A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), em vigor desde 2020, regulamenta o tratamento de dados pessoais por agentes públicos e privados, assegurando direitos dos titulares e exigindo obrigações específicas para quem coleta, armazena ou processa dados. A Emenda Constitucional 115/2022 elevou o tratamento de dados pessoais à categoria de direito fundamental, reforçando sua importância.
Dados pessoais – definições, tratamento permitido e proibido
- Dados pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável.
- Dados sensíveis: parcela de dados que diz respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, saúde ou vida sexual etc. Tratamento mais restrito.
- Tratamento permitido: com consentimento, cumprimento de obrigação legal ou regulatória, execução de políticas públicas, execução de contrato, proteção da vida ou incolumidade física etc.
- Proibições ou usos regulados: tratamento sem consentimento ou base legal, vazamento de dados, uso para finalidade diversa da autorizada, discriminação, compartilhamento indevido etc.
Direitos do titular (acesso, exclusão, correção, portabilidade etc.)
- Acesso: saber quais dados são coletados, para que finalidade, por quem; requerer cópia ou informação.
- Correção: retificar dados imprecisos, incompletos ou desatualizados.
- Eliminação/exclusão: apagar dados que já não são mais necessários ou que a base legal deixou de existir.
- Portabilidade: transferir dados entre agentes de tratamento, quando tecnicamente viável.
- Oposição: recusar tratamento em determinadas hipóteses, exigir restrição; não pode ser discriminatório por isso.
- Revisão de decisões automatizadas: quando decisões forem tomadas com base exclusivamente em tratamento automatizado, titular pode pedir revisão ou explicação.
Obrigações das empresas
- Nomear encarregado pela proteção de dados (DPO), quando exigido ou recomendado.
- Implantar medidas de segurança técnica e organizativa: criptografia, anonimização, controles de acesso etc.
- Políticas claras de privacidade, termos de uso, relatórios de impacto (quando exigido), avaliação de risco.
- Comunicação de incidentes de segurança à ANPD e ao titular afetado, com prazo e informações mínimas.
- Auditorias, governança de dados, treinamento de funcionários para evitar falhas humanas.
Exemplos de casos recentes e jurisprudência
- Tribunais brasileiros dobraram o número de decisões que mencionam a LGPD entre outubro de 2023 e outubro de 2024 (de ~7.500 para ~15.900) indicando maior ativismo judicial no tema.
- Sanções aplicadas pela ANPD: mais de 120 autos de infração no primeiro semestre de 2025, totalizando centenas de milhões em valores, conforme relatórios semestrais.
- Decisão judicial contra órgão público (ex: DETRAN‑DF) por vazamento de dados pessoais com responsabilização objetiva, dano moral reconhecido.
O que fazer em caso de violação
- Documentar o ocorrido: capturar evidências, prints, registros, notificações etc.
- Entrar em contato com a empresa/mecanismo responsável, solicitar explicações, correções.
- Se necessário, registrar reclamação junto à ANPD.
- Ações judiciais possíveis: indenização por danos morais ou materiais; comunicação pública; uso do CDC em hipóteses de consumidor.
- Verificar prazos processuais, coletar provas, verificar competência jurisdicional.
Conclusão: cidadania digital e proteção contínua
- Conheça seus direitos e seja proativo: verificar políticas de privacidade, ler termos antes de consentir.
- Use boas práticas de segurança pessoal: senhas fortes, autenticação de dois fatores, cuidado com links suspeitos.
- Exija responsabilidade das empresas: transparência, prestação de contas, segurança.
- A privacidade não é apenas um dado técnico: é parte da dignidade humana, da liberdade, da integridade pessoal.
