O que e a LGPD e como funciona a Lei Geral de Protecao de Dados

A LGPD, ou Lei Geral de Proteção de Dados Pessoais, é a Lei número 13.709, de 14 de agosto de 2018, que regula como dados pessoais podem ser tratados no Brasil, por empresas e também por órgãos públicos. Este guia explica o que é a LGPD, o que são dados pessoais e sensíveis, como a lei funciona na prática, quem são controlador, operador e encarregado, quais direitos o titular tem no art. 18, quais sanções a ANPD pode aplicar e como a norma se aplica à administração pública.

A LGPD, ou Lei Geral de Proteção de Dados Pessoais, é a Lei número 13.709, de 14 de agosto de 2018, que define como dados pessoais podem ser tratados no Brasil, por pessoas físicas e por pessoas jurídicas de direito público ou privado. Em uma frase, a LGPD estabelece quem pode coletar dados de uma pessoa, com qual finalidade, sob qual fundamento jurídico, por quanto tempo e com quais cuidados de segurança, ao mesmo tempo em que cria direitos para o cidadão dono dessas informações. Neste guia, você vai entender o que é a LGPD, por que ela existe, quais são os principais conceitos e papéis previstos na norma e o que muda na rotina de quem trabalha com informações de cidadãos, especialmente no setor público.

O que é a LGPD em poucas palavras

A LGPD é a Lei 13.709, de 14 de agosto de 2018, e seu nome completo é Lei Geral de Proteção de Dados Pessoais. A norma regula o tratamento de dados pessoais no Brasil e tem como finalidade declarada proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. A LGPD vale para pessoa física e para pessoa jurídica de direito público ou privado, e abrange dados em meio físico e digital. Em termos práticos, a Lei Geral de Proteção de Dados organiza, de forma horizontal, como informações capazes de identificar uma pessoa podem ser coletadas e usadas, atribuindo direitos a quem é dono dos dados e deveres a quem os utiliza.

Um ponto importante de partida: a LGPD não proíbe o uso de dados pessoais. Ela condiciona esse uso a regras claras de finalidade, fundamento jurídico, transparência e segurança. A norma também não se restringe ao ambiente digital. Embora a maior parte do debate público associe a lei a sites, aplicativos e bancos de dados informatizados, o texto alcança dados em meio físico. Uma ficha de papel arquivada em um armário, um prontuário impresso ou uma planilha manual também estão sujeitos à norma.

Lei 13.709/2018 e seu contexto

Antes da LGPD, o Brasil tratava a proteção de dados de maneira fragmentada, com regras espalhadas em diferentes normas setoriais e sem um marco único e horizontal que valesse para todos os setores ao mesmo tempo. A Lei 13.709/2018 muda esse cenário ao estabelecer um regime geral, aplicável de forma transversal a qualquer atividade que envolva dados pessoais, do comércio eletrônico ao atendimento em um balcão de prefeitura. Essa característica horizontal é o que torna a LGPD relevante para praticamente toda organização e para todo profissional que, em algum momento, coleta, guarda ou usa informações de pessoas.

O que a LGPD protege e por que existe

A finalidade declarada da LGPD é proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo. A entidade central da norma é o conceito de dado pessoal, ou seja, qualquer informação que permita identificar, de forma direta ou indireta, uma pessoa natural. Em torno desse conceito, a LGPD cria um sistema de regras, papéis e responsabilidades que vale para empresas privadas, mas também, e este é o ponto sensível para o servidor público, para órgãos e entidades da administração pública. Para o servidor, isso significa que praticamente todas as rotinas que envolvem cidadãos, de cadastros a processos administrativos, passam a ter uma camada jurídica adicional de cuidado.

O que são dados pessoais e dados sensíveis

Compreender a diferença entre dado pessoal e dado pessoal sensível é essencial para aplicar a LGPD corretamente. São duas categorias distintas, com níveis de proteção diferentes, e confundi-las leva a erros comuns no dia a dia das instituições.

Exemplos de dados pessoais

Dado pessoal, na LGPD, é qualquer informação que permita identificar, de forma direta ou indireta, uma pessoa natural. A própria lei traz exemplos como nome e sobrenome, data e local de nascimento, RG, CPF, fotografia, endereço residencial e endereço de e-mail. A noção de identificação indireta merece atenção: mesmo dados que, isoladamente, parecem inofensivos podem, combinados, levar à identificação de alguém. Por isso, a proteção da LGPD não depende de o dado ser obviamente sigiloso, mas da sua capacidade de apontar para uma pessoa específica.

