LGPD e Provedores: Por Que Você Precisa Se Preocupar
A Lei Geral de Proteção de Dados (Lei 13.709/2018) entrou em vigor em setembro de 2020, com sanções aplicáveis desde agosto de 2021. E sim, ela se aplica integralmente a provedores de internet — de qualquer tamanho.
O ISP é, por natureza, um dos maiores coletores de dados pessoais que existem. Você sabe o nome, CPF, endereço, telefone, e-mail de cada assinante. Você sabe qual IP ele usou, quando conectou, quanto tráfego consumiu. E, se opera CGNAT, sabe cada tradução de porta que foi feita.
A LGPD não proíbe coletar esses dados. Mas exige que você tenha base legal, finalidade, segurança e transparência.
Quais Dados Pessoais o ISP Armazena
| Categoria | Exemplos | Base legal |
|---|---|---|
| Dados cadastrais | Nome, CPF, RG, endereço, telefone, e-mail | Execução de contrato (Art. 7, V) |
| Dados financeiros | Faturas, pagamentos, inadimplência | Execução de contrato (Art. 7, V) |
| Registros de conexão | IP atribuído, data/hora início e fim de sessão | Obrigação legal — Marco Civil Art. 13 (Art. 7, II) |
| Logs de CGNAT | IP privado → IP público + porta, timestamp | Obrigação legal — Marco Civil Art. 13 (Art. 7, II) |
| Dados de tráfego | Volume consumido, protocolos, destinos | Legítimo interesse para QoS (Art. 7, IX) |
| Registros de acesso a aplicações | URLs visitadas, DNS queries | Proibido! Art. 14 Marco Civil proíbe guarda por ISPs |
Ponto crítico: O Marco Civil proíbe expressamente que provedores de conexão guardem registros de acesso a aplicações (quais sites o cliente acessou). Se você está logando queries DNS ou URLs, pare imediatamente — é ilegal e gera risco de sanção tanto pela ANPD quanto pela ANATEL.
O Conflito: Minimização de Dados vs. Marco Civil
A LGPD estabelece o princípio de minimização (Art. 6, III): coletar apenas o mínimo necessário. Mas o Marco Civil (Art. 13) obriga guardar registros de conexão por 1 ano.
Como resolver esse conflito? A resposta está na própria LGPD, Art. 7, inciso II:
"O tratamento de dados pessoais somente poderá ser realizado para o cumprimento de obrigação legal ou regulatória pelo controlador."
Ou seja: guardar logs de conexão e CGNAT por 1 ano é obrigação legal. A LGPD não impede — ela é a base legal que justifica esse tratamento. Mas após 1 ano, o dado deve ser eliminado (a menos que haja outra base legal, como ordem judicial pendente).
Direitos dos Titulares (Seus Assinantes)
A LGPD garante ao assinante os seguintes direitos (Art. 18):
- Confirmação e acesso: o cliente pode pedir para ver quais dados você tem sobre ele
- Correção: pode pedir para corrigir dados incompletos ou incorretos
- Anonimização, bloqueio ou eliminação: de dados desnecessários ou excessivos
- Portabilidade: receber seus dados em formato estruturado
- Eliminação: dos dados tratados com base em consentimento
- Informação sobre compartilhamento: saber com quem seus dados são compartilhados
- Revogação do consentimento: quando o tratamento é baseado em consentimento
O Que Você NÃO Pode Deletar
Se um assinante pedir exclusão de dados, você não pode deletar:
- Registros de conexão dentro do período de 1 ano (obrigação legal do Marco Civil)
- Logs de CGNAT dentro do período de retenção
- Dados necessários para exercício regular de direito em processo judicial
- Dados necessários para cumprimento de obrigação regulatória (ANATEL)
Mas deve deletar tudo que não tem base legal: dados de marketing coletados sem consentimento, registros de navegação (que nem deveriam existir), dados cadastrais após cancelamento + período de retenção.
Resolva isso automaticamente com NATVault
NATVault implementa retenção automatizada: logs são eliminados automaticamente após o período legal. Controle de acesso granular e trilha de auditoria para demonstrar conformidade LGPD. Teste grátis por 14 dias. Sem cartão de crédito.
Começar teste grátisDPO: Encarregado de Proteção de Dados
A LGPD exige que o controlador (seu ISP) indique um Encarregado de Proteção de Dados (DPO) — Art. 41. Suas funções:
- Receber reclamações e comunicações de titulares e da ANPD
- Orientar funcionários sobre práticas de proteção de dados
- Executar as demais atribuições determinadas pelo controlador
Pode ser um funcionário interno ou terceirizado. Para provedores pequenos, a Resolução CD/ANPD n. 2/2022 flexibiliza a exigência para agentes de tratamento de pequeno porte, mas recomendamos nomear um DPO de qualquer forma — demonstra boa-fé em caso de fiscalização.
O DPO deve ter seus dados de contato publicados no site do provedor (nome, e-mail, telefone). Normalmente fica na página de Política de Privacidade.
