LGPD na Prática: O Que Todo Desenvolvedor Precisa Saber

Recentemente, enquanto desenvolvia um sistema, me deparei com uma necessidade que muitos desenvolvedores acabam ignorando ou deixando para depois: a adequação a LGPD. A verdade e que a Lei Geral de Proteção de Dados não e apenas uma preocupação jurídica. Ela impacta diretamente a forma como projetamos bancos de dados, desenhamos fluxos de cadastro, armazenamos logs e até como estruturamos nossas APIs. Este post reune o que aprendi ao estudar a lei e aplicar seus requisitos na prática, com referencias diretas aos artigos da legislação.

Se você desenvolve qualquer sistema que coleta dados de pessoas físicas no Brasil, este conteúdo é para você.

O que é a LGPD?

A Lei 13.709/2018, conhecida como LGPD (Lei Geral de Proteção de Dados Pessoais), foi sancionada em 14 de agosto de 2018 e entrou em vigor em setembro de 2020. Sua inspiração direta é o GDPR (General Data Protection Regulation) da União Europeia, e seu objetivo e regulamentar o tratamento de dados pessoais por qualquer pessoa natural ou jurídica, de direito público ou privado, conforme estabelecido no Art. 1 da Lei 13.709/2018.

A fiscalização e aplicação da lei cabem a ANPD (Autoridade Nacional de Proteção de Dados), órgão criado especificamente para esse fim. A ANPD tem competência para editar normas, fiscalizar, aplicar sanções e orientar sobre a interpretação da lei.

Texto integral da lei: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

Conceitos fundamentais

O Art. 5 da Lei 13.709/2018 define os conceitos essenciais que todo desenvolvedor precisa dominar:

Dado pessoal (Art. 5, I da Lei 13.709/2018): qualquer informação relacionada a pessoa natural identificada ou identificável. Isso inclui nome, e-mail, CPF, endereço IP e até dados de navegação que permitam identificar alguém.

Dado pessoal sensível (Art. 5, II da Lei 13.709/2018): categoria especial que exige proteção reforçada. Abrange dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados de saúde, vida sexual, dados genéticos ou biométricos.

Titular (Art. 5, V da Lei 13.709/2018): a pessoa natural a quem os dados se referem. No contexto de um sistema, é o usuário cadastrado.

Controlador (Art. 5, VI da Lei 13.709/2018): pessoa natural ou jurídica que toma as decisões sobre o tratamento dos dados. Normalmente, a empresa ou pessoa que opera o sistema.

Operador (Art. 5, VII da Lei 13.709/2018): pessoa natural ou jurídica que realiza o tratamento de dados em nome do controlador. Serviços de cloud, provedores de e-mail marketing e processadores de pagamento frequentemente atuam como operadores.

Encarregado/DPO (Art. 5, VIII da Lei 13.709/2018): pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares é a ANPD.

Tratamento (Art. 5, X da Lei 13.709/2018): qualquer operação realizada com dados pessoais, incluindo coleta, armazenamento, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, eliminação, entre outras.

Bases legais para tratamento de dados pessoais

O Art. 7 da Lei 13.709/2018 estabelece dez bases legais que autorizam o tratamento de dados pessoais. Sem ao menos uma delas, o tratamento é ilegal:

  1. Consentimento do titular (Art. 7, I da Lei 13.709/2018)
  2. Cumprimento de obrigação legal ou regulatoria (Art. 7, II da Lei 13.709/2018)
  3. Execução de políticas públicas pela administração pública (Art. 7, III da Lei 13.709/2018)
  4. Realização de estudos por órgão de pesquisa (Art. 7, IV da Lei 13.709/2018)
  5. Execução de contrato ou procedimentos preliminares (Art. 7, V da Lei 13.709/2018)
  6. Exercício regular de direitos em processo judicial, administrativo ou arbitral (Art. 7, VI da Lei 13.709/2018)
  7. Proteção da vida ou incolumidade física (Art. 7, VII da Lei 13.709/2018)
  8. Tutela da saúde (Art. 7, VIII da Lei 13.709/2018)
  9. Legítimo interesse do controlador (Art. 7, IX da Lei 13.709/2018)
  10. Proteção do crédito (Art. 7, X da Lei 13.709/2018)

Para sistemas web, tres bases legais são as mais utilizadas no dia a dia:

O consentimento (Art. 7, I) é a base mais conhecida e exige que o titular manifeste concordância de forma livre, informada e inequívoca. E a base adequada para envio de newsletters, uso de cookies de rastreamento e coleta de dados opcionais.

