RGPD vs. LGPD: Comparação entre as Leis de Privacidade da UE e do Brasil (2026)
O RGPD da UE e a LGPD do Brasil (Lei nº 13.709/2018) compartilham princípios fundacionais, mas diferem em três pontos estruturais essenciais: a LGPD oferece 10 bases legais contra 6 do RGPD, limita as multas à receita obtida no Brasil em vez do faturamento global, e concentra toda a fiscalização em uma única autoridade nacional, em vez de mais de 30 autoridades de proteção de dados.
O Regulamento Geral sobre a Proteção de Dados (RGPD) da UE e a Lei Geral de Proteção de Dados do Brasil (LGPD, Lei nº 13.709/2018) estão entre os marcos de proteção de dados mais relevantes do mundo. A LGPD foi diretamente inspirada pelo RGPD, e as duas leis compartilham uma arquitetura comum. Ainda assim, divergem em aspectos relevantes: bases legais, estruturas de sanção, modelos de fiscalização, prazos de notificação de incidente e exigências quanto ao encarregado são todos diferentes.
Esta comparação aborda todas as diferenças estruturais significativas entre os dois marcos, incluindo a transformadora decisão de adequação mútua de janeiro de 2026, que agora permite o livre fluxo de dados entre a UE e o Brasil.
Resposta Rápida: RGPD vs. LGPD em Resumo
O RGPD se aplica a todo o Espaço Econômico Europeu. A LGPD se aplica a todo tratamento de dados conectado ao Brasil. As duas leis compartilham princípios centrais (finalidade, necessidade, transparência, responsabilização) e ambas exigem um encarregado de proteção de dados, direitos dos titulares, notificação de incidentes de segurança e controles sobre transferências internacionais.
As principais diferenças: a LGPD oferece mais bases legais (10 contra 6), limita as multas à receita obtida no Brasil, e não à receita global, é fiscalizada por uma única autoridade nacional em vez de mais de 30 autoridades, e historicamente exigia regras menos rígidas de independência para o encarregado. Desde janeiro de 2026, os dois regimes se reconhecem oficialmente como adequados, o maior desenvolvimento desde que ambas as leis entraram em vigor.
Os Dois Regimes em Resumo
| Característica | RGPD | LGPD |
|---|---|---|
| Jurisdição | UE/EEE (27 Estados-membros + Noruega, Islândia, Liechtenstein) | Brasil |
| Promulgação | 14 de abril de 2016 | 14 de agosto de 2018 |
| Entrada em vigor (sanções) | 25 de maio de 2018 | 18 de setembro de 2020 (sanções: 1º de agosto de 2021) |
| Autoridade fiscalizadora | Mais de 30 autoridades nacionais + CEPD | ANPD (autoridade federal única) |
| Bases legais | 6 (Art. 6) | 10 (Art. 7) |
| Multa máxima | 20 milhões de euros ou 4% da receita global | 2% da receita no Brasil, limitada a R$ 50 milhões por infração |
| Notificação de incidente | 72 horas à autoridade de supervisão | ANPD recomenda 2 dias úteis (norma vinculante pendente) |
| Encarregado obrigatório | Condicional (órgãos públicos, tratamento de alto risco/larga escala) | Todos os controladores (com isenção limitada para pequenas empresas via Resolução 2/2022) |
| Adequação mútua | Sim: Decisão de Execução (UE) 2026/179, 27 de janeiro de 2026 | Sim: Resolução CD/ANPD nº 32, 26 de janeiro de 2026 |
DNA Comum e Semelhanças Estruturais
A LGPD tomou emprestada sua arquitetura fundacional do RGPD de forma deliberada. Os legisladores brasileiros estudaram o modelo europeu e incorporaram seus blocos centrais: direitos dos titulares, papéis de controlador e operador, bases legais para o tratamento, categorias especiais de dados sensíveis, restrições a transferências internacionais e uma autoridade supervisora dedicada.
Ambas as leis definem dados pessoais de forma ampla, cobrindo qualquer informação relacionada a pessoa natural identificada ou identificável. Ambas reconhecem uma categoria distinta de dados sensíveis, sujeita a proteção reforçada. Ambas exigem que os controladores implementem medidas técnicas e organizacionais apropriadas de segurança, realizem avaliações de impacto para tratamentos de alto risco e documentem suas atividades de tratamento.
