Leis de Proteção de Dados no Brasil: Guia de Conformidade com a LGPD (2026)

A Lei Geral de Proteção de Dados do Brasil (Lei nº 13.709/2018), em vigor desde setembro de 2020, é a lei abrangente de proteção de dados do país. Ela se aplica a qualquer organização que trate dados pessoais no Brasil, prevê 10 bases legais para o tratamento nos termos do Artigo 7º e é fiscalizada pela ANPD, com multas de até R$ 50 milhões por infração.
A Lei Geral de Proteção de Dados do Brasil (LGPD), promulgada como Lei nº 13.709/2018, é a lei geral de proteção de dados do país e uma das estruturas de privacidade mais abrangentes da América Latina. A lei está em vigor desde 18 de setembro de 2020, aplica-se extraterritorialmente a qualquer organização que trate dados de pessoas no Brasil, e é fiscalizada pela Autoridade Nacional de Proteção de Dados (ANPD). Para uma comparação lado a lado entre a estrutura brasileira e o GDPR da União Europeia, veja nossa comparação entre GDPR e LGPD. Para as regras de consentimento para gravações no Brasil, veja leis de gravação no Brasil.
O Que É a LGPD?
A Lei Geral de Proteção de Dados do Brasil, conhecida como LGPD, é a lei geral de proteção de dados do país. Promulgada como Lei nº 13.709, de 14 de agosto de 2018, e em vigor desde 18 de setembro de 2020, a LGPD unificou aproximadamente 40 leis brasileiras diferentes que anteriormente regulavam diversos aspectos do tratamento de dados pessoais.
A lei se aplica a qualquer pessoa física ou jurídica, de direito público ou privado, que trate dados pessoais no Brasil. Ela tem alcance extraterritorial explícito, o que significa que se aplica a qualquer empresa estrangeira que ofereça bens ou serviços a pessoas no Brasil, colete dados pessoais de residentes brasileiros ou opere por meio de uma subsidiária brasileira.
A LGPD se inspira fortemente no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, mas inclui diversas disposições exclusivas do cenário jurídico e comercial brasileiro. Ela estabelece uma estrutura abrangente que cobre coleta, armazenamento, tratamento, compartilhamento e eliminação de dados, com fortes proteções para os direitos individuais de privacidade.
A Proteção de Dados como Direito Constitucional (EC 115/2022)
Em 10 de fevereiro de 2022, o Congresso Nacional promulgou a Emenda Constitucional nº 115 (EC 115/2022), que elevou a proteção de dados pessoais a direito fundamental explícito, no âmbito da Constituição Federal de 1988. A emenda acrescentou o inciso LXXIX ao Artigo 5º, que passou a dispor: "é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais".
Essa mudança constitucional tem dois grandes efeitos práticos. Primeiro, a proteção de dados pessoais passa a ter o mesmo status constitucional de outros direitos fundamentais previstos no Artigo 5º, como a privacidade, a liberdade de expressão e o direito ao devido processo legal. Qualquer legislação ou ato governamental que viole os direitos de proteção de dados fica sujeito a questionamento constitucional. Segundo, a EC 115/2022 conferiu à União competência exclusiva para legislar sobre proteção e tratamento de dados pessoais. Isso impede que estados e municípios editem normas de privacidade conflitantes, garantindo a aplicação uniforme da LGPD em todos os estados e territórios brasileiros.
A emenda teve origem na Proposta de Emenda à Constituição nº 17/2019 e foi motivada, em parte, pela entrada em vigor da LGPD, que já havia estabelecido uma estrutura legal. A EC 115/2022 conferiu a essa estrutura um alicerce constitucional, reforçando os princípios da LGPD no próprio texto da constituição. A Comissão Europeia citou a emenda constitucional como um dos fatores que sustentaram a decisão de adequação do Brasil em janeiro de 2026.
A ANPD: a Autoridade de Proteção de Dados do Brasil
A Autoridade Nacional de Proteção de Dados (ANPD) é a autoridade nacional de proteção de dados do Brasil, criada pela LGPD para supervisionar, fiscalizar e regulamentar a proteção de dados em todo o país. A ANPD foi inicialmente estruturada como parte da Presidência da República, mas desde então foi transformada em uma agência reguladora independente, com autonomia funcional, técnica, decisória, administrativa e financeira.

As atribuições da ANPD incluem editar normas e diretrizes sobre proteção de dados, apurar denúncias e possíveis infrações, aplicar sanções administrativas por descumprimento, promover a conscientização pública sobre os direitos de proteção de dados e cooperar com autoridades de proteção de dados de outros países.
Em novembro de 2025, a ANPD lançou seu Painel de Fiscalização no gov.br/anpd, uma ferramenta interativa que fornece dados agregados sobre ações de supervisão, procedimentos preparatórios e processos administrativos. Esse painel representa um avanço significativo em direção à transparência na fiscalização.
Agenda Regulatória da ANPD para 2025-2026
A ANPD publicou uma agenda regulatória atualizada que prioriza diversas áreas-chave. Elas incluem a proteção dos direitos dos titulares, regras de tratamento de dados biométricos, governança e padrões de segurança para inteligência artificial, diretrizes de Relatório de Impacto à Proteção de Dados Pessoais (RIPD), compartilhamento de dados por entidades governamentais e medidas de segurança para tratamentos de alto risco.
