LGPD — A Lei que Protege seus Dados | Parte III | Capítulo 9

Parte III

Direitos, Leis e Cidadania Digital

Conhecer ameaças é necessário — mas insuficiente. Esta parte transforma o aluno de vítima potencial em cidadão informado: conhecendo seus direitos formais, as leis que os protegem e os mecanismos para exercê-los e exigi-los no ambiente digital brasileiro.

Cap. 9 — LGPD: A Lei que Protege seus Dados Cap. 10 — Crimes Cibernéticos Cap. 11 — Seus Direitos no Ambiente Digital

Parte III/Capítulo 9

LGPD:
A Lei que Protege seus Dados

Objetivos de Aprendizagem

Explicar o que é a LGPD, por que foi criada e a quem se aplica — distinguindo-a de legislações anteriores e situando-a no contexto internacional da proteção de dados.
Identificar os 10 princípios do Art. 6º e as 10 bases legais do Art. 7º que fundamentam o tratamento de dados pessoais no Brasil.
Descrever os 9 direitos do titular (Art. 18) e explicar como exercê-los na prática — incluindo como fazer uma solicitação formal a controladores.
Distinguir os papéis de controlador, operador e DPO, e compreender a função e os poderes da ANPD — incluindo o sistema de sanções administrativas.

Etapa: EF II ao Ensino Médio Duração: 3 a 4 aulas de 50 min BNCC: CO EM 13 CO 03 · CO EF 09 CO 05 · ER DIJ Páginas: 202 a 224

9.1

O Que é a LGPD e Por Que ela Existe

Em janeiro de 2021, o Brasil viveu o maior vazamento de dados de sua história: 223 milhões de CPFs expostos gratuitamente em fóruns de hackers — mais do que a população do país, incluindo pessoas já falecidas. Junto com os CPFs, estavam disponíveis nomes completos, endereços, telefones, e-mails, renda estimada, score de crédito, informações sobre veículos e fotos de rosto. A LGPD havia entrado em vigor 4 meses antes. Nenhuma empresa foi multada. Nenhuma pessoa foi presa. A lei existia — mas o sistema de fiscalização ainda estava sendo construído.

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018, conhecida como LGPD) é o marco legal brasileiro que regula o tratamento de dados pessoais por pessoas físicas e jurídicas, públicas e privadas. Ela não é uma lei de segurança digital — é uma lei de direitos fundamentais: estabelece que informações sobre pessoas pertencem, primariamente, a essas pessoas — não a quem as coletou.

🔭 Panorama — Seção 9.1

O que é a LGPD?Lei 13.709/2018 — regula coleta, armazenamento, uso e compartilhamento de dados pessoais no Brasil. Inspirada no GDPR europeu, é o principal instrumento legal de proteção de privacidade do país.

Quando entrou em vigor?Publicada em agosto de 2018, entrou em vigor em setembro de 2020. As sanções administrativas passaram a ser aplicadas a partir de agosto de 2021 pela ANPD.

Quem ela protege?O titular dos dados — qualquer pessoa natural (pessoa física) identificada ou identificável cujos dados são tratados. A LGPD protege brasileiros e estrangeiros no Brasil.

A quem ela se aplica?A qualquer pessoa, empresa ou órgão público que trate dados de pessoas no Brasil — independentemente do tamanho, setor ou localização. Inclui escolas, comércios, hospitais, aplicativos e redes sociais.

Quem fiscaliza?A ANPD — Autoridade Nacional de Proteção de Dados — órgão federal autônomo responsável por regulamentar, orientar e fiscalizar o cumprimento da LGPD e aplicar sanções.

O que muda na prática?Empresas precisam informar o que coletam e por quê. Você pode acessar, corrigir e excluir seus dados. Vazamentos devem ser comunicados. Dados sensíveis têm proteção reforçada. Crianças têm proteção especial.

Lei 13.709/2018 — Art. 1º

LGPD — Lei Geral de Proteção de Dados Pessoais

Lei que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Dado pessoal (Art. 5º, I): informação relacionada a pessoa natural identificada ou identificável. Dado sensível (Art. 5º, II): dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico.

Lei 13.709/2018 (LGPD) · EC 115/2022 — eleva proteção de dados a direito fundamental (CF/88, Art. 5º, LXXIX) · Decreto 11.205/2022 — regulamenta a ANPD

Figura 9.1 — Proteção de Dados no Brasil: A Escala do Desafio

🗄

223M

CPFs expostos no maior vazamento da história do Brasil (jan/2021) — mais que a população total do país

🏢

5,4M

Empresas estimadas que se enquadram como controladoras de dados no Brasil e devem cumprir a LGPD

⚖️

R$50M

Valor máximo de multa por infração à LGPD — por infração, por dia, por empresa. Alternativa: 2% do faturamento

🌍

137

Países com leis de proteção de dados similares à LGPD — o Brasil se alinha ao padrão internacional estabelecido pelo GDPR europeu (2018)

Como o Brasil Chegou à LGPD

1988 — CF/88: privacidade como direito fundamental

Art. 5º, X estabelece inviolabilidade da intimidade e vida privada. Base constitucional que precede e fundamenta a LGPD — mas ainda sem regulamentação específica para o ambiente digital.