O resultado prático: um programa em conformidade com o RGPD oferece uma base sólida para a conformidade com a LGPD. Mas as lacunas são relevantes o suficiente para que um programa apenas de RGPD não equivalha à conformidade com a LGPD.
Escopo e Aplicabilidade
O alcance territorial do RGPD é extraterritorial por definição. Ele se aplica a qualquer organização que trate dados pessoais de indivíduos no EEE, independentemente de onde a organização esteja estabelecida. Uma empresa de comércio eletrônico sediada nos Estados Unidos que vende para residentes da UE está sujeita ao RGPD.
A LGPD se aplica a qualquer operação de tratamento realizada no Brasil, destinada a oferecer bens ou serviços a indivíduos no Brasil, ou que envolva dados pessoais coletados no Brasil. Assim como o RGPD, não exige que a organização tenha presença física no Brasil.
A LGPD se aplica tanto a organizações com quanto sem fins lucrativos. As exceções incluem tratamento exclusivamente pessoal ou doméstico, finalidades jornalísticas ou artísticas, pesquisa acadêmica realizada no interesse público, segurança pública, defesa nacional e investigação criminal. Uma diferença relevante: a LGPD se aplica ao tratamento de dados pelo poder público, mas isenta os entes públicos de multas pecuniárias. Órgãos governamentais podem receber advertências, determinação de publicização da infração e ordens de suspensão do tratamento, mas não as penalidades financeiras de até R$ 50 milhões aplicáveis a empresas privadas.
Comparação de Terminologia
| Termo no RGPD | Equivalente na LGPD |
|---|---|
| Titular dos dados | Titular |
| Dados pessoais | Dados pessoais |
| Categorias especiais / dados sensíveis | Dados pessoais sensíveis (Art. 5º, II) |
| Controlador | Controlador |
| Operador | Operador |
| Encarregado de Proteção de Dados | Encarregado |
| Autoridade de supervisão | ANPD |
A definição de dados pessoais sensíveis na LGPD reflete de perto as categorias especiais do RGPD, mas inclui explicitamente convicção filosófica (ao lado da convicção religiosa) e trata os dados de crianças e adolescentes como uma categoria sensível autônoma, sujeita a tratamento especial nos termos do Artigo 14 da LGPD.
Bases Legais para o Tratamento: Seis contra Dez
Esta é a diferença estrutural mais significativa entre os dois marcos.
O RGPD prevê seis bases legais nos termos do Artigo 6: consentimento, execução de contrato, obrigação legal, interesses vitais, exercício de função pública e interesses legítimos.
A LGPD prevê dez bases legais no Artigo 7º. Ela mantém as seis bases do RGPD e acrescenta mais quatro:
| Base Legal | RGPD | LGPD |
|---|---|---|
| Consentimento | Sim (Art. 6(1)(a)) | Sim (Art. 7º, I) |
| Execução de contrato | Sim (Art. 6(1)(b)) | Sim (Art. 7º, V) |
| Obrigação legal ou regulatória | Sim (Art. 6(1)(c)) | Sim (Art. 7º, II) |
| Interesses vitais | Sim (Art. 6(1)(d)) | Coberto pela tutela da saúde e proteção da vida |
| Interesse público / exercício de função pública | Sim (Art. 6(1)(e)) | Sim (Art. 7º, III) |
| Interesses legítimos | Sim (Art. 6(1)(f)) | Sim (Art. 7º, IX) |
| Estudos por órgão de pesquisa | Subsumido no interesse público | Sim, base autônoma (Art. 7º, IV) |
| Exercício regular de direitos em processo judicial, administrativo ou arbitral | Subsumido na obrigação legal | Sim, base autônoma (Art. 7º, VI) |
| Tutela da saúde / proteção da vida | Subsumido nos interesses vitais | Sim, base autônoma (Art. 7º, VIII) |
| Proteção do crédito | Não é uma base separada | Sim, exclusiva da LGPD (Art. 7º, X) |
A base da proteção do crédito é exclusiva do direito brasileiro. Ela reflete a importância econômica dos sistemas de análise de crédito e de dados financeiros no mercado brasileiro. Uma instituição financeira que trata dados de clientes para realizar uma consulta de crédito pode se apoiar diretamente nessa base.
