Orienta sobre a Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018) do Brasil. Use quando o usuário mencionar LGPD, proteção de dados no Brasil, privacidade de dados, bases legais, direitos do titular, ANPD, dados sensíveis, consentimento ou conformidade com a lei brasileira de dados.
Skill para apoiar o entendimento e a aplicação da Lei nº 13.709/2018 (LGPD) no contexto de sistemas, produtos e processos que tratam dados pessoais no Brasil.
Visão geral
Lei: 13.709/2018 (LGPD). Vigência desde 14/08/2018; alterações pela Lei 13.853/2019 (ANPD).
Objetivo: Proteger direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade da pessoa natural.
Âmbito: Qualquer operação de tratamento de dados pessoais, em qualquer meio, por pessoa natural ou jurídica (pública ou privada), desde que:
a operação ocorra no território nacional; ou
a atividade vise oferta de bens/serviços ou tratamento de dados de pessoas localizadas no Brasil; ou
os dados tenham sido coletados no território nacional (titular no Brasil no momento da coleta).
Exceções (Art. 4º): uso exclusivamente particular e não econômico; fins jornalísticos/artísticos; fins acadêmicos (com observância dos arts. 7º e 11); segurança pública, defesa nacional, segurança do Estado, investigação e repressão de infrações penais (legislação específica); dados provenientes de fora do Brasil sem comunicação/compartilhamento/transferência internacional com agentes brasileiros (com ressalvas).
Conceitos essenciais (Art. 5º)
Termo
Definição resumida
Dado pessoal
Informação relacionada a pessoa natural identificada ou identificável
Dado sensível
Origem racial/étnica, convicção religiosa, opinião política, filiação sindical/religiosa/filosófica/política, saúde, vida sexual, dado genético ou biométrico vinculado a pessoa natural
Manifestação livre, informada e inequívoca para finalidade determinada
Princípios (Art. 6º)
Toda atividade de tratamento deve observar a boa-fé e:
Finalidade – Propósitos legítimos, específicos, explícitos e informados ao titular; sem tratamento posterior incompatível.
Adequação – Compatibilidade com as finalidades informadas e o contexto.
Necessidade – Mínimo necessário; dados pertinentes, proporcionais e não excessivos.
Livre acesso – Consulta facilitada e gratuita sobre forma, duração e integralidade dos dados.
Qualidade – Exatidão, clareza, relevância e atualização conforme a finalidade.
Transparência – Informações claras, precisas e acessíveis sobre tratamento e agentes (respeitados segredos comercial e industrial).
Segurança – Medidas técnicas e administrativas contra acessos não autorizados e situações ilícitas ou acidentais (destruição, perda, alteração, comunicação, difusão).
Prevenção – Medidas para evitar danos.
Não discriminação – Nenhum tratamento para fins discriminatórios ilícitos ou abusivos.
Responsabilização e prestação de contas – Demonstração de medidas eficazes de conformidade.
Bases legais para tratamento (Art. 7º)
O tratamento de dados pessoais só pode ocorrer quando houver ao menos uma das hipóteses:
I – Consentimento do titular
II – Obrigação legal ou regulatória do controlador
III – Execução de políticas públicas pela administração pública (conforme Cap. IV)
IV – Estudos por órgão de pesquisa (anonimização quando possível)
V – Execução de contrato ou procedimentos preliminares a pedido do titular
VI – Exercício regular de direitos em processo judicial, administrativo ou arbitral
VII – Proteção da vida ou incolumidade física do titular ou de terceiro
VIII – Tutela da saúde (profissionais/serviços de saúde ou autoridade sanitária)
IX – Interesses legítimos do controlador ou terceiro, exceto se prevalecerem direitos e liberdades fundamentais do titular
X – Proteção do crédito
Consentimento (Art. 8º): escrito ou outro meio que demonstre vontade; cláusula destacada se escrito; ônus da prova no controlador; vedado tratamento com vício de consentimento; finalidades determinadas (autorizações genéricas nulas); revogação a qualquer tempo, gratuita e facilitada.
Dados manifestamente públicos pelo titular podem ser tratados sem consentimento, respeitados direitos e princípios. Dispensa de consentimento não dispensa demais obrigações da lei.