2014 — Marco Civil da Internet (Lei 12.965/2014)

Primeiro instrumento regulatório significativo da internet no Brasil. Estabeleceu princípios de privacidade e proteção de dados na rede — mas sem o detalhamento operacional que a LGPD trouxe.

2018 — GDPR (Europa) e LGPD (Brasil)

O Regulamento Geral de Proteção de Dados europeu entra em vigor em maio de 2018 e pressiona o mundo a se adequar. A LGPD brasileira, fortemente inspirada no GDPR, é publicada em agosto de 2018.

2020 — LGPD entra em vigor (setembro)

Vigência plena da lei — exceto sanções administrativas. Empresas passam a ser obrigadas a cumprir os princípios e direitos previstos, mas a ANPD ainda não podia aplicar multas.

2021 — Sanções administrativas (agosto)

ANPD passa a poder aplicar multas, advertências e outras sanções. Início da fase de enforcement efetivo da lei no Brasil.

2022 — Proteção de dados como direito fundamental (EC 115)

Emenda Constitucional 115 insere proteção de dados pessoais como direito fundamental explícito na CF/88, Art. 5º, LXXIX — elevando a LGPD ao mais alto nível da hierarquia jurídica brasileira.

“A LGPD não é uma lei técnica sobre segurança da informação. É uma lei de direitos humanos aplicada ao ambiente digital — que reconhece que dados pessoais são uma extensão da personalidade humana e, portanto, merecem a mesma proteção que outros direitos fundamentais.”

— Síntese pedagógica do posicionamento da LGPD no sistema jurídico brasileiro

Conceitos Fundamentais

Dado PessoalArt. 5º, I: qualquer informação relacionada a pessoa natural identificada ou identificável — nome, CPF, IP, localização, biometria.
Dado SensívelArt. 5º, II: origem racial/étnica, religião, política, saúde, vida sexual, biometria, dado genético. Tratamento mais restrito — exige consentimento específico ou base legal qualificada.
TratamentoArt. 5º, X: qualquer operação com dados — coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.
TitularArt. 5º, V: a pessoa natural a quem se referem os dados. É o sujeito de direitos da LGPD.
GDPRGeneral Data Protection Regulation — regulação europeia de 2018 que inspirou a LGPD. Referência global do setor.

⚖️ Base Legal

CF/88, Art. 5º, XInviolabilidade da intimidade, vida privada, honra e imagem das pessoas.
CF/88, Art. 5º, LXXIXProteção de dados como direito fundamental — EC 115/2022.
LGPD, Art. 1ºObjeto e fundamento da lei: proteção da liberdade, privacidade e livre desenvolvimento da personalidade.
LGPD, Art. 5ºDefinições: dado pessoal, dado sensível, titular, controlador, operador, encarregado, ANPD, consentimento e outros 19 termos.

9.2

Os 10 Princípios da LGPD: Art. 6º

Uma escola pública de Minas Gerais decidiu, em 2022, criar um sistema de reconhecimento facial para controlar a frequência dos alunos. A iniciativa partia de boa intenção: acabar com as listas de chamada em papel. Mas o sistema coletava biometria de menores de idade — dados sensíveis pela LGPD — sem que os pais tivessem sido devidamente informados sobre a finalidade, o prazo de retenção, quem teria acesso e se os dados seriam compartilhados com terceiros. A escola não foi denunciada, os pais não conheciam seus direitos — mas a situação era uma violação clara de ao menos 4 dos 10 princípios da LGPD.

O Art. 6º da LGPD estabelece 10 princípios que devem nortear qualquer tratamento de dados pessoais no Brasil. Não são recomendações ou boas práticas — são requisitos legais vinculantes. Toda operação com dados pessoais deve ser compatível com todos os 10 princípios simultaneamente.

Figura 9.2 — Os 10 Princípios do Art. 6º da LGPD

FinalidadeO tratamento deve ter propósitos legítimos, específicos, explícitos e informados ao titular — sem possibilidade de tratamento posterior para finalidade incompatível.

AdequaçãoO tratamento deve ser compatível com as finalidades informadas ao titular — não basta declarar qualquer finalidade. Deve haver compatibilidade real entre dado coletado e uso declarado.

