O que é a LGPD
A LGPD (Lei Geral de Proteção de Dados) é a versão brasileira do GDPR, em vigor desde agosto de 2020. Ela define as regras que toda organização que trata dados pessoais de brasileiros (independentemente de onde esteja) deve seguir. O órgão regulador é a ANPD (Autoridade Nacional de Proteção de Dados).
Multas por descumprimento: até 2% do faturamento anual, limitadas a R$ 50 milhões por infração. Além disso, há sanções administrativas como publicização, ordens de correção e suspensão das atividades. Empresas transfronteiriças (incluindo companhias chinesas) estão no escopo da LGPD sempre que tratam dados de brasileiros.
Exigências centrais da LGPD
- Ter base legal (base legal): consentimento / contrato / obrigação legal / legítimo interesse, entre as 10 previstas
- Ter finalidade definida (finalidade): é preciso informar o uso antes de tratar os dados
- Princípio da minimização: coletar apenas os dados necessários, sem abusos
- Direitos do titular dos dados: o usuário pode consultar, corrigir, excluir e exportar seus próprios dados
- Segurança dos dados: criptografia, anonimização, controle de acesso
- Conformidade na transferência internacional: enviar dados a países sem LGPD exige condições adicionais
- Comunicação de vazamento em 72 horas: incidentes de vazamento devem ser notificados à ANPD e aos usuários afetados
- DPO, o encarregado de proteção de dados: organizações que tratam grandes volumes de dados devem indicar um DPO
Principais recursos do Gateway de Dados LGPD da TF Fiscal
1. Criptografia e anonimização em nível de campo
O gateway de API identifica automaticamente, na transmissão e no armazenamento, os campos de PII (informações pessoais identificáveis) — CPF, nome, telefone, e-mail, endereço etc. — e aplica criptografia em nível de campo AES-256. Na exportação de relatórios, há suporte à anonimização automática (por exemplo, CPF exibido como ***.456.789-**).
2. Gestão de finalidade e base legal
Cada chamada de API deve declarar a finalidade e a base legal. A plataforma mantém uma matriz de conformidade "finalidade-base-campo de dados", recusando automaticamente e exibindo um aviso quando a chamada não atende às regras.
3. Resposta aos direitos do titular dos dados (DSR)
Oferece APIs para receber e responder às solicitações de direitos do titular dos dados de usuários brasileiros:
- Direito de acesso (Acesso): exportar todos os dados do usuário
- Direito de correção (Correção): atualizar dados incorretos
- Direito de eliminação (Eliminação): excluir definitivamente (dentro do permitido por lei)
- Direito de portabilidade (Portabilidade): exportar em formato estruturado
- Direito de oposição (Oposição): interromper determinado tratamento de dados
Todas as respostas devem ser concluídas em até 15 dias (exigência da ANPD).
4. Auditoria de conformidade de transferências internacionais
Quando os dados saem do Brasil para a matriz na China ou para um terceiro país, o sistema registra automaticamente o fato da transferência, a finalidade, a localização do destinatário e a base da transferência (consentimento do usuário / contrato / decisão de adequação / cláusulas contratuais padrão). Serve como prova em eventuais fiscalizações da ANPD.
5. Gestão do prazo de retenção de dados
Defina um prazo de retenção para cada tipo de dado, com arquivamento ou exclusão automática no vencimento. Por exemplo:
- Dados de notas fiscais: 5 anos (exigência da legislação tributária brasileira)
- Informações de contato de marketing: 1 ano (limpeza após ausência de novas interações)
- Tentativas de cadastro malsucedidas: 30 dias
6. Resposta a incidentes de vazamento de dados
Monitoramento de acessos anômalos + alertas automáticos + modelos e fluxos de comunicação à ANPD.
Cenários de uso típicos
- Plataformas C2C transfronteiriças: tratam a identidade de vendedores brasileiros, o PIX de recebimento e outras informações pessoais
- E-commerce transfronteiriço: coletam endereço, telefone e CPF de consumidores brasileiros
- Acesso da matriz na China a dados brasileiros: dados anonimizados antes da transferência para relatórios de BI e análise de mercado
- Provedores SaaS: fornecem evidências de conformidade aos próprios clientes, evitando questionamentos
- Serviços financeiros / seguros: cenários de KYC de alta intensidade
Preços
- Pacote padrão de conformidade LGPD: a partir de R$ 499/mês, incluindo chamadas ao gateway de conformidade, modelos de conformidade LGPD e log de auditoria
- Planos personalizados para grandes empresas: para clientes que tratam grandes volumes de dados pessoais, têm necessidade de transferência internacional ou precisam de um consultor DPO presencial, oferecemos soluções sob medida: incluem recursos de auditoria exclusivos, auditoria de conformidade de transferências internacionais, fluxo de resposta a emergências da ANPD e simulações de conformidade. Fale com o time comercial para receber uma cotação →
- Consultoria de conformidade: primeira avaliação de 1 hora gratuita
Comparação do valor da conformidade
Uma única infração à LGPD custa até R$ 50 milhões em multa. Uma assinatura de gateway de conformidade de alguns milhares de reais por ano é o seguro com o melhor custo-benefício.
Perguntas frequentes
P: Empresas chinesas também precisam cumprir a LGPD?
Sim. O art. 3 da LGPD determina: basta tratar dados de titulares localizados em território brasileiro (independentemente de onde esteja o controlador) para que a LGPD se aplique. Um e-commerce chinês que coleta informações de usuários brasileiros se enquadra nesse caso.
P: Qual a diferença em relação ao GDPR?
O arcabouço é quase idêntico; as principais diferenças: (1) o órgão regulador da LGPD é a ANPD (no GDPR são as DPAs de cada país); (2) o teto da multa é de R$ 50 milhões (no GDPR é € 20 milhões ou 4% do faturamento global); (3) a LGPD tem 10 bases legais (o GDPR tem 6). O arcabouço de conformidade do GDPR pode ser reaproveitado, mas as cláusulas específicas precisam ser revisadas.
P: É obrigatório ter um DPO?
Em princípio, toda organização que trata dados pessoais deveria ter um DPO. Mas a ANPD concede certas dispensas a micro e pequenas empresas. Clientes Enterprise podem contar com o serviço de consultoria de DPO da TF Fiscal.
P: Os dados podem ficar armazenados na China?
Podem, mas isso configura "transferência internacional" e precisa atender aos requisitos do art. 33 da LGPD (como consentimento do usuário, obrigação contratual, decisão da ANPD etc.). O gateway de dados da TF Fiscal registra automaticamente a base da transferência.
Soluções relacionadas