LGPD na prática: o que é dado pessoal e quais obrigações sua empresa tem
A Lei Geral de Proteção de Dados estabelece regras precisas para o tratamento de informações pessoais por empresas de qualquer porte, definindo papéis, bases legais e direitos dos titulares, cujo descumprimento pode resultar em sanções aplicadas pela ANPD.
O que a legislação entende por dado pessoal e dado sensível
A Lei nº 13.709/2018 organiza toda a sua estrutura em torno de dois conceitos básicos. O primeiro é o dado pessoal, definido no artigo 5º, inciso I, como qualquer informação relacionada a pessoa natural identificada ou identificável. Entram nessa categoria o nome, o número de inscrição em cadastro fiscal, o endereço eletrônico, a localização geográfica e até identificadores online, como o número de protocolo de internet do dispositivo.
O segundo conceito recebe proteção reforçada. O dado pessoal sensível, descrito no inciso II do mesmo artigo, abrange informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, além de dados referentes à saúde, à vida sexual e dados genéticos ou biométricos. A distinção importa porque o tratamento dessa segunda espécie exige cautelas adicionais e bases legais próprias, previstas no artigo 11 da norma.
A razão da separação está no potencial discriminatório. Informações sobre crença ou condição de saúde, se manipuladas de forma indevida, podem expor o titular a situações de preconceito ou restrição de direitos, motivo pelo qual o legislador impôs barreiras mais rígidas ao seu uso.
Controlador e operador: papéis distintos no tratamento
A lei atribui responsabilidades conforme a função de cada agente. O controlador, conforme o artigo 5º, inciso VI, é a pessoa natural ou jurídica a quem competem as decisões sobre o tratamento dos dados, isto é, quem define as finalidades e os meios. Uma loja virtual que decide coletar o endereço do cliente para realizar entregas atua como controladora dessas informações.
Já o operador, definido no inciso VII, realiza o tratamento em nome do controlador, seguindo as instruções recebidas. A empresa de tecnologia contratada para hospedar o banco de dados dessa mesma loja exerce o papel de operadora, pois processa as informações sem decidir sobre as finalidades.
Compreender essa divisão evita confusões frequentes na prática. Ambos respondem por eventuais danos, mas a extensão da responsabilidade varia: o operador responde solidariamente quando descumpre as instruções do controlador ou as próprias obrigações legais.
A ausência de base legal transforma qualquer tratamento de dados em conduta irregular, independentemente da boa intenção da empresa.
Por isso, contratos firmados entre controladores e operadores costumam detalhar limites, prazos e medidas de segurança, registrando por escrito como cada parte deve agir diante das informações compartilhadas.
O primeiro dever de qualquer organização é identificar a base legal que autoriza cada operação.
Obrigações das empresas e cuidados diante da ANPD
O primeiro dever de qualquer organização é identificar a base legal que autoriza cada operação. O artigo 7º lista dez hipóteses para dados comuns, entre elas o consentimento do titular, o cumprimento de obrigação legal, a execução de contrato e o legítimo interesse. Sem o enquadramento em uma dessas bases, a coleta ou o uso da informação se torna irregular.
Outra exigência relevante é a manutenção do registro das operações de tratamento, prevista no artigo 37. Esse documento descreve quais dados são coletados, com qual finalidade e por quanto tempo são armazenados, funcionando como prova de conformidade caso a autoridade solicite esclarecimentos. Soma-se a isso o atendimento ao titular, que tem direito de confirmar a existência do tratamento, acessar seus dados, corrigir informações incompletas e solicitar a eliminação daquilo que foi tratado com base no consentimento, nos termos do artigo 18.
O descumprimento expõe a empresa às sanções do artigo 52, em vigor desde agosto de 2021. As penalidades vão da advertência à multa simples de até 2% do faturamento no Brasil, limitada a cinquenta milhões de reais por infração, passando por multa diária, publicização da conduta, bloqueio e eliminação dos dados envolvidos. A designação de um encarregado, figura tratada no artigo 41, e a adoção de políticas internas de segurança reduzem o risco de autuação e demonstram empenho em proteger as informações.
Perguntas Frequentes
Quais informações a lei classifica como dado pessoal sensível?
São consideradas sensíveis as informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual e dados genéticos ou biométricos. Essa categoria recebe proteção reforçada porque o uso indevido pode gerar discriminação, e seu tratamento depende de bases legais específicas previstas no artigo 11 da legislação.
Como uma empresa identifica se atua como controladora ou operadora?
A empresa é controladora quando decide as finalidades e os meios do tratamento, ou seja, define por que e como os dados serão usados. Será operadora quando apenas processa as informações em nome de outra organização, seguindo instruções. A análise concreta de quem toma as decisões determina o papel de cada agente.
O que pode ocorrer se a empresa não cumprir as regras de proteção de dados?
O artigo 52 prevê sanções que vão da advertência à multa de até 2% do faturamento, limitada a cinquenta milhões de reais por infração. A autoridade também pode aplicar multa diária, tornar pública a conduta e determinar o bloqueio ou a eliminação dos dados. Manter registros e adotar políticas de segurança ajuda a evitar essas penalidades.
Receba novidades no WhatsApp e/ou e-mail
Cadastre-se gratuitamente para receber nossos novos artigos.
Seus dados estão protegidos conforme a LGPD.
Ficou com dúvidas? Fale com um advogado especialista.
📱 Falar pelo WhatsAppAs informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.
