A Lei Geral de Proteção de Dados (Lei 13.709/2018) entrou em vigor no Brasil em setembro de 2020, mas até hoje a maioria dos cidadãos não sabe quais direitos concretos ela lhes confere. O resultado é que empresas continuam coletando, vendendo e usando dados pessoais de forma questionável — muitas vezes ilegalmente — sem qualquer questionamento.
Neste artigo, explicamos de forma objetiva o que a LGPD muda na prática para você — não para as empresas — e o que fazer quando seus dados forem usados de forma indevida.
O que são dados pessoais segundo a LGPD
A LGPD define dado pessoal como qualquer informação relacionada a uma pessoa física identificada ou identificável. Na prática, isso inclui: nome, CPF, RG, endereço, e-mail, telefone, número de IP, foto, geolocalização, histórico de compras, preferências registradas e dados biométricos (impressão digital, reconhecimento facial).
Os chamados dados sensíveis recebem proteção ainda maior: origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico. Para tratá-los, a empresa precisa de consentimento específico e destacado — ou de base legal ainda mais restrita.
Seus 9 direitos como titular de dados
O artigo 18 da LGPD garante ao titular (você) os seguintes direitos em relação a qualquer empresa que processe seus dados:
- Confirmação e acesso: saber se uma empresa trata seus dados e, em caso positivo, quais são eles e para qual finalidade
- Correção: exigir a atualização de dados incompletos, inexatos ou desatualizados
- Anonimização ou bloqueio: solicitar a suspensão do uso de dados desnecessários ou excessivos para a finalidade declarada
- Eliminação: pedir a exclusão dos dados coletados com base no seu consentimento — ou que estejam sendo tratados em desconformidade com a lei
- Portabilidade: receber seus dados em formato estruturado e legível para migrar a outro fornecedor (especialmente relevante em serviços financeiros e saúde)
- Informação sobre compartilhamento: saber com quais outras empresas ou entidades seus dados foram compartilhados
- Revogação de consentimento: retirar sua autorização a qualquer momento, sem penalidade, salvo os efeitos dos tratamentos já realizados
- Oposição: questionar o tratamento realizado sem base legal adequada, exigindo justificativa ou suspensão
- Reclamação à ANPD: registrar queixa na Autoridade Nacional de Proteção de Dados, órgão federal criado para fiscalizar o cumprimento da LGPD
Quando uma empresa pode usar seus dados sem pedir permissão
A LGPD não exige consentimento em todos os casos. Existem outras bases legais que autorizam o tratamento de dados sem sua autorização expressa:
- Execução de contrato do qual você faz parte (banco pode usar seu CPF para contratos)
- Cumprimento de obrigação legal ou regulatória
- Proteção da vida ou da incolumidade física
- Exercício regular de direitos em processo judicial ou administrativo
- Interesse legítimo do controlador — desde que não prevaleça sobre seus direitos
Atenção: Se você recebe ligações de telemarketing de empresas com quem nunca teve contato, ou e-mails promocionais sem ter fornecido seu endereço, isso pode configurar uso ilegal de dados pessoais — especialmente se o consentimento não foi obtido de forma válida, específica e informada.
O que fazer se seus dados foram vazados ou usados ilegalmente
Ao descobrir que seus dados foram usados sem base legal, vazados ou comercializados indevidamente, siga estes passos:
- Documente tudo: tire prints das comunicações recebidas, guarde e-mails, anote datas, salve evidências de publicidade direcionada indevida
- Notifique a empresa por escrito: use o canal de privacidade do site e envie solicitação formal pedindo explicações sobre o uso dos seus dados. A empresa tem 15 dias para responder
- Registre reclamação na ANPD: acesse gov.br/anpd e registre sua reclamação formal. O órgão pode investigar e aplicar sanções administrativas
- Avalie ação judicial por danos morais: se houve prejuízo concreto (exposição indevida, uso para fraude, discriminação decorrente de dados sensíveis), a via judicial por reparação de danos pode ser cabível
Casos que já geraram indenização no Brasil
Os tribunais brasileiros têm condenado empresas por violações à LGPD e ao direito à privacidade. Casos relevantes incluem o vazamento de dados do Serasa em 2021, que expôs informações de mais de 223 milhões de CPFs — o maior vazamento da história do país. Tribunais têm aplicado indenizações que variam de R$ 5.000 a R$ 30.000 por titular afetado em casos graves, como exposição de dados de saúde, reconhecimento facial sem consentimento e venda de dados para terceiros.
A tendência é de crescimento dessas condenações, à medida que a jurisprudência se consolida e a sociedade se torna mais consciente de seus direitos.
Como exercer seus direitos na prática
Toda empresa com estrutura mínima é obrigada pela LGPD a indicar um Encarregado de Dados (DPO — Data Protection Officer) e a disponibilizar um canal para solicitações dos titulares. Para exercer seus direitos:
- Acesse o site da empresa e localize a seção de "Privacidade" ou "Política de Dados"
- Identifique o canal oficial de solicitações (formulário, e-mail do DPO)
- Envie solicitação por escrito, identificando-se e especificando o direito que deseja exercer
- Guarde o comprovante de envio e aguarde a resposta em até 15 dias
Se a empresa não responder, negar o exercício sem fundamento, ou se os dados continuarem sendo usados ilegalmente após a solicitação, você tem base para reclamar à ANPD e, se houver dano, buscar reparação judicial.