Conformidade LGPD¶
Visão Geral¶
A Lei Geral de Proteção de Dados (LGPD) - Lei 13.709/2018 - é a legislação brasileira que regula o tratamento de dados pessoais, online e offline, por pessoas físicas ou jurídicas de direito público ou privado.
O Complyr foi projetado desde o início para atender integralmente os requisitos da LGPD, oferecendo ferramentas para:
- ✅ Coletar consentimento explícito e informado (Art. 7º, I)
- ✅ Gerenciar preferências de forma granular (Art. 6º, I)
- ✅ Facilitar direitos dos titulares (Art. 18)
- ✅ Manter auditoria completa (Art. 37)
- ✅ Proteger dados com segurança adequada (Art. 46)
- ✅ Responder a incidentes de segurança (Art. 48)
Estrutura da LGPD¶
A LGPD está organizada em 10 capítulos e 65 artigos:
| Capítulo | Título | Relevância para Complyr |
|---|---|---|
| I | Disposições Preliminares | ⚠️ Médio - Define escopo e aplicabilidade |
| II | Tratamento de Dados Pessoais | ✅ Alto - Bases legais e princípios |
| III | Direitos do Titular | ✅ Crítico - Art. 18 (direitos) |
| IV | Tratamento de Dados Pessoais pelo Poder Público | ⚠️ Baixo - Não aplicável (setor privado) |
| V | Transferência Internacional de Dados | ⚠️ Médio - Se usar servidores fora do Brasil |
| VI | Agentes de Tratamento de Dados | ✅ Alto - Responsabilidades |
| VII | Segurança e Boas Práticas | ✅ Crítico - Art. 46, 48 |
| VIII | Fiscalização | ⚠️ Médio - ANPD (Autoridade Nacional) |
| IX | ANPD e Conselho Nacional | ⚠️ Médio - Órgãos reguladores |
| X | Disposições Finais e Transitórias | ⚠️ Baixo - Vigência e prazos |
Princípios Fundamentais (Art. 6º)¶
A LGPD estabelece 10 princípios que devem nortear o tratamento de dados pessoais:
Art. 6º, I - Finalidade¶
Princípio: Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular.
Como o Complyr Atende: - ✅ 5 finalidades específicas: Essential, Analytics, Marketing, Personalization, Third Party - ✅ Descrição clara de cada finalidade no banner - ✅ Controle granular: Usuário escolhe finalidades individualmente - ✅ Transparência: Links para Política de Privacidade
Exemplo:
## Finalidades de Uso de Dados
- **Analytics**: Usamos Google Analytics para entender como você navega no site e melhorar sua experiência.
- **Marketing**: Usamos Facebook Pixel para exibir anúncios relevantes no Facebook e Instagram.
Art. 6º, II - Adequação¶
Princípio: Compatibilidade do tratamento com as finalidades informadas ao titular.
Como o Complyr Atende: - ✅ Validação de finalidades: Dados só podem ser usados para finalidades consentidas - ✅ Bloqueio automático: Scripts não consentidos não executam - ✅ Auditoria: Registro de todas as ativações de tags
Exemplo:
// Se usuário aceita Analytics mas rejeita Marketing
if (consent.purposes.analytics.granted) {
loadGoogleAnalytics(); // ✅ Permitido (adequado)
}
if (!consent.purposes.marketing.granted) {
blockFacebookPixel(); // ❌ Bloqueado (não adequado)
}
Art. 6º, III - Necessidade¶
Princípio: Limitação do tratamento ao mínimo necessário para a realização de suas finalidades.
