LGPD: O que todo estudante de Direito (e candidato a concurso) precisa saber

em 2 de maio de 2026

Vou ser honesta com vocês: quando a LGPD caiu no meu primeiro simulado, eu travei. Sabia que a sigla significava Lei Geral de Proteção de Dados, claro — mas na hora de responder sobre a diferença entre dado pessoal sensível e dado anonimizado, minha cabeça foi a zero.

Se você já passou por isso (ou quer evitar passar), esse artigo é pra você.

Depois de muita revisão, flashcard e questão errada, eu finalmente consegui organizar esse conteúdo de um jeito que ficou na minha cabeça. E é exatamente assim que vou te apresentar: do jeito que eu precisei que alguém me explicasse.

A Lei nº 13.709/2018 — a LGPD — tem um objetivo central que você precisa gravar já: proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.


Os fundamentos que sustentam a lei são sete: 

I. o respeito à privacidade;

II. a autodeterminação informativa;

III. a liberdade de expressão, de informação, de comunicação e de opinião;

IV. a inviolabilidade da intimidade, da honra e da imagem;

V. o desenvolvimento econômico e tecnológico e a inovação;

VI. a livre iniciativa, a livre concorrência e a defesa do consumidor; e

VII. os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o

exercício da cidadania pelas pessoas naturais.


A LGPD vale para qualquer operação de tratamento de dados, realizada por pessoa física ou jurídica — pública ou privada — sempre que:

  • A operação ocorrer em território nacional;
  • O objetivo for oferecer bens ou serviços a pessoas no Brasil; ou
  • Os dados tiverem sido coletados aqui.

Isso significa que a lei tem alcance extraterritorial. Uma empresa sediada em outro país, mas que coleta dados de brasileiros? Está sujeita à LGPD. O STF e o STJ já consolidaram esse entendimento, inclusive para empresas estrangeiras de tecnologia que operam no Brasil.


A LGPD não se aplica ao tratamento realizado:

  • Por pessoa física, para fins exclusivamente particulares e não econômicos;
  • Para fins exclusivamente jornalísticos, artísticos ou acadêmicos;
  • Para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.

Dado Pessoal
Qualquer informação relacionada a uma pessoa natural identificada ou identificável. Não precisa ser nome ou CPF — pode ser um IP, localização, hábitos de compra. A chave é: vincula-se a uma pessoa viva e identificável.

Dado Pessoal Sensível
É o dado que carrega potencial discriminatório. São eles: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa/filosófica/política, dados de saúde, vida sexual, dados genéticos ou biométricos.
Exigem proteção reforçada — o tratamento só é permitido com consentimento específico e destacado ou em hipóteses bem restritas previstas em lei.

Dado Anonimizado
Dado anonimizado é aquele que, considerando meios técnicos razoáveis, não pode mais ser associado a uma pessoa.
A pegadinha está no Art. 12: dados anonimizados não são considerados dados pessoais pela LGPD. Mas se o processo de anonimização puder ser revertido com esforços razoáveis, aí os dados voltam a ser tratados como pessoais.

A LGPD organiza os responsáveis pelo tratamento em três figuras:
Controlador — É quem decide. A pessoa (física ou jurídica, pública ou privada) a quem compete tomar as decisões sobre o tratamento dos dados. Pense nele como o "chefe da operação".
Operador — É quem executa. Realiza o tratamento em nome do controlador, seguindo as suas instruções. Ele pode ser responsabilizado solidariamente se descumprir a lei ou as instruções do controlador.
Encarregado (DPO — Data Protection Officer) — É a "ponte". Indicado pelo controlador, atua como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. Uma coisa importante: a lei permite que até uma pessoa jurídica ou mais de uma pessoa natural seja nomeada encarregada (Enunciado 680 da Jornada de Direito Civil).

O consentimento é definido pela LGPD como manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma finalidade determinada.

Dois pontos que sempre aparecem em prova:
  • Autorizações genéricas são nulas. O consentimento precisa ser específico.
  • O titular pode revogar o consentimento a qualquer momento, de forma gratuita e facilitada.

Quando o Estado trata dados, a lógica muda um pouco. Alguns pontos essenciais:
Compartilhamento interno (entre órgãos públicos): é permitido para execução de políticas públicas, prestação de serviços públicos e descentralização de atividades. O STF, ao julgar o Decreto 10.046/19, validou esse compartilhamento, mas exigiu que se respeitem os princípios da LGPD: finalidade legítima, limitação ao mínimo necessário e transparência.
Compartilhamento externo (para entidades privadas): como regra, é vedado. As exceções do Art. 26 são taxativas: execução descentralizada de atividade pública, dados acessíveis publicamente, previsão legal ou convênio, e prevenção de fraudes.

Se houver violação à LGPD que cause dano (patrimonial, moral, individual ou coletivo), os agentes de tratamento são obrigados a reparar. E o juiz pode inverter o ônus da prova a favor do titular.
Há uma distinção fundamental que as bancas adoram explorar:

Vazamento de dados pessoais comuns: não gera dano moral presumido (in re ipsa). O titular precisa provar o dano.
Vazamento de dados pessoais sensíveis: gera dano moral presumido, dada a natureza íntima das informações.

Quando uma empresa ou órgão descumpre a LGPD, a ANPD pode aplicar diversas sanções. As que mais aparecem nas questões são:

SançãoDetalhes
Advertência:Com prazo para adoção de medidas corretivas
Multa simples:Até 2% do faturamento da pessoa jurídica de direito privado no Brasil, limitada a R$ 50 milhões por infração
Multa diária:Observado o mesmo teto
Bloqueio dos dados:Até regularização
Eliminação dos dados
Suspensão do banco de dados:
Até 6 meses, prorrogável por igual período

A Agência Nacional de Proteção de Dados é a responsável por fiscalizar, orientar e aplicar sanções. Em 2022, a Lei nº 14.460/2022 transformou a ANPD em autarquia de natureza especial, com autonomia técnica e decisória, patrimônio próprio, sede no Distrito Federal.
Seu órgão máximo é o Conselho Diretor, composto por 5 membros escolhidos pelo Presidente da República e aprovados pelo Senado Federal, com mandato de 4 anos.

Para fixar, aqui vai um resumo em forma de perguntas:
  • A LGPD protege pessoa jurídica? Não.
  • Dados anonimizados são dados pessoais?  Não, salvo se a anonimização for reversível.
  • O consentimento é a única base legal?  Não. São 10 hipóteses no Art. 7º.
  • Qual o teto da multa simples?  2% do faturamento, limitado a R$ 50 milhões por infração.
  • Vazamento de dados sensíveis gera dano presumido?  Sim.
  • A ANPD é um órgão ou autarquia?  Autarquia de natureza especial (desde 2022).
Espero que esse artigo tenha ajudado a organizar as ideias! A LGPD parece extensa, mas quando você entende a lógica por trás de cada instituto tudo começa a fazer sentido.
Se tiver dúvidas, deixa nos comentários. Estamos todos nessa luta juntos.
Boa sorte nos estudos e nos concursos. 💙






Marcadores: , , , , , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)
Topo