitos do titular dos dados documentados e testados (resposta de 15 dias para acesso/confirmação)
• Contratos de processadores revisados e atualizados com disposições exigidas pela LGPD
• Mecanismos de transferência transfronteiriça avaliados para todos os fluxos internacionais de dados
• Medidas de segurança documentadas e implementadas proporcionais à sensibilidade dos dados
• [] Procedimento de resposta a incidentes e notificação de violação (preliminar de 2 dias, completo de 5 dias) documentado
• [] Cronogramas de retenção documentados e exclusão automatizada configurada
• Treinamento de funcionários sobre LGPD concluído e documentado
• [] Revisão de privacidade desde o design para novos produtos e recursos

---

Perguntas frequentes

A LGPD se aplica à minha empresa se não tivermos sede no Brasil?

Sim, se o seu processamento envolver dados coletados no Brasil, ou se você oferecer bens ou serviços a pessoas físicas no Brasil. O escopo extraterritorial da LGPD é semelhante à abordagem do GDPR. Uma empresa que opera inteiramente fora do Brasil, mas que administra um site em português atendendo clientes brasileiros, ou que emprega trabalhadores remotos brasileiros, deve cumprir a LGPD para os dados desses indivíduos.

Qual é a penalidade da LGPD em comparação com o GDPR?

A multa máxima da LGPD é de 2% da receita anual brasileira, limitada a R$ 50 milhões (~US$ 10 milhões) por violação. O máximo do GDPR é de 4% das receitas anuais globais ou 20 milhões de euros, o que for maior. Para grandes multinacionais, as multas do GDPR podem ser substancialmente mais altas do que as multas da LGPD. No entanto, o enquadramento “por violação” da LGPD – onde cada titular de dados afetado pode potencialmente ser uma violação separada – significa que a exposição agregada pode ser muito significativa para incidentes de grande escala.

O consentimento da LGPD é o mesmo que o consentimento do GDPR?

Semelhante em conceito, mas com algumas diferenças. Ambos exigem consentimento livre, informado, específico e inequívoco. O consentimento da LGPD deve ser fornecido por escrito ou por outro meio que demonstre concordância (a ANPD ainda não finalizou a orientação sobre formulários de consentimento digitais). Ao contrário do GDPR, a LGPD não possui um teste específico “dado livremente” para contextos de emprego – embora o desequilíbrio de poder das relações de trabalho seja relevante para determinar se o consentimento foi verdadeiramente livre. Para dados confidenciais, tanto a LGPD quanto o GDPR exigem um padrão de consentimento explícito e elevado.

Como a LGPD se aplica aos dados de saúde no Brasil?

Os dados de saúde são classificados como dados pessoais sensíveis pela LGPD. O tratamento requer consentimento explícito ou enquadra-se em bases legais específicas, incluindo a proteção da saúde (art. 11, II, c — realizado por profissionais ou entidades de saúde). As organizações de saúde no Brasil também devem cumprir regulamentações setoriais específicas da Agência Nacional de Vigilância Sanitária (ANVISA) e do Conselho Federal de Medicina (CFM). A LGPD e as regulamentações do setor saúde operam em paralelo.

Existem obrigações de conformidade simplificadas para pequenas empresas?

Sim. A Resolução CD/ANPD nº 2/2022 da ANPD estabeleceu obrigações simplificadas de compliance para “pequenos processadores de dados” — definidos como pessoas físicas ou jurídicas privadas com faturamento anual de até R$ 4 milhões, ou até R$ 16 milhões para algumas modalidades. As obrigações simplificadas incluem requisitos reduzidos de relatórios e requisitos flexibilizados de DPO. No entanto, as obrigações essenciais, incluindo a documentação da base jurídica, os direitos dos titulares dos dados e as medidas de segurança, permanecem aplicáveis.

---

Próximas etapas

O Brasil é um dos maiores mercados digitais da América Latina, e a conformidade com a LGPD é cada vez mais exigida por clientes empresariais brasileiros e processos de compras governamentais. Esteja você expandindo para o Brasil pela primeira vez ou corrigindo lacunas de conformidade existentes, a equipe da ECOSIRE pode ajudá-lo a navegar pelos requisitos da LGPD.

Desde o mapeamento de dados e documentação de base legal até a implementação da privacidade desde o projeto em suas plataformas tecnológicas, nossos serviços cobrem todo o ciclo de vida de conformidade.

Saiba mais: Serviços ECOSIRE

Isenção de responsabilidade: este guia é apenas para fins informativos e não constitui aconselhamento jurídico. Os requisitos da LGPD continuam a evoluir por meio das regulamentações e orientações de aplicação da ANPD. Consulte um advogado brasileiro qualificado para aconselhamento específico para sua organização.