Como o Complyr Atende: - ✅ Minimização de dados: Apenas workspaceId e finalidades coletadas - ✅ Identificação opcional: identify() só usado se necessário - ✅ SHA-256 hashing: IPs e emails hasheados (não armazenados em texto) - ✅ Dados agregados: Analytics não identifica indivíduos
Exemplo:
// Consentimento mínimo (sem identificação)
{
workspaceId: "uuid",
purposes: { analytics: true },
// Sem nome, email, CPF, telefone
}
// Identificação opcional (se necessário para sincronização)
window.complyr.identify('email', 'user@example.com');
// Email hasheado com SHA-256 antes de enviar
Art. 6º, IV - Livre Acesso¶
Princípio: Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
Como o Complyr Atende: - ✅ Preferences Center: Usuário pode ver e revisar consentimento a qualquer momento - ✅ Histórico de consentimento: API para consulta de mudanças - ✅ Link permanente: "Gerenciar Cookies" no footer (sempre visível) - ✅ Gratuito: Nenhum custo para visualizar ou modificar
Exemplo:
<!-- Link no footer (LGPD Art. 6º, IV) -->
<footer>
<a href="#" onclick="window.complyr.openPreferences(); return false;">
Gerenciar Cookies (Gratuito)
</a>
</footer>
Art. 6º, V - Qualidade dos Dados¶
Princípio: Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados.
Como o Complyr Atende: - ✅ Timestamps precisos: grantedAt e revokedAt para cada finalidade - ✅ Versionamento: Política de consentimento versionada - ✅ Atualização fácil: Usuário pode revisar preferências a qualquer momento - ✅ Validação: Formato dos dados validado (JSON Schema)
Art. 6º, VI - Transparência¶
Princípio: Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento.
Como o Complyr Atende: - ✅ Banner informativo: Explica claramente cada finalidade - ✅ Política de Privacidade: Link direto no banner - ✅ Descrição de ferramentas: Lista de todas as ferramentas usadas (GA, FB Pixel) - ✅ DPO visível: Contato do Encarregado de Dados (Art. 41)
Exemplo de Transparência:
## Como Usamos Seus Dados
### Analytics (Google Analytics)
- **O que coletamos**: Páginas visitadas, tempo no site, origem de tráfego
- **Por que coletamos**: Para melhorar o website e entender comportamento
- **Com quem compartilhamos**: Google LLC (Estados Unidos)
- **Quanto tempo mantemos**: 14 meses
- **Como desativar**: Clique em "Gerenciar Cookies" e desative "Analytics"
Art. 6º, VII - Segurança¶
Princípio: Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Como o Complyr Atende: - ✅ HTTPS obrigatório: Comunicação criptografada (TLS 1.2+) - ✅ SHA-256 hashing: IPs e emails hasheados antes de armazenamento - ✅ Tokens de API: Autenticação segura para workspaces - ✅ Rate limiting: Proteção contra abuso - ✅ Validação de entrada: Sanitização de todos os inputs
Medidas de Segurança:
// 1. Hash de IP antes de salvar
const ipHash = sha256(req.ip); // e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
// 2. Hash de email antes de salvar
const emailHash = sha256(email.toLowerCase()); // Normalizado e hasheado
// 3. HTTPS obrigatório
if (req.protocol !== 'https' && process.env.NODE_ENV === 'production') {
throw new Error('HTTPS required');
}
// 4. Validação de workspace token
const workspace = await validateWorkspaceToken(req.headers['x-workspace-id']);
Art. 6º, VIII - Prevenção¶
Princípio: Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Como o Complyr Atende: - ✅ Privacy by design: Segurança desde o design inicial - ✅ Validação de consentimento: Verificação antes de processar dados - ✅ Expiração automática: Consentimento expira após 12 meses - ✅ Revogação imediata: Usuário pode revogar a qualquer momento
Art. 6º, IX - Não Discriminação¶
Princípio: Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
Como o Complyr Atende: - ✅ Acesso igualitário: Rejeitar cookies não bloqueia acesso ao site - ✅ Sem cookie wall: LGPD Art. 9º, § 1º (não pode condicionar acesso) - ✅ Funcionalidade básica: Site funciona com apenas cookies essenciais
Exemplo:
// ❌ ILEGAL (Cookie Wall - discriminação)
if (!consentGranted) {
document.body.innerHTML = '<h1>Você DEVE aceitar cookies</h1>';
// Bloqueia acesso ao site
}
// ✅ LEGAL
if (!consentGranted) {
disableNonEssentialFeatures(); // Funcionalidade reduzida, mas acesso permitido
}
Art. 6º, X - Responsabilização e Prestação de Contas¶
Princípio: Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.
