Suporte de TI, hospedagem e tecnologia sustentável para empresas
(51) 98143-8470 suporte@itcservice.com.br
ITC Service ITC Service Vila Eunice Velha, Cachoeirinha - RS, 94910-001
WhatsApp
Notícia 7 min de leitura

LGPD: guia completo para empresas — lei, princípios, direitos e ANPD

Entenda a Lei Geral de Proteção de Dados (Lei 13.709/2018): o que mudou para empresas, princípios, papéis de controlador e operador, direitos dos titulares, ANPD e papel da TI.

LGPD: guia completo para empresas — lei, princípios, direitos e ANPD

O que é a LGPD e por que importa para sua empresa

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), conhecida como LGPD, regulamenta o tratamento de dados pessoais no Brasil. Entrou em vigor em setembro de 2020 e colocou o país no mesmo patamar de maturidade de proteção de dados que a União Europeia (GDPR) e outras legislações modernas.

Para empresas, a LGPD não é apenas “documento jurídico”. Ela impacta contratos B2B, auditorias, seguros, licitações, uso de nuvem, marketing digital, RH, e-mail corporativo e descarte de equipamentos. Clientes corporativos cada vez mais exigem política de privacidade, cláusulas contratuais e evidências técnicas antes de fechar negócio.

Este guia é a referência aprofundada da ITC Service sobre a lei. Para implementação rápida em TI, veja também o LGPD na prática para PMEs: checklist de 12 pontos que TI precisa implementar e o artigo sobre Bases legais LGPD: quando cada hipótese se aplica (com exemplos para empresas).

Marco legal: LGPD, Marco Civil e ANPD

A LGPD convive com o Marco Civil da Internet (Lei 12.965/2014), que trata de neutralidade, guarda de logs por provedores e responsabilidade por conteúdo de terceiros. Enquanto o Marco Civil foca na infraestrutura e no uso da internet, a LGPD foca em dados pessoais em qualquer meio — digital ou físico.

A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão federal que fiscaliza, orienta e pode aplicar sanções. Ela publica guias, resoluções e precedentes que complementam o texto da lei. Empresas devem acompanhar atualizações em gov.br/anpd.

Conceitos essenciais

  • Dado pessoal — qualquer informação que identifique ou possa identificar uma pessoa (nome, CPF, e-mail, IP em certos contextos, combinação de cargo + empresa + cidade etc.).
  • Dado anonimizado — não identifica titular por meios razoáveis; fora do escopo da LGPD se a anonimização for irreversível.
  • Dado sensível — saúde, biometria, origem racial, religião, vida sexual etc.; exige proteção reforçada e bases legais específicas (art. 11).
  • Tratamento — qualquer operação: coletar, armazenar, usar, compartilhar, eliminar, classificar.
  • Titular — a pessoa natural dona dos dados.
  • Controlador — decide por que e como tratar (ex.: sua empresa em relação aos dados de clientes).
  • Operador — trata em nome do controlador (ex.: hospedagem, ERP em nuvem, MSP de TI).
  • Encarregado (DPO) — ponto de contato com titulares e ANPD; obrigatório em alguns casos, recomendado para PMEs em crescimento.

Os dez princípios da LGPD (art. 6º)

Todo tratamento deve observar:

  1. Finalidade — propósito legítimo, específico e explícito.
  2. Adequação — compatível com a finalidade informada.
  3. Necessidade — mínimo de dados para a finalidade.
  4. Livre acesso — titular consulta gratuitamente seus dados.
  5. Qualidade dos dados — exatidão, clareza e atualização.
  6. Transparência — informações claras e acessíveis.
  7. Segurança — medidas técnicas e administrativas.
  8. Prevenção — evitar danos antes que ocorram.
  9. Não discriminação — vedação de uso discriminatório ilícito.
  10. Responsabilização — demonstrar conformidade (accountability).

Na prática, isso significa: não coletar “por precaução” campos que não serão usados; documentar fluxos; e provar que controles existem — não apenas declarar em papel.

Quem precisa cumprir a LGPD

A lei aplica-se a qualquer operação de tratamento realizada no Brasil ou que tenha como objetivo oferecer bens/serviços a titulares no país. Microempresas e MEIs também estão sujeitas — embora a ANPD considere porte na aplicação de sanções, isso não isenta do dever de proteger dados.