A execução de contrato (Art. 7, V) permite tratar dados necessários para cumprir um contrato com o titular. Ao cadastrar um usuário para prestar um serviço, os dados essenciais para essa prestação podem ser tratados com base nessa fundamentação, sem necessidade de consentimento separado.

O legítimo interesse (Art. 7, IX) é a base mais flexível, porem exige cautela. Pode ser utilizado para prevenção a fraude, segurança do sistema ou melhoria de serviços, desde que não se sobreponha aos direitos e liberdades fundamentais do titular. O Art. 10 da Lei 13.709/2018 detalha os requisitos para seu uso.

Direitos do titular

O Art. 18 da Lei 13.709/2018 estabelece os direitos que todo titular de dados pode exercer perante o controlador:

  • Confirmação da existência de tratamento (Art. 18, I da Lei 13.709/2018): o titular pode perguntar se seus dados são tratados.
  • Acesso aos dados (Art. 18, II da Lei 13.709/2018): o titular pode solicitar uma copia dos dados que o sistema possui sobre ele. Na prática, isso exige um endpoint ou funcionalidade de exportação.
  • Correção de dados (Art. 18, III da Lei 13.709/2018): o titular pode solicitar a correção de dados incompletos, inexatos ou desatualizados. O sistema deve permitir a edição de informações do perfil.
  • Anonimização, bloqueio ou eliminação de dados desnecessários (Art. 18, IV da Lei 13.709/2018): dados excessivos ou tratados em desconformidade devem poder ser anonimizados ou eliminados.
  • Portabilidade dos dados (Art. 18, V da Lei 13.709/2018): o titular pode solicitar a transferência de seus dados para outro fornecedor. A implementação prática é oferecer exportação em formato estruturado como JSON ou CSV.
  • Eliminação dos dados (Art. 18, VI da Lei 13.709/2018): o titular pode solicitar a exclusão definitiva de seus dados pessoais tratados com base no consentimento. Isso significa exclusão real no banco de dados, não apenas uma desativação logica.
  • Informação sobre compartilhamento (Art. 18, VII da Lei 13.709/2018): o titular tem direito de saber com quais entidades públicas ou privadas seus dados foram compartilhados.
  • Informação sobre a possibilidade de não consentir (Art. 18, VIII da Lei 13.709/2018): o titular deve ser informado sobre as consequencias de não fornecer consentimento.
  • Revogação do consentimento (Art. 18, IX da Lei 13.709/2018): o titular pode revogar o consentimento a qualquer momento, por procedimento gratuito e facilitado.

Princípios do tratamento de dados

O Art. 6 da Lei 13.709/2018 define dez principios que devem nortear toda atividade de tratamento de dados pessoais:

  • Finalidade (Art. 6, I): tratar dados para propósitos legítimos, específicos e informados ao titular.
  • Adequação (Art. 6, II): o tratamento deve ser compatível com as finalidades informadas.
  • Necessidade (Art. 6, III): limitar o tratamento ao mínimo necessário. Na prática, isso significa não pedir dados que o sistema não precisa. Nao solicite CPF se ele não e necessário para a operação.
  • Livre acesso (Art. 6, IV): garantir consulta facilitada e gratuita sobre a forma e duração do tratamento.
  • Qualidade dos dados (Art. 6, V): garantir exatidão, clareza e atualização dos dados.
  • Transparência (Art. 6, VI): informações claras e acessiveis sobre o tratamento.
  • Segurança (Art. 6, VII): medidas técnicas e administrativas para proteger os dados de acessos não autorizados.
  • Prevenção (Art. 6, VIII): adotar medidas para prevenir danos ao titular.
  • Nao discriminação (Art. 6, IX): impossibilidade de tratamento para fins discriminatórios.
  • Responsabilização e prestação de contas (Art. 6, X): demonstrar a adoção de medidas eficazes para cumprir a lei.