Como o Complyr Atende: - ✅ Audit trail completo: Todos os eventos registrados (audit-service) - ✅ Histórico de consentimento: Registro de mudanças ao longo do tempo - ✅ Exportação de dados: Relatórios de compliance - ✅ Documentação: Política de Privacidade e registros internos
Exemplo de Audit Trail:
{
"action": "CONSENT_GRANTED",
"timestamp": "2025-01-15T10:00:00Z",
"userId": null,
"ipAddressHash": "e3b0c44298...",
"userAgent": "Mozilla/5.0...",
"purposes": ["analytics", "marketing"],
"workspaceId": "uuid",
"metadata": {
"source": "banner",
"bannerVersion": "1.2.0"
}
}
Bases Legais para Tratamento (Art. 7º)¶
A LGPD estabelece 10 bases legais para tratamento de dados pessoais. O Complyr utiliza principalmente 2:
Art. 7º, I - Consentimento¶
Base Legal: Mediante fornecimento de consentimento pelo titular.
Quando Usar: - Analytics, Marketing, Personalization, Third Party
Requisitos: - ✅ Livre, informado e inequívoco - ✅ Para finalidade determinada - ✅ Destacado de outras cláusulas (Art. 8º, § 5º) - ✅ Revogável a qualquer momento
Como o Complyr Implementa:
// Consentimento explícito via clique
document.getElementById('accept-analytics').addEventListener('click', function() {
grantConsent('analytics'); // ✅ Livre, informado, inequívoco
});
// Revogação fácil
window.complyr.revokeConsent('User requested');
Art. 7º, IX - Legítimo Interesse¶
Base Legal: Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Quando Usar: - Essential (Essencial): Cookies estritamente necessários
Exemplos de Legítimo Interesse: - ✅ Autenticação (login, session tokens) - ✅ Segurança (CSRF, rate limiting) - ✅ Carrinho de compras (e-commerce) - ✅ Preferências básicas (idioma, tema)
Requisitos: - Necessário para funcionamento legítimo do serviço - Não pode ser substituído por consentimento (muito oneroso) - Deve documentar análise de legítimo interesse
Como o Complyr Implementa:
// Cookies essenciais definidos SEM consentimento (legítimo interesse)
document.cookie = 'session_token=xyz; Secure; HttpOnly; SameSite=Strict';
document.cookie = 'csrf_token=abc; Secure; SameSite=Strict';
// Não requer consentimento mas DEVE informar na Política de Privacidade
Direitos do Titular (Art. 18)¶
O Art. 18 da LGPD garante 15 direitos aos titulares de dados. O Complyr facilita o exercício destes direitos:
Art. 18, I e II - Confirmação e Acesso¶
I - confirmação da existência de tratamento;
II - acesso aos dados;
Como Solicitar:
Resposta:
{
"consentId": "uuid",
"status": "PARTIAL",
"purposes": {
"analytics": { "granted": true, "grantedAt": "2025-01-15T10:00:00Z" },
"marketing": { "granted": false }
},
"createdAt": "2025-01-15T10:00:00Z",
"updatedAt": "2025-01-15T11:00:00Z"
}
Interface de Usuário:
Art. 18, III - Correção¶
III - correção de dados incompletos, inexatos ou desatualizados;
Como Implementar: - Usuário pode atualizar preferências a qualquer momento - Modal de preferences permite edição - Histórico registrado (antes/depois)
Exemplo:
// Usuário corrige finalidade (marca Analytics)
window.complyr.openPreferences();
// Modal permite edição e salva nova versão
Art. 18, IV - Anonimização, Bloqueio ou Eliminação¶
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
Como o Complyr Atende: - ✅ Anonimização: SHA-256 hash de IPs e emails - ✅ Bloqueio: Revogação de consentimento bloqueia processamento - ✅ Eliminação: Possibilidade de deletar dados (DSAR)
Exemplo de Anonimização:
// Email hasheado (irreversível)
