LGPD para Cidadãos — Tudo que Você Precisa Saber em Linguagem Simples

O que é a LGPD e por que ela existe?

A Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018), conhecida como LGPD, é a lei brasileira que regula como empresas, órgãos públicos e qualquer organização podem coletar, armazenar, usar e compartilhar seus dados pessoais.

Ela foi inspirada no GDPR europeu e entrou em vigor em setembro de 2020. Antes dela, o Brasil não tinha uma lei específica sobre proteção de dados — empresas podiam coletar e vender seus dados praticamente sem restrições.

A LGPD existe para devolver ao cidadão o controle sobre seus próprios dados. Ela estabelece regras claras sobre o que pode e o que não pode ser feito com suas informações pessoais, e prevê multas pesadas para quem descumprir.

O que são dados pessoais?

Dado pessoal é qualquer informação que identifique ou possa identificar uma pessoa. Isso inclui dados óbvios como nome, CPF, RG, endereço e telefone, mas também dados menos óbvios como endereço de IP, cookies de navegação, geolocalização e até hábitos de consumo.

A LGPD também define uma categoria especial: dados pessoais sensíveis. São dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde, vida sexual, dados genéticos ou biométricos. Esses dados têm proteção ainda mais rigorosa.

Importante: dados anonimizados (que não podem ser vinculados a uma pessoa) não são considerados dados pessoais e não são protegidos pela LGPD.

Seus 9 direitos como titular de dados

O Art. 18 da LGPD garante 9 direitos fundamentais a todo cidadão brasileiro. Você pode exercê-los a qualquer momento, mediante requisição ao controlador (a empresa ou órgão que possui seus dados):

1. Confirmação da existência de tratamento — Você tem o direito de saber se uma empresa possui seus dados pessoais.

2. Acesso aos dados — Você pode solicitar uma cópia completa de todos os dados que a empresa tem sobre você.

3. Correção de dados incompletos ou desatualizados — Se seus dados estiverem errados, você pode exigir a correção.

4. Anonimização, bloqueio ou eliminação de dados desnecessários — Se a empresa possui dados que não são necessários para o serviço prestado, você pode pedir a exclusão.

5. Portabilidade dos dados — Você pode solicitar que seus dados sejam transferidos para outro fornecedor de serviço.

6. Eliminação dos dados tratados com consentimento — Se você deu consentimento para o uso dos seus dados, pode revogar e pedir a exclusão a qualquer momento.

7. Informação sobre compartilhamento — Você tem o direito de saber com quais empresas ou órgãos seus dados foram compartilhados.

8. Informação sobre a possibilidade de não consentir — A empresa deve informar que você pode recusar o consentimento e quais são as consequências.

9. Revogação do consentimento — Você pode retirar seu consentimento a qualquer momento, de forma gratuita e facilitada.

Como exercer seus direitos na prática

Para exercer qualquer um dos 9 direitos, você precisa enviar uma requisição formal ao controlador dos dados. Isso pode ser feito por e-mail, formulário no site da empresa ou carta registrada.

A empresa tem 15 dias úteis para responder à sua solicitação. Se não responder ou negar sem justificativa legal, você pode registrar uma reclamação na ANPD (Autoridade Nacional de Proteção de Dados) ou buscar reparação judicial.

O PrivaBR automatiza esse processo: após identificar onde seus dados estão expostos, o sistema envia notificações formais (N1) citando o Art. 18 da LGPD. Se a empresa não responder em 15 dias, envia automaticamente uma segunda notificação (N2) com aviso de denúncia à ANPD. Todo o processo é rastreado com trilha auditável.

Quem é obrigado a cumprir a LGPD?

A LGPD se aplica a qualquer pessoa física ou jurídica, de direito público ou privado, que realize tratamento de dados pessoais no Brasil ou de pessoas localizadas no Brasil. Isso inclui:

Empresas brasileiras de qualquer porte, empresas estrangeiras que oferecem serviços no Brasil, órgãos públicos (com algumas exceções), profissionais liberais que mantêm cadastros de clientes, e até pessoas físicas que tratam dados com finalidade econômica.

Exceções: a LGPD não se aplica ao tratamento de dados para fins exclusivamente particulares e não econômicos, para fins jornalísticos, artísticos ou acadêmicos, e para fins de segurança pública, defesa nacional e investigação criminal (nesses casos, há legislação específica).

Quais são as multas por descumprimento?

O Art. 52 da LGPD prevê sanções administrativas que vão desde advertência até multas pesadas:

Advertência com prazo para correção. Multa simples de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração. Multa diária para forçar o cumprimento. Publicização da infração (a empresa é obrigada a divulgar publicamente que violou a LGPD). Bloqueio ou eliminação dos dados pessoais. Suspensão parcial do banco de dados por até 6 meses. Proibição parcial ou total de atividades relacionadas a tratamento de dados.

Na prática, a ANPD tem aplicado multas crescentes e priorizado casos que envolvem grande volume de dados ou dados sensíveis. Empresas que demonstram boa-fé e cooperação tendem a receber sanções mais brandas.

O que é a ANPD?

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão federal responsável por fiscalizar e aplicar a LGPD no Brasil. Ela foi criada pela própria lei e tem autonomia técnica para investigar denúncias, aplicar sanções e editar regulamentos.

Você pode registrar uma reclamação na ANPD gratuitamente pelo site oficial (gov.br/anpd). A ANPD investiga a denúncia e pode aplicar as sanções previstas na lei.

Importante: antes de reclamar na ANPD, é recomendável que você já tenha tentado resolver diretamente com a empresa (enviando a notificação formal). A ANPD prioriza casos onde o titular já tentou exercer seus direitos e foi ignorado.

Dicas práticas para proteger seus dados no dia a dia

Leia as políticas de privacidade antes de aceitar — pelo menos o resumo. Muitas empresas informam claramente que compartilham seus dados com terceiros.

Não forneça CPF em farmácias e lojas se não for obrigatório. Pergunte sempre: "É obrigatório?" A resposta quase sempre é não.

Use e-mails diferentes para serviços importantes (banco, governo) e para cadastros em lojas e promoções. Assim, se o e-mail de cadastros vazar, seu e-mail principal fica protegido.

Ative a autenticação em dois fatores (2FA) em todos os serviços que oferecem essa opção, especialmente bancos, e-mail e redes sociais.

Faça scans periódicos com o PrivaBR para verificar se seus dados aparecem em novas fontes. Novos vazamentos acontecem toda semana, e data brokers recoletam dados constantemente.

Solicite a remoção dos seus dados de sites que você não usa mais. A LGPD garante esse direito, e o PrivaBR automatiza o processo.