Exemplos de tratamento comum em PMEs:

  • CRM com CPF e e-mail de clientes.
  • Folha de pagamento e benefícios (RH).
  • Câmeras de segurança com reconhecimento facial (dado biométrico).
  • Newsletter e remarketing no site.
  • Backup de servidores com pastas de usuários.
  • WhatsApp comercial com histórico de conversas.

Direitos dos titulares (art. 18)

O titular pode solicitar ao controlador:

  • Confirmação da existência de tratamento.
  • Acesso aos dados.
  • Correção de dados incompletos ou inexatos.
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.
  • Portabilidade a outro fornecedor (regulamentada pela ANPD).
  • Eliminação de dados tratados com consentimento.
  • Informação sobre compartilhamento.
  • Informação sobre a possibilidade de não consentir e consequências.
  • Revogação do consentimento.

Prazos de resposta e formato devem seguir orientações da ANPD. A ITC Service publica canal em sua Política de Privacidade.

Controlador, operador e cadeia de fornecedores

Quando você contrata hospedagem, Microsoft 365, Google Workspace ou suporte de TI, geralmente há dois papéis: você decide finalidades (controlador) e o fornecedor executa partes do tratamento (operador). Contratos devem incluir cláusulas de proteção de dados, suboperadores, notificação de incidentes e eliminação ao término.

A ITC Service, ao prestar suporte gerenciado, pode acessar estações e servidores com dados de funcionários e clientes do contratante — por isso documentamos escopo, confidencialidade e boas práticas. Saiba mais em gestão de suporte de TI.

Segurança e incidentes (art. 46 e seguintes)

A lei exige medidas de segurança proporcionais ao risco. Para TI, isso traduz-se em:

  • Controle de acesso e MFA.
  • Criptografia de notebooks e comunicações.
  • Backup testado e segregado.
  • Logs e monitoramento.
  • Descarte seguro de mídias — ITC Greenway.
  • Plano de resposta a incidentes.

Incidentes com risco ou dano relevante podem exigir comunicação à ANPD e aos titulares em prazo definido pela autoridade.

Sanções e riscos de não conformidade

A ANPD pode aplicar advertência, multa (até 2% do faturamento, limitada a R$ 50 milhões por infração), multa diária, publicização da infração e bloqueio ou eliminação de dados. Além da multa, há risco reputacional, perda de contratos e ações judiciais de titulares.

PMEs costumam subestimar o custo de um vazamento: horas de crise, troca de equipamentos, notificação de clientes e auditoria forense superam investimento preventivo em política + TI.

LGPD e TI: divisão prática de responsabilidades

ÁreaEntregas típicas
Jurídico / compliancePolítica de privacidade, mapeamento de processos, bases legais, contratos DPA, DPO
TI / segurançaAcesso, backup, logs, patch, criptografia, descarte, evidências técnicas
RHConsentimentos, admissão/desligamento, pasta do funcionário
MarketingCookies, opt-in newsletter, bases para campanhas
Fornecedor MSP (ITC)Monitoramento, documentação, suporte a auditorias, hardening

Relação com outras normas e setores

Escritórios de advocacia, clínicas e contabilidades têm obrigações setoriais adicionais (sigilo profissional, CFM, CRC). Veja Advocacia no RS: proteção de dados, LGPD e TI para escritórios de advocacia. Uso de IA corporativa exige governança de dados de treinamento — Governança, LGPD e uso responsável de IA nas empresas.

Roadmap de adequação em 90 dias (PME)

  1. Semana 1–2 — inventário: quais sistemas têm dados pessoais; publicar aviso de privacidade no site (modelo ITC).
  2. Semana 3–4 — revisar contratos com nuvem e MSP; MFA em e-mail e VPN.
  3. Mês 2 — política de senhas, backup testado, processo de desligamento de funcionário.
  4. Mês 3 — treinamento anti-phishing; descarte seguro de ativos obsoletos; registro de incidentes.

Perguntas frequentes

A LGPD proíbe usar planilha de clientes?
Não. Exige finalidade, segurança e base legal. Planilha em conta pessoal sem controle é alto risco.

Preciso de DPO?
Depende do porte e do tipo de tratamento. Mesmo sem obrigatoriedade, designar um responsável interno ajuda.

Cookie de analytics precisa de consentimento?
Em regra sim para cookies não essenciais. Veja Política de Cookies ITC.

Como a ITC pode ajudar?
Implementação técnica, hospedagem segura, descarte certificado e suporte documentado. Contato · Atendimento RS.