LGPD & Privacidade
Adequação à LGPD, bases legais e interface com a ANPD.
LGPD e privacidade é a área que estrutura o tratamento legal de dados pessoais por empresas que operam no Brasil, independentemente do seu tamanho ou setor. A Hosaki Advogados atua em adequação à LGPD, mapeamento de atividades de tratamento, escolha de bases legais, elaboração de políticas e termos, resposta a incidentes e relacionamento com a ANPD.
Perguntas frequentes
Minha empresa pequena precisa se adequar à LGPD?
Sim. A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) se aplica a qualquer pessoa natural ou jurídica que realize tratamento de dados pessoais no Brasil, independentemente do porte, do setor ou da localização da empresa, desde que o tratamento ocorra no território nacional, a atividade de tratamento vise a oferta de bens ou serviços a pessoas no Brasil, ou os dados tratados tenham sido coletados no Brasil. A lei prevê exceções limitadas, como o tratamento por pessoas físicas exclusivamente para fins particulares e não econômicos, e para fins jornalísticos, artísticos, acadêmicos e de segurança pública. Empresas pequenas com baixo volume de dados e sem tratamento de dados sensíveis têm menor risco regulatório, mas não estão isentas.
Toda empresa precisa ter um DPO (Encarregado de Dados)?
A LGPD exige a indicação de um Encarregado de Dados (DPO) por controladores e operadores que realizem tratamento de dados pessoais. A ANPD publicou a Resolução CD/ANPD nº 2/2022, que estabelece regimes diferenciados para agentes de tratamento de pequeno porte — microempresas, empresas de pequeno porte e startups —, permitindo a simplificação ou dispensa de algumas obrigações, inclusive a forma de indicação do DPO. Mesmo para empresas com regime simplificado, é recomendável ter um ponto de contato identificado para receber comunicações sobre dados pessoais.
O que faço se sofrer um vazamento de dados pessoais?
Segundo a LGPD (art. 48) e as normas da ANPD, o controlador deve comunicar à ANPD e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, no prazo de 72 horas a partir do conhecimento do incidente (conforme Resolução CD/ANPD nº 15/2024). A comunicação deve conter: descrição da natureza dos dados afetados, informações dos titulares envolvidos, medidas técnicas e de segurança adotadas, riscos relacionados e as medidas corretivas tomadas. Internamente, é essencial ativar o plano de resposta a incidentes, preservar evidências e envolver o time jurídico desde o início para gerenciar a exposição regulatória.
Como faço a base legal correta para campanhas de email marketing?
Campanhas de email marketing no Brasil tipicamente se apoiam em duas bases legais da LGPD: o consentimento (art. 7º, I), quando o titular autoriza expressamente o recebimento de comunicações ao preencher um formulário com opt-in claro e inequívoco; ou o legítimo interesse (art. 7º, IX), quando há uma relação comercial pré-existente e o envio é proporcional e esperado pelo titular. O uso de bases de dados compradas ou cedidas por terceiros sem consentimento dos titulares cria exposição regulatória significativa. A política de privacidade deve informar a finalidade do tratamento, a base legal utilizada e o direito do titular de revogar o consentimento ou se opor ao tratamento a qualquer momento.
Como adapto minha política de privacidade para LGPD?
Uma política de privacidade adequada à LGPD deve informar, no mínimo: a identidade e os dados de contato do controlador e do DPO, as categorias de dados pessoais coletados, as finalidades de tratamento de cada categoria, as bases legais utilizadas, o prazo de retenção dos dados, os terceiros com quem os dados são compartilhados, as transferências internacionais de dados e seus fundamentos, e os direitos dos titulares com a forma de exercê-los. A política deve ser escrita em linguagem clara e acessível, e atualizada sempre que houver mudança relevante nas atividades de tratamento. Documentos genéricos ou importados de outra jurisdição sem adaptação criam risco regulatório.
Posso ser multado pela ANPD se cometer um erro de boa-fé?
A LGPD (art. 52) prevê sanções administrativas que incluem advertência, multa simples de até 2% do faturamento no Brasil (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio e eliminação dos dados. A ANPD considera em seus critérios de dosimetria a boa-fé do infrator, as medidas adotadas para mitigar o dano e o histórico de conformidade, o que pode atenuar a sanção. Contudo, a boa-fé isolada não exclui a responsabilidade administrativa — ela influencia a gradação da penalidade. O contexto de início de conformidade, com esforço documentado de adequação, é tratado favoravelmente pela ANPD em processos administrativos.
Termos de uso para SaaS: o que é obrigatório no Brasil
Nenhuma lei brasileira chama expressamente de 'termos de uso', mas o Marco Civil da Internet, o CDC e a LGPD juntos impõem obrigações concretas ao quem opera SaaS no Brasil. O que deve estar nos seus termos — e o que é juridicamente inválido mesmo que você inclua.
Ler artigo →
GDPR vale para empresa brasileira? Quando a lei europeia se aplica fora da UE
O GDPR tem alcance extraterritorial explícito: se você oferece produtos ou serviços a pessoas na UE, ou monitora o comportamento delas, a lei europeia se aplica — independentemente de onde sua empresa está sediada. O que isso muda na prática para startups e infoprodutores brasileiros.
Ler artigo →
Marco Civil da Internet: o guia para o negócio digital
O que o Marco Civil da Internet (Lei nº 12.965/2014) impõe a quem opera negócio digital no Brasil — responsabilidade, guarda de logs, neutralidade e interface com a LGPD.
Ler artigo →Tem uma situação específica sobre LGPD & Privacidade?
Falar com nossa equipe →