O que é a LGPD?

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) regulamenta o tratamento de dados pessoais de pessoas naturais no Brasil — seja por empresas públicas ou privadas, nacionais ou estrangeiras. Entrou em vigor em setembro de 2020 e as sanções administrativas passaram a ser aplicáveis a partir de agosto de 2021.

A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão fiscalizador responsável por aplicar as sanções, emitir regulamentos e orientar sobre a adequação à lei.

Sanções previstas na LGPD

SançãoValor / Penalidade
AdvertênciaCom prazo para adoção de medidas corretivas
Multa simplesAté 2% do faturamento, limitado a R$ 50 milhões por infração
Multa diáriaAté R$ 50 milhões por dia de infração continuada
Bloqueio dos dadosBloqueio do banco de dados referente à infração
Eliminação dos dadosExclusão forçada dos dados pessoais tratados ilegalmente
Suspensão parcialAté 6 meses, prorrogável por igual período
Proibição de atividadeProibição parcial ou total do tratamento de dados

Os princípios fundamentais da LGPD

A LGPD define 10 princípios que devem orientar todo tratamento de dados pessoais (Art. 6º):

  1. Finalidade: Propósitos legítimos, específicos e informados ao titular
  2. Adequação: Compatibilidade com as finalidades informadas
  3. Necessidade: Limitação ao mínimo necessário (data minimization)
  4. Livre acesso: Consulta facilitada pelo titular sobre seus dados
  5. Qualidade dos dados: Exatidão, clareza e atualização
  6. Transparência: Informações claras sobre o tratamento
  7. Segurança: Medidas técnicas e administrativas de proteção
  8. Prevenção: Adoção de medidas preventivas
  9. Não discriminação: Proibição de tratamento discriminatório
  10. Responsabilização: Demonstração de conformidade (accountability)

Medidas técnicas de segurança obrigatórias

O Art. 46 da LGPD exige "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito".

Na prática, isso significa:

O papel do DPO (Encarregado de Dados)

A LGPD exige a indicação de um DPO (Data Protection Officer) ou Encarregado de Proteção de Dados para atuar como canal entre a empresa, os titulares e a ANPD. As responsabilidades incluem:

O DPO pode ser um funcionário interno ou um serviço terceirizado (DPO as a Service).

Checklist de adequação à LGPD

LGPD e ISO 27001: a combinação ideal

A ISO 27001:2022 e a LGPD são altamente complementares. Empresas certificadas ISO 27001 já possuem a base técnica e organizacional para a maioria dos requisitos de segurança da LGPD:

Requisito LGPDControle ISO 27001
Segurança técnica (Art. 46)A.8 Tecnológico (34 controles)
Registros de acessoA.8.15 — Logging
Resposta a incidentesA.5.26 — Resposta a incidentes
Proteção de dados em nuvemA.5.23 — Segurança em serviços cloud
TreinamentoA.6.3 — Conscientização e treinamento
Prevenção de vazamentoA.8.12 — Prevenção de DLP
⚖️ Atenção: A ANPD já instaurou processos administrativos e aplicou sanções em 2024 e 2025. A adequação à LGPD não é opcional — é obrigatória e urgent para qualquer empresa que trate dados pessoais de brasileiros.
🛡 A Spacecworp auxilia empresas a implementarem as medidas técnicas de segurança exigidas pela LGPD, incluindo pentest, criptografia e políticas de controle de acesso. Entre em contato.
🎤
Contrate uma palestra sobre LGPD e Segurança de Dados
Treinamento de conscientização para equipes ou palestra para liderança sobre adequação à LGPD e ISO/IEC 27001:2022.
Ver Palestras & Treinamentos →
LGPDLei 13.709/2018ANPD DPOProteção de DadosPrivacidade ISO 27001Adequação LGPD