const emailHash = sha256('user@example.com'.toLowerCase());
// Resultado: e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
// IP hasheado (irreversível)
const ipHash = sha256(req.ip);
// Dados salvos de forma anônima (não identificável)
Art. 18, V - Portabilidade¶
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
Como Implementar:
Formato de Exportação (JSON):
{
"export": {
"generatedAt": "2025-01-15T12:00:00Z",
"user": {
"emailHash": "e3b0c44298...",
"identificationType": "email"
},
"consents": [
{
"consentId": "uuid",
"status": "GRANTED",
"purposes": { ... },
"createdAt": "2025-01-15T10:00:00Z",
"expiresAt": "2026-01-15T10:00:00Z"
}
],
"history": [
{
"action": "CONSENT_CREATED",
"timestamp": "2025-01-15T10:00:00Z"
},
{
"action": "CONSENT_UPDATED",
"timestamp": "2025-01-15T11:00:00Z"
}
]
}
}
Art. 18, VI - Eliminação (Direito ao Esquecimento)¶
VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
Como o Complyr Implementa:
// Usuário solicita eliminação
window.complyr.revokeConsent('User requested data deletion');
// Sistema:
// 1. Remove localStorage
// 2. Marca consentimento como REVOKED no backend
// 3. Opcionalmente, agenda eliminação após período legal
// 4. Registra solicitação no audit-service
Exceções (Art. 16): - Cumprimento de obrigação legal (ex: nota fiscal - 5 anos) - Estudos por órgão de pesquisa (dados anonimizados) - Transferência a terceiro (com consentimento) - Exercício regular de direitos (ex: defesa em processo)
Implementação:
async deleteUserData(emailHash: string, reason: string) {
// 1. Verificar exceções legais
const hasLegalObligation = await checkLegalRetention(emailHash);
if (hasLegalObligation) {
return { deleted: false, reason: 'Legal retention period' };
}
// 2. Deletar dados
await consentRepository.delete({ emailHash });
await consentHistoryRepository.delete({ emailHash });
// 3. Registrar eliminação
await auditService.log({
action: 'DATA_DELETED',
emailHash,
reason,
deletedAt: new Date()
});
return { deleted: true };
}
Art. 18, VII - Informação sobre Compartilhamento¶
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
Como Atender: Documentar na Política de Privacidade:
## Compartilhamento de Dados
Com seu consentimento, compartilhamos dados com as seguintes entidades:
### Analytics
- **Google LLC** (Estados Unidos): Google Analytics - pageviews, sessões, eventos
- Política: https://policies.google.com/privacy
- Tipo de dados: IPs (anonimizados), páginas visitadas, origem de tráfego
### Marketing
- **Meta Platforms Inc.** (Estados Unidos): Facebook Pixel - conversões, remarketing
- Política: https://www.facebook.com/privacy/explanation
- Tipo de dados: Eventos de conversão, produtos visualizados, compras
### Third Party
- **Intercom Inc.** (Estados Unidos): Chat ao vivo - suporte ao cliente
- Política: https://www.intercom.com/legal/privacy
- Tipo de dados: Nome, email, mensagens de chat
Art. 18, VIII - Informação sobre Possibilidade de Não Fornecer Consentimento¶
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
Como Implementar: Banner deve informar claramente:
<div class="consent-banner">
<p>
Usamos cookies para melhorar sua experiência. Você pode aceitar todos,
rejeitar ou escolher individualmente.
</p>
<p class="consent-consequences">
ℹ️ <strong>Ao rejeitar cookies não-essenciais</strong>, algumas funcionalidades
podem ficar limitadas (ex: recomendações personalizadas, chat ao vivo),
mas o site continuará funcionando normalmente.