Para o biênio 2026-2027, a ANPD identificou quatro temas prioritários para maior fiscalização: os direitos dos titulares (com atenção especial a dados sensíveis usados para fins publicitários), a proteção de crianças e adolescentes on-line (incluindo a conformidade com o ECA Digital, a verificação de idade e o bloqueio de conteúdo impróprio), o tratamento de dados pessoais por autoridades públicas, e a inteligência artificial e tecnologias emergentes. Essas prioridades refletem a intenção declarada da ANPD de avançar de uma postura educativa para uma fiscalização ativa em todos os setores.
As 10 Bases Legais para o Tratamento de Dados
Uma das características centrais da LGPD é que ela estabelece 10 bases legais para o tratamento lícito de dados pessoais, previstas no Artigo 7º. Não há hierarquia entre essas bases. As organizações devem identificar a base legal mais adequada para cada atividade específica de tratamento, considerando a finalidade e a relação com o titular dos dados.
1. Consentimento
O titular dos dados fornece consentimento livre, informado e inequívoco para uma finalidade específica. O consentimento deve ser dado por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Ele pode ser revogado a qualquer momento, e o controlador deve informar o titular sobre as consequências da revogação.
2. Cumprimento de Obrigação Legal ou Regulatória
O tratamento é necessário para o cumprimento de obrigação legal ou regulatória pelo controlador. Isso abrange situações em que a lei brasileira exige a coleta ou retenção de determinados dados, como registros fiscais, dados trabalhistas ou exigências de prevenção à lavagem de dinheiro.
3. Execução de Políticas Públicas
O tratamento é necessário para a execução de políticas públicas previstas em leis e regulamentos, ou respaldadas em contratos, convênios ou instrumentos congêneres. Essa base está disponível exclusivamente para a administração pública.
4. Realização de Estudos por Órgão de Pesquisa
Órgãos de pesquisa podem tratar dados pessoais para a realização de estudos de caráter histórico, científico, tecnológico ou estatístico. Sempre que possível, os dados devem ser anonimizados. Essa base exige o cumprimento de padrões éticos e não pode ser usada para fins comerciais sem outro fundamento legal adicional.
5. Execução de Contrato
O tratamento é necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular dos dados seja parte. Isso abrange o tratamento necessário para cumprir obrigações contratuais a pedido do titular.
6. Exercício Regular de Direitos
O tratamento é necessário para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Isso permite que as organizações tratem dados pessoais quando necessário para constituir, exercer ou defender direitos em um processo.
7. Proteção da Vida ou da Incolumidade Física
O tratamento é necessário para a proteção da vida ou da incolumidade física do titular ou de terceiro. Essa base de emergência se aplica em situações em que obter o consentimento não é viável e há uma ameaça imediata à vida ou à segurança de alguém.
8. Tutela da Saúde
O tratamento é necessário para fins de tutela da saúde, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridades sanitárias. Essa base abrange o tratamento médico, medidas de saúde pública e pesquisas relacionadas à saúde conduzidas por entidades qualificadas.
9. Legítimo Interesse
O tratamento é necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto quando prevalecerem os direitos e liberdades fundamentais do titular dos dados. Os controladores que se baseiam nessa hipótese devem realizar um teste de ponderação e manter documentação de sua avaliação.
10. Proteção do Crédito
O tratamento é necessário para a proteção do crédito, incluindo a pontuação de crédito (credit scoring). Essa é uma base legal exclusiva da LGPD, não encontrada no GDPR. Ela reflete o extenso sistema brasileiro de cadastro de crédito e permite o tratamento de dados para avaliações de capacidade creditícia e prevenção a fraudes.
Os Direitos dos Titulares de Dados na LGPD
O Artigo 18 da LGPD garante aos titulares de dados um conjunto abrangente de direitos sobre seus dados pessoais. Esses direitos podem ser exercidos a qualquer momento e gratuitamente, mediante requisição ao controlador.

Confirmação da Existência de Tratamento. Os titulares de dados têm o direito de confirmar se seus dados pessoais estão sendo tratados por um controlador.
Acesso aos Dados. As pessoas podem solicitar acesso aos seus dados pessoais mantidos pelo controlador, incluindo informações sobre quais dados estão sendo tratados e de que forma.
Correção de Dados Incompletos, Inexatos ou Desatualizados. Os titulares de dados podem solicitar a correção de dados pessoais incompletos, inexatos ou desatualizados.
Anonimização, Bloqueio ou Eliminação. As pessoas podem solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Portabilidade dos Dados. Os titulares de dados têm o direito de solicitar a portabilidade de seus dados pessoais para outro fornecedor de serviço ou produto, nos termos da regulamentação da ANPD.
Eliminação dos Dados Tratados com Consentimento. As pessoas podem solicitar a eliminação de dados pessoais tratados com base no consentimento, exceto quando o controlador tiver base legal para retê-los.
