Skills
skills/ericbsantana/llm-skills/lgpd-brasil

lgpd-brasil

SKILL.md

LGPD – Lei Geral de Proteção de Dados (Brasil)

Skill para apoiar o entendimento e a aplicação da Lei nº 13.709/2018 (LGPD) no contexto de sistemas, produtos e processos que tratam dados pessoais no Brasil.

Visão geral

  • Lei: 13.709/2018 (LGPD). Vigência desde 14/08/2018; alterações pela Lei 13.853/2019 (ANPD).
  • Objetivo: Proteger direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade da pessoa natural.
  • Âmbito: Qualquer operação de tratamento de dados pessoais, em qualquer meio, por pessoa natural ou jurídica (pública ou privada), desde que:
    • a operação ocorra no território nacional; ou
    • a atividade vise oferta de bens/serviços ou tratamento de dados de pessoas localizadas no Brasil; ou
    • os dados tenham sido coletados no território nacional (titular no Brasil no momento da coleta).

Exceções (Art. 4º): uso exclusivamente particular e não econômico; fins jornalísticos/artísticos; fins acadêmicos (com observância dos arts. 7º e 11); segurança pública, defesa nacional, segurança do Estado, investigação e repressão de infrações penais (legislação específica); dados provenientes de fora do Brasil sem comunicação/compartilhamento/transferência internacional com agentes brasileiros (com ressalvas).

Conceitos essenciais (Art. 5º)

Termo Definição resumida
Dado pessoal Informação relacionada a pessoa natural identificada ou identificável
Dado sensível Origem racial/étnica, convicção religiosa, opinião política, filiação sindical/religiosa/filosófica/política, saúde, vida sexual, dado genético ou biométrico vinculado a pessoa natural
Titular Pessoa natural a quem se referem os dados
Controlador Quem decide sobre o tratamento
Operador Quem trata em nome do controlador
Encarregado (DPO) Canal entre controlador, titulares e ANPD
Tratamento Coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração
Consentimento Manifestação livre, informada e inequívoca para finalidade determinada

Princípios (Art. 6º)

Toda atividade de tratamento deve observar a boa-fé e:

  1. Finalidade – Propósitos legítimos, específicos, explícitos e informados ao titular; sem tratamento posterior incompatível.
  2. Adequação – Compatibilidade com as finalidades informadas e o contexto.
  3. Necessidade – Mínimo necessário; dados pertinentes, proporcionais e não excessivos.
  4. Livre acesso – Consulta facilitada e gratuita sobre forma, duração e integralidade dos dados.
  5. Qualidade – Exatidão, clareza, relevância e atualização conforme a finalidade.
  6. Transparência – Informações claras, precisas e acessíveis sobre tratamento e agentes (respeitados segredos comercial e industrial).
  7. Segurança – Medidas técnicas e administrativas contra acessos não autorizados e situações ilícitas ou acidentais (destruição, perda, alteração, comunicação, difusão).
  8. Prevenção – Medidas para evitar danos.
  9. Não discriminação – Nenhum tratamento para fins discriminatórios ilícitos ou abusivos.
  10. Responsabilização e prestação de contas – Demonstração de medidas eficazes de conformidade.

Bases legais para tratamento (Art. 7º)

O tratamento de dados pessoais só pode ocorrer quando houver ao menos uma das hipóteses:

  • I – Consentimento do titular
  • II – Obrigação legal ou regulatória do controlador
  • III – Execução de políticas públicas pela administração pública (conforme Cap. IV)
  • IV – Estudos por órgão de pesquisa (anonimização quando possível)
  • V – Execução de contrato ou procedimentos preliminares a pedido do titular
  • VI – Exercício regular de direitos em processo judicial, administrativo ou arbitral
  • VII – Proteção da vida ou incolumidade física do titular ou de terceiro
  • VIII – Tutela da saúde (profissionais/serviços de saúde ou autoridade sanitária)
  • IX – Interesses legítimos do controlador ou terceiro, exceto se prevalecerem direitos e liberdades fundamentais do titular
  • X – Proteção do crédito

Consentimento (Art. 8º): escrito ou outro meio que demonstre vontade; cláusula destacada se escrito; ônus da prova no controlador; vedado tratamento com vício de consentimento; finalidades determinadas (autorizações genéricas nulas); revogação a qualquer tempo, gratuita e facilitada.

Dados manifestamente públicos pelo titular podem ser tratados sem consentimento, respeitados direitos e princípios. Dispensa de consentimento não dispensa demais obrigações da lei.

