LGPD: o que a lei diz sobre consulta e tratamento de dados pessoais

Por Redação do Portal • Publicado em 20 de abril de 2026 • 10 min de leitura

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), conhecida pela sigla LGPD, reorganizou o modo como o Brasil lida com informações de pessoas físicas. Em vigor desde 2020 e com sanções aplicáveis desde 2021, a norma passou a delimitar o que é permitido, o que é obrigatório e o que é proibido ao tratar dados de cidadãos. Este artigo sintetiza, em linguagem acessível, o que a LGPD estabelece sobre consulta, uso e compartilhamento de dados pessoais.

Conceitos básicos

Antes de tratar de consulta, é útil fixar alguns termos da própria lei:

• Dado pessoal: toda informação relacionada a pessoa natural identificada ou identificável (nome, CPF, endereço, e-mail, histórico de compras, identificadores eletrônicos etc.).
• Dado pessoal sensível: informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização similar, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
• Tratamento: qualquer operação com dados pessoais — coleta, classificação, consulta, utilização, armazenamento, compartilhamento, eliminação etc.
• Titular: a pessoa a quem se referem os dados.
• Controlador: quem decide sobre o tratamento.
• Operador: quem realiza o tratamento em nome do controlador.

O princípio da finalidade

A LGPD impõe que todo tratamento de dados tenha uma finalidade legítima, específica e informada ao titular. Isso vale para qualquer operação, incluindo a consulta. Não basta ter acesso ao dado: é preciso saber para quê ele é consultado, por quanto tempo essa informação ficará registrada e com quem pode ser compartilhada.

"Ter o dado" não é o mesmo que "poder usá-lo". A LGPD separa posse de legalidade de uso.

Base legal: quando é permitido tratar dados

O artigo 7º da LGPD elenca as hipóteses em que é permitido tratar dados pessoais. As mais relevantes são:

1. Mediante consentimento do titular;
2. Para cumprimento de obrigação legal ou regulatória;
3. Pela administração pública, na execução de políticas públicas previstas em lei;
4. Para realização de estudos por órgão de pesquisa;
5. Para execução de contrato ou de procedimentos preliminares a ele, a pedido do titular;
6. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
7. Para proteção da vida ou da incolumidade física do titular ou de terceiro;
8. Para a tutela da saúde, em procedimento realizado por profissionais ou serviços de saúde;
9. Para atender ao legítimo interesse do controlador ou de terceiro, respeitados os direitos do titular;
10. Para a proteção do crédito.

Sem uma dessas bases, o tratamento é ilícito.

Consulta de dados e legítimo interesse

Boa parte da consulta profissional e empresarial de dados é amparada pela base do legítimo interesse (art. 7º, IX) ou pela proteção ao crédito (art. 7º, X). Trata-se de bases legais específicas, que exigem:

• Finalidade concreta e demonstrável;
• Necessidade — ou seja, não é possível atingir a finalidade com menos dados;
• Avaliação do impacto sobre os direitos e liberdades do titular;
• Transparência quanto ao uso.

A proteção ao crédito, em particular, é a base legal que sustenta a operação de bureaus como Serasa, SPC e Boa Vista, bem como a análise creditícia realizada por instituições financeiras e varejistas que concedem crediário.

Dados públicos

A LGPD admite expressamente (art. 7º, §3º e §4º) o tratamento de dados pessoais cujo acesso é público — ou tornados públicos pelo próprio titular. Isso inclui informações disponíveis em diários oficiais, cartórios, portais de transparência e bases públicas governamentais. Mesmo assim, o tratamento deve respeitar as finalidades originais para as quais esses dados foram publicados.

Direitos do titular

O artigo 18 da LGPD garante ao titular dos dados uma série de direitos, exercíveis a qualquer tempo, por solicitação ao controlador:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
• Portabilidade a outro fornecedor;
• Eliminação dos dados tratados com base em consentimento;
• Informação sobre entidades com as quais os dados foram compartilhados;
• Informação sobre a possibilidade de não consentir e sobre as consequências disso;
• Revogação do consentimento.

Ao receber uma solicitação, o controlador é obrigado a responder em prazo e forma adequados. O descumprimento pode gerar sanções administrativas aplicadas pela ANPD.

A Autoridade Nacional (ANPD)

A Autoridade Nacional de Proteção de Dados é o órgão federal responsável por zelar pelo cumprimento da LGPD. Entre suas funções estão a edição de regulamentos, a fiscalização, a aplicação de sanções e o recebimento de reclamações de titulares. Se o cidadão entende que seus dados foram tratados indevidamente e não obteve resposta satisfatória do controlador, pode levar o caso à ANPD.

Sanções

A LGPD prevê sanções administrativas que vão de advertência a multa de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração. Em casos graves, há ainda a possibilidade de suspensão parcial ou total do banco de dados envolvido no incidente e proibição de exercer atividades relacionadas ao tratamento. As sanções são aplicadas pela ANPD.

O que o cidadão deve fazer

Saber que a lei existe é o primeiro passo. Na prática, convém:

• Ler políticas de privacidade antes de aceitar termos online;
• Desconfiar de pedidos de dados sem justificativa clara;
• Conhecer os próprios direitos e, quando necessário, exercê-los;
• Guardar comprovantes de contatos e solicitações feitas a empresas;
• Em caso de violação, buscar a ANPD ou órgãos de defesa do consumidor.

Conclusão

A LGPD equilibra dois interesses que convivem na economia digital: o direito fundamental à privacidade e a necessidade legítima de uso de dados para atividades econômicas, administrativas e sociais. Esse equilíbrio depende de transparência do controlador, consciência do titular e atuação firme da autoridade. Compreender a lei não é detalhe técnico — é parte da cidadania digital contemporânea.

Este texto tem caráter exclusivamente informativo e não substitui aconselhamento jurídico individualizado.