Necessidade / MinimizaçãoColetar apenas os dados estritamente necessários para a finalidade declarada — sem excessos. App de lanterna não precisa de localização. Sistema de chamada não precisa de biometria.

Livre AcessoGarantia ao titular de consulta facilitada e gratuita sobre a forma, duração e integralidade do tratamento de seus dados, bem como sobre a completude e exatidão das informações.

Qualidade dos DadosGarantia de exatidão, clareza, relevância e atualização dos dados — conforme a necessidade e para o cumprimento da finalidade do tratamento.

TransparênciaGarantia ao titular de informações claras, precisas e facilmente acessíveis sobre o tratamento e os respectivos agentes — inclusive sobre o compartilhamento com terceiros.

SegurançaUtilização de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados, situações acidentais ou ilícitas — inclui obrigação de notificar vazamentos.

PrevençãoAdoção de medidas para prevenir a ocorrência de danos — antes que eles ocorram. Obrigação proativa de não apenas reagir, mas antecipar riscos ao titular.

Não DiscriminaçãoImpossibilidade de usar dados para fins discriminatórios ilícitos ou abusivos — especialmente dados sensíveis como origem racial, convicção religiosa, condição de saúde.

Responsabilização e Prestação de ContasO agente de tratamento demonstra a adoção de medidas eficazes e capazes de comprovar o cumprimento das normas — documentação, relatórios de impacto e auditorias.

⚡ Escola como Controladora de Dados

Toda escola — pública ou privada — é uma controladora de dados pessoais sensíveis: dados de alunos menores de idade, dados de saúde (laudos, medicações, alergias), dados socioeconômicos das famílias. Isso significa que toda escola deve cumprir os 10 princípios do Art. 6º, ter base legal para cada tratamento, nomear um Encarregado (DPO) e elaborar um Relatório de Impacto à Proteção de Dados Pessoais (RIPD) para atividades de alto risco.

Atividades comuns que exigem atenção: reconhecimento facial para chamada, câmeras de segurança, sistemas de monitoramento, compartilhamento de dados com plataformas EdTech gratuitas, publicação de fotos de alunos em redes sociais da escola.

Tabela 9.1 — As 10 Bases Legais para Tratamento de Dados (Art. 7º)

Base Legal	Quando se Aplica	Exemplo Escolar	Dispensa Consentimento?
I — Consentimento	Quando o titular autoriza, de forma livre, informada e inequívoca	Publicação de foto do aluno na rede social da escola	Não — é a própria base
II — Obrigação Legal	Cumprimento de obrigação legal ou regulatória pelo controlador	Dados para o Censo Escolar, registros obrigatórios do MEC	Sim
III — Políticas Públicas	Execução de políticas públicas pela Administração Pública	Programas de bolsas, alimentação escolar, inclusão	Sim
IV — Estudos por Órgão de Pesquisa	Pesquisa por órgão de pesquisa, garantida a anonimização	Pesquisas acadêmicas sobre desempenho escolar com dados anonimizados	Sim
V — Contrato	Execução de contrato ou procedimentos preliminares ao contrato	Dados necessários para matrícula e contrato com escola particular	Sim
VI — Exercício de Direitos	Exercício regular de direitos em processo judicial, administrativo ou arbitral	Registros usados em processo de conselho tutelar	Sim
VII — Legítimo Interesse	Interesses legítimos do controlador, desde que não prevaleçam os direitos do titular	Câmeras de segurança em áreas comuns — exige RIPD e aviso	Condicional
X — Proteção da Vida	Proteção da vida ou da incolumidade física do titular ou de terceiro	Compartilhar localização de aluno desaparecido com segurança pública	Sim

⚡ Atenção: Consentimento Não é Sempre a Base Certa

Um equívoco comum é pensar que, para qualquer tratamento de dados, basta pedir o consentimento do titular. Mas a LGPD prevê 10 bases legais — e o consentimento é apenas uma delas. Em muitos casos, bases como “obrigação legal” ou “execução de contrato” são mais adequadas e robustas do que o consentimento — que pode ser revogado a qualquer momento pelo titular, invalidando todo o tratamento subsequente.

Para dados sensíveis (saúde, biometria, origem racial), o Art. 11 exige base legal qualificada — o consentimento deve ser específico e destacado, ou a base deve ser uma das hipóteses restritas do próprio Art. 11.

