Publicações

LGPD em 2026: obrigações das empresas com dados pessoais

A publicação da Lei nº 15.352, em 25 de fevereiro de 2026, marcou novo capítulo na proteção de dados no Brasil. A norma formalizou a Autoridade Nacional de Proteção de Dados (ANPD) como autarquia especial vinculada ao Ministério da Justiça e Segurança Pública, conferindo-lhe maior autonomia para editar regulamentos, conduzir auditorias e aplicar sanções. Para as empresas que ainda não implementaram programas de conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), o momento exige atenção imediata: a fase de orientação chegou ao fim.

Quais dados as empresas tratam e quais bases legais se aplicam

Toda empresa que coleta, armazena, compartilha ou utiliza informações de pessoas naturais identificadas ou identificáveis realiza tratamento de dados pessoais nos termos da LGPD. Na prática, isso abrange ao menos dois universos distintos: os dados de empregados e os dados de clientes.

O tratamento de dados pessoais somente é lícito quando amparado por uma das hipóteses previstas no art. 7º da LGPD. Para dados de empregados, a principal base legal é a execução de contrato de trabalho (art. 7º, V), que dispensa o consentimento do titular para as operações necessárias ao cumprimento das obrigações trabalhistas. Para dados de clientes, as bases mais comuns são o consentimento (art. 7º, I), a execução de contrato (art. 7º, V) e o legítimo interesse do controlador (art. 7º, IX), este último condicionado à realização de teste de proporcionalidade e à inexistência de prevalência dos interesses do titular.

Dados sensíveis — como informações sobre saúde, origem racial ou étnica, convicção religiosa, filiação sindical e dados biométricos — exigem base legal específica prevista no art. 11 da LGPD e tratamento com nível de proteção reforçado.

Dados de empregados: obrigações ao longo do ciclo trabalhista

O tratamento de dados pessoais de empregados ocorre em todas as fases da relação de trabalho. Na fase pré-contratual, o recrutamento e a seleção envolvem coleta de currículos, aplicação de testes e verificação de referências — operações que devem observar o princípio da necessidade (art. 6º, III), limitando o tratamento ao mínimo indispensável para a finalidade declarada. Questionar candidatos sobre dados sensíveis sem justificativa funcional legítima configura infração.

Durante a execução contratual, os empregadores tratam habitualmente dados bancários, de saúde (atestados, laudos), biométricos (controle de ponto) e de geolocalização. Cada categoria demanda base legal adequada, finalidade explícita e medidas de segurança proporcionais ao risco.

No desligamento, os dados devem ser conservados pelo prazo necessário ao cumprimento de obrigações legais.

Dados de clientes: coleta, finalidade e compartilhamento

No relacionamento com clientes, as principais vulnerabilidades identificadas pela ANPD envolvem: coleta de dados sem base legal definida; uso de informações para finalidade diversa da informada na coleta (desvio de finalidade, vedado pelo art. 6º, I); e compartilhamento com terceiros — prestadores, parceiros comerciais, plataformas de CRM — sem instrumentos contratuais que imponham obrigações equivalentes de proteção.

O compartilhamento de dados com operadores exige a celebração de contrato ou instrumento equivalente que preveja, no mínimo, a finalidade do tratamento, as medidas de segurança exigidas e as responsabilidades de cada parte (art. 39 da LGPD).

Encarregado de dados, registro de operações e comunicação de incidentes

A LGPD impõe três obrigações estruturantes que frequentemente não são implementadas por empresas de médio porte:

A nomeação de encarregado de dados (DPO), responsável por ser o canal de comunicação entre a empresa, os titulares e a ANPD (art. 41). A Resolução CD/ANPD nº 2/2022 permite que agentes de tratamento de pequeno porte — microempresas e empresas de pequeno porte nos termos da Lei Complementar nº 123/2006 — sejam dispensados da nomeação formal, desde que mantenham canal de comunicação acessível e eficaz com os titulares.

O registro das operações de tratamento, que deve descrever as categorias de dados tratados, as finalidades, os fundamentos legais, os destinatários e os prazos de retenção. Esse registro é o principal instrumento de demonstração de conformidade em caso de fiscalização.

A comunicação de incidentes de segurança à ANPD e ao titular, quando o evento puder acarretar risco ou dano relevante (art. 48). O prazo orientativo estabelecido pela ANPD é de 72 horas para a notificação preliminar.

Sanções e o novo cenário de fiscalização

As penalidades previstas no art. 52 da LGPD incluem advertência, multa simples de até 2% do faturamento do grupo econômico no Brasil no último exercício — limitada a R$ 50 milhões por infração —, multa diária, publicização da infração, bloqueio ou eliminação dos dados e suspensão das atividades de tratamento.

Com a autonomia ampliada conferida pela Lei nº 15.352/2026, a ANPD intensificou a fiscalização ativa, não mais dependendo exclusivamente de denúncias de titulares. A Agenda Regulatória 2025-2026, definida pela Resolução CD/ANPD nº 31/2025, estabelece como prioridades a regulamentação dos direitos dos titulares, os relatórios de impacto à proteção de dados pessoais (RIPD), os padrões de segurança da informação e o tratamento de dados de alto risco.

O que as empresas devem fazer

Diante desse cenário, as medidas prioritárias são:

• Mapear as operações de tratamento de dados pessoais, identificando categorias, finalidades, bases legais e destinatários;
• Revisar contratos com prestadores de serviços e parceiros para incluir cláusulas de proteção de dados compatíveis com o art. 39 da LGPD;
• Implementar ou atualizar a política interna de proteção de dados e promover treinamento das equipes que operam dados pessoais;
• Nomear encarregado de dados ou, para empresas de pequeno porte, estabelecer canal de comunicação funcional com os titulares;
• Estruturar protocolo de resposta a incidentes de segurança, com fluxo definido de notificação à ANPD.

A equipe FPSV Advogados se coloca à disposição para esclarecer quaisquer dúvidas relacionadas ao tema e apoiar a implementação de programas de conformidade com a LGPD.

Gabriel Gomes Pimentel

Sócio do Figueira, Pimentel, Siqueira & Varejão – FPSV