Informação sobre o Compartilhamento. Os titulares de dados têm o direito de saber com quais entidades públicas e privadas o controlador compartilhou seus dados.
Informação sobre a Possibilidade de Não Consentir. As pessoas devem ser informadas sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa recusa.
Revogação do Consentimento. Os titulares de dados podem revogar seu consentimento a qualquer momento, mediante manifestação expressa, por procedimento gratuito e facilitado, ao controlador.
Explicação sobre Decisões Automatizadas. Os titulares de dados têm o direito de solicitar uma explicação sobre decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses, incluindo decisões relativas ao seu perfil pessoal, profissional, de consumo ou de crédito.
Dados Pessoais Sensíveis
A LGPD prevê proteção reforçada para os dados pessoais sensíveis. Nos termos do Artigo 5º, II, dado pessoal sensível é aquele referente à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
O tratamento de dados sensíveis exige consentimento específico e destacado do titular, com informações claras sobre as finalidades do tratamento. Sem consentimento, os dados sensíveis somente podem ser tratados para o cumprimento de obrigação legal, execução de políticas públicas, realização de estudos por órgão de pesquisa, proteção da vida ou da incolumidade física, tutela da saúde e prevenção à fraude.
Cabe destacar que as bases legais de legítimo interesse e execução de contrato não podem ser usadas para o tratamento de dados sensíveis. A LGPD também proíbe o compartilhamento de dados sensíveis relacionados à saúde entre controladores com o objetivo de obter vantagem econômica, com exceções para prestação de serviços de saúde, assistência farmacêutica e portabilidade de planos de saúde.
Exigências quanto ao Encarregado de Proteção de Dados
O Artigo 41 da LGPD exige que todo controlador indique um Encarregado de Proteção de Dados (DPO, chamado de "encarregado" em português). O encarregado atua como o principal canal de comunicação entre o controlador, os titulares de dados e a ANPD.
As atribuições do encarregado incluem receber reclamações e comunicações dos titulares e prestar esclarecimentos, receber comunicações da ANPD e adotar as providências cabíveis, orientar os funcionários e contratados do controlador sobre práticas de proteção de dados, e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
A LGPD não exige qualificações ou certificações profissionais específicas para a função de encarregado. No entanto, o encarregado deve ser capaz de se comunicar em português ao interagir com a ANPD e com os titulares de dados. A ANPD já confirmou que um mesmo encarregado pode atuar para múltiplos controladores, desde que não haja conflito de interesses.
Os agentes de tratamento de pequeno porte, conforme definidos pela Resolução CD/ANPD nº 2/2022, estão dispensados da obrigatoriedade de indicar um encarregado. Essa dispensa se aplica a microempresas, pequenas empresas, startups e pessoas físicas ou jurídicas cujas atividades de tratamento de dados apresentem risco limitado. Ainda assim, a ANPD recomenda a indicação voluntária como boa prática.
Em novembro de 2024, a ANPD instaurou processos contra 20 empresas por não terem indicado ou divulgado publicamente um encarregado. Até abril de 2025, todas as empresas haviam regularizado sua situação, demonstrando tanto a disposição da ANPD de atuar contra organizações em desconformidade quanto a eficácia de campanhas de fiscalização direcionadas.
Exigências de Comunicação de Incidentes de Segurança
A LGPD exige que os controladores comuniquem incidentes de segurança envolvendo dados pessoais à ANPD e aos titulares afetados. A Resolução CD/ANPD nº 15/2024, adotada em abril de 2024, estabeleceu exigências detalhadas para esse processo de comunicação.
Prazo. Os controladores devem comunicar a ANPD e os titulares afetados no prazo de três dias úteis a partir do conhecimento de que um incidente de segurança envolveu dados pessoais com probabilidade de acarretar risco ou dano relevante. Caso as informações completas ainda não estejam disponíveis, uma comunicação preliminar pode ser apresentada dentro desse prazo, com informações complementares devidas em até 20 dias úteis.
Conteúdo da Comunicação. A comunicação deve incluir a descrição da natureza dos dados pessoais afetados, informações sobre os titulares envolvidos, as medidas técnicas e de segurança utilizadas para a proteção dos dados (resguardado o sigilo comercial e industrial), os riscos relacionados ao incidente, as medidas adotadas para reverter ou mitigar os efeitos do incidente e as razões para eventual atraso na comunicação, caso o prazo de três dias não tenha sido cumprido.
Comunicação aos Titulares. Quando exigida a comunicação individual, ela deve ser feita em linguagem simples e de fácil compreensão. Os controladores devem contatar os titulares diretamente por e-mail, SMS, carta ou mensagem eletrônica, preferencialmente usando o canal de comunicação normalmente utilizado com o titular. Caso o controlador não consiga identificar todas as pessoas afetadas, deve divulgar publicamente o incidente em seu site, aplicativos, redes sociais e canais de atendimento ao consumidor por, no mínimo, três meses.
Papel do Encarregado na Comunicação. A comunicação do incidente deve ser apresentada pelo encarregado ou pelo representante legal do controlador, com a respectiva documentação de nomeação ou procuração, utilizando o formulário de comunicação de incidente disponibilizado pela ANPD.