Princípios do Art. 6º

FinalidadePropósito legítimo, específico e informado — uso posterior incompatível é proibido.
NecessidadeColetar apenas o mínimo necessário para a finalidade declarada. Sinônimo: minimização de dados.
TransparênciaInformar de forma clara, precisa e acessível sobre o tratamento — inclusive compartilhamento com terceiros.
Não DiscriminaçãoProibição de usar dados para fins discriminatórios — especialmente dados sensíveis.
RIPDRelatório de Impacto à Proteção de Dados Pessoais — documento obrigatório para atividades de tratamento de alto risco (ex: biometria, reconhecimento facial).

⚖️ Art. 6º — LGPD

Art. 6º, IIINecessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades.
Art. 6º, VITransparência: informações claras, precisas e facilmente acessíveis.
Art. 6º, IXNão discriminação: impossibilidade de tratamento para fins discriminatórios ilícitos ou abusivos.
Art. 11Tratamento de dados sensíveis: bases legais qualificadas e mais restritas que o Art. 7º.
Art. 14Tratamento de dados de crianças e adolescentes: consentimento dos responsáveis, interesse superior do menor.

9.3

Os 9 Direitos do Titular: Art. 18

Uma aluna do Ensino Médio descobriu que um aplicativo educacional usado pela sua escola havia compartilhado seus dados de desempenho e frequência com uma empresa de publicidade de cursos pré-vestibulares. Ela começou a receber anúncios segmentados no Instagram — para cursos que ela não poderia pagar. Ela não sabia que podia pedir ao app uma lista de com quem seus dados foram compartilhados. Não sabia que podia exigir a eliminação desses dados. Não sabia que podia revogar o consentimento dado pela escola em seu nome. Todos esses são direitos seus — previstos no Art. 18 da LGPD.

O Art. 18 da LGPD é o coração dos direitos do cidadão na lei: lista 9 direitos que qualquer titular pode exercer a qualquer momento contra qualquer controlador de dados — gratuitamente, sem justificativa prévia e com prazo de resposta de 15 dias. Conhecê-los é o primeiro passo para exercê-los.

Figura 9.3 — Os 9 Direitos do Titular (Art. 18, LGPD)

Art. 18, I

Confirmação do Tratamento

Saber se uma empresa ou órgão trata seus dados pessoais — mesmo que você não saiba exatamente quais dados ou como.

Como exercer: enviar solicitação ao canal de atendimento da empresa. Resposta obrigatória em 15 dias.

Art. 18, II

Acesso aos Dados

Obter cópia integral dos dados que a empresa possui sobre você — em formato legível, de uso popular (PDF, CSV, JSON).

Como exercer: solicitar portabilidade ou relatório de dados. Empresas como Google, Meta, Apple têm painéis próprios para isso.

III

Art. 18, III

Correção de Dados

Exigir que dados incompletos, inexatos ou desatualizados sejam corrigidos — sem custo e sem necessidade de justificativa.

Exemplos: nome incorreto, endereço desatualizado, data de nascimento errada em cadastro de empresa ou órgão público.

Art. 18, IV

Anonimização / Bloqueio / Eliminação

Exigir a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

Aplicável quando: a finalidade foi cumprida, o prazo expirou, o consentimento foi revogado, ou o tratamento nunca teve base legal adequada.

Art. 18, V

Portabilidade

Receber seus dados em formato estruturado e interoperável para transferi-los a outro fornecedor ou prestador de serviço.

Exemplo: transferir histórico de saúde de um plano de saúde para outro. Regulamentação depende de setor — ANPD define formatos.

Art. 18, VI

Eliminação após Consentimento

Solicitar eliminação dos dados tratados com base no consentimento — mesmo que o tratamento tenha sido realizado de forma adequada durante o período em que o consentimento vigorou.

Direito ao Esquecimento Digital: pode ser solicitado após revogar o consentimento — sujeito a prazos legais de retenção.

VII

Art. 18, VII

Informação sobre Compartilhamento

Saber com quais entidades públicas e privadas seus dados foram compartilhados — nome das empresas, finalidade do compartilhamento e base legal utilizada.

Relevante para identificar se dados foram vendidos a terceiros, compartilhados com anunciantes ou repassados a parceiros.

VIII

Art. 18, VIII

Recusa ao Consentimento

Ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa recusa — sem que o serviço essencial seja negado por isso.

Uma empresa não pode condicionar o acesso a um serviço essencial ao consentimento para uso de dados para publicidade.

Art. 18, IX

Revisão de Decisões Automatizadas

Solicitar revisão humana de decisões tomadas unicamente por algoritmos que afetem interesses do titular — análise de crédito, seleção de emprego, concessão de benefícios.

Inclui o direito de receber explicação sobre critérios e procedimentos usados pelo sistema automatizado de decisão.

Figura 9.4 — Como Exercer um Direito LGPD na Prática

Passo 01 — Identificar o Controlador

Quem é a empresa ou órgão que trata seus dados?

