Conceitos LGPD em 5 minutos
O mínimo que dev precisa saber. Sem juridiquês.
Controlador vs Operador
Controlador art. 5º VI é quem decide o que fazer com os dados. Operador art. 5º VII é quem executa o tratamento por instrução do Controlador.
Você (com seu SaaS) é o Controlador dos seus usuários. Quando você usa Stripe pra cobrar, Stripe é seu Operador. Quando você usa o Cravar pra gerar política, Cravar é seu Operador (do dado dos seus usuários) e Controlador dos seus dados (cadastro Cravar).
Bases legais
A LGPD tem 10 bases legais pra dados pessoais comuns art. 7º e 8 pra dados sensíveis art. 11. As mais usadas em SaaS B2C:
| Base | Quando usar |
|---|---|
| Execução de contrato (V) | Email pra login, nome no perfil, pagamento. É o default. |
| Legítimo interesse (IX) | Analytics agregado, prevenção a fraude, logs de segurança. |
| Obrigação legal (II) | Emissão de NF, retenção fiscal, KYC, logs auditáveis. |
| Consentimento (I) | Marketing, pixels, cookies não-essenciais, dados sensíveis. |
Erro comum: marcar tudo como "consentimento". Se o titular revoga, você é obrigado a parar o tratamento. Pra dados essenciais à operação (email, nome, CPF se for cobrança), use execução de contrato ou obrigação legal.
9 direitos do titular (art. 18)
- Confirmação de tratamento
- Acesso aos dados
- Correção
- Anonimização, bloqueio ou eliminação de dados excessivos
- Portabilidade (formato estruturado, leitura por máquina)
- Eliminação dos dados tratados com consentimento
- Informação sobre quem você compartilhou
- Informação sobre a possibilidade de não consentir
- Revogação do consentimento
Prazo: 15 dias art. 19 §3º pra confirmação e acesso. Pra eliminação, idem como prática consolidada.
DSAR (Data Subject Access Request)
É o fluxo de receber, validar identidade e atender uma das 9 solicitações acima. Pontos mortais que os devs erram:
- Aceitar pedido por email sem verificar identidade — vetor #1 de account takeover
- "Excluir" via
deleted_at = now()— isso não é exclusão - Esquecer logs, fila, cache, embeddings, sub-processadores — DSAR de erasure tem que atingir tudo
- Exportar dados de terceiros junto — vaza PII de quem não pediu
Incidente de segurança
Prazo pra notificar a ANPD: 3 dias úteis Resolução CD/ANPD nº 15/2024 a partir do conhecimento, se o incidente puder acarretar risco ou dano relevante. (Não é 72h — esse é GDPR.)
Forma: formulário eletrônico no portal da ANPD. Critérios: volume, sensibilidade, identificabilidade, consequências graves prováveis.
Encarregado (DPO)
Pequeno agente (microempresa, EPP, startup com receita ≤ R$ 4,8M, ME individual) Resolução CD/ANPD nº 2/2022 não precisa designar Encarregado — mas precisa manter canal de atendimento ao titular.
Sanções (art. 52)
Multa de até 2% do faturamento BR, limitada a R$ 50 milhões por infração. Atenuantes: boa-fé, cooperação com ANPD, adoção de medidas mitigadoras (= Audit Kit que o Cravar gera).