A base da tutela da saúde cobre procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridades sanitárias. Funciona de forma semelhante à exceção de interesses vitais do RGPD, mas é explicitamente restrita ao setor de saúde e sanitário, em vez de qualquer emergência que ameace a vida.
Para dados pessoais sensíveis, o RGPD exige consentimento explícito ou uma das exceções restritas do Artigo 9(2). O Artigo 11 da LGPD permite o tratamento de dados sensíveis sem consentimento quando indispensável para o cumprimento de obrigação legal, execução de políticas públicas, realização de estudos, exercício regular de direitos, tutela da saúde, proteção da vida ou prevenção à fraude.
Comparação dos Direitos dos Titulares
Ambos os marcos conferem aos indivíduos um conjunto abrangente de direitos sobre seus dados pessoais, com sobreposição significativa.
| Direito | RGPD | LGPD |
|---|---|---|
| Confirmação do tratamento | Sim (Art. 15) | Sim (Art. 18, I) |
| Acesso aos dados | Sim (Art. 15) | Sim (Art. 18, II) |
| Retificação | Sim (Art. 16) | Sim (Art. 18, III) |
| Exclusão / apagamento | Sim, "direito ao esquecimento" (Art. 17) | Sim (Art. 18, VI) |
| Portabilidade de dados | Sim (Art. 20) | Sim (Art. 18, V) |
| Limitação do tratamento | Sim (Art. 18) | Sem equivalente direto |
| Oposição ao tratamento | Sim (Art. 21) | Sim (Art. 18, IV: anonimização, bloqueio ou eliminação) |
| Revisão de decisão automatizada | Sim, direito à revisão humana (Art. 22) | Sim (Art. 20), mas a revisão humana não é explicitamente exigida |
| Informação sobre compartilhamento | Incluído no direito de acesso | Direito autônomo explícito (Art. 18, VII) |
| Revogação do consentimento | Sim (Art. 7(3)) | Sim (Art. 18, IX) |
| Petição à autoridade | Sim | Sim (Art. 18, parágrafo 1º) |
Duas diferenças merecem destaque. Primeiro, a LGPD não inclui um direito explícito de limitação do tratamento comparável ao Artigo 18 do RGPD. Os titulares podem solicitar anonimização, bloqueio ou eliminação, mas não há mecanismo para simplesmente suspender o tratamento enquanto uma disputa é resolvida.
Segundo, o Artigo 20 da LGPD garante o direito de solicitar revisão de decisões automatizadas, mas, ao contrário do Artigo 22 do RGPD, não exige explicitamente revisão humana. A agenda regulatória 2025-2026 da ANPD inclui a edição de orientação vinculante sobre direitos relativos à tomada de decisão automatizada, mas essa orientação ainda não havia sido finalizada até maio de 2026.
Quanto aos prazos de resposta, a LGPD impõe um prazo de 15 dias para fornecer resposta detalhada a uma solicitação de acesso do titular. O RGPD concede aos controladores 30 dias (prorrogáveis por até três meses para solicitações complexas). O prazo mais curto da LGPD cria uma pressão operacional maior para organizações que lidam com alto volume de solicitações.
Autoridades de Supervisão: ANPD versus Autoridades de Proteção de Dados da UE
A diferença estrutural na arquitetura de fiscalização é significativa.
Sob o RGPD, a fiscalização é distribuída entre mais de 30 autoridades nacionais de proteção de dados, coordenadas pelo Comitê Europeu para a Proteção de Dados (CEPD). Para o tratamento transfronteiriço envolvendo múltiplos Estados-membros da UE, o mecanismo de "balcão único" designa uma autoridade líder no país do estabelecimento principal do controlador na UE, com as demais autoridades atuando como "autoridades interessadas". Isso já produziu multas históricas da DPC irlandesa (que supervisiona Meta, Google e Apple para fins da UE) e da CNIL francesa.
A LGPD é fiscalizada por uma única autoridade federal: a ANPD. A ANPD foi criada em 2020 e elevada à condição de agência reguladora federal plenamente independente em fevereiro de 2025, o que lhe conferiu autonomia funcional, técnica, decisória, administrativa e financeira. Essa independência isola a ANPD de pressões políticas e a coloca em pé de igualdade institucional com o Banco Central e o CADE (Conselho Administrativo de Defesa Econômica) do Brasil.
