Pular para o conteúdo
Governança e Conformidade

O que é a LGPD (Lei Geral de Proteção de Dados)?

A LGPD (Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018), a lei brasileira de proteção de dados equivalente ao GDPR europeu, regula a coleta, o uso, o armazenamento e o compartilhamento de dados pessoais por empresas e órgãos públicos. Ela exige uma base legal para cada tratamento de dado, garante direitos ao titular (acesso, correção, exclusão) e é fiscalizada pela Autoridade Nacional de Proteção de Dados (ANPD), que pode aplicar multa de até 2% do faturamento, limitada a R$ 50 milhões por infração.

Zamak TechnologiesAtualizado em 10 de julho de 2026

Como a LGPD funciona na prática

A lei não lista sistemas para instalar, ela define regras para qualquer tratamento de dado pessoal, do cadastro de um cliente à planilha de RH. O ciclo tem quatro peças que se repetem em qualquer operação.

1

Toda coleta precisa de uma base legal

A empresa só pode tratar dado pessoal se tiver um dos fundamentos previstos em lei: consentimento do titular, execução de contrato, cumprimento de obrigação legal, legítimo interesse, entre outros. Coletar “porque sempre coletou” não é base legal.

2

O titular tem direitos que a empresa precisa atender

Confirmação de que o dado existe, acesso, correção, portabilidade e eliminação são pedidos que a lei dá ao dono do dado, e a empresa tem prazo para responder.

3

Incidente de segurança tem que ser comunicado

Um vazamento que gere risco relevante ao titular precisa ser comunicado à ANPD e às pessoas afetadas em prazo razoável, não escondido até vazar na imprensa.

4

A empresa responde também pelos fornecedores

Quem trata dado pessoal em nome da empresa (operador) entra na cadeia de responsabilidade. Contratar um fornecedor sem cláusula de proteção de dados não isenta a empresa contratante.

Fonte: Lei nº 13.709/2018 (LGPD) e Autoridade Nacional de Proteção de Dados (ANPD).

Os direitos que a LGPD garante ao titular dos dados

  • Confirmação e acesso Saber se a empresa trata seus dados e obter uma cópia do que foi coletado, de forma gratuita e em formato claro.
  • Correção Pedir a atualização de dado incompleto, inexato ou desatualizado.
  • Eliminação e anonimização Solicitar a exclusão do dado tratado com consentimento, ou sua anonimização quando a exclusão não for possível.
  • Portabilidade Levar seus dados para outro fornecedor, em formato interoperável, sem depender da boa vontade de quem os guarda.
  • Revogação do consentimento Retirar a autorização dada a qualquer momento, com efeito imediato sobre tratamentos futuros.

Por que a conformidade com dados deixou de ser opcional

144
países já têm leis nacionais de proteção de dados, cobrindo cerca de 82% da população mundial (IAPP, jan. 2025)
2% a 4%
do faturamento é o teto de multa das principais leis: até 2% na LGPD, até 4% no GDPR
US$ 4,44 mi
é o custo médio global de uma violação de dados (IBM, 2025)

A LGPD não é um caso isolado. Em janeiro de 2025 já eram 144 os países com leis nacionais de proteção de dados, cobrindo cerca de 82% da população mundial (IAPP). Uma empresa que opera ou vende em mais de um mercado costuma responder a várias ao mesmo tempo: a LGPD no Brasil, o GDPR na Europa, o CCPA na Califórnia, a PIPL na China, além de leis equivalentes em outros países da América Latina e da Ásia. E as multas escalam: a LGPD prevê até 2% do faturamento, enquanto o GDPR chega a 4% do faturamento global. Mas a conta real de um incidente vai muito além da multa. O custo médio global de uma violação de dados foi de US$ 4,44 milhões (IBM, 2025), somando notificação de titulares, investigação, dano reputacional e, cada vez mais, ação de responsabilidade civil.

Como uma empresa se prepara para a LGPD

Conformidade com a LGPD não é um projeto que termina, é uma disciplina que se sustenta. O caminho mais direto:

  1. Mapeie os dados que trataListe que dado pessoal a empresa coleta, de onde vem, onde fica armazenado e quem tem acesso. Sem esse mapa, não dá para definir base legal nem responder a um pedido do titular.
  2. Defina a base legal de cada tratamentoCada uso de dado precisa de um fundamento legal documentado, não um consentimento genérico colado em todo lugar.
  3. Indique um encarregado (DPO)A maioria das leis de proteção de dados prevê um canal de comunicação entre a empresa, os titulares e o regulador. Alguém precisa ser esse ponto de contato.
  4. Tenha um plano de resposta a incidente prontoDescobrir o processo de notificação no meio de um vazamento custa tempo que a empresa não tem. O plano testado antes é o que encurta esse prazo.

Na prática

A pergunta que revela o risco real: se um regulador de dados pedisse hoje para a empresa mostrar a base legal de um dado específico, alguém saberia responder em minutos, ou levaria dias procurando?

Como a Zamak trata a conformidade com a LGPD

A Zamak Technologies apoia a adequação à LGPD como parte da Governança e Conformidade do Método Zamak: mapeamento de controles, gestão de evidência e trilha de auditoria sobre uma plataforma de conformidade. Um bom ponto de partida é o Compliance Audit Express, que mostra em minutos onde a empresa está mais exposta.

Perguntas frequentes sobre a LGPD

A LGPD vale só para empresa brasileira?
Não. A lei alcança qualquer empresa, no Brasil ou fora dele, que trate dado pessoal de gente localizada no Brasil ou que ofereça produto e serviço a pessoas no Brasil. O critério é onde o titular está, não onde a empresa está sediada.
Empresa pequena precisa cumprir a LGPD?
Sim, não existe isenção pelo porte da empresa. A ANPD leva o porte em conta na dosimetria da fiscalização e da multa, não na obrigação de cumprir a lei.
Qual a diferença entre LGPD e GDPR?
A LGPD é a lei brasileira e foi inspirada no GDPR europeu; os princípios são parecidos (base legal, direitos do titular, notificação de incidente), mas a autoridade fiscalizadora, os prazos e os valores de multa são diferentes em cada lei.
O que faz o encarregado de dados (DPO)?
É o canal oficial entre a empresa, os titulares de dados e a ANPD. Recebe reclamações, orienta funcionários e acompanha o cumprimento da lei internamente.
Todo vazamento precisa ser comunicado à ANPD?
Não qualquer um: a lei exige comunicação quando o incidente pode acarretar risco ou dano relevante aos titulares. Vazamentos triviais, sem risco real, não entram nessa obrigação, mas a linha exige critério e, geralmente, apoio jurídico.
Consentimento é sempre obrigatório para tratar dado?
Não. O consentimento é só uma das bases legais previstas na lei. Execução de contrato, cumprimento de obrigação legal e legítimo interesse, entre outras, também autorizam o tratamento, dependendo do caso.