A LGPD, Lei Geral de Proteção de Dados Pessoais (Lei 13.709 de 2018), regula o tratamento de dados pessoais por pessoas físicas e jurídicas, de direito público ou privado, no Brasil. Entrou em vigor em setembro de 2020, com regime de sanções administrativas iniciado em agosto de 2021. É a principal norma brasileira sobre privacidade e proteção de dados.
A lei estabelece princípios (finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização), define dez bases legais para tratamento, cria direitos aos titulares e impõe obrigações aos controladores e operadores. Sanções administrativas vão de advertência a multa de até dois por cento do faturamento, limitada a cinquenta milhões de reais por infração.
A autoridade reguladora é a ANPD (Autoridade Nacional de Proteção de Dados), criada pela Lei 13.853 de 2019, vinculada à Presidência da República. A ANPD edita regulamentos, fiscaliza e aplica sanções. Em ecossistemas de tecnologia, a conformidade com LGPD exige medidas técnicas e organizacionais, incluindo registro de operações, encarregado de dados (DPO), avaliação de impacto e protocolos de resposta a incidentes.
Origem do termo
A sigla LGPD foi adotada na própria redação legal e no marketing institucional do governo federal a partir de 2018. A lei foi inspirada no GDPR europeu (General Data Protection Regulation, em vigor desde 2018) e em legislações anteriores como a Lei do Marco Civil da Internet (Lei 12.965 de 2014).