Medidas de Segurança para Logs Armazenados
O Art. 46 da LGPD exige que o controlador adote medidas técnicas e administrativas para proteger dados pessoais. Para logs de conexão e CGNAT:
Medidas Técnicas
- Criptografia em repouso: logs armazenados devem ser criptografados (AES-256). Se o disco for roubado ou o servidor comprometido, os dados estão protegidos
- Criptografia em trânsito: syslog via TLS (RFC 5425), não UDP puro. Evita interceptação de logs entre o roteador e o coletor
- Controle de acesso: apenas pessoal autorizado (NOC, jurídico) acessa os logs. Autenticação com MFA (multi-fator)
- Trilha de auditoria: registrar quem acessou quais logs, quando e por quê. Essencial para demonstrar conformidade
- Backup criptografado: backups de logs também precisam ser protegidos
- Retenção automatizada: logs devem ser eliminados automaticamente após o período legal. Não dependa de processo manual
Medidas Administrativas
- Política de privacidade: documento público explicando quais dados são coletados, para quê, por quanto tempo
- Política interna de segurança: procedimentos para acesso a logs, resposta a incidentes, treinamento de funcionários
- Registro de operações de tratamento (ROPA): Art. 37 exige documentar todas as operações de tratamento de dados
- Contratos com terceiros: se usa serviço externo para armazenar logs (como NATVault), o contrato deve incluir cláusulas de proteção de dados (Art. 39)
Notificação de Incidentes
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o controlador deve comunicar (Art. 48):
- À ANPD: em prazo razoável — a recomendação da ANPD é 72 horas após a ciência do incidente (Resolução CD/ANPD n. 15/2024)
- Aos titulares afetados: quando o incidente puder acarretar risco ou dano relevante
A comunicação deve conter: descrição dos dados afetados, informações sobre os titulares envolvidos, medidas técnicas adotadas, riscos relacionados e medidas de mitigação.
Cenário real: se seu servidor de logs de CGNAT for invadido e os dados expostos, você tem 72 horas para notificar a ANPD. Se os logs continham apenas mapeamentos NAT (IP, porta, timestamp), o risco ao titular é menor do que se contivessem dados cadastrais. Mas a notificação é obrigatória se houver dúvida.
Sanções da LGPD
As sanções previstas no Art. 52 incluem:
- Advertência: com prazo para adotar medidas corretivas
- Multa simples: até 2% do faturamento, limitada a R$ 50 milhões por infração
- Multa diária: para forçar cumprimento
- Publicização: a ANPD divulga publicamente a infração (dano reputacional)
- Bloqueio ou eliminação dos dados: pode paralisar sua operação
- Suspensão do exercício da atividade de tratamento: na prática, pode impedir seu ISP de operar
A ANPD já aplicou sanções em 2023 e 2024. Não é teoria — é realidade.
Checklist Prático: LGPD para ISPs
- Nomeie um DPO e publique os dados de contato no site
- Elabore a Política de Privacidade detalhando dados coletados, finalidades, bases legais e direitos dos titulares
- Mapeie todos os dados pessoais que você trata (ROPA — Registro de Operações)
- Configure retenção automatizada — logs de conexão por 1 ano, depois eliminação automática
- Implemente criptografia em repouso e em trânsito para logs
- Configure controle de acesso com MFA para sistemas que contêm dados pessoais
- Implemente trilha de auditoria — quem acessou quais dados, quando
- Crie procedimento para atender direitos dos titulares — acesso, correção, eliminação
- Crie plano de resposta a incidentes — quem faz o quê nas primeiras 72 horas
- Treine a equipe — suporte, NOC, financeiro, todos que lidam com dados de clientes
- Revise contratos com terceiros — hosting, sistemas de gestão, coletores de log
- NÃO armazene registros de navegação (DNS queries, URLs) — é proibido pelo Marco Civil e desnecessário
Resolva isso automaticamente com NATVault
NATVault foi projetado com LGPD em mente: criptografia AES-256, controle de acesso granular, trilha de auditoria completa, retenção automatizada e eliminação segura. Tudo documentado para sua conformidade. Teste grátis por 14 dias. Sem cartão de crédito.
Começar teste grátisPerguntas Frequentes
A LGPD se aplica a provedores pequenos?
Sim. A LGPD se aplica a qualquer pessoa jurídica que trate dados pessoais, independente do porte. A Resolução CD/ANPD n. 2/2022 flexibiliza algumas obrigações para agentes de tratamento de pequeno porte (MEI, microempresas, startups), como prazo maior para comunicar incidentes e dispensa de DPO em alguns casos. Mas as obrigações de segurança e bases legais continuam aplicáveis.
Posso guardar logs de CGNAT por mais de 1 ano?
Pela LGPD, você deve guardar apenas pelo tempo necessário. O Marco Civil define 1 ano como mínimo para registros de conexão. Guardar por mais tempo exige justificativa — como ordem judicial pendente ou investigação em andamento. Sem justificativa, a retenção além de 1 ano pode ser considerada excessiva pela ANPD. Defina 1 ano como padrão e tenha processo para exceções documentadas.
Se um cliente pedir seus dados de conexão, sou obrigado a fornecer?
Sim. O Art. 18 da LGPD garante ao titular o direito de acesso aos seus dados pessoais. Se um assinante pedir os registros de conexão dele (IPs atribuídos, horários de sessão), você deve fornecer em formato claro e completo, em prazo razoável (até 15 dias). Mas atenção: forneça apenas os dados do solicitante, nunca de terceiros.
Preciso de consentimento do cliente para guardar logs?
Não. A base legal para guarda de registros de conexão é obrigação legal (Art. 7, II da LGPD), não consentimento. O Marco Civil obriga a guarda por 1 ano — o consentimento do cliente é irrelevante neste caso. Consentimento é necessário para tratamentos opcionais, como envio de marketing por e-mail ou compartilhamento com parceiros comerciais.
O que acontece se eu não cumprir a LGPD?
Multa de até 2% do faturamento (limitada a R$ 50 milhões por infração), advertência, publicização da infração, bloqueio dos dados e, no limite, suspensão da atividade de tratamento. Além das sanções da ANPD, clientes podem entrar com ações judiciais individuais ou coletivas por danos morais. Em 2024, a ANPD já aplicou sanções a empresas de diversos setores.