Verificar a Política de Privacidade do serviço para encontrar razão social, CNPJ e canal de atendimento para direitos LGPD.

Passo 02 — Formalizar a Solicitação

Enviar pedido por escrito ao canal indicado pelo controlador

E-mail, formulário no site, carta — com identificação (nome + CPF), especificação do direito que deseja exercer e dados sobre os quais solicita providência.

Passo 03 — Aguardar Resposta

Prazo legal de 15 dias para resposta

O controlador deve responder em até 15 dias — confirmando o tratamento, fornecendo acesso, realizando a correção/eliminação ou justificando por que não pode atender.

Passo 04 — Resposta Insatisfatória?

Recorrer à ANPD ou ao Judiciário

Se o controlador recusar sem justificativa válida ou não responder no prazo, o titular pode peticionar à ANPD (anpd.gov.br) ou recorrer ao Judiciário em ação individual ou coletiva.

Passo 05 — Registro e Acompanhamento

Guardar toda a documentação da solicitação

Salvar comprovante de envio, protocolo e resposta. Em caso de reclamação à ANPD, esse histórico é fundamental para demonstrar que a solicitação foi feita e descumprida.

Direitos do Titular

Art. 18Os 9 direitos do titular. Exercidos gratuitamente, a qualquer tempo, sem necessidade de justificativa — prazo de resposta: 15 dias.
PortabilidadeDireito de receber dados em formato estruturado para transferência a outro controlador — similar ao direito de portar número de celular.
Direito ao EsquecimentoEliminação de dados após revogação do consentimento — sujeito a prazos legais de retenção obrigatória.
Revisão AutomatizadaDireito de pedir análise humana de decisões tomadas exclusivamente por algoritmos que afetam o titular.
Prazo de 15 diasPrazo máximo para o controlador responder a qualquer solicitação do titular — pode ser prorrogado uma vez se justificado.

⚖️ Art. 18 — LGPD

Art. 18, IConfirmação da existência de tratamento.
Art. 18, IIAcesso aos dados.
Art. 18, IIICorreção de dados incompletos, inexatos ou desatualizados.
Art. 18, IVAnonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.
Art. 18, VPortabilidade dos dados a outro fornecedor.
Art. 18, VIEliminação dos dados tratados com consentimento.
Art. 18, VIIInformação sobre entidades com as quais houve compartilhamento.
Art. 18, VIIIInformação sobre possibilidade de não consentir e consequências.
Art. 18, IXRevisão de decisões tomadas unicamente com base em tratamento automatizado.

9.4

Atores, ANPD e Sanções: Quem Responde por Quê

Uma escola contratou uma plataforma de videoaulas para EAD. A plataforma coletava dados de uso dos alunos — tempo assistido, notas, frequência — e os utilizava para “melhoria do produto” e “personalização”. Os dados eram armazenados em servidor nos EUA sem adequação à LGPD para transferência internacional. A escola não leu os termos de serviço. A plataforma não informou claramente as finalidades. Os pais não foram consultados. Quem responde? Ambos — escola como controladora, plataforma como operadora — e a ANPD pode responsabilizá-los solidariamente quando o prejuízo ao titular decorrer da atuação de ambos.

A LGPD define três papéis fundamentais no ecossistema de dados — e cada um carrega responsabilidades específicas. Conhecê-los é essencial tanto para o titular exercer seus direitos contra a parte certa quanto para organizações saberem exatamente quais são suas obrigações legais.

Figura 9.5 — Os Três Atores do Tratamento de Dados

Art. 5º, VI — LGPD

Controlador

Quem é: a pessoa natural ou jurídica que toma as decisões sobre o tratamento — o que coletar, por quê, como e por quanto tempo.

Responde por: adequação ao princípio da finalidade, escolha da base legal, segurança, notificação de vazamentos e cumprimento dos direitos do titular.

Exemplos escolares: escola (para dados de alunos), Secretaria de Educação (para dados das escolas da rede), empresa de EdTech que decide como usar os dados coletados.

Art. 5º, VII — LGPD

Operador

Quem é: a pessoa natural ou jurídica que realiza o tratamento em nome do controlador — seguindo suas instruções, sem autonomia sobre as decisões de uso.

Responde por: executar o tratamento conforme instruído pelo controlador, reportar incidentes e não usar os dados para finalidades próprias.

Exemplos escolares: empresa de nuvem que armazena dados da escola, plataforma de EAD contratada, empresa de processamento de folha de pagamento.

Art. 41 — LGPD

DPO — Encarregado

Quem é: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares e a ANPD. Não precisa ser servidor próprio — pode ser externo.