</p>
<button>Aceitar Todos</button>
<button>Rejeitar Todos</button>
<button>Gerenciar Preferências</button>
</div>
Art. 18, IX - Revogação do Consentimento¶
IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Como o Complyr Implementa:
// Método direto para revogação
window.complyr.revokeConsent('User requested');
// Link permanente no footer
<footer>
<a href="#" onclick="window.complyr.revokeConsent(); return false;">
Revogar Consentimento
</a>
</footer>
// Efeitos imediatos:
// 1. Remove cookies não-essenciais
// 2. Bloqueia tags de terceiros
// 3. Limpa localStorage
// 4. Registra revogação no backend
Art. 8º, § 5º:
O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 desta Lei.
Encarregado de Dados - DPO (Art. 41)¶
Obrigatoriedade¶
Art. 41 - O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
Quem é o Encarregado (DPO): - Pessoa responsável por atuar como canal de comunicação entre: - Controlador (empresa) - Titulares de dados (usuários) - ANPD (Autoridade Nacional de Proteção de Dados)
Funções do DPO: - Aceitar reclamações e comunicações dos titulares - Prestar esclarecimentos e adotar providências - Receber comunicações da ANPD - Orientar funcionários sobre práticas de proteção de dados
Como o Complyr Ajuda: O scan-service inclui gerenciamento de contato do DPO:
// Tabela: scan_schema.dpo_contacts
{
id: "uuid",
workspaceId: "uuid",
name: "João Silva",
email: "dpo@empresa.com.br", // Art. 41, § 1º (obrigatório)
phone: "+55 11 99999-9999",
address: "Rua Exemplo, 123 - São Paulo/SP"
}
Exibição Pública:
<!-- Na Política de Privacidade -->
<section id="dpo">
<h2>Encarregado de Dados (DPO)</h2>
<p>
Para exercer seus direitos previstos na LGPD (Art. 18) ou tirar dúvidas
sobre como tratamos seus dados, entre em contato com nosso Encarregado:
</p>
<ul>
<li><strong>Nome:</strong> João Silva</li>
<li><strong>Email:</strong> <a href="mailto:dpo@empresa.com.br">dpo@empresa.com.br</a></li>
<li><strong>Telefone:</strong> +55 11 99999-9999</li>
</ul>
</section>
Segurança e Boas Práticas (Art. 46)¶
Art. 46 - Medidas de Segurança¶
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Medidas Técnicas Implementadas pelo Complyr:
| Medida | Descrição | Implementação |
|---|---|---|
| Criptografia em trânsito | HTTPS/TLS 1.2+ | Obrigatório em produção |
| Criptografia em repouso | SHA-256 hashing | IPs e emails hasheados |
| Controle de acesso | Autenticação e autorização | Workspace tokens, JWT |
| Logs de auditoria | Registro de todas as ações | Audit-service |
| Backup | Backup regular de dados | Retenção de 30 dias |
| Rate limiting | Proteção contra abuso | Throttling de requisições |
| Validação de entrada | Sanitização de inputs | DTOs com class-validator |
| Segmentação de rede | Isolamento de serviços | Microservices + VPC |
Exemplo de Implementação:
// 1. HTTPS obrigatório
if (req.protocol !== 'https' && process.env.NODE_ENV === 'production') {
return res.redirect(`https://${req.hostname}${req.url}`);
}
// 2. SHA-256 hashing
const ipHash = crypto
.createHash('sha256')
.update(req.ip)
.digest('hex');
// 3. Rate limiting (NestJS Throttler)
@Throttle({ default: { limit: 10, ttl: 60000 } }) // 10 req/min
@Post('/consents')
async createConsent(@Body() dto: CreateConsentDto) {
// ...