Penalidades e Fiscalização pela ANPD
A LGPD estabelece um sistema gradativo de sanções administrativas para casos de descumprimento, previsto nos Artigos 52 a 54. A ANPD classifica as infrações como leves, médias ou graves nos termos da Resolução CD/ANPD nº 4/2023, que define a metodologia de cálculo do valor das multas (dosimetria) e determina a gravidade das sanções aplicadas.
Tipos de Sanções
Advertência. A ANPD pode aplicar advertência, com indicação de prazo para a adoção de medidas corretivas pelo controlador.
Multa Simples. Multas de até 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no último exercício, excluídos os tributos, limitadas a R$ 50 milhões (cerca de US$ 9,3 milhões) por infração.
Multa Diária. A ANPD pode impor multas diárias, observado o mesmo limite de R$ 50 milhões, com o objetivo de compelir o cumprimento da obrigação dentro de um prazo determinado.
Publicização da Infração. Após a devida apuração e confirmação da violação, a ANPD pode divulgar publicamente a infração, o que pode causar dano reputacional significativo.
Bloqueio dos Dados. A ANPD pode determinar o bloqueio dos dados pessoais relacionados à infração até a regularização do tratamento.
Eliminação dos Dados. A autoridade pode determinar a eliminação total dos dados pessoais relacionados à infração.
Suspensão do Tratamento. A ANPD pode suspender o funcionamento do tratamento de dados por até seis meses, prorrogável, até a regularização da infração pelo controlador.
Proibição do Tratamento. Em casos graves, a ANPD pode impor a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Ações de Fiscalização Relevantes
A ANPD já aplicou um total acumulado de mais de R$ 98 milhões (cerca de US$ 20 milhões) em multas entre 2023 e 2025, refletindo uma trajetória clara de uma postura educativa para uma fiscalização ativa.
Telekall Infoservice (2023). A primeira ação sancionatória da ANPD teve como alvo essa pequena empresa de telecomunicações, por tratar dados pessoais sem base legal e por não indicar um encarregado. A multa foi de R$ 14.400 (cerca de US$ 2.960). Embora modesto no valor, o caso sinalizou que as obrigações de conformidade se aplicam a empresas de todos os portes.
IAMSPE (2024). A segunda ação sancionatória da ANPD teve como alvo o Instituto de Assistência Médica ao Servidor Público Estadual de São Paulo (IAMSPE), um órgão público de saúde. As sanções decorreram de um incidente de segurança no qual dados pessoais de servidores estaduais e seus dependentes foram acessados por um usuário externo não autorizado. A ANPD aplicou duas advertências: a primeira por não comunicar a ANPD e os titulares afetados dentro do prazo exigido (violação do Artigo 48 da LGPD); a segunda por controles de segurança inadequados na proteção de um grande volume de dados pessoais, incluindo dados de titulares vulneráveis, como crianças e idosos (violação do Artigo 49). O caso confirmou que entidades do setor público estão sujeitas às mesmas obrigações da LGPD que os controladores privados.
Meta Platforms (julho de 2024). A ANPD determinou medida preventiva ordenando que a Meta suspendesse o uso de dados pessoais do Facebook, Instagram e Messenger para o treinamento de seus sistemas de inteligência artificial. A ANPD identificou quatro violações distintas da LGPD: informações inadequadas, proteções insuficientes para dados de crianças e adolescentes, ausência de mecanismos de recusa (opt-out) e desconsideração das expectativas legítimas dos usuários brasileiros de redes sociais. A Meta ficou sujeita a multas diárias de R$ 50.000 (cerca de US$ 10.000) em caso de descumprimento. Após a Meta implementar os ajustes exigidos, a medida foi suspensa em agosto de 2024.
TikTok/ByteDance (dezembro de 2024). A ANPD determinou que a ByteDance, controladora do TikTok, reforçasse suas medidas de verificação de idade na plataforma, dando continuidade ao foco crescente da autoridade na proteção de dados de crianças e adolescentes. A determinação antecedeu o ECA Digital brasileiro (Lei nº 15.211/2025) e evidencia a postura proativa da ANPD em relação aos dados de menores mesmo antes da entrada em vigor da nova legislação.
Investigações em Andamento. Em 2026, a ANPD mantém ações fiscalizatórias ativas contra redes sociais (relacionadas a dados de crianças e adolescentes), plataformas de mensagens (questões de transparência e consentimento), programas de fidelidade farmacêuticos e 23 clubes de futebol que utilizam tecnologia de reconhecimento facial para acesso a estádios.
Propostas de Aumento das Penalidades
O Projeto de Lei PL 4530/23, atualmente em tramitação no Congresso Nacional, propõe aumentos significativos nas penalidades da LGPD. Se aprovado, o percentual máximo da multa passaria de 2% para 20% do faturamento, e o limite absoluto dobraria de R$ 50 milhões para R$ 100 milhões por infração.
Transferências Internacionais de Dados e Cláusulas Contratuais Padrão
A LGPD estabelece regras específicas para a transferência internacional de dados pessoais, detalhadas nos Artigos 33 a 36. As transferências somente são permitidas por meio de mecanismos legalmente definidos.