Sanções e multas

O Art. 52 da Lei 13.709/2018 preve sanções administrativas que a ANPD pode aplicar em caso de infrações. A ANPD ja aplica sanções desde 2023, o que torna a adequação não apenas uma boa prática, mas uma necessidade real:

  • Advertência (Art. 52, I da Lei 13.709/2018), com indicação de prazo para adoção de medidas corretivas.
  • Multa simples de até 2% do faturamento da pessoa jurídica, limitada a R$50 milhoes por infração (Art. 52, II da Lei 13.709/2018).
  • Multa diaria (Art. 52, III da Lei 13.709/2018), observado o limite total de R$50 milhoes.
  • Publicização da infração (Art. 52, IV da Lei 13.709/2018), apos apuração e confirmação da ocorrência. O dano reputacional pode ser tao grave quanto a multa financeira.
  • Bloqueio dos dados pessoais (Art. 52, V da Lei 13.709/2018) até a regularização.
  • Eliminação dos dados pessoais (Art. 52, VI da Lei 13.709/2018) a que se refere a infração.
  • Suspensão parcial do funcionamento do banco de dados por até 6 meses (Art. 52, X da Lei 13.709/2018).
  • Suspensão do exercício da atividade de tratamento por até 6 meses (Art. 52, XI da Lei 13.709/2018).
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados (Art. 52, XII da Lei 13.709/2018).

A suspensão do banco de dados ou da atividade de tratamento pode significar a paralisação completa de um sistema. Para empresas de tecnologia, isso equivale a interromper a operação.

O que seu sistema precisa ter

A seguir, os requisitos práticos que um sistema deve atender para estar em conformidade:

  1. Política de Privacidade (Art. 9 da Lei 13.709/2018): documento público, redigido em linguagem clara e acessível, que informe quais dados são coletados, para que finalidade, com quem são compartilhados e por quanto tempo são retidos.

  2. Termos de Serviço: documento que estabelece as regras de uso do sistema é a relação contratual com o usuário.

  3. Consentimento explícito e granular (Art. 8 da Lei 13.709/2018): o consentimento deve ser coletado de forma destacada, documentado com timestamp e prova, e deve poder ser revogado a qualquer momento. Cada finalidade deve ter consentimento separado, conforme o Art. 8, parágrafo 4 da Lei 13.709/2018.

  4. Mecanismo de exportação de dados (Art. 18, V da Lei 13.709/2018): permitir que o titular exporte seus dados em formato estruturado.

  5. Mecanismo de exclusão de dados (Art. 18, VI da Lei 13.709/2018): exclusão real e permanente dos dados, incluindo exclusão em cascata em tabelas relacionadas. Desativar uma conta não é o mesmo que excluir dados.

  6. Minimização de dados (Art. 6, III da Lei 13.709/2018): coletar apenas o que e estritamente necessário para a finalidade declarada.

  7. Anonimização ou pseudonimização quando possível (Art. 13 da Lei 13.709/2018): aplicar técnicas que impeçam a identificação do titular quando o dado identificável não for necessário.

  8. Registro de operações de tratamento (Art. 37 da Lei 13.709/2018): manter registro documentado de todas as operações de tratamento realizadas.

  9. Relatório de impacto a proteção de dados (Art. 38 da Lei 13.709/2018): quando solicitado pela ANPD, o controlador deve ser capaz de apresentar esse relatório.

  10. Notificação de incidentes de segurança (Art. 48 da Lei 13.709/2018): em caso de incidente que possa acarretar risco ou dano ao titular, o controlador deve comunicar a ANPD e os titulares afetados em prazo razoável.

  11. Encarregado de dados/DPO (Art. 41 da Lei 13.709/2018): indicar um encarregado e disponibilizar um canal de contato público para que titulares é a ANPD possam se comunicar.

  12. Segurança da informacao (Art. 46 da Lei 13.709/2018): adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.

Na prática: o que implementei

No sistema que estou desenvolvendo, apliquei os seguintes conceitos:

  • Fluxo de consentimento com checkboxes granulares e registro em banco de dados com timestamp, IP e versão da política aceita.
  • Exportação de dados do titular em formato JSON, acessível pelo próprio usuário em sua área de perfil.
  • Exclusão real de conta com cascade em todas as tabelas relacionadas, garantindo que nenhum dado pessoal permaneca no banco apos a solicitação.
  • Anonimização de endereços IP em logs apos o período de retenção necessário.
  • Log de auditoria no painel administrativo, registrando quem acessou dados de quais usuários e quando.
  • Banner de consentimento de cookies, bloqueando cookies não essenciais até a aceitação explícita.
  • Paginas dedicadas de Política de Privacidade e Termos de Serviço, redigidas em linguagem acessível.