}
// 4. Validação de entrada
export class CreateConsentDto {
@IsString()
@IsNotEmpty()
@MaxLength(255)
workspaceId: string;
@IsArray()
@ValidateNested({ each: true })
@Type(() => PurposeRecordDto)
purposes: PurposeRecordDto[];
}
Incidentes de Segurança (Art. 48)¶
Art. 48 - Comunicação de Incidentes¶
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Quando Comunicar: - ✅ Vazamento de dados pessoais - ✅ Acesso não autorizado a dados sensíveis - ✅ Perda de dados por falha técnica - ✅ Qualquer incidente que cause "risco ou dano relevante"
Prazo: - "Em prazo razoável" - LGPD não especifica, mas GDPR recomenda 72 horas
Para Quem Comunicar: 1. ANPD (Autoridade Nacional) 2. Titular dos dados (usuário afetado)
Como o Complyr Ajuda:
O scan-service inclui gerenciamento de DSARs (Data Subject Access Requests), que pode ser usado para registrar e gerenciar incidentes:
// Registro de incidente
{
type: 'SECURITY_INCIDENT',
severity: 'HIGH',
affectedUsers: 1250,
description: 'Acesso não autorizado ao banco de dados',
detectedAt: '2025-01-15T14:30:00Z',
reportedToANPD: true,
reportedToUsers: true,
mitigationActions: [
'Banco de dados isolado',
'Senhas resetadas',
'ANPD notificada',
'Usuários notificados por email'
]
}
Template de Notificação ao Titular:
<h1>Notificação de Incidente de Segurança</h1>
<p>Prezado(a) cliente,</p>
<p>
Informamos que em [DATA], detectamos um incidente de segurança que pode ter
afetado seus dados pessoais armazenados em nossa plataforma.
</p>
<h2>O que aconteceu?</h2>
<p>[Descrição do incidente]</p>
<h2>Quais dados foram afetados?</h2>
<ul>
<li>Nome e email</li>
<li>Histórico de consentimento</li>
</ul>
<h2>O que estamos fazendo?</h2>
<ul>
<li>Investigação completa do incidente</li>
<li>Reforço de medidas de segurança</li>
<li>Notificação à ANPD (conforme Art. 48 da LGPD)</li>
</ul>
<h2>O que você deve fazer?</h2>
<ul>
<li>Alterar sua senha imediatamente</li>
<li>Monitorar sua conta para atividades suspeitas</li>
<li>Entrar em contato com nosso DPO: dpo@empresa.com.br</li>
</ul>
<p>
Para mais informações sobre seus direitos (LGPD Art. 18), acesse
<a href="/politica-privacidade">nossa Política de Privacidade</a>.
</p>
<p>Atenciosamente,<br>Equipe [Empresa]</p>
Penalidades e Sanções (Art. 52)¶
Art. 52 - Sanções Administrativas¶
A ANPD pode aplicar as seguintes sanções:
| Sanção | Descrição | Valor/Impacto |
|---|---|---|
| I - Advertência | Indicação de prazo para correção | - |
| II - Multa simples | Até 2% do faturamento (limite R$ 50 mi) | Até R$ 50.000.000,00 |
| III - Multa diária | Até 2% do faturamento (limite R$ 50 mi/dia) | Até R$ 50.000.000,00/dia |
| IV - Publicização da infração | Nome publicado em lista pública | Dano reputacional |
| V - Bloqueio dos dados | Suspensão temporária do banco de dados | Interrupção do negócio |
| VI - Eliminação dos dados | Deletar dados permanentemente | Perda de dados |
Fatores Agravantes (Art. 52, § 1º): - Gravidade e natureza da infração - Má-fé - Vantagem auferida pelo infrator - Condição econômica do infrator - Reincidência - Grau de dano causado - Cooperação do infrator - Adoção de boas práticas
Exemplo de Cálculo de Multa:
Empresa com faturamento de R$ 100.000.000,00/ano
Multa de 2%: R$ 2.000.000,00
Se ultrapassar o limite:
Multa máxima: R$ 50.000.000,00
Checklist de Conformidade LGPD¶
Use este checklist para verificar sua conformidade:
Bases Legais¶
- Identificar base legal para cada tratamento de dados
- Documentar bases legais na Política de Privacidade
- Para consentimento: garantir que é livre, informado e inequívoco
- Para legítimo interesse: documentar análise de LIA (Legitimate Interest Assessment)
Princípios¶
- Finalidade: Definir finalidades específicas, explícitas e legítimas
- Adequação: Usar dados apenas para finalidades consentidas
- Necessidade: Coletar apenas dados mínimos necessários