Dados sensíveis (Art. 11)

Tratamento de dados sensíveis somente:

  • Com consentimento específico e destacado para finalidades específicas; ou
  • Sem consentimento quando indispensável para: (a) obrigação legal/regulatória; (b) políticas públicas; (c) estudos por órgão de pesquisa (anonimização quando possível); (d) exercício regular de direitos (contrato/processo); (e) proteção da vida ou incolumidade física; (f) tutela da saúde (profissionais/serviços/autoridade sanitária); (g) prevenção à fraude e segurança do titular (identificação/autenticação em sistemas), respeitados direitos do titular.

Vedações: compartilhamento de dados de saúde entre controladores com objetivo de vantagem econômica, exceto nas hipóteses legais (ex.: portabilidade a pedido do titular, prestação de serviços de saúde). Operadoras de planos de saúde não podem usar dados de saúde para seleção de riscos na contratação ou exclusão de beneficiários.

Crianças e adolescentes (Art. 14)

  • Tratamento no melhor interesse da criança/adolescente.
  • Dados de crianças: consentimento específico e em destaque de pelo menos um dos pais ou responsável legal.
  • Controladores devem manter informação pública sobre tipos de dados, forma de uso e exercício dos direitos (Art. 18).
  • Coleta sem consentimento só quando necessária para contatar pais/responsável (uso único, sem armazenamento) ou para proteção; não repassar a terceiros sem o consentimento do § 1º.
  • Não condicionar participação em jogos/aplicações à coleta de dados além do estritamente necessário.

Direitos do titular (Art. 18)

O titular tem direito a obter do controlador, a qualquer momento, mediante requisição:

  • I – Confirmação da existência de tratamento
  • II – Acesso aos dados
  • III – Correção de dados incompletos, inexatos ou desatualizados
  • IV – Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou em desconformidade com a lei
  • V – Portabilidade dos dados a outro fornecedor (conforme regulamentação da ANPD, segredos comercial e industrial)
  • VI – Eliminação dos dados tratados com consentimento (exceto hipóteses do Art. 16)
  • VII – Informação sobre entidades públicas e privadas com as quais houve uso compartilhado
  • VIII – Informação sobre possibilidade de não consentir e consequências da negativa
  • IX – Revogação do consentimento (Art. 8º § 5º)

O titular pode peticionar à ANPD contra o controlador e opor-se a tratamento baseado em dispensa de consentimento em caso de descumprimento da lei. Requerimento deve ser atendido sem custos para o titular, nos prazos regulamentares.

ANPD (Autoridade Nacional de Proteção de Dados)

  • Entidade responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
  • Emite regulamentações, orientações e pode solicitar relatório de impacto à proteção de dados pessoais (RIPD) em tratamentos de maior risco (ex.: baseados em interesse legítimo).
  • Aplicação de sanções administrativas (multas, advertências, etc.) conforme a lei.

Término e eliminação (Arts. 15 e 16)

O tratamento termina quando: (I) a finalidade foi alcançada ou os dados deixaram de ser necessários; (II) fim do período de tratamento; (III) comunicação do titular (incl. revogação de consentimento), resguardado interesse público; (IV) determinação da ANPD em caso de violação.

Após o término, os dados devem ser eliminados, exceto quando a conservação for permitida (ex.: obrigação legal/regulatória, estudo com anonimização, etc.).

Checklist prático para sistemas e produtos

Ao desenhar ou revisar tratamento de dados no Brasil:

  • Identificar se a LGPD se aplica (território, oferta de bens/serviços, dados coletados no Brasil).
  • Mapear dados pessoais e sensíveis; documentar finalidade e base legal (Art. 7º ou 11).
  • Garantir que consentimento, quando exigido, seja específico, destacado e revogável de forma gratuita e facilitada.
  • Respeitar princípios: necessidade (mínimo de dados), transparência, segurança, prevenção.
  • Implementar canais para exercício dos direitos do titular (acesso, correção, eliminação, portabilidade, revogação, oposição).
  • Nomear encarregado e divulgar canal de contato (titulares e ANPD).
  • Avaliar necessidade de RIPD em tratamentos de maior risco.
  • Para dados de crianças: consentimento de pais/responsável; não condicionar atividades à coleta além do necessário.
  • Para dados sensíveis: conferir hipótese do Art. 11 e vedações (ex.: saúde para vantagem econômica, seleção de riscos em planos de saúde).

Referência oficial

Aviso: Esta skill resume a LGPD para apoio em análise e implementação. Para decisões jurídicas definitivas ou conformidade formal, consulte a lei, regulamentações da ANPD e assessoria jurídica especializada.

Weekly Installs
11
Repository
ericbsantana/llm-skills
First Seen
Feb 25, 2026
Security Audits
Gen Agent Trust HubPass
SocketPass
SnykPass
Installed on
opencode11
gemini-cli11
github-copilot11
codex11
amp11
kimi-cli11