Por que os dados sensíveis têm proteção reforçada

Os dados pessoais sensíveis formam uma categoria com proteção reforçada, porque seu uso indevido pode gerar discriminação ou danos mais graves. São considerados sensíveis os dados que revelam origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, além de dados referentes à saúde, à vida sexual, dados genéticos e biométricos. Por causa desse risco maior, o tratamento de dados sensíveis segue regras mais rigorosas, descritas no art. 11, e nem sempre pode se apoiar nas mesmas justificativas dos dados comuns. Em regra, o tratamento de dado sensível exige consentimento específico e destacado, para finalidades determinadas, mas a lei admite exceções sem consentimento, como o cumprimento de obrigação legal ou regulatória, o tratamento compartilhado necessário à execução de políticas públicas, estudos por órgãos de pesquisa e o exercício regular de direitos em processo.

Como funciona a LGPD passo a passo

Entendidos os conceitos, vale ver como a LGPD opera na prática. Três elementos sustentam a lógica da norma: o conceito de tratamento, a exigência de uma base legal e a correta compreensão do papel do consentimento.

O que é tratamento de dados

O coração operacional da LGPD é o conceito de tratamento. Tratar dados significa realizar qualquer operação com eles, e a lei descreve um amplo conjunto: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência e extração, entre outras. Em linguagem prática, desde o momento em que um dado é capturado até o momento em que é descartado, todas as etapas são tratamento e estão sob a lógica da lei.

As bases legais do art. 7

O segundo pilar é a base legal. Nenhum tratamento de dados pessoais pode ocorrer sem que se apoie em uma das hipóteses autorizadoras previstas no art. 7, que enumera dez possibilidades. Entre elas estão:

• o consentimento do titular;
• o cumprimento de obrigação legal ou regulatória pelo controlador;
• a execução de políticas públicas pela administração pública;
• a realização de estudos por órgãos de pesquisa;
• a execução de contrato ou de procedimentos preliminares a um contrato;
• o exercício regular de direitos em processo;
• a proteção da vida ou da incolumidade física;
• a tutela da saúde;
• o atendimento ao legítimo interesse do controlador;
• a proteção do crédito.

Escolher a base legal correta antes de iniciar qualquer tratamento é o passo que diferencia uma operação regular de uma irregular. Sem base legal, o tratamento de dados pessoais é considerado irregular, com risco de sanção.

O mito do consentimento para tudo

Aqui mora um dos pontos mais incompreendidos do tema. Muita gente acredita que a LGPD exige consentimento para tudo. Não é o caso. O consentimento é apenas uma das dez bases legais previstas no art. 7, e em muitos contextos, especialmente no setor público, ele nem é a base mais adequada. Quando um órgão trata dados para cumprir uma obrigação legal ou para executar uma política pública, a base costuma ser outra, e não faria sentido pedir autorização para algo que a própria lei determina. Apresentar o consentimento como uma entre várias bases, e não como exigência universal, é um dos serviços mais úteis que a compreensão correta da LGPD oferece.

Quem é quem na LGPD

A LGPD distribui responsabilidades entre papéis bem definidos. Saber quem ocupa cada função é essencial para entender quem responde pelo que diante da lei e da ANPD.

Controlador, operador e encarregado

O controlador é a pessoa, pública ou privada, a quem competem as decisões sobre o tratamento dos dados: define finalidades e meios. O operador é a pessoa, pública ou privada, que realiza o tratamento em nome do controlador, executando o que foi decidido. O encarregado, também conhecido pela sigla DPO, é a pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. No contexto público, o órgão costuma figurar como controlador das informações que coleta dos cidadãos, enquanto empresas contratadas para prestar serviços de tecnologia podem atuar como operadores.

Papel	Função
Controlador	Toma as decisões sobre o tratamento: define finalidades e meios e responde por elas.
Operador	Realiza o tratamento em nome do controlador, seguindo as instruções recebidas.
Encarregado (DPO)	Atua como canal entre a instituição, os titulares e a ANPD.

Responsabilidade do servidor e do órgão

No setor público, a responsabilidade não é abstrata. O órgão, como controlador, responde pela forma como trata os dados dos cidadãos, e o servidor que manipula essas informações precisa observar finalidade, base legal e segurança em cada rotina. A ausência de indicação de encarregado, quando exigida, já foi apontada pela própria ANPD como falha em processo de fiscalização. O servidor que entende a LGPD trabalha com mais segurança jurídica, reduz riscos para o órgão e contribui para uma administração pública mais confiável.

Os direitos de quem tem os dados protegidos

A proteção da LGPD não fica no plano teórico. Ela se traduz em direitos concretos do titular, que podem ser exercidos a qualquer momento e mediante requisição a quem trata seus dados.