- Livre acesso: Permitir consulta gratuita e facilitada
- Transparência: Informar claramente sobre tratamento de dados
- Segurança: Implementar medidas técnicas e administrativas
- Prevenção: Adotar medidas para prevenir danos
- Responsabilização: Manter registros de tratamento
Direitos do Titular (Art. 18)¶
- Confirmação e acesso aos dados (I e II)
- Correção de dados (III)
- Anonimização, bloqueio ou eliminação (IV)
- Portabilidade de dados (V)
- Eliminação (direito ao esquecimento) (VI)
- Informação sobre compartilhamento (VII)
- Informação sobre não fornecer consentimento (VIII)
- Revogação de consentimento (IX)
Documentação¶
- Política de Privacidade atualizada e completa
- Termos de Uso (se aplicável)
- Política de Cookies
- Registro de Atividades de Tratamento (ROPA)
- Contratos de DPA com operadores (terceiros)
- Análise de Legítimo Interesse (se aplicável)
- Análise de Impacto (DPIA/RIPD) para tratamentos de alto risco
Governança¶
- Indicar Encarregado de Dados (DPO) - Art. 41
- Publicar contato do DPO (email obrigatório)
- Treinar funcionários sobre LGPD
- Estabelecer processos para atender solicitações de titulares
- Plano de resposta a incidentes de segurança
Segurança (Art. 46)¶
- HTTPS/TLS obrigatório
- Criptografia de dados sensíveis (SHA-256, AES)
- Controle de acesso (autenticação e autorização)
- Logs de auditoria completos
- Backup e recuperação de desastres
- Rate limiting e proteção contra abuso
- Testes de segurança regulares (pentests)
Consentimento¶
- Banner de consentimento com opções claras
- Controle granular por finalidade
- Botão "Rejeitar Todos" visível
- Revogação fácil e gratuita
- Link "Gerenciar Cookies" permanente no footer
- Registro de consentimento com timestamp e IP (hasheado)
- Expiração de consentimento (12 meses)
Transferência Internacional de Dados¶
- Identificar transferências para fora do Brasil
- Verificar se país destino tem nível adequado de proteção
- Assinar Standard Contractual Clauses (SCC) se necessário
- Informar transferências na Política de Privacidade
- Obter consentimento específico (se aplicável)
Incidentes de Segurança (Art. 48)¶
- Plano de resposta a incidentes definido
- Processo para notificar ANPD em prazo razoável (72h recomendado)
- Processo para notificar titulares afetados
- Registro de incidentes e ações tomadas
Recursos Relacionados¶
Documentação Oficial¶
- Lei 13.709/2018 (LGPD) - Texto completo
- ANPD - Autoridade Nacional de Proteção de Dados
- Guia de Orientação ANPD - Guias oficiais
Documentação Complyr¶
- Gerenciamento de Consentimento - Sistema de consentimento
- Controle por Finalidade - 5 finalidades detalhadas
- Modos de Banner - Configurações do banner
- API JavaScript - Controle programático
Ferramentas Complyr¶
- DPO Contact Management: Gerenciar contato do Encarregado
- DSAR Management: Gerenciar solicitações de titulares
- Audit Trail: Registro completo de ações
- Consent History: Histórico de mudanças
Perguntas Frequentes¶
1. O Complyr garante 100% de conformidade LGPD?¶
Resposta: O Complyr fornece as ferramentas necessárias para conformidade (banner, gerenciamento de consentimento, audit trail, DPO management), mas a responsabilidade legal pela conformidade é da empresa (controlador de dados).
Você ainda deve: - Manter Política de Privacidade atualizada - Processar solicitações de titulares (Art. 18) - Manter registros de tratamento (ROPA) - Contratar DPO se necessário - Responder a incidentes de segurança
2. Sou obrigado a ter um DPO?¶
Resposta: A LGPD exige DPO (Art. 41), mas não especifica quando. Recomenda-se indicar DPO se: - Processar grandes volumes de dados pessoais - Processar dados sensíveis (Art. 5º, II) - Transferir dados internacionalmente - Tratamento de dados for atividade principal do negócio
Alternativa: Terceirizar função de DPO (DPO as a Service).