A capacidade de fiscalização da ANPD ainda está em desenvolvimento em comparação às autoridades europeias mais atuantes. Suas primeiras ações significativas de fiscalização ocorreram em 2023 e 2024. Até 2025, o total de multas e sanções da ANPD havia alcançado aproximadamente R$ 98 milhões (cerca de US$ 20 milhões).
Comparação das Penalidades
Os regimes de penalidade diferem tanto na escala quanto no método de cálculo.
| Aspecto de Fiscalização | RGPD | LGPD |
|---|---|---|
| Multa máxima | 20 milhões de euros ou 4% da receita anual global (o que for maior) | 2% da receita da empresa no Brasil, com teto de R$ 50 milhões (cerca de US$ 10 milhões) por infração |
| Base de cálculo da receita | Faturamento global anual | Apenas receita no Brasil (do grupo ou conglomerado) |
| Multa diária | Disponível em algumas jurisdições de Estados-membros | Sim (sujeita ao teto agregado de R$ 50 milhões) |
| Sanções não pecuniárias | Advertências, proibições de tratamento, ordens de eliminação de dados | Advertências, publicização da infração, bloqueio/eliminação de dados, suspensão do tratamento |
| Entes governamentais | Sujeitos a multas na maioria dos Estados-membros | Isentos de multas pecuniárias |
| Direito de ação privada | Varia por Estado-membro | Sim, nos termos do direito do consumidor e da responsabilidade civil |
Para grandes multinacionais, a base de 4% da receita global do RGPD gera uma exposição drasticamente maior. Uma empresa com US$ 10 bilhões de receita global enfrenta uma multa máxima do RGPD de US$ 400 milhões; a multa máxima da LGPD para a mesma empresa é limitada a cerca de US$ 10 milhões, independentemente do porte global.
A LGPD também prevê a suspensão do tratamento como sanção, algo que pode ser operacionalmente relevante mesmo sem uma grande penalidade pecuniária. A ANPD usou esse poder no caso Meta: em julho de 2024, a ANPD determinou que a Meta suspendesse imediatamente o uso de dados pessoais de usuários brasileiros para treinamento de IA, sob pena de multa diária de R$ 50 mil em caso de descumprimento. A suspensão foi encerrada no final de agosto de 2024, após a Meta concordar com um plano de conformidade monitorado. A ANPD concluiu que a Meta havia se apoiado de forma inadequada no legítimo interesse como base legal para o treinamento de IA, carecia de transparência sobre os detalhes do tratamento e falhava em proteger os dados de menores.
Exigências quanto ao Encarregado
Ambas as leis exigem um encarregado de proteção de dados (a LGPD chama esse papel de encarregado), mas as exigências diferem substancialmente.
Sob o RGPD, um encarregado é obrigatório apenas para: autoridades e órgãos públicos, organizações cujas atividades principais envolvam monitoramento regular e sistemático de indivíduos em larga escala, e organizações que tratem categorias especiais de dados ou dados de condenações penais em larga escala (Artigo 37). O RGPD determina que o encarregado deve ter conhecimento especializado em direito de proteção de dados, deve atuar de forma independente, deve se reportar diretamente à alta administração e não pode ser destituído ou penalizado por exercer suas funções.
Sob a LGPD, todos os controladores eram originalmente obrigados a nomear um encarregado, independentemente do porte ou do escopo do tratamento. A ANPD posteriormente editou a Resolução CD/ANPD nº 2/2022, que isenta agentes de tratamento de pequeno porte (pequenas empresas, startups e empreendedores individuais) dessa exigência, salvo se tratarem dados de alto risco. A LGPD não define as qualificações do encarregado com a mesma especificidade do RGPD, e as exigências de independência são menos rigorosas. O encarregado deve ser publicamente identificado (nome e informações de contato devem ser divulgados), mas não há linha obrigatória de reporte direto ao conselho.
Uma lacuna prática: uma empresa que não seja um órgão público e não realize monitoramento sistemático em larga escala pode não precisar de um encarregado sob o RGPD, mas, se tratar dados pessoais de indivíduos brasileiros como controladora, ainda pode precisar de um encarregado sob a LGPD (salvo se a isenção para pequenas empresas se aplicar).
