LGPD / GDPR

Durante décadas, dados pessoais foram coletados, armazenados e usados sem regras claras sobre consentimento, finalidade ou direito do titular. Empresas acumulavam bases de dados de clientes sem obrigação de explicar o que fariam com elas. Dados eram vendidos, compartilhados e usados em formas que o titular nunca imaginaria ter autorizado.

GDPR (General Data Protection Regulation) mudou esse cenário na Europa em 2018 — e, por efeito de onda, no mundo inteiro. Empresas que processam dados de cidadãos europeus precisam cumprir o GDPR independentemente de onde estão sediadas. O Brasil respondeu com a LGPD (Lei Geral de Proteção de Dados Pessoais), sancionada em 2018 e em vigor desde 2020, com sanções aplicáveis desde 2021.

As duas leis compartilham a mesma filosofia: o dado pessoal pertence à pessoa, não à empresa que o coleta. A empresa é agente de tratamento — pode usar os dados, mas com base em fundamento legal, para finalidade declarada, com transparência e sujeita a direitos do titular.

Tanto LGPD quanto GDPR organizam-se em torno de princípios que definem como dados pessoais podem ser tratados.

Finalidade: dados devem ser coletados para propósitos específicos, explícitos e legítimos. Não é possível coletar dado "por precaução" ou para "uso futuro indefinido".

Necessidade: apenas os dados estritamente necessários para a finalidade declarada devem ser coletados. Princípio de minimização de dados — se o nome e e-mail bastam para entregar o serviço, não há base para coletar CPF, endereço e telefone.

Transparência: o titular tem direito de saber quais dados são coletados, com qual finalidade, por quanto tempo são mantidos e com quem são compartilhados. Isso se traduz em políticas de privacidade acessíveis e legíveis — não documentos de 50 páginas em juridiquês.

Segurança: medidas técnicas e organizacionais adequadas para proteger os dados contra acesso não autorizado, perda ou vazamento.

Prevenção: adotar medidas proativas para evitar danos antes que ocorram — não apenas reagir a incidentes.

Não discriminação: proibição de tratamento discriminatório com base em dados pessoais sensíveis.

Nem todo tratamento de dado pessoal exige consentimento — esse é um equívoco comum. Tanto LGPD quanto GDPR preveem múltiplas bases legais que podem fundamentar o tratamento.

Consentimento: o titular autoriza explicitamente. Válido quando livre, informado e específico. Pode ser revogado a qualquer momento.

Execução de contrato: tratamento necessário para cumprir contrato com o titular. A empresa de e-commerce precisa do endereço para entregar o pedido — não precisa de consentimento separado para esse uso.

Obrigação legal: tratamento exigido por lei ou regulação. Dados de funcionários para a Receita Federal, registros contábeis, informações para órgãos regulatórios.

Legítimo interesse (LGPD: interesse legítimo): tratamento necessário para interesses legítimos do controlador ou de terceiros, desde que não prevaleçam os direitos e liberdades fundamentais do titular. Base usada para marketing direto para clientes existentes, segurança e prevenção de fraude, análises internas.

Proteção da vida / tutela da saúde: em emergências onde o tratamento é necessário para proteger vida ou integridade do titular.

Escolher a base legal correta não é detalhe burocrático — é o que define o que a empresa pode ou não fazer com os dados em diferentes situações. Basear tratamento apenas em consentimento quando legítimo interesse seria adequado cria fragilidade: se o titular revogar o consentimento, o tratamento precisa parar.

LGPD e GDPR preveem proteção reforçada para categorias específicas de dados que, por sua natureza, têm maior potencial de discriminação ou dano ao titular.

Na LGPD, dados pessoais sensíveis incluem: origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dado referente à saúde ou vida sexual, dado genético ou biométrico, e dado de criança ou adolescente.

Para esses dados, as bases legais são mais restritas — consentimento específico e destacado é a regra geral, com exceções limitadas. Qualquer empresa que coleta biometria, dados de saúde ou informação sobre crianças precisa de atenção redobrada.

O titular dos dados tem um conjunto de direitos que a empresa deve estar estruturada para atender.

Acesso: direito de saber quais dados a empresa tem sobre ele.

Correção: direito de corrigir dados incompletos, inexatos ou desatualizados.

Eliminação: direito de pedir a exclusão de dados tratados com consentimento (com exceções para obrigação legal e outros casos).

Portabilidade: direito de receber os dados em formato estruturado para transferir a outro fornecedor.

Revogação do consentimento: quando o tratamento se baseia em consentimento, o titular pode revogar a qualquer momento.

Oposição: direito de se opor a tratamento baseado em legítimo interesse.

Atender esses direitos exige que a empresa saiba onde estão os dados de cada titular — o que pressupõe mapeamento de dados e processos claros de resposta a requisições.

A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão brasileiro responsável por fiscalizar o cumprimento da LGPD e aplicar sanções.

As sanções previstas incluem: advertência, publicização da infração, bloqueio ou eliminação dos dados e multa. A multa pode chegar a 2% do faturamento bruto da pessoa jurídica no Brasil, limitada a R$ 50 milhões por infração.

Na prática, a ANPD tem atuado com foco maior em orientação e investigação do que em sanções pesadas nos primeiros anos — mas o histórico europeu do GDPR (multas bilionárias contra Meta, Google, Amazon) indica a direção possível quando o órgão amadurece.

Além das sanções administrativas, a LGPD prevê responsabilidade civil — titulares prejudicados por violação podem acionar judicialmente. E danos reputacionais por vazamento de dados frequentemente superam qualquer sanção regulatória.

LGPD não é problema de empresas grandes. Qualquer empresa que coleta dado pessoal — nome, e-mail, CPF, telefone de cliente, dado de colaborador, informação de lead — está sujeita à lei. O tamanho da empresa não é critério de aplicabilidade; é critério que afeta a proporcionalidade das medidas exigidas.

O ponto de partida prático para uma PME que ainda não estruturou conformidade com LGPD: mapeamento de dados (quais dados pessoais a empresa coleta, onde ficam armazenados, com quem são compartilhados), revisão da base legal de cada tratamento, atualização de contratos com fornecedores que processam dados (cláusulas de DPA — Data Processing Agreement), e criação de processo para atender direitos de titulares.

Esse trabalho não exige um departamento jurídico especializado em privacidade — exige clareza sobre o que a empresa faz com dados e disposição para ajustar o que não tem base legal adequada. O risco de não fazer não é apenas regulatório: é de perda de confiança de clientes num contexto em que privacidade passou a ser critério de escolha.