Mecanismos de Transferência
Decisões de Adequação. A ANPD pode reconhecer que um país estrangeiro ou organismo internacional proporciona grau de proteção de dados pessoais adequado. Esse é o mecanismo mais simples, pois permite transferências sem salvaguardas adicionais.
Cláusulas Contratuais Padrão (SCCs). A Resolução CD/ANPD nº 19/2024, publicada em 23 de agosto de 2024, instituiu as Cláusulas Contratuais Padrão aprovadas pela ANPD como o principal mecanismo de transferência para organizações sem decisão de adequação. As SCCs abrangem tanto transferências controlador-controlador quanto controlador-operador. O prazo de adaptação para a implementação dessas SCCs expirou em 23 de agosto de 2025. Desde então, as transferências internacionais de dados só são válidas se houver SCCs ou outro mecanismo aprovado pela ANPD.
Normas Corporativas Globais (BCRs). Para transferências internacionais de dados intragrupo, as organizações podem utilizar normas corporativas globais, que exigem avaliação prévia e aprovação da ANPD. Até meados de 2025, nenhuma BCR havia recebido aprovação da ANPD, tornando-a um mecanismo tecnicamente disponível, mas praticamente inutilizável.
Cláusulas Contratuais Específicas. Quando as SCCs forem insuficientes, as organizações podem utilizar cláusulas contratuais específicas como mecanismo subsidiário. Elas devem se aproximar ao máximo das SCCs e exigem aprovação prévia da ANPD.
Outras Hipóteses Permitidas. As transferências internacionais também são permitidas para cooperação jurídica internacional, proteção da vida ou da incolumidade física, consentimento do titular, cumprimento de obrigação legal ou regulatória, necessidade contratual e exercício regular de direitos em processo.
A Decisão de Adequação Mútua entre a UE e o Brasil
Em 26 de janeiro de 2026, o Brasil e a União Europeia adotaram decisões de adequação mútua, marcando um momento decisivo para as transferências internacionais de dados entre as duas jurisdições. A medida foi formalizada por meio da Resolução CD/ANPD nº 32/2026, do lado brasileiro, e da correspondente decisão de execução da Comissão Europeia, do lado da UE.
Esse reconhecimento mútuo significa que os dados pessoais podem circular entre o Brasil e a UE de forma direta, segura e sem mecanismos adicionais de transferência, nos termos do Artigo 33, I, da LGPD. A decisão abrange transferências para todos os Estados-membros da UE, além de Islândia, Liechtenstein e Noruega (países do EEE/EFTA), bem como para instituições, órgãos e agências da UE.
O marco de adequação exclui transferências realizadas exclusivamente para fins de segurança pública, defesa nacional, segurança do Estado ou investigação e persecução criminal. O acordo está sujeito a revisão a cada quatro anos. Trata-se da primeira decisão de adequação do Brasil e da mais abrangente já adotada pela União Europeia nos termos do GDPR, cobrindo simultaneamente os setores público e privado.
O Projeto de Lei de IA do Brasil (PL 2338/2023)
A proposta de Lei de Inteligência Artificial do Brasil, o Projeto de Lei nº 2338/2023, representa um desenvolvimento regulatório significativo para organizações que utilizam sistemas de IA no tratamento de dados pessoais. O Senado Federal aprovou o projeto em 10 de dezembro de 2024. Até maio de 2026, o projeto permanecia em análise na Câmara dos Deputados, onde havia sido encaminhado a uma comissão especial instituída em 29 de abril de 2025.
O projeto estabelece uma estrutura baseada em risco, com três níveis. Sistemas de IA de risco excessivo são totalmente proibidos. Sistemas de alto risco, que incluem os utilizados para identificação biométrica, decisões de emprego, pontuação de crédito e serviços sociais, exigem avaliações formais de impacto antes de sua implementação. Sistemas de risco significativo estão sujeitos a obrigações de transparência e divulgação.
Na redação atual do projeto, a ANPD é designada como a principal reguladora de IA. Isso conferiria à ANPD competência sobre sistemas de IA que tratam dados pessoais, criando uma sobreposição direta com a fiscalização da LGPD. O projeto também cria obrigações específicas para modelos de fundação de IA generativa, incluindo exigências de transparência sobre os dados de treinamento.
A análise na Câmara trouxe à tona preocupações conflitantes sobre exceções de vigilância biométrica para fins de segurança pública, o alcance da responsabilidade dos desenvolvedores de modelos de fundação e a relação entre o projeto de IA e as disposições vigentes da LGPD. Até maio de 2026, nenhuma votação em plenário havia sido agendada. Até que o projeto seja sancionado e entre em vigor, a ANPD regula o tratamento de dados relacionado à IA com base nas disposições vigentes da LGPD, como demonstrado pela ação de fiscalização contra o treinamento de IA da Meta em 2024.