Dados sensíveis (Art. 11)
Tratamento de dados sensíveis somente:
Com consentimento específico e destacado para finalidades específicas; ou
Sem consentimento quando indispensável para: (a) obrigação legal/regulatória; (b) políticas públicas; (c) estudos por órgão de pesquisa (anonimização quando possível); (d) exercício regular de direitos (contrato/processo); (e) proteção da vida ou incolumidade física; (f) tutela da saúde (profissionais/serviços/autoridade sanitária); (g) prevenção à fraude e segurança do titular (identificação/autenticação em sistemas), respeitados direitos do titular.
Vedações: compartilhamento de dados de saúde entre controladores com objetivo de vantagem econômica, exceto nas hipóteses legais (ex.: portabilidade a pedido do titular, prestação de serviços de saúde). Operadoras de planos de saúde não podem usar dados de saúde para seleção de riscos na contratação ou exclusão de beneficiários.
Crianças e adolescentes (Art. 14)
Tratamento no melhor interesse da criança/adolescente.
Dados de crianças: consentimento específico e em destaque de pelo menos um dos pais ou responsável legal.
Controladores devem manter informação pública sobre tipos de dados, forma de uso e exercício dos direitos (Art. 18).
Coleta sem consentimento só quando necessária para contatar pais/responsável (uso único, sem armazenamento) ou para proteção; não repassar a terceiros sem o consentimento do § 1º.
Não condicionar participação em jogos/aplicações à coleta de dados além do estritamente necessário.
Direitos do titular (Art. 18)
O titular tem direito a obter do controlador, a qualquer momento, mediante requisição:
I – Confirmação da existência de tratamento
II – Acesso aos dados
III – Correção de dados incompletos, inexatos ou desatualizados
IV – Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou em desconformidade com a lei
V – Portabilidade dos dados a outro fornecedor (conforme regulamentação da ANPD, segredos comercial e industrial)
VI – Eliminação dos dados tratados com consentimento (exceto hipóteses do Art. 16)
VII – Informação sobre entidades públicas e privadas com as quais houve uso compartilhado
VIII – Informação sobre possibilidade de não consentir e consequências da negativa
IX – Revogação do consentimento (Art. 8º § 5º)
O titular pode peticionar à ANPD contra o controlador e opor-se a tratamento baseado em dispensa de consentimento em caso de descumprimento da lei. Requerimento deve ser atendido sem custos para o titular, nos prazos regulamentares.
ANPD (Autoridade Nacional de Proteção de Dados)
Entidade responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
Emite regulamentações, orientações e pode solicitar relatório de impacto à proteção de dados pessoais (RIPD) em tratamentos de maior risco (ex.: baseados em interesse legítimo).
Aplicação de sanções administrativas (multas, advertências, etc.) conforme a lei.
Término e eliminação (Arts. 15 e 16)
O tratamento termina quando: (I) a finalidade foi alcançada ou os dados deixaram de ser necessários; (II) fim do período de tratamento; (III) comunicação do titular (incl. revogação de consentimento), resguardado interesse público; (IV) determinação da ANPD em caso de violação.
Após o término, os dados devem ser eliminados, exceto quando a conservação for permitida (ex.: obrigação legal/regulatória, estudo com anonimização, etc.).
Checklist prático para sistemas e produtos
Ao desenhar ou revisar tratamento de dados no Brasil:
Identificar se a LGPD se aplica (território, oferta de bens/serviços, dados coletados no Brasil).
Mapear dados pessoais e sensíveis; documentar finalidade e base legal (Art. 7º ou 11).
Garantir que consentimento, quando exigido, seja específico, destacado e revogável de forma gratuita e facilitada.
Respeitar princípios: necessidade (mínimo de dados), transparência, segurança, prevenção.
Implementar canais para exercício dos direitos do titular (acesso, correção, eliminação, portabilidade, revogação, oposição).
Nomear encarregado e divulgar canal de contato (titulares e ANPD).
Avaliar necessidade de RIPD em tratamentos de maior risco.
Para dados de crianças: consentimento de pais/responsável; não condicionar atividades à coleta além do necessário.
Para dados sensíveis: conferir hipótese do Art. 11 e vedações (ex.: saúde para vantagem econômica, seleção de riscos em planos de saúde).
ANPD – orientações e perguntas frequentes: gov.br/anpd
Para consulta por artigo (estrutura da lei e dispositivos), ver reference.md.
Aviso: Esta skill resume a LGPD para apoio em análise e implementação. Para decisões jurídicas definitivas ou conformidade formal, consulte a lei, regulamentações da ANPD e assessoria jurídica especializada.