3. Posso usar Google Analytics sem consentimento?¶
Resposta: NÃO (na maioria dos casos). Google Analytics coleta dados de comportamento e requer consentimento (LGPD Art. 7º, I).
Exceção: Google Analytics 4 com configurações extremamente restritivas (sem IPs, sem cookies, dados completamente anônimos) pode ser baseado em legítimo interesse, mas é arriscado. Recomenda-se obter consentimento.
4. Quanto tempo posso armazenar dados de consentimento?¶
Resposta: - Durante o tratamento: Enquanto processar dados - Após término: 5 anos adicionais para prova legal (prazo prescricional brasileiro) - Consentimento em si: Renovar após 12 meses (boa prática)
5. O que acontece se eu não cumprir a LGPD?¶
Resposta: Sanções da ANPD (Art. 52): - Advertência com prazo para correção - Multa de até 2% do faturamento (máximo R$ 50 milhões) - Multa diária (até R$ 50 milhões/dia) - Publicização da infração (dano reputacional) - Bloqueio ou eliminação de dados (interrupção do negócio)
Além disso: - Processos judiciais de titulares (indenizações) - Perda de confiança de clientes - Danos à reputação da marca
6. Preciso notificar a ANPD de todos os incidentes?¶
Resposta: NÃO. Apenas incidentes que possam causar "risco ou dano relevante" (Art. 48).
Exemplos de incidentes reportáveis: - ✅ Vazamento de senhas ou dados de cartão de crédito - ✅ Acesso não autorizado a dados sensíveis - ✅ Perda de dados por falha de backup
Exemplos de incidentes não reportáveis: - ❌ Erro de software sem exposição de dados - ❌ Falha temporária de serviço sem perda de dados - ❌ Bug visual sem impacto em dados pessoais
Dica: Documente TODOS os incidentes internamente, mesmo que não reportáveis à ANPD.
7. Como funciona a transferência internacional de dados?¶
Resposta: LGPD permite transferência internacional em alguns casos (Art. 33): - País destino com nível adequado de proteção (EEA, UK) - Standard Contractual Clauses (SCC) - Cláusulas contratuais específicas - Consentimento específico do titular
Com Complyr: - Se usar servidores fora do Brasil: informar na Política de Privacidade - Se usar Google Analytics / Facebook Pixel: informar transferência para EUA - Assinar DPA (Data Processing Agreement) com fornecedores
Exemplo:
## Transferência Internacional
Seus dados podem ser transferidos para os Estados Unidos quando você aceita:
- **Analytics**: Google LLC (servidor nos EUA) - Google Analytics
- **Marketing**: Meta Platforms Inc. (servidor nos EUA) - Facebook Pixel
Garantimos proteção adequada através de:
- Standard Contractual Clauses (SCC) aprovadas pela ANPD
- Data Processing Agreements (DPA) com fornecedores
- Certificações (Privacy Shield sucessor: Data Privacy Framework)
8. Cookies essenciais precisam de consentimento?¶
Resposta: NÃO. Cookies estritamente necessários são baseados em legítimo interesse (LGPD Art. 7º, IX) e não requerem consentimento.
Porém: - Devem ser estritamente necessários (login, carrinho, segurança) - Devem ser informados na Política de Privacidade - Não podem ser usados para tracking ou marketing
Exemplos: - ✅ Session tokens, CSRF tokens, carrinho de compras - ❌ Google Analytics, Facebook Pixel, remarketing
Próximos Passos¶
Agora que você entende a conformidade LGPD, explore:
- Gerenciamento de Consentimento → - Sistema completo de consentimento
- Controle por Finalidade → - 5 finalidades detalhadas
- Guia Rápido → - Implemente o Complyr em 3 passos
- Referência Técnica → - API endpoints, estados, tipos