# LGPD - Lei Geral de Proteção de Dados > [!abstract] Síntese > A LGPD (Lei 13.709/2018) é a principal lei de proteção de dados do [[brasil|Brasil]], modelada no GDPR europeu. Vigente desde setembro de 2020, com enforcement completo desde agosto de 2021, representa o marco regulatório mais relevante para qualquer organização que processe dados de indivíduos no Brasil - incluindo empresas estrangeiras. --- ## Visão Geral A LGPD foi sancionada em agosto de 2018 e entrou em vigor em setembro de 2020, após adiamentos motivados pela pandemia de COVID-19. A lei estabelece regras abrangentes para coleta, armazenamento, tratamento e compartilhamento de dados pessoais, criando a **ANPD** como autoridade reguladora independente. ### Timeline de Implementação ```mermaid timeline title LGPD - Linha do Tempo 2018 : Sancionada : Lei 13.709/2018 2019 : MP 869/2018 : Cria ANPD provisoriamente 2020 : Set/2020 : Lei entra em vigor : Sem penalidades ainda 2021 : Ago/2021 : Penalidades administrativas : Vigência plena 2022 : ANPD ganha autonomia : Autarquia federal independente 2023 : Primeiras sanções aplicadas : Processos administrativos 2024 : Enforcement consolidado : 1.247 notificações de incidente ``` --- ## Principais Artigos - Perspectiva SOC/CISO ### Art. 46 - Medidas de Segurança > [!important] Obrigação Central para Times de Segurança > Controladores e operadores devem adotar medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Implicações práticas: - Criptografia de dados em repouso e em trânsito é implicitamente exigida - Controles de acesso (MFA, privilégio mínimo) são obrigatórios - Programas de gestão de vulnerabilidades devem estar documentados - Testes de penetração e auditorias de segurança são recomendados ### Art. 48 - Notificação de Incidentes > [!warning] Prazo de Notificação Crítico > O controlador deve comúnicar ao titular e à ANPD a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. **Prazo:** A ANPD regulamentou prazo de **3 dias úteis** para notificação de incidentes de segurança de alto risco. Para incidentes de médio risco: 5 dias úteis. **O que deve ser notificado:** - Vazamentos de dados pessoais (qualquer volume para incidentes graves) - Acesso não autorizado a sistemas com dados pessoais - Ransomware que comprometa confidencialidade de dados pessoais ### Art. 18 - Direitos do Titular Os titulares têm direito a: confirmação de tratamento, acesso aos dados, correção, anonimização/bloqueio/eliminação, portabilidade, informação sobre compartilhamento, e revogação de consentimento. **Implicação operacional:** Times de segurança precisam garantir que sistemas de resposta a solicitações de titulares (DSAR - Data Subject Access Request) sejam seguros e auditáveis. --- > [!latam] Relevância para o Brasil > A LGPD é o principal marco regulatório de dados para qualquer empresa que opere no Brasil ou processe dados de brasileiros. Em 2024, a ANPD registrou mais de **1.247 notificações de incidente de segurança** - incluindo vazamentos causados por ransomware, ataques a APIs e comprometimento de credenciais. Grupos como **Lapsus$** e operadores de ransomware como **LockBit** causaram violações que resultaram em notificações obrigatórias à ANPD. O prazo de 3 dias úteis para notificação de incidentes de alto risco é o driver mais crítico para times de SOC: detectar, investigar e classificar um incidente antes de decidir pela notificação é uma janela operacional extremamente curta. ## Comparação LGPD × GDPR | Aspecto | LGPD | GDPR | | ------- | ---- | ---- | | Jurisdição | Brasil | União Europeia | | Dados cobertos | Dados pessoais | Dados pessoais + dados especiais | | Bases legais | 10 bases (similar GDPR) | 6 bases | | Penalidade máxima | R$50M / 2% faturamento | EUR 20M / 4% faturamento global | | Notificação de incidente | 3 dias úteis (alto risco) | 72 horas | | DPO obrigatório | Sim (Encarregado) | Sim (DPO) | | Transferência internacional | Requer salvaguardas | Requer adequação/SCCs | | Aplicabilidade extraterritorial | Sim (dados de brasileiros) | Sim (dados de europeus) | --- ## Impacto para SOC e Times de Segurança ```mermaid graph TB LGPD["⚖️ LGPD"] --> SOC["🛡️ SOC / CIRT"] LGPD --> CISO["👔 CISO / GRC"] LGPD --> TI["💻 Time de TI"] SOC --> S1["Detecção de vazamentos<br/>em tempo hábil (3 dias)"] SOC --> S2["Log retention obrigatório<br/>para evidências"] SOC --> S3["Playbook de incidente<br/>com etapa ANPD"] CISO --> C1["Inventário de dados pessoais<br/>ROPA atualizado"] CISO --> C2["DPIA para sistemas<br/>de alto risco"] CISO --> C3["Contratos com<br/>operadores (DPA)"] TI --> T1["Criptografia obrigatória<br/>para dados sensíveis"] TI --> T2["Controles de acesso<br/>MFA + privilégio mínimo"] TI --> T3["Gestão de<br/>vulnerabilidades"] ``` ### Checklist Mínimo de Conformidade - [ ] Inventário de dados pessoais tratados (ROPA) documentado e atualizado - [ ] Bases legais definidas para cada operação de tratamento - [ ] Encarregado (DPO) nomeado e comúnicado à ANPD - [ ] Política de segurança da informação alinhada ao Art. 46 - [ ] Playbook de resposta a incidentes com etapa de notificação à ANPD (Art. 48) - [ ] Contratos de processamento de dados (DPA) com todos os operadores - [ ] DPIA realizada para tratamentos de alto risco - [ ] Processo de atendimento a DSARs implementado (prazo: 15 dias) --- ## Sanções Aplicáveis | Tipo de Sanção | Descrição | Aplicabilidade | | -------------- | --------- | -------------- | | Advertência | Prazo para adoção de medidas corretivas | 1ª infração leve | | Multa simples | Até 2% / máx R$50M por infração | Infrações graves | | Multa diária | Teto: R$50M por infração | Descumprimento continuado | | Publicização da infração | Divulgação pública do incidente | Infrações graves | | Bloqueio de dados | Suspensão do tratamento | Infrações graves | | Eliminação de dados | Deleção compulsória | Infrações graves | --- ## Relação com Outros Frameworks A LGPD é complementada por regulações setoriais específicas: - **[[bacen-4893|BACEN Res. 4893/2021]]** - Complementa a LGPD para instituições financeiras com requisitos técnicos detalhados de cibersegurança - **[[iso-27001|ISO 27001:2022]]** - Framework de gestão que facilita conformidade com o Art. 46 da LGPD - **[[pci-dss|PCI-DSS v4.0]]** - Complementar para organizações que processam dados de cartão de pagamento --- ## Referências - [Lei 13.709/2018 - Texto Integral](https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm) - [ANPD - Guias e Orientações](https://www.gov.br/anpd/) - [ANPD - Resolução CD/ANPD nº 2/2022 (Notificação de Incidentes)](https://www.gov.br/anpd/) - [IAPP - LGPD vs GDPR Comparison](https://iapp.org/) --- ← Voltar para **[[_regulations|Regulações]]** · **[[_market|Market Intelligence]]**