Pular para o conteúdo
Governança e Conformidade

O que é o GDPR (lei de proteção de dados da Europa)?

O GDPR (General Data Protection Regulation) é a lei de proteção de dados da União Europeia, em vigor desde 2018 e equivalente à LGPD brasileira. Ele regula como qualquer empresa coleta, usa e guarda dados pessoais de pessoas na Europa, exige uma base legal para cada tratamento, dá direitos ao titular (acesso, correção, exclusão) e se aplica mesmo a empresas fora da Europa que atendam esse público. As multas chegam a 20 milhões de euros ou 4% do faturamento global anual, o que for maior.

Zamak TechnologiesAtualizado em 10 de julho de 2026

Como o GDPR funciona na prática

O GDPR não lista sistemas a instalar; define princípios que valem para qualquer uso de dado pessoal, do cadastro de um cliente ao cookie do site. Quatro deveres se repetem em qualquer operação.

1

Ter uma base legal para cada tratamento

Consentimento, execução de contrato, obrigação legal, interesse legítimo: sem um desses fundamentos, tratar o dado é ilegal. Coletar “porque pode ser útil” não é base legal.

2

Respeitar os direitos do titular

Acesso, correção, exclusão, portabilidade e oposição são pedidos que a lei dá ao dono do dado, e a empresa tem prazo para atender.

3

Notificar o vazamento em 72 horas

Um incidente com risco às pessoas precisa ser comunicado à autoridade em até 72 horas, e aos afetados quando o risco é alto. É um dos prazos mais duros do GDPR.

4

Provar que cumpre (accountability)

Não basta cumprir, é preciso demonstrar: registro das atividades de tratamento, avaliação de impacto quando o risco é alto e, em muitos casos, um encarregado de dados (DPO).

Fonte: Regulamento (UE) 2016/679 (GDPR) e European Data Protection Board (EDPB).

Os princípios que sustentam o GDPR

  • Licitude, lealdade e transparência Tratar o dado com uma base legal clara e dizer à pessoa, sem letra miúda, o que se faz com a informação dela.
  • Limitação da finalidade Coletar o dado para um objetivo definido e não reaproveitá-lo depois para algo incompatível.
  • Minimização Coletar só o dado necessário para aquele fim, não tudo o que “talvez sirva um dia”.
  • Exatidão Manter o dado correto e atualizado, e corrigir o que estiver errado.
  • Limitação do armazenamento Guardar o dado só enquanto for preciso, e descartá-lo depois.
  • Integridade e confidencialidade Proteger o dado contra acesso indevido, perda e destruição, com segurança adequada ao risco.
  • Responsabilização (accountability) Ser capaz de demonstrar, com registro, que todos os princípios acima são cumpridos.

Por que o GDPR mudou o jogo da privacidade

€ 20 mi ou 4%
do faturamento global anual, o que for maior, é o teto de multa do GDPR (Regulamento 2016/679)
€ 7,1 bi
em multas de GDPR acumuladas desde 2018 (DLA Piper, 2026)
72 horas
é o prazo para notificar a autoridade após tomar conhecimento de um vazamento com risco (GDPR)

O GDPR virou a referência mundial de proteção de dados, e a conta de descumprir cresceu. Desde 2018, as multas acumuladas já passam de 7,1 bilhões de euros, com cerca de 1,2 bilhão só em 2025 (DLA Piper, 2026). O teto é duro: 20 milhões de euros ou 4% do faturamento global anual, o que for maior. Mas a multa é só parte da conta. O custo médio global de uma violação de dados foi de US$ 4,44 milhões (IBM, 2025), somando notificação, investigação, dano de reputação e ação judicial. E o GDPR não respeita fronteira: uma empresa da América Latina ou dos EUA que ofereça produto a alguém na Europa entra no alcance da lei.

Como uma empresa se prepara para o GDPR

Adequação ao GDPR não é um projeto que termina, é uma disciplina que se sustenta. O caminho mais direto:

  1. Mapeie os dados e a base legal de cada usoListe que dado pessoal a empresa trata, de onde vem e por quê. Cada uso precisa de um fundamento legal documentado.
  2. Prepare-se para responder aos direitos do titularTenha um processo para atender pedidos de acesso, correção e exclusão dentro do prazo, sem caça ao tesouro a cada solicitação.
  3. Tenha o plano de resposta a incidente pronto para 72 horasO prazo curto do GDPR só é viável com um plano testado antes. Improvisar no meio do vazamento estoura as 72 horas.
  4. Documente para provar (accountability)Registro das atividades de tratamento, avaliações de impacto e, quando exigido, um encarregado de dados. É o que transforma “a gente cumpre” em prova.

Na prática

A pergunta que revela o risco real: se uma pessoa na Europa pedisse hoje uma cópia de todos os dados que a empresa tem sobre ela, alguém conseguiria reuni-los dentro do prazo, ou nem saberia por onde começar?

Como a Zamak trata a conformidade com o GDPR

A Zamak Technologies apoia a adequação ao GDPR e à LGPD como parte da Governança e Conformidade do Método Zamak: mapeamento de controles, gestão de evidência e trilha de auditoria sobre uma plataforma de conformidade. Um bom ponto de partida é o Compliance Audit Express, que mostra em minutos onde a empresa está mais exposta.

Perguntas frequentes sobre o GDPR

Minha empresa não fica na Europa, o GDPR me afeta?
Pode afetar. O GDPR se aplica a qualquer empresa que trate dados de pessoas na Europa, oferecendo produto ou serviço a esse público ou monitorando o comportamento delas, não importa onde a empresa esteja sediada.
Qual a diferença entre GDPR e LGPD?
O GDPR é a lei europeia e a LGPD é a brasileira, inspirada nele. Os princípios são muito parecidos (base legal, direitos do titular, notificação de incidente), mas a autoridade fiscalizadora, os prazos e os valores de multa mudam de uma para a outra.
O que é uma base legal?
É o fundamento que autoriza tratar um dado pessoal. Consentimento é só um deles; execução de contrato, obrigação legal e interesse legítimo, entre outros, também servem, dependendo do caso.
Todo vazamento precisa ser notificado em 72 horas?
A notificação à autoridade é obrigatória quando o incidente traz risco às pessoas, e o prazo é de até 72 horas a partir do momento em que a empresa toma conhecimento. Incidentes sem risco real ficam de fora, mas essa linha exige critério.
Preciso de um DPO (encarregado de dados)?
Depende. O GDPR exige um DPO em certos casos, como tratamento em larga escala de dado sensível ou monitoramento sistemático. Fora deles, ter um encarregado continua sendo boa prática.
Consentimento é sempre obrigatório?
Não. É só uma das bases legais. Muitos tratamentos se apoiam em contrato ou interesse legítimo. Usar consentimento onde ele não se sustenta pode até enfraquecer a conformidade.

Termos relacionados

Continue explorando

Ver o índice completo →
Endpoint e Identidade
MFAPAM (acesso privilegiado)SSO (login único)
Detecção e Resposta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operações)
Rede e Acesso
ZTNAFirewallVPNSASE
Governança e Conformidade
LGPDISO 27001SOC 2NIST CSFShadow ITAvaliação de maturidade cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestão de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidade)FedRAMPGRC (governança, risco, conformidade)vCIOvCISO
Conceitos e Fundamentos
Deep webZero TrustDefesa em profundidadeSuperfície de ataqueEndpointMenor privilégio
IA e Segurança
Shadow AIGovernança de IAInjeção de promptOWASP LLM Top 10Deepfake