Avançado Governança e Compliance

LGPD e GDPR — bases legais, direitos do titular, DPO e penalidades

LGPD (Lei 13.709/2018) e GDPR (Regulamento UE 2016/679) estabelecem as regras sobre tratamento de dados pessoais no Brasil e na Europa. Embora distintas em jurisdição, compartilham princípios centrais: finalidade, adequação, necessidade, transparência e segurança. Organizações que operam em ambos os mercados precisam atender aos dois regimes simultaneamente.

Bases Legais de Tratamento

Toda operação com dados pessoais precisa de uma base legal explícita. Usar a base errada é infração mesmo que o dado seja protegido tecnicamente.

Base LegalLGPD (art. 7º)GDPR (art. 6º)
Consentimento
Contrato
Obrigação legal
Interesse legítimo
Proteção ao crédito
Exemplo: plataforma de e-commerce
- Cadastro e entrega: base = CONTRATO
- Newsletter marketing: base = CONSENTIMENTO (opt-in explícito)
- Análise de fraude: base = INTERESSE LEGÍTIMO (documentar avaliação)
- Nota fiscal emitida: base = OBRIGAÇÃO LEGAL

Direitos do Titular

O titular pode exercer direitos a qualquer momento. O prazo de resposta é 15 dias (LGPD) ou 30 dias (GDPR).

  • Acesso: receber cópia dos dados armazenados
  • Retificação: corrigir dado incorreto ou desatualizado
  • Eliminação: apagar dados tratados com base em consentimento
  • Portabilidade: receber dados em formato interoperável
  • Revogação do consentimento: sem prejuízo a tratamentos anteriores
  • Oposição: contestar tratamento por interesse legítimo

Implemente um canal dedicado (ex.: privacidade@example.com ou portal web) e registre cada solicitação com timestamp para auditar prazos.

DPO — Encarregado de Proteção de Dados

O DPO (Data Protection Officer / Encarregado) é obrigatório na LGPD para controladores e operadores. No GDPR, a obrigatoriedade depende do volume e sensibilidade dos dados tratados.

Responsabilidades principais:

  • Orientar colaboradores sobre práticas de proteção de dados
  • Atender titular e ANPD/autoridade supervisora
  • Monitorar conformidade interna
  • Conduzir ou supervisionar DPIAs (Relatório de Impacto)

O DPO pode ser interno ou terceirizado, mas deve ter independência para reportar diretamente à alta direção.

Penalidades

LGPD (ANPD):
- Advertência com prazo para adequação
- Multa simples: até 2% do faturamento, limitada a R$ 50 milhões por infração
- Multa diária
- Publicização da infração
- Bloqueio ou eliminação dos dados

GDPR (autoridades nacionais):
- Nível 1: até €10 milhões ou 2% do faturamento global anual
- Nível 2: até €20 milhões ou 4% do faturamento global anual

Checklist Mínimo de Adequação

  • Mapeamento de dados (data inventory / RoPA)
  • Base legal documentada para cada fluxo
  • Aviso de privacidade publicado e atualizado
  • Canal de atendimento ao titular operacional
  • DPO nomeado e publicado
  • Processo de resposta a incidentes com notificação em 72h (GDPR) / prazo razoável (LGPD)
  • Contratos com operadores/subprocessadores revisados
  • DPIA realizado para tratamentos de alto risco