Os direitos do titular no art. 18

O art. 18 lista os direitos do titular dos dados. Entre eles estão:

• confirmação da existência de tratamento;
• acesso aos dados;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
• portabilidade dos dados a outro fornecedor de serviço ou produto;
• eliminação dos dados tratados com base no consentimento.

Para o cidadão, esses direitos significam controle real sobre suas informações. Para a instituição, significam a obrigação de ter processos capazes de responder a esses pedidos dentro das regras. Quando o cidadão pede, por exemplo, confirmação de quais dados o órgão possui sobre ele, está exercendo um direito previsto no art. 18, e a instituição precisa estar preparada para atender.

Sanções e o papel da ANPD

O cumprimento da LGPD é fiscalizado, e o descumprimento tem consequências. Conhecer a autoridade responsável e o regime de sanções ajuda a dimensionar o que está em jogo.

As sanções do art. 52

A fiscalização da LGPD cabe à Autoridade Nacional de Proteção de Dados, a ANPD, cujas competências prevalecem, em matéria de proteção de dados pessoais, sobre as competências correlatas de outros órgãos da administração pública. O art. 52 lista as sanções administrativas em ordem crescente de gravidade:

• advertência, com indicação de prazo para adoção de medidas corretivas;
• multa simples de até dois por cento do faturamento, limitada a R$ 50.000.000,00 por infração;
• multa diária, observado o mesmo limite total;
• publicização da infração depois de apurada e confirmada;
• bloqueio dos dados pessoais a que se refere a infração até a regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados;
• suspensão do exercício da atividade de tratamento;
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Parte dessas sanções pode alcançar órgãos e entidades públicas, observadas as legislações aplicáveis.

Exemplo real de aplicação da lei

Para tornar o tema concreto, vale citar a primeira multa aplicada pela ANPD. A penalidade foi imposta à empresa Telekall Infoservice, no valor de R$ 14.400,00, e publicada no Diário Oficial da União em 6 de julho de 2023. O motivo foi o tratamento de dados pessoais sem base legal, especificamente a oferta de uma lista de contatos para fins de campanha eleitoral, além da falta de comprovação da indicação de encarregado. O caso ilustra dois pontos centrais: tratar dados sem base legal tem consequência, e a indicação de encarregado é levada a sério pela autoridade.

A LGPD na administração pública

A aplicação da LGPD ao setor público é o ponto de maior interesse para o servidor. A lei prevê expressamente o tratamento de dados pela administração pública, em especial para o uso compartilhado de dados necessário à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres. Isso significa que órgãos e entidades públicas tratam dados de cidadãos legitimamente, mas dentro de regras de finalidade, transparência e segurança. O equilíbrio entre o dever de transparência da administração e o dever de proteger dados pessoais é um tema recorrente e exige atenção contínua. 

Boas práticas no dia a dia do setor público

Algumas práticas ajudam o servidor a aplicar a LGPD sem travar o trabalho:

• mapear quais dados o setor coleta, por que, por quanto tempo e quem acessa;
• identificar a base legal correta para cada tratamento antes de iniciá-lo;
• aplicar a minimização, coletando apenas o necessário para a finalidade;
• definir prazos de retenção e rotinas de eliminação de dados que não são mais necessários;
• designar e divulgar o encarregado, quando aplicável;
• investir em capacitação formal e contínua das equipes.

Para conhecer trilhas formativas voltadas a quem precisa cumprir carga horária funcional, vale consultar o catálogo de cursos online para Licença Capacitação da Unieducar.

Erros frequentes na aplicação da LGPD

Alguns equívocos se repetem nas instituições e merecem atenção:

• tratar o consentimento como única base legal, ignorando obrigação legal, execução de política pública e legítimo interesse;
• achar que órgão público está fora da LGPD;
• coletar mais dados do que o necessário, violando a lógica de minimização;
• guardar dados indefinidamente, sem prazo de retenção definido;
• não indicar encarregado quando exigido, falha apontada pela própria ANPD em fiscalização;
• confundir política de privacidade publicada com conformidade efetiva.

Como se capacitar em LGPD para o setor público

Entender o que é a LGPD é o primeiro passo. O passo decisivo, para quem atua no serviço público, é dominar a aplicação prática da lei na rotina de órgãos e entidades, com base legal correta, governança de dados e segurança da informação. Para isso, a Unieducar oferece o curso de LGPD aplicável à Administração Pública, com conteúdo voltado à realidade do setor público e certificação reconhecida, com assinatura eletrônica e verificação online, ideal para servidores que precisam transformar conhecimento em conformidade efetiva e segurança jurídica no dia a dia.

Perguntas frequentes sobre a LGPD