Notificação de Incidente de Segurança
O RGPD exige que os controladores notifiquem a autoridade de supervisão competente em até 72 horas após tomarem conhecimento de uma violação de dados pessoais que represente risco aos direitos dos indivíduos. Os indivíduos afetados devem ser notificados diretamente, sem demora indevida, quando a violação representar alto risco.
O Artigo 48 da LGPD exige que os controladores comuniquem à ANPD e aos titulares afetados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. A lei não especifica um prazo fixo de notificação. A ANPD recomendou um "prazo razoável" de dois dias úteis para a comunicação, mas isso permanece como orientação, e não como prazo legal vinculante, até maio de 2026. A ANPD já declarou que pretende editar regulamentação vinculante sobre notificação de incidentes como parte de sua agenda regulatória, mas essa regulamentação ainda está pendente.
Para organizações multinacionais, a abordagem prática é aplicar o prazo de 72 horas do RGPD como padrão interno. Qualquer incidente que exija notificação sob o RGPD deve, simultaneamente, acionar o processo de notificação da LGPD, caso titulares brasileiros sejam afetados.
Relatórios de Impacto à Proteção de Dados
Ambas as leis preveem avaliações de impacto, mas com gatilhos e estruturas de conformidade diferentes.
O RGPD exige uma Avaliação de Impacto sobre a Proteção de Dados (Data Protection Impact Assessment, DPIA) nos termos do Artigo 35 sempre que o tratamento apresentar probabilidade de risco elevado aos direitos dos indivíduos. Três categorias sempre exigem uma DPIA: avaliação sistemática envolvendo definição de perfil (profiling), tratamento em larga escala de dados sensíveis, e monitoramento sistemático em larga escala de áreas públicas. Os controladores devem documentar a DPIA e, em alguns casos, consultar a autoridade de supervisão antes de prosseguir.
O Artigo 38 da LGPD adota uma abordagem reativa: a ANPD pode exigir que um controlador produza um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) a qualquer momento. Os controladores não são obrigados a elaborar proativamente um RIPD antes de iniciar tratamentos de alto risco. No entanto, a agenda regulatória 2025-2026 da ANPD lista as avaliações de impacto como tema prioritário para nova regulamentação vinculante, e organizações que operam no Brasil devem começar a elaborar RIPDs para tratamentos de alto risco desde já, em vez de esperar que a exigência se torne obrigatória.
Transferências Internacionais de Dados
A Decisão de Adequação Mútua de Janeiro de 2026
Em 27 de janeiro de 2026, a Comissão Europeia e o Brasil adotaram simultaneamente decisões de adequação mútua. A UE adotou a Decisão de Execução (UE) 2026/179, reconhecendo o Brasil como país que oferece um nível de proteção de dados essencialmente equivalente ao do RGPD, nos termos do Artigo 45. O Brasil retribuiu por meio da Resolução CD/ANPD nº 32, de 26 de janeiro de 2026, reconhecendo a UE como jurisdição adequada nos termos da LGPD.
As consequências práticas são significativas em ambas as direções:
Transferências da UE para o Brasil agora podem ocorrer sem Cláusulas Contratuais Padrão, Normas Corporativas Vinculantes ou qualquer outro mecanismo de salvaguarda previsto no Artigo 46. A decisão de adequação abrange transferências tanto do setor público quanto do privado, com a exclusão padrão para finalidades de segurança nacional, defesa e investigação criminal.
Transferências do Brasil para a UE podem ocorrer com base na constatação de adequação da ANPD, sem salvaguardas contratuais adicionais.
A decisão está sujeita a revisão formal a cada quatro anos. O Parecer 28/2025 do CEPD foi majoritariamente favorável, mas convidou a Comissão Europeia a continuar monitorando a implementação, pelo Brasil, das RIPDs, das regras de transferência posterior, das restrições de transparência e das salvaguardas de acesso por autoridades públicas.
Resolução CD/ANPD nº 19/2024 e o Marco de Cláusulas Contratuais Padrão
Antes da decisão de adequação, o marco central para transferências realizadas a partir do Brasil era a Resolução ANPD 19/2024, publicada em 23 de agosto de 2024. Essa resolução estabeleceu as Cláusulas-Padrão Contratuais brasileiras para transferência internacional de dados e fixou um período de carência de um ano para que as empresas as incorporassem. O período de carência expirou em 23 de agosto de 2025, após o qual as transferências do Brasil para terceiros países sem decisão de adequação passaram a exigir cláusulas-padrão ou outro mecanismo aprovado.