Responde por: receber petições de titulares, orientar funcionários sobre a LGPD, comunicar-se com a ANPD e zelar pelo cumprimento interno da lei.

Exemplos escolares: secretário escolar designado, assessoria jurídica com DPO terceirizado, profissional de TI com formação em privacidade.

Art. 55-A ao 55-L — LGPD

ANPD — Autoridade Nacional de Proteção de Dados

Órgão da administração pública federal, com autonomia técnica e decisória, que tem por função zelar pela proteção dos dados pessoais, elaborar diretrizes, fiscalizar e aplicar sanções em caso de violação à LGPD.

A ANPD pode: emitir regulamentos, orientações e recomendações; realizar auditorias; requisitar informações de controladores; e aplicar as sanções administrativas previstas no Art. 52. Também recebe petições de titulares que não tiveram seus direitos atendidos pelos controladores.

Lei 13.709/2018, Art. 55-A a 55-L · Decreto 11.205/2022 (estrutura regimental da ANPD) · anpd.gov.br — portal oficial com orientações, regulamentos e canal para petições

Figura 9.6 — Escada de Sanções Administrativas (Art. 52, LGPD)

Advertência Indicação de prazo para adoção de medidas corretivas. Sanção inicial, geralmente para infrações formais ou de baixo impacto quando há disposição de adequação.

Multa Simples — até 2% do faturamento Limitada a R$50 milhões por infração. Calculada sobre o faturamento do grupo econômico no Brasil. Pode ser aplicada por dia de infração continuada.

III

Multa Diária Observado o limite total de R$50 milhões — aplicada enquanto persistir a infração após advertência ou decisão da ANPD.

Publicização da Infração Divulgação do fato após a devida apuração — “name and shame”. Impacto reputacional que pode superar o impacto financeiro da multa para empresas B2C.

Bloqueio dos Dados Pessoais Suspensão temporária do banco de dados relacionado à infração até regularização. Pode paralisar operações que dependam dos dados bloqueados.

Eliminação dos Dados Pessoais Eliminação compulsória do banco de dados relacionado à infração — sanção mais grave, aplicável a infrações graves e reiteradas ou quando o tratamento nunca teve base legal.

Como Exercer seus Direitos LGPD no Cotidiano

📋

Leia a Política de Privacidade

Identifique quem é o controlador, o DPO e quais dados são coletados. Busque o canal de atendimento para direitos LGPD.

✉️

Solicite Acesso aos seus Dados

Envie solicitação formal ao DPO da empresa — por e-mail, formulário ou carta com identificação e especificação do direito (Art. 18, II).

🗑

Solicite Eliminação quando Cabível

Após revogar consentimento ou quando o tratamento for excessivo — prazo de 15 dias para resposta do controlador.

🏛

Peticione à ANPD

Se o controlador não responder ou recusar sem justificativa, acesse anpd.gov.br → Peticionamento do Titular. Gratuito e online.

👨‍👩‍👧

Dados de Filhos: Cuidado Extra

Art. 14: dados de crianças e adolescentes exigem consentimento dos pais/responsáveis. Verifique se apps escolares têm essa base legal documentada.

📄

Documente Tudo

Guarde comprovantes de solicitações, respostas e prazos — essenciais para reclamação à ANPD ou ação judicial.

Atores e ANPD

ControladorArt. 5º, VI: decide finalidade e meios do tratamento. Responde perante o titular e a ANPD pelas decisões tomadas.
OperadorArt. 5º, VII: realiza o tratamento em nome do controlador, seguindo suas instruções. Responde por executar incorretamente ou usar dados além do autorizado.
DPO / EncarregadoArt. 41: canal de comunicação entre controlador, titulares e ANPD. Nome e contato devem ser públicos.
ANPDAutoridade Nacional de Proteção de Dados — fiscaliza, regulamenta e aplica sanções. Recebe petições de titulares em anpd.gov.br.
Responsabilidade SolidáriaArt. 42: controlador e operador podem ser responsabilizados solidariamente quando o dano decorrer da atuação de ambos.

⚖️ Sanções — Art. 52

Art. 52, IAdvertência com indicação de prazo para medidas corretivas.
Art. 52, IIMulta simples de até 2% do faturamento, limitada a R$50M por infração.
Art. 52, VIBloqueio dos dados pessoais a que se refere a infração.
Art. 52, VIIEliminação dos dados pessoais a que se refere a infração.
Art. 55-ACriação da ANPD como órgão da administração pública federal.

✓ Canal Oficial

anpd.gov.br — portal da ANPD com canal de peticionamento para titulares, orientações sobre direitos e publicações de regulamentos. Acesso gratuito.