LGPD x GDPR: Principais Diferenças
Embora a LGPD tenha sido inspirada no GDPR, diversas diferenças importantes distinguem as duas estruturas. A tabela abaixo resume as variações estruturais mais significativas.
| Tema | LGPD (Brasil) | GDPR (UE) |
|---|---|---|
| Bases legais para o tratamento | 10 (inclui proteção do crédito) | 6 |
| Multa máxima | 2% do faturamento no Brasil; limite de R$ 50 milhões por infração | 4% do faturamento global; limite de € 20 milhões |
| Comunicação de incidente à autoridade | 3 dias úteis | 72 horas |
| Comunicação de incidente aos titulares | 3 dias úteis (mesmo prazo) | Sem atraso indevido, quando houver alto risco |
| Exigência de encarregado | Todos os controladores (com dispensa restrita para pequenas empresas) | Condicional (larga escala, autoridade pública, categoria especial) |
| Obrigações diretas do operador | Não (principalmente via contrato) | Sim (vinculação direta) |
| Idade para consentimento sobre dados de crianças | Consentimento dos pais exigido para menores de 12 anos | 16 anos (Estados-membros podem reduzir para 13) |
| Princípio da não discriminação | Princípio autônomo e explícito | Não é um princípio autônomo |
| Fundamento constitucional | Sim (EC 115/2022, Art. 5º, LXXIX) | Sim (Art. 8º da Carta da UE) |
Para uma análise completa de ambas as estruturas, veja nossa comparação entre GDPR e LGPD.
Relatórios de Impacto à Proteção de Dados Pessoais
A LGPD exige Relatórios de Impacto à Proteção de Dados Pessoais (RIPD, equivalente ao DPIA) para atividades de tratamento que apresentem alto risco aos direitos fundamentais e às liberdades civis dos titulares. A ANPD estabeleceu critérios específicos para determinar quando o RIPD é obrigatório.
O RIPD passa a ser exigido quando o tratamento atende a critérios cumulativos: a atividade deve envolver tratamento em larga escala ou afetar significativamente os direitos e interesses dos titulares, além de pelo menos um fator de risco adicional. Esses fatores incluem monitoramento de áreas de acesso público, tomada de decisão automatizada, uso de tecnologias emergentes, tratamento de dados sensíveis, tratamento de dados de crianças ou idosos, ou qualquer tratamento que possa resultar em efeitos discriminatórios.
O RIPD deve documentar os tipos de dados pessoais coletados, a metodologia de coleta e tratamento, as medidas e mecanismos utilizados para mitigar riscos, e a análise do controlador quanto à proporcionalidade e necessidade do tratamento em relação às finalidades declaradas. A Agenda Regulatória da ANPD para 2025-2026 identifica as diretrizes de RIPD como item prioritário, o que significa que novas regulamentações sobre os requisitos e a metodologia do RIPD são esperadas antes do final de 2026.
Dados de Crianças e Adolescentes
A LGPD prevê proteções específicas para o tratamento de dados pessoais de crianças e adolescentes, nos termos do Artigo 14. O tratamento deve sempre ser realizado no melhor interesse da criança ou do adolescente.
Para crianças menores de 12 anos, o tratamento de dados pessoais exige consentimento específico e destacado de pelo menos um dos pais ou do responsável legal. Os controladores devem envidar esforços razoáveis para verificar que o consentimento foi efetivamente dado pelo responsável, utilizando a tecnologia disponível.
Para adolescentes de 13 a 17 anos, a LGPD não exige expressamente o consentimento dos pais, mas o tratamento ainda deve atender ao melhor interesse do menor. A ANPD sinalizou maior rigor na fiscalização do tratamento de dados envolvendo menores como prioridade para o biênio 2026-2027.
O Estatuto Digital da Criança e do Adolescente do Brasil (ECA Digital, Lei nº 15.211/2025), que entrou em vigor em março de 2026, cria regras adicionais para a proteção de menores no uso de aplicativos on-line, jogos eletrônicos, redes sociais e programas de computador. Os operadores de plataformas devem implementar mecanismos de verificação de idade, configurações de privacidade por padrão e moderação de conteúdo voltada a menores. A ação da ANPD contra o TikTok em dezembro de 2024 antecipou as obrigações mais rígidas que o ECA Digital agora impõe.
Requisitos de Conformidade para as Organizações
As organizações que tratam dados pessoais no Brasil, ou de residentes brasileiros, devem adotar as seguintes medidas para garantir a conformidade com a LGPD.
Indicar um Encarregado de Proteção de Dados. Salvo dispensa por se tratar de agente de tratamento de pequeno porte, todo controlador deve indicar um encarregado e divulgar publicamente suas informações de contato. O encarregado deve ser capaz de se comunicar em português com a ANPD.
Mapear as Atividades de Tratamento de Dados. Realizar um inventário abrangente de todas as atividades de tratamento de dados pessoais, identificando os tipos de dados coletados, as finalidades do tratamento, as bases legais utilizadas, os acordos de compartilhamento de dados e os prazos de retenção.
Definir as Bases Legais. Identificar e documentar a base legal adequada para cada atividade de tratamento. O legítimo interesse e a execução de contrato não podem ser utilizados para o tratamento de dados sensíveis.
Implementar Mecanismos para os Direitos dos Titulares. Criar processos claros, acessíveis e gratuitos para que os titulares exerçam seus direitos, incluindo acesso, correção, eliminação, portabilidade e revogação do consentimento.