Para transferências do Brasil para organizações da UE, a constatação de adequação da ANPD, de janeiro de 2026, agora substitui a exigência de cláusulas-padrão. Para transferências a outras jurisdições, o marco da Resolução 19/2024 (cláusulas-padrão, normas corporativas vinculantes ou cláusulas contratuais específicas) continua sendo a salvaguarda exigida.
Organizações que já haviam firmado cláusulas-padrão específicas do Brasil para fluxos entre a UE e o Brasil podem atualizar sua documentação de transferência para referenciar a base de adequação. As cláusulas-padrão continuam tecnicamente válidas, mas deixaram de ser juridicamente exigidas para essa etapa da transferência.
Fiscalização na Prática: O Histórico da ANPD
As primeiras ações formais de fiscalização da ANPD ocorreram em 2023. Em 2024, a autoridade aplicou sanções contra três entes públicos brasileiros: a Secretaria de Estado de Educação do Distrito Federal (SEEDF), o Instituto Nacional do Seguro Social (INSS) e o Ministério da Saúde. Os três casos envolveram falhas na comunicação de incidente e medidas de segurança inadequadas. Por se tratarem de órgãos governamentais, as sanções foram advertências e determinação de publicização, e não multas pecuniárias.
A ação mais relevante da ANPD no setor privado foi a suspensão, em julho de 2024, do treinamento de IA da Meta com dados de usuários brasileiros. A ANPD concluiu que a política de privacidade atualizada da Meta se apoiava de forma inadequada no legítimo interesse como base legal para o treinamento de IA, falhava em ser transparente sobre os detalhes do tratamento, criava obstáculos ao exercício dos direitos dos titulares e carecia de salvaguardas adequadas para os dados de menores. A suspensão foi reforçada por multa diária de R$ 50 mil. A Meta e a ANPD chegaram a um acordo no final de agosto de 2024, pelo qual a Meta se comprometeu com um plano de conformidade monitorado em troca do fim da suspensão.
Até 2025, o total de sanções aplicadas pela ANPD alcançou aproximadamente R$ 98 milhões. A independência institucional da ANPD (assegurada em fevereiro de 2025) e suas prioridades declaradas de fiscalização para 2026-2027 sinalizam um período de fiscalização mais ativo pela frente.
Desenvolvimentos Recentes: Agenda Regulatória 2024-2026
Temas Prioritários da ANPD para 2026-2027
Em dezembro de 2025, a ANPD publicou a Resolução CD/ANPD nº 30, estabelecendo seu Mapa de Temas Prioritários para o biênio 2026-2027, e a Resolução CD/ANPD nº 31/2025, atualizando sua agenda regulatória 2025-2026. As quatro áreas prioritárias de fiscalização e regulamentação são:
- Direitos dos titulares, com foco especial em dados sensíveis usados para fins publicitários
- Proteção de crianças e adolescentes sob o ECA Digital, incluindo verificação de idade e exigências de privacidade desde a concepção (privacy by default)
- Conformidade do poder público com a LGPD, incluindo governança de dados e regras de compartilhamento entre entes governamentais
- IA e tecnologias emergentes, incluindo a supervisão do uso de dados pessoais em sistemas de IA
Regulamentações vinculantes sobre RIPDs, direitos relativos à tomada de decisão automatizada e prazos de notificação de incidente estão todas na pauta para edição.
Projeto de Lei de IA do Brasil
O Senado brasileiro aprovou o Projeto de Lei de IA nº 2.338/2023 em 10 de dezembro de 2024, encaminhando-o à Câmara dos Deputados em março de 2025. O projeto adota uma abordagem baseada em risco, modelada de perto sobre o AI Act da União Europeia, classificando sistemas de IA como de risco excessivo, alto risco ou uso geral. Segundo o projeto, a ANPD atuaria como principal reguladora dos sistemas de IA que tratam dados pessoais, com reguladores setoriais desempenhando papel concorrente.