🧪 Atividade 9.1 Auditoria LGPD: Analisando a Política de Privacidade da Escola

Etapa: EF II (9.º) e EM Duração: 50–70 min Agrupamento: Grupos de 3 Material: Política de Privacidade impressa ou digital + checklist de análise Bloom: Analisar / Avaliar

Objeto de Análise

Cada grupo escolhe um documento real: Política de Privacidade do site da escola, termos de uso de um app educacional usado pela turma, ou o formulário de matrícula. O objetivo é verificar a conformidade com a LGPD — não com expertise jurídica, mas com os critérios aprendidos no capítulo.

Critérios de Análise (LGPD)

Informa quem é o controlador e o DPO com dados de contato?
Declara finalidades específicas para cada tipo de dado coletado?
Indica a base legal para cada finalidade (Art. 7º)?
Informa quais dados são coletados e por quanto tempo ficam retidos?
Menciona com quem os dados são compartilhados?
Explica como o titular pode exercer seus direitos (Art. 18)?
Tem linguagem clara e acessível ao público-alvo (alunos e famílias)?
Para dados de menores: prevê consentimento dos responsáveis?

Resultado Esperado

Relatório de conformidade em formato de tabela: para cada critério, classificar como Conforme / Parcialmente Conforme / Não Conforme / Não Informado — com transcrição do trecho relevante e justificativa da classificação.

Ação Real

O grupo mais avançado pode ir além: redigir uma carta formal ao DPO da escola ou da empresa identificada, com base nos pontos de não conformidade encontrados — exercendo, na prática, o direito de informação do Art. 18, VIII.

Produto e Avaliação

Relatório de conformidade preenchido + síntese de até 200 palavras identificando o ponto de maior risco à privacidade encontrado e a recomendação de adequação. A avaliação considera: precisão da aplicação dos critérios legais, qualidade da justificativa técnica e clareza da recomendação — não a quantidade de não conformidades encontradas.

🧪 Atividade 9.2 Exercendo Direitos: Redigindo uma Solicitação Formal ao DPO

Etapa: EM Duração: 50 min Agrupamento: Individual Material: Modelo de carta LGPD + direitos do Art. 18 Bloom: Aplicar / Criar

Cenários para Escolha

Solicitar ao DPO de um app de jogo mobile a lista de dados coletados e de terceiros com quem foram compartilhados (Art. 18, II e VII).
Solicitar a eliminação de dados de um cadastro feito em site que o aluno não usa mais (Art. 18, VI).
Questionar uma decisão automatizada de um sistema de notas que negou aprovação com base em critérios não informados (Art. 18, IX).
Solicitar à escola a lista de empresas com as quais dados dos alunos foram compartilhados (Art. 18, VII).

Elementos Obrigatórios na Carta

Identificação do remetente (nome, CPF — pode ser fictício/anonimizado)
Identificação do controlador e do DPO
Direito específico invocado (Art. 18, inciso X da LGPD)
Descrição clara do pedido e dos dados envolvidos
Prazo legal invocado (15 dias, Art. 18, §5º)
Consequência informada em caso de descumprimento (petição à ANPD)

Formato

E-mail formal ou carta — com assunto: “Solicitação de Exercício de Direito — Lei 13.709/2018 (LGPD)”. Tom: formal, objetivo, não agressivo. Extensão máxima: 250 palavras.

Extensão Real

Com o consentimento informado dos alunos maiores de 18 anos, as melhores cartas podem ser efetivamente enviadas aos DPOs reais das empresas escolhidas — transformando a atividade em exercício cívico real.

Produto e Avaliação

Carta formal redigida com todos os elementos obrigatórios + parágrafo de reflexão: o que você aprendeu sobre seus próprios direitos ao escrever esta carta? A avaliação considera: correção jurídica (artigos corretos, prazo correto), clareza e objetividade, tom adequado e completude dos elementos obrigatórios.