Desenvolver um Plano de Resposta a Incidentes. Preparar um plano de resposta a incidentes que permita a comunicação à ANPD e aos titulares afetados dentro do prazo de três dias úteis. Designar membros da equipe responsáveis pela avaliação e comunicação de incidentes.
Realizar Relatórios de Impacto à Proteção de Dados. Elaborar RIPDs para qualquer atividade de tratamento que atenda aos critérios de alto risco definidos pela ANPD. Documentar a metodologia de avaliação, os riscos identificados e as medidas de mitigação.
Revisar os Mecanismos de Transferência Internacional. No caso de transferência internacional de dados, garantir a conformidade com os Artigos 33 a 36 da LGPD. As transferências para países da UE se beneficiam da decisão de adequação mútua de janeiro de 2026 e não exigem mecanismos adicionais. As transferências para outras jurisdições exigem SCCs aprovadas pela ANPD (nos termos da Resolução CD/ANPD nº 19/2024, cujo prazo de adaptação expirou em 23 de agosto de 2025), futura aprovação de BCR, ou outro mecanismo legalmente previsto. As organizações que ainda não implementaram SCCs para transferências fora da UE estão atualmente em desconformidade.
Treinar os Funcionários. Oferecer treinamento regular sobre proteção de dados a funcionários e contratados que lidam com dados pessoais. O encarregado deve supervisionar os programas de treinamento.
Manter Registros. Manter registros detalhados das atividades de tratamento, do consentimento obtido, dos RIPDs realizados, das comunicações de incidentes apresentadas e das solicitações de titulares atendidas.
Acompanhar as Novidades sobre IA e Dados de Menores. As organizações que utilizam sistemas de IA para tratar dados pessoais devem acompanhar a tramitação do PL 2338/2023 na Câmara dos Deputados. Os operadores de plataformas on-line acessíveis a menores devem cumprir o ECA Digital (Lei nº 15.211/2025), em vigor desde março de 2026.
Frequently Asked Questions
A LGPD se aplica a empresas estrangeiras que tratam dados de pessoas no Brasil?
Sim. A LGPD tem alcance extraterritorial explícito. Ela se aplica a qualquer organização, independentemente de sua localização, que trate dados pessoais de pessoas no Brasil, ofereça bens ou serviços a pessoas no Brasil, ou colete dados de pessoas fisicamente localizadas no Brasil. As empresas estrangeiras devem cumprir as mesmas exigências que as organizações brasileiras, incluindo a indicação de um encarregado e o estabelecimento de mecanismos para os direitos dos titulares.
O que a Emenda Constitucional EC 115/2022 mudou para a proteção de dados no Brasil?
A EC 115/2022, promulgada em 10 de fevereiro de 2022, incluiu a proteção de dados pessoais como direito fundamental explícito, nos termos do Artigo 5º, inciso LXXIX, da Constituição Federal. A emenda garante o direito à proteção de dados "inclusive nos meios digitais". Ela também conferiu à União competência exclusiva para legislar sobre proteção de dados, impedindo que estados e municípios editem normas conflitantes. Esse alicerce constitucional fortalece a autoridade da LGPD e foi citado como um fator determinante na decisão da UE de conceder ao Brasil uma decisão de adequação em janeiro de 2026.
Como funciona a base legal de proteção do crédito na LGPD, e por que ela é exclusiva?
A base de proteção do crédito, prevista no Artigo 7º, X, da LGPD, permite que as organizações tratem dados pessoais para fins de pontuação de crédito, avaliação de capacidade creditícia e prevenção a fraudes sem a necessidade de consentimento. Essa base legal reflete o extenso sistema brasileiro de cadastro de crédito e a importância do acesso ao crédito na economia brasileira. Ela é exclusiva da LGPD e não tem equivalente direto no GDPR, no qual o tratamento relacionado a crédito normalmente se baseia em legítimo interesse ou obrigação legal.
O que mudou com a decisão de adequação mútua entre a UE e o Brasil em janeiro de 2026?
A decisão de adequação mútua, adotada em 26 de janeiro de 2026, permite que os dados pessoais circulem livremente entre o Brasil e a UE (incluindo os países do EEE/EFTA) sem salvaguardas adicionais de transferência. Antes dessa decisão, as organizações precisavam de cláusulas contratuais padrão, normas corporativas globais ou outros mecanismos aprovados para cada transferência. Agora, as transferências podem ocorrer diretamente com base no Artigo 33, I, da LGPD e no Artigo 45 do GDPR. A decisão é revisada a cada quatro anos e exclui transferências para fins de segurança nacional ou persecução criminal.
Quais são os requisitos de SCC do Brasil para transferências internacionais de dados fora da UE?
A Resolução CD/ANPD nº 19/2024, publicada em 23 de agosto de 2024, instituiu as Cláusulas Contratuais Padrão aprovadas pela ANPD para transferências internacionais de dados. As SCCs abrangem tanto transferências controlador-controlador quanto controlador-operador. O prazo de adaptação de 12 meses para implementação das SCCs expirou em 23 de agosto de 2025. As organizações que transferem dados pessoais para países sem decisão de adequação (ou seja, a maioria dos países fora da UE/EEE) agora precisam ter SCCs implementadas, sob pena de desconformidade. As Normas Corporativas Globais continuam tecnicamente disponíveis, mas exigem aprovação prévia da ANPD, e nenhuma havia sido aprovada até meados de 2025.
Quais são as penalidades por violar a LGPD, e elas podem aumentar?
As penalidades atuais incluem multas de até 2% do faturamento no Brasil (limitadas a R$ 50 milhões por infração), multas diárias, publicização da infração, bloqueio ou eliminação de dados, suspensão do tratamento por até seis meses e proibição total do exercício de atividades de tratamento de dados. O Projeto de Lei PL 4530/23, atualmente em tramitação, propõe aumentar a multa máxima para 20% do faturamento, com limite de R$ 100 milhões por infração. A ANPD já aplicou mais de R$ 98 milhões em multas desde 2023.
Como a regra de comunicação de incidentes do Brasil difere da exigência de 72 horas do GDPR?
Nos termos da Resolução CD/ANPD nº 15/2024, os controladores devem comunicar a ANPD e os titulares afetados no prazo de três dias úteis a partir do conhecimento de que um incidente de segurança pode resultar em risco ou dano. O GDPR exige a comunicação à autoridade supervisora em até 72 horas. Uma diferença importante é que a LGPD também exige comunicação direta aos titulares afetados dentro do mesmo prazo de três dias, enquanto o GDPR exige a comunicação aos titulares apenas quando houver alto risco a seus direitos e liberdades, sem prazo específico além de "sem atraso indevido".
Qual é a situação atual do projeto de lei de IA do Brasil, o PL 2338/2023?
O Senado Federal aprovou o Projeto de Lei nº 2338/2023 em 10 de dezembro de 2024. Até maio de 2026, o projeto permanecia em análise na Câmara dos Deputados, onde uma comissão especial foi instituída em 29 de abril de 2025 para analisar a proposta. O projeto estabelece uma estrutura de IA baseada em risco e designa a ANPD como principal reguladora de IA. Ele ainda não foi sancionado como lei. Até sua aprovação, a ANPD regula o tratamento de dados relacionado à IA com base nas disposições vigentes da LGPD.
As pequenas empresas estão isentas da LGPD?
Os agentes de tratamento de pequeno porte, conforme definidos pela Resolução CD/ANPD nº 2/2022, têm obrigações de conformidade reduzidas sob a LGPD. Essa categoria abrange microempresas, pequenas empresas, startups e pessoas físicas ou jurídicas cujas atividades de tratamento de dados apresentem risco limitado. A principal dispensa prática é quanto à obrigatoriedade de indicar um encarregado. No entanto, os agentes de tratamento de pequeno porte ainda devem cumprir as exigências substantivas da LGPD, incluindo a identificação da base legal, os direitos dos titulares e a comunicação de incidentes. A primeira ação sancionatória da ANPD (Telekall, 2023) foi contra uma pequena empresa de telecomunicações.
Sources and References
- Lei Geral de Proteção de Dados (Lei nº 13.709/2018)(planalto.gov.br).gov
- Site Oficial da ANPD(gov.br).gov
- Emenda Constitucional EC 115/2022: a Proteção de Dados como Direito Fundamental(diascarneiro.com.br)
- Comissão Europeia: Acordo de Adequação de Dados entre a UE e o Brasil(ec.europa.eu).gov
- Resolução CD/ANPD nº 15/2024: Exigências de Comunicação de Incidentes de Segurança(gov.br).gov
- Resolução CD/ANPD nº 2/2022: Agentes de Tratamento de Pequeno Porte(gov.br).gov
- Resolução CD/ANPD nº 4/2023: Metodologia de Dosimetria das Sanções(gov.br).gov
- Resolução CD/ANPD nº 19/2024: Transferências Internacionais de Dados e SCCs(mayerbrown.com)
- Lei nº 15.211/2025: Estatuto Digital da Criança e do Adolescente (ECA Digital)(planalto.gov.br).gov
- Mayer Brown: Fim do Prazo de Adaptação para as SCCs do Brasil (agosto de 2025)(mayerbrown.com)
- Baker McKenzie: Decisão de Adequação Mútua de Proteção de Dados entre Brasil e UE(bakermckenzie.com)
- Mayer Brown: Uma Nova Era para as Transferências de Dados Pessoais (UE-Brasil)(mayerbrown.com)
- IAPP: ANPD Torna-se Agência Reguladora Independente(iapp.org)
- Kasznar Leonardos: Segunda Sanção da ANPD (IAMSPE)(kasznarleonardos.com)
- ICLG: Leis e Regulamentos de Proteção de Dados no Brasil 2025-2026(iclg.com)
- Trench Rossi Watanabe: Temas Prioritários da ANPD 2026-2027(trenchrossi.com)
- Library of Congress: Senado do Brasil Avança Projeto de Lei de IA (2025)(loc.gov).gov
- Mattos Filho: a Proteção de Dados como Direito Fundamental no Brasil(mattosfilho.com.br)
- Resolução CD/ANPD nº 15/2024: Exigências de Comunicação de Incidentes de Segurança(gov.br).gov