A promulgação final permanece incerta. O consenso político na Câmara dos Deputados ainda não havia sido alcançado no início de 2026, e o calendário eleitoral do Brasil em 2026 reduz a probabilidade de aprovação antes de 2027. As empresas devem acompanhar o andamento legislativo, mas ainda não devem contar com o projeto de lei de IA como base de conformidade.
Orientações para Conformidade Dupla
Organizações sujeitas tanto ao RGPD quanto à LGPD devem tratar os dois marcos como complementares, e não redundantes. As áreas a seguir exigem atenção específica à LGPD, mesmo em programas já em conformidade com o RGPD.
Bases legais. Mapeie as bases da LGPD para cada atividade de tratamento separadamente do mapeamento do RGPD. Atividades apoiadas em legítimo interesse sob o RGPD podem ter uma base mais específica disponível na LGPD (proteção do crédito, tutela da saúde, estudos por órgão de pesquisa). Documente ambas.
Encarregado. Uma empresa que não se enquadre na exigência condicional de encarregado do RGPD ainda pode precisar de um encarregado sob a LGPD, salvo se a isenção para pequenas empresas da Resolução CD/ANPD 2/2022 for aplicável. O encarregado deve ser publicamente identificado, com informações de contato.
Notificação de incidente. A LGPD não tem prazo legal fixo. Trate a recomendação da ANPD de dois dias úteis como seu padrão interno, aplicado em paralelo ao prazo de 72 horas do RGPD.
DPIA / RIPD. Elabore RIPDs proativamente para tratamentos de alto risco, mesmo que a LGPD ainda não os exija. A ANPD pode exigi-los a qualquer momento, e uma exigência proativa vinculante está a caminho.
Prazos de resposta. O prazo de 15 dias da LGPD para respostas detalhadas de acesso é mais curto que os 30 dias do RGPD. Configure os fluxos de solicitação de acesso do titular de acordo com o prazo mais apertado da LGPD.
Transferências internacionais. Desde 27 de janeiro de 2026, os fluxos de dados entre a UE e o Brasil são cobertos por adequação mútua nas duas direções. Atualize seus Registros de Atividades de Tratamento para refletir a base de adequação, em vez de cláusulas-padrão, para essas etapas de transferência. Para transferências do Brasil a outros países sem decisão de adequação, as cláusulas-padrão da Resolução 19/2024 continuam exigidas.
Contratantes públicos. O tratamento diferenciado que a LGPD dá aos entes públicos afeta empresas que tratam dados pessoais como operadoras em nome de órgãos governamentais brasileiros. Regras específicas se aplicam ao compartilhamento de dados governamentais.
Para um aprofundamento sobre o marco do RGPD, veja nosso guia completo sobre as leis de privacidade de dados da UE. Para a LGPD do Brasil isoladamente, veja nosso guia sobre as leis de privacidade de dados do Brasil.
Esta página reflete a legislação vigente até maio de 2026. Tanto o RGPD quanto a LGPD continuam evoluindo por meio de orientações regulatórias e decisões de fiscalização. Consulte um advogado qualificado para orientação específica à sua organização.
Frequently Asked Questions
A LGPD é basicamente uma cópia do RGPD?
A LGPD foi fortemente inspirada pelo RGPD, mas não é uma cópia direta. Compartilha os mesmos princípios fundacionais (finalidade, necessidade, transparência, responsabilização), mas diverge em diversos pontos. A LGPD tem 10 bases legais contra as 6 do RGPD, limita as multas a 2% da receita no Brasil, em vez de 4% da receita global, é fiscalizada por uma única autoridade em vez de uma rede de mais de 30 autoridades, e tem um prazo mais curto para resposta a solicitações de acesso do titular (15 dias contra 30 dias).
Qual lei tem multas mais altas, RGPD ou LGPD?
O RGPD tem multas máximas substancialmente mais altas para grandes empresas. As penalidades do RGPD chegam a 20 milhões de euros ou 4% do faturamento global anual, o que for maior. As penalidades da LGPD são limitadas a 2% da receita da empresa no Brasil, com teto de R$ 50 milhões (cerca de US$ 10 milhões) por infração. Para uma multinacional com US$ 5 bilhões de receita global, a exposição sob o RGPD chega a US$ 200 milhões; a exposição sob a LGPD é limitada a US$ 10 milhões, independentemente do porte global.
A LGPD exige consentimento para todo tratamento de dados?
Não. Assim como o RGPD, a LGPD oferece múltiplas bases legais para o tratamento de dados pessoais. A LGPD, na verdade, oferece mais opções que o RGPD, com 10 bases legais, incluindo consentimento, legítimo interesse, execução de contrato, obrigação legal, proteção do crédito e tutela da saúde. O consentimento é uma opção entre muitas, não a exigência padrão.
O Brasil tem uma decisão de adequação da UE?
Sim. Em 27 de janeiro de 2026, a Comissão Europeia adotou a Decisão de Execução (UE) 2026/179, reconhecendo formalmente o Brasil como país que oferece proteção adequada de dados nos termos do Artigo 45 do RGPD. Os dados pessoais agora podem fluir da UE para o Brasil sem Cláusulas Contratuais Padrão ou outras salvaguardas do Artigo 46. O Brasil, simultaneamente, adotou a Resolução CD/ANPD nº 32, reconhecendo a UE como adequada nos termos da LGPD.
Uma empresa pode usar a mesma política de privacidade para conformidade com o RGPD e com a LGPD?
Uma única política de privacidade global pode abordar os dois marcos, mas deve incluir divulgações específicas da LGPD. A política deve referenciar as bases legais aplicáveis da LGPD, nomear o encarregado com informações de contato, descrever os direitos disponíveis sob a lei brasileira, incluindo o prazo de resposta de 15 dias para solicitações de acesso, e explicar como peticionar à ANPD. Muitas empresas multinacionais mantêm uma única política com seções específicas por jurisdição.
A LGPD exige um Relatório de Impacto à Proteção de Dados?
Não de forma proativa, por padrão. O Artigo 38 da LGPD confere à ANPD o poder de exigir que um controlador produza um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) a qualquer momento, mas não exige que os controladores elaborem um antes de iniciar tratamentos de alto risco. O Artigo 35 do RGPD exige DPIAs proativas antes de determinadas atividades de alto risco. A agenda regulatória 2025-2026 da ANPD inclui uma exigência proativa vinculante de RIPD, portanto as organizações devem começar a elaborar RIPDs para tratamentos de alto risco desde já.
Qual foi a ação da ANPD contra a Meta?
Em julho de 2024, a ANPD determinou que a Meta suspendesse imediatamente o uso de dados pessoais de usuários brasileiros para treinamento de IA, sob pena de multa diária de R$ 50 mil em caso de descumprimento. A ANPD concluiu que a política de privacidade atualizada da Meta se apoiava de forma inadequada no legítimo interesse como base legal para o treinamento de IA, carecia de transparência e falhava em proteger os dados de menores. A suspensão foi encerrada no final de agosto de 2024, após a Meta concordar com um plano de conformidade monitorado.
Sources and References
- Decisão de Execução (UE) 2026/179 - Decisão de Adequação da UE para o Brasil(eur-lex.europa.eu).gov
- Texto Integral da LGPD - Lei nº 13.709/2018(planalto.gov.br).gov
- Site Oficial da ANPD - Autoridade Nacional de Proteção de Dados(gov.br).gov
- Comissão Europeia - Visão Geral sobre Proteção de Dados(commission.europa.eu).gov
- RGPD Artigo 6 - Licitude do Tratamento(gdpr-info.eu)
- RGPD Artigo 9 - Categorias Especiais de Dados(gdpr-info.eu)
- RGPD Artigo 35 - Avaliação de Impacto sobre a Proteção de Dados(gdpr-info.eu)
- RGPD Artigo 37 - Designação do Encarregado de Proteção de Dados(gdpr-info.eu)
- RGPD Artigo 33 - Notificação de Incidente à Autoridade de Supervisão(gdpr-info.eu)
- Comunicado da Comissão Europeia - Decisão de Adequação UE-Brasil, janeiro de 2026(ec.europa.eu).gov
- Parecer 28/2025 do CEPD - Projeto de Decisão de Adequação da UE para o Brasil(edpb.europa.eu).gov
- Administração de Comércio Internacional dos EUA - Novas Regras Brasileiras para Transferências Internacionais de Dados(trade.gov).gov
- IAPP - ANPD Torna-se Agência Reguladora Independente(iapp.org)