💭 Discussão Para Refletir — Capítulo 9

1.A LGPD se aplica a escolas públicas da mesma forma que a empresas privadas? Uma secretaria de educação estadual que usa um sistema de gestão escolar de empresa privada americana — os dados dos alunos estão protegidos pela LGPD? Quem é o controlador nesse caso: a escola, a Secretaria ou a empresa americana?
2.O consentimento parece ser o mecanismo mais democrático de proteção de dados — o titular decide. Mas o Art. 7º prevê 9 outras bases legais que dispensam o consentimento. Quando a dispensa de consentimento protege os interesses do titular (ex: pesquisa científica) e quando ela pode ser usada para justificar coleta abusiva? Quem deveria ter a última palavra?
3.O maior vazamento de dados do Brasil (223M de CPFs) ocorreu 4 meses após a LGPD entrar em vigor — e nenhuma empresa foi multada. O que isso revela sobre a diferença entre existência de lei e aplicação efetiva da lei? Que condições são necessárias para que uma lei de proteção de dados seja eficaz na prática?
4.O Art. 14 determina que dados de crianças e adolescentes só podem ser tratados com consentimento dos pais ou responsáveis. Como isso se aplica ao cotidiano escolar? Quando a escola usa um aplicativo educacional gratuito — e o “preço” é a cessão de dados dos alunos —, os pais foram devidamente informados e consentido? O que deveria mudar?
5.A sanção máxima da LGPD é uma multa de R$50 milhões por infração — valor que pode ser irrelevante para grandes plataformas com faturamento de bilhões. O GDPR europeu prevê multas de até 4% do faturamento global anual. A LGPD brasileira está adequadamente calibrada para criar desincentivo real ao descumprimento? O que precisaria mudar?

📝 Avaliação

Verificação de Aprendizagem — Capítulo 9

1.Uma plataforma de jogos educativos usada pela escola coleta dados de localização, desempenho nos jogos e tempo de uso de alunos do EF I (6 a 10 anos). Os pais não foram informados sobre esses dados. Identifique: (a) quem é o controlador e quem é o operador; (b) qual princípio do Art. 6º está sendo violado; (c) qual a base legal correta para esse tratamento, segundo o Art. 14 da LGPD; (d) quais direitos os pais podem exercer e como.
2.Explique a diferença entre dado pessoal e dado pessoal sensível usando exemplos do contexto escolar. Por que a distinção é juridicamente relevante — quais são as consequências práticas de classificar um dado como sensível?
3.Um aluno recebeu negativa de financiamento estudantil por um sistema automatizado. Ele não foi informado dos critérios usados. Com base no Art. 18, IX, descreva: o direito que ele pode exercer, como exercê-lo, quem ele deve contatar e o que acontece se o controlador não responder no prazo legal.
4.Um gestor escolar afirma: “Não preciso me preocupar com a LGPD porque minha escola é pública e não tem fins lucrativos.” Refute ou valide essa afirmação com base na LGPD — incluindo pelo menos dois artigos específicos e um exemplo de atividade escolar que exige conformidade legal.

Nível	Critério — Questão 1	Indicador
Iniciante	Identifica que há problema, mas não usa os conceitos corretos da LGPD. Não diferencia controlador/operador. Não cita artigos.	“A escola errou porque não pediu permissão dos pais para usar os dados.”
Em Desenvolvimento	Identifica corretamente controlador e operador, mas não aplica corretamente o Art. 14 para dados de crianças e não especifica o direito exercível pelos pais.	“A escola é controladora e a plataforma é operadora. Os pais deveriam ter sido avisados.”
Proficiente	Identifica controlador (escola) e operador (plataforma), cita Art. 14 como base legal específica para dados de crianças, aponta violação do princípio da transparência (Art. 6º, VI) e descreve os direitos do Art. 18 que os pais podem exercer.	Cita corretamente Art. 14 (consentimento dos responsáveis), Art. 6º, VI (transparência) e Arts. 18, I e II (confirmação e acesso) como direitos exercíveis pelos pais.
Avançado	Adiciona que dados de localização são dados pessoais de alto risco para menores, que o princípio da necessidade (Art. 6º, III) questiona se localização é necessária para um jogo educativo, e que a escola pode ser responsabilizada solidariamente com a plataforma (Art. 42) se houver dano.	Articula tripla violação: Art. 6º, III (necessidade — localização é excessiva), Art. 6º, VI (transparência) e Art. 14 (consentimento dos responsáveis para dados de crianças). Propõe adequação concreta.

Parte III — Direitos, Leis e Cidadania Digital · Cap. 9: LGPD — A Lei que Protege seus Dados Pág. 202–224

LGPD — A Lei que Protege seus Dados | Parte III | Capítulo 9

Direitos, Leis e Cidadania Digital

LGPD:A Lei que Protege seus Dados

Objetivos de Aprendizagem

O Que é a LGPD e Por Que ela Existe

LGPD — Lei Geral de Proteção de Dados Pessoais

Os 10 Princípios da LGPD: Art. 6º

Os 9 Direitos do Titular: Art. 18

Atores, ANPD e Sanções: Quem Responde por Quê

ANPD — Autoridade Nacional de Proteção de Dados

Objeto de Análise

Critérios de Análise (LGPD)

Resultado Esperado

Ação Real

Produto e Avaliação

Cenários para Escolha

Elementos Obrigatórios na Carta

Formato

Extensão Real

Produto e Avaliação

Verificação de Aprendizagem — Capítulo 9

LGPD:
A Lei que Protege seus Dados