Nenhuma dessas implementações exigiu bibliotecas complexas ou grandes mudancas arquiteturais. A maior parte do trabalho esta em projetar o sistema pensando na proteção de dados desde o inicio.

Checklist LGPD para sistemas

Documentação Legal

  • Política de Privacidade públicada e acessível (Art. 9 da Lei 13.709/2018)
  • Termos de Serviço públicados
  • Registro das operações de tratamento (Art. 37 da Lei 13.709/2018)
  • Relatório de Impacto a Proteção de Dados quando aplicável (Art. 38 da Lei 13.709/2018)
  • Indicação do Encarregado/DPO com canal de contato (Art. 41 da Lei 13.709/2018)

Consentimento

  • Consentimento coletado de forma explícita e granular (Art. 8 da Lei 13.709/2018)
  • Consentimento documentado com timestamp e prova (Art. 8, parágrafo 2 da Lei 13.709/2018)
  • Mecanismo de revogação de consentimento (Art. 8, parágrafo 5 da Lei 13.709/2018)
  • Consentimento separado para cada finalidade (Art. 8, parágrafo 4 da Lei 13.709/2018)
  • Banner de cookies para cookies não essenciais

Direitos do Titular

  • Confirmação de existência de tratamento (Art. 18, I da Lei 13.709/2018)
  • Acesso aos dados pessoais (Art. 18, II da Lei 13.709/2018)
  • Correção de dados incompletos ou incorretos (Art. 18, III da Lei 13.709/2018)
  • Eliminação de dados desnecessários (Art. 18, IV da Lei 13.709/2018)
  • Portabilidade/exportação de dados (Art. 18, V da Lei 13.709/2018)
  • Exclusão permanente de dados (Art. 18, VI da Lei 13.709/2018)
  • Canal para exercício dos direitos – self-service e contato (Art. 18, parágrafo 1 da Lei 13.709/2018)

Segurança e Proteção

  • Criptografia em transito (HTTPS) (Art. 46 da Lei 13.709/2018)
  • Anonimização ou pseudonimização de dados quando possível (Art. 13 da Lei 13.709/2018)
  • Controle de acesso baseado em roles (Art. 46 da Lei 13.709/2018)
  • Log de auditoria de acessos a dados pessoais (Art. 37 da Lei 13.709/2018)
  • Procedimento de notificação de incidentes (Art. 48 da Lei 13.709/2018)
  • Backup e recuperação de dados

Minimização e Retenção

  • Coletar apenas dados necessários para a finalidade (Art. 6, III da Lei 13.709/2018)
  • Política de retenção definida e documentada (Art. 15 da Lei 13.709/2018)
  • Exclusão automatica de dados apos período de retenção (Art. 16 da Lei 13.709/2018)
  • Dados de logs anonimizados

Transparência

  • Informar finalidade de cada dado coletado (Art. 6, I da Lei 13.709/2018)
  • Informar com quem os dados são compartilhados (Art. 9, V da Lei 13.709/2018)
  • Informar sobre transferência internacional quando aplicável (Art. 33 da Lei 13.709/2018)
  • Linguagem clara e acessível na documentação (Art. 9, parágrafo 1 da Lei 13.709/2018)

Técnico

  • Variáveis de ambiente para dados sensíveis (nunca hardcoded)
  • Tokens e senhas não expostos em logs ou frontend
  • Rate limiting em endpoints sensíveis
  • Validação e sanitização de inputs
  • Headers de segurança configurados

Referências

Lei 13.709/2018 (LGPD): http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

ANPD – Autoridade Nacional de Proteção de Dados: https://www.gov.br/anpd

Guia Orientativo da ANPD sobre Tratamento de Dados Pessoais: https://www.gov.br/anpd/